Qu’est-ce qu’une signature électronique valable juridiquement ?
La signature électronique, telle que reconnue par la loi, n’est pas un « scan » de la signature manuscrite.
Un scan de signature n’a pas de forte valeur probante. Ce n’est qu’un simple signe de validation.
Signature électronique = cryptographie asymétrique
Le système de signature électronique reconnu pour garantir l’authenticité et l’intégrité d’un document numérique est un procédé à cryptographie asymétrique.
Ce procédé met en comparaison l’empreinte du document envoyé avec celle du document transmis et reçu. Il vérifie aussi la provenance des documents, en se basant sur le certificat de l’auteur de la signature.
Le Parlement européen et le Conseil de l’Union européenne ont adopté, le 23 juillet 2014, le règlement n° 910/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS » (electronic IDentification, Authentication and trust Services).
Points d’attention pour bien conserver des documents signés électroniquement
- La re-signature automatique des documents peut garantir la valeur probante de la signature…Mais seulement tant que le signataire du document ne change pas et tant que le document lui-même est toujours valable !
- Toujours stocker le fichier de signature avec l’acte auquel il s’attache.
- Élaborer les plans de classement, plans de nommage des fichiers et plans d’indexation garantissant la capacité à retrouver le document à posteriori, et dans le long terme.
- Si l’on procède à des migrations de formats pour les besoins de l’archivage, conserver également le document dans son format originel ; documenter les process de migration et conserver trace des résultats.
- Les preuves de la sécurité de l’environnement de production au moment de la signature et les process associés peuvent garantir la non-altération de la signature…et donc sa recevabilité même si elle ne peut être rejouée !
Les certificats :
- Les certificats de signature électronique sont commercialisés par des sociétés spécialisées appelées prestataires de services de certification électronique (PSCE). Un certificat délivré par un prestataire reconnu sera présumé qualifié.
- La société LSTI est actuellement la seule à être habilitée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) à qualifier des prestataires de service de confiance au sens du décret n° 2010-112 du 2 février 2010.
- Ces certificats ont pour la plupart une durée de validité de 1 à 3 ans. Il est donc important de documenter qui a obtenu quel certificat et quand, car il sera impossible de rejouer les mécanismes de signature électronique passé ce délai.
Si le document est mis en sécurité dans un système d’archivage électronique , il faudra garder trace de ces informations.