Comment choisir un niveau de signature électronique adapté à votre projet ?

← Retour

Comment choisir un niveau de signature électronique adapté à votre projet ?

Comment choisir un niveau de signature électronique adapté à votre projet ?

Les épisodes récents et actuels qui limitent les possibilités de rencontres en face à face ont accéléré la transition numérique des entreprises, impliquant notamment un recours croissant aux procédés de signature électronique. En revanche tous les procédés de signature disponibles sur le marché n’ont pas la même valeur juridique. Il convient donc d’être vigilant quant au choix du procédé de signature électronique utilisé et d’évaluer, en amont, si ce procédé répond bien aux prérequis de votre projet.

La signature électronique est un ensemble de « données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer » (article 3 du Règlement eIDAS).En droit français, le régime de la signature électronique est notamment encadré par les textes suivants :

  • Règlement nº 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ;
  •  Loi du 13 mars 2000 relative à la signature électronique qui est venu modifier le Code civil ;
  •  Articles 1367 et suivants du Code civil  ;
  •  Décret n°2017-1416 du 28 septembre 2017 relatif à la signature électronique.

I. Quel est l’effet juridique de la signature dans le cadre de votre projet ?

L’absence de signature peut avoir un effet juridique différent en fonction des documents sur lesquels elle est apposée. Dès lors, l’analyse de la valeur juridique d’une signature doit être réalisée en considération de son effet juridique.

En application de l’article 1172 du Code civil :

« Les contrats sont par principe consensuels.
Par exception, la validité des contrats solennel est subordonnée à l’observation de forme déterminée par la loi à défaut de laquelle le contrat est nul, sauf possible régularisation.
 »

Les contrats consensuels sont des contrats qui se forment par le seul échange des consentements, quel qu’en soit le mode d’expression.

Dès lors, la signature aura des effets juridiques distincts :
 Lorsque le contrat est consensuel, il est formé par le simple échange des consentements. Alors, la signature n’est pas une condition de validité du contrat mais un mode de preuve de cet échange de consentements.
 Lorsque le contrat est subordonné à une forme particulière avec une exigence de signature, alors cette signature est une condition de validité du contrat.

Les contrats consensuels sont formés par un échange de consentements, qu’il y ait signature ou non. La signature n’est pas une condition de validité de ces contrats.
En revanche, elle est utile en matière probatoire. En particulier, lorsqu’en cas de différend entre les parties, il sera demandé d’apporter la preuve de la conclusion du contrat.
Or, en droit civil, la preuve n’est pas toujours libre.

En matière contractuel, dans la plupart des cas, la preuve doit être apportée par écrit.

En effet, l’article 1359 al. 1 du Code civil exige que :

« L’acte juridique portant sur une somme ou une valeur excédant un montant [de 1 500 €] doit être prouvé par écrit sous signature privée ou authentique ».

Par ailleurs, l’alinéa 2 de ce même article, ajoute qu’un écrit est nécessaire pour contester le contenu d’un acte ou pour aller au-delà du contenu d’un acte juridique qui a été constaté par écrit.

La signature d’un contrat permet d’apporter la preuve parfaite du consentement des parties au contenu de la convention.

Ainsi, selon l’article 1372 du Code civil :

« L’acte sous signature privée, reconnu par la partie à laquelle on l’oppose ou légalement tenu pour reconnu à son égard, fait foi entre ceux qui l’ont souscrit et à l’égard de leurs héritiers et ayants cause ».

Par ailleurs, l’article 1373 du Code civil dispose que :

« La partie à laquelle on l’oppose peut désavouer son écriture ou sa signature. Les héritiers ou ayants cause d’une partie peuvent pareillement désavouer l’écriture ou la signature de leur auteur, ou déclarer qu’ils ne les connaissent. Dans ces cas, il y a lieu à vérification d’écriture. »

En revanche, cette exigence doit être nuancée.

D’une part, il convient de noter que, sauf disposition contraire, les actes de commerce peuvent être prouvés par tous moyens à l’égard des commerçants, en application de l’article L110-3 du Code de commerce.

D’autre part, lorsque la signature constitue une exigence probatoire et non une condition de validité, il est possible d’y faire exception.

Selon l’article 1361 du Code civil :

« Il peut être suppléé à l’écrit par […] un commencement de preuve par écrit corroboré par un autre moyen de preuve. »

Le commencement de preuve par écrit est défini comme l’ « écrit qui, émanant de celui qui conteste un acte ou de celui qu’il représente, rend vraisemblable ce qui est allégué ».

En d’autres termes, il est possible de prouver le consentement d’une personne à un contrat, sans apporter la preuve de sa signature, en produisant un écrit quelqu’en soit sa forme émanant de cette personne (ex. un email) ainsi qu’un autre élément de preuve (ex. un commencement d’exécution du contrat).

A titre d’exemple, la Cour de cassation a considéré que le fait de verser des acomptes pouvait compléter un commencement de preuve par écrit [1].

Aussi, dans ses arrêts du 9 mars 2017 (n°14/16204) et du 27 avril 2017 (n°15/06339) la cour d’appel d’Aix-en-Provence a admis la signature scannée de contrats de prêt bancaire en tant que commencement de preuve par écrit, dans la mesure où (i) celle-ci identifiait bien celui qui l’apposait « peu important qu’elle soit scannée » et (ii) les fonds avaient été versés aux emprunteurs.

Par conséquent, la signature d’un contrat consensuel est la preuve la plus sûre de son acceptation.
En revanche, elle ne constitue pas une condition de validité du contrat. En l’absence de signature ou si elle est remise en cause, il est possible d’apporter d’autres preuves pour démontrer l’acceptation du contrat.

A contrario, la loi peut définir des exigences de forme dont le non-respect entrainera la nullité du contrat. A ce titre, certains contrats doivent nécessairement être conclus sous la forme d’acte « sous seing privé » ou d’acte « authentique ».

La validité du contrat est alors subordonnée à l’apposition d’une signature. L’absence de signature aura pour conséquence la nullité du contrat.

Contrairement aux cas où la signature constitue un mode de preuve, alors l’absence de signature ne pourra être substituée.

La signature est une condition de validité de certains contrats. L’absence de signature de ces contrats entraine leur nullité. Le risque lié à l’invalidité d’une signature apposée sur un contrat de ce type est particulièrement fort.

Au surplus, en matière probatoire, l’article 1368 du Code civil prévoit que :

« A défaut de dispositions ou de conventions contraires, le juge règle les conflits de preuve par écrit en déterminant par tout moyen le titre le plus vraisemblable ».

Ainsi, lorsqu’il existe une convention de preuve, le juge ne dispose plus de son pouvoir d’appréciation pour déterminer l’ordre de priorité des preuves produites. Il doit s’en remettre à la lettre de la convention.

Afin d’aménager le régime de preuve applicable, il peut être envisagé de conclure une convention de preuve entre les parties avant de formaliser toute autre relation contractuelle. Cette convention définit les modalités probatoires que les parties acceptent et par lesquelles elles souhaitent postérieurement matérialiser leur consentement (échanges d’emails, procédé de signature, etc.).

Alors, seule l’existence de cette convention de preuve et son contenu devront être prouvés par un écrit signé ou par un commencement de preuve par écrit corroboré d’autres éléments. Les contrats conclus entre les parties subséquemment à l’entrée en vigueur de cette convention de preuve ne obéirons aux modalités définies au sein de la convention de preuve et ne devront donc pas nécessairement être signés.

Pour conclure, le risque lié à l’invalidation d’une signature électronique dépendra de son effet juridique, et sera moins fort dans le cadre des contrats consensuels pour lesquels la signature a une fonction probatoire que pour les contrats solennels, dont elle assure la validité. En outre, les modes de preuves admissibles entre les parties peuvent être aménagés dans le cadre de conventions de preuve.

Dés lors, la valeur de la signature électronique choisie dépendra de son effet juridique. Pour un contrat solennel, la valeur de la signature choisie aura une haute importance, pour un contrat consensuel, la valeur de la signature choisie pourra être nuancée en fonction des autres éléments de preuve à votre disposition, des risques attachés au contrat et de l’éventuelle formalisation préalable d’une convention de preuve.

II. Quelle valeur de signature électronique recherchée ?

Aux termes de l’article 1366 du Code civil :

« L’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’état l’intégrité ».

L’article 1367 alinéa 2 du même code dispose que :

« lorsqu’elle est électronique, la signature consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garanti, dans des conditions fixées par décret en conseil d’État ».

Il ressort de ces articles que la signature électronique permet d’identifier l’auteur d’un écrit électronique et de manifester son consentement aux obligations qui découlent d’un acte électronique, seulement si elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache.

Un procédé de signature électronique qui n’est pas fiable n’aura pas la même valeur qu’une signature manuscrite. Dans sa fonction probatoire, même si son procédé ne répond pas aux exigences de fiabilité, elle pourra à tout le moins faire fonction de commencement de preuve par écrit (à corroborer avec d’autres éléments). Cependant, si elle constitue une exigence de validité, à défaut d’un procédé fiable, le contrat solennel pourra être déclaré nul.

L’article 1er du décret nº 2017-1416 du 28 septembre 2017, relatif à la signature électronique, énonce que :

« La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée.

Est une signature électronique qualifiée une signature électronique avancée, conforme à l’article 26 du règlement susvisé et créée à l’aide d’un dispositif de création de signature électronique qualifié répondant aux exigences de l’article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l’article 28 de ce règlement. »

Cela signifie qu’en cas de litige portant sur un acte signé électroniquement :
 Soit le procédé de signature électronique est qualifié, alors il sera présumé fiable. La signature électronique qualifiée a la même valeur juridique qu’une signature manuscrite sans qu’aucune preuve de la fiabilité de la signature ne soit rapportée. L’acte signé est suffisant pour démontrer le consentement des parties à son contenu.
 Soit le procédé de signature électronique n’est pas qualifié, alors sa fiabilité devra être démontrée. L’acte signé n’est pas suffisant pour démontrer le consentement des parties à son contenu. Pour que la signature électronique non qualifiée ait la même valeur juridique qu’une signature manuscrite, il faudra apporter la preuve de sa fiabilité grâce à un dossier de preuve décrivant le procédé de signature utilisé et les procédés techniques assurant sa fiabilité. Le juge vérifiera que le signataire peut être dûment identifié et que l’écrit électronique est établi est conservé dans des conditions de nature à en garantir l’intégrité [2]. A défaut d’une telle preuve, la signature électronique n’aura pas la même valeur qu’une signature manuscrite et l’acte juridique non signé constituera un simple commencement de preuve par écrit.

La règlementation distingue quatre niveaux de signature électronique, correspondant à différents degrés de fiabilité.

Du procédé le moins fiable au plus fiable, les signatures peuvent être :

  •  Simples ;
  •  Avancées ;
  •  Avancées reposant sur un certificat qualifié ;
  •  Qualifiées.

Ces procédés de signature électronique sont notamment présentés par l’Agence Nationale de la Sécurité des Systèmes d’Information (« ANSSI ») dans son « guide de sélection du niveau des signatures et des cachets ».

A. La signature électronique simple.

La signature électronique dite simple n’est pas règlementée. Elle désigne tout procédé de signature électronique qui ne répond pas aux exigences de la signature électronique avancée ou qualifiée. Il s’agit du procédé le plus facile à mettre en œuvre.

A titre d’exemple, la signature dessinée à l’aide d’un stylet constitue une signature électronique simple.

Comme tout procédé de signature, le juge ne peut la refuser pour la simple raison qu’elle est électronique. Toutefois, pour qu’elle ait la même valeur qu’une signature manuscrite, la fiabilité du procédé de signature devra être démontrée à l’aide d’un dossier de preuve.

Or, la signature électronique simple présente un degré de fiabilité très faible : l’identité du signataire, le lien avec le document auquel elle s’attache et l’intégrité du document ne sont pas garantis.

En conséquence, la signature électronique simple pourra facilement être remise en cause.

Généralement, la signature simple constituera une preuve imparfaite du consentement et sa valeur dépendra des éléments de preuve complémentaires qui pourront être apportées.

Il est donc recommandé d’utiliser la signature électronique simple uniquement lorsque :

  •  il n’existe pas de risque substantiel de litige ;
  •  aucune obligation légale impose l’apposition d’une signature ;
  •  d’autres éléments peuvent être apportés pour démontrer le consentement.

B. La signature électronique avancée.

La signature électronique avancée correspond à un des niveaux de fiabilité des procédés de signature électronique prévu par le règlement eIDAS.

Elle répond à des exigences spécifiques définies à l’article 26 du Règlement eIDAS.

La signature avancée doit :

« a) être liée au signataire de manière univoque ;
b) permettre d’identifier le signataire ;
c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable
 ».

Comme pour la signature électronique simple, aucun audit de tiers ni contrôle n’est exigé pour valider préalablement la conformité des dispositifs. Reposant sur des déclarations du prestataire de signature, la signature électronique avancée ne sera pas présumée fiable.

En revanche, s’il est fait la démonstration que le procédé utilisé répond effectivement aux exigences attachées à la signature avancée telles que listées précédemment, alors la fiabilité de la signature devrait être retenue et sa valeur jugée équivalente à celle d’une signature manuscrite. Cette démonstration sera faite par la fourniture d’un dossier de preuve.

Il est donc recommandé d’utiliser la signature électronique avancée pour la conclusion de contrats consensuels présentant un risque financier moyen à fort, sous réserve de vérifier la conformité du dispositif mis en œuvre aux exigences du Règlement eIDAS et que le dossier de preuve mis à disposition par le prestataire de signature est suffisant.

C. La signature électronique avancée reposant sur un certificat électronique qualifié.

La signature électronique avancée reposant sur un certificat qualifié de signature électronique correspond à un troisième niveau de fiabilité prévu au Règlement eIDAS.

Il s’agit d’une signature électronique répondant aux exigences de l’article 26 du Règlement eIDAS susmentionnées, complétées par un certificat qualifié satisfaisant aux exigences fixées à l’annexe I de ce même règlement.

Les certificats électroniques sont des attestations électroniques qui associent les données de validation d’une signature électronique à une personne physique et confirment au moins le nom ou le pseudonyme de cette personne.

Ils sont qualifiés lorsqu’ils sont délivrés par un prestataire de service de confiance qualifié qui a fait l’objet d’un audit par un tiers compétent et indépendant ainsi que d’une décision de qualification de l’ANSSI (l’organe de contrôle compétant en France).

La liste des prestataires de service de confiance qualifiés est disponible ici.

Pour délivrer un certificat électronique qualifié, le prestataire de service de confiance est contraint de vérifier l’identité et tous les attributs de la personne physique ou morale à laquelle le certificat est délivré.

Cette vérification se fait en face à face ou à distance, sous réserve que cette autre méthode d’identification soit reconnue au niveau national et fournisse une garantie équivalente en termes de fiabilité à la présence en personne. L’ANSSI a établi un référentiel d’exigences Prestataires de Vérification d’Identité à Distance (PVID) qui formalise les exigences relatives à la vérification d’identité à distance des utilisateurs.

Ainsi, en utilisant un certificat qualifié, l’exigence d’identification du signataire est présumée dans la mesure où les processus de vérification de l’identité du demandeur, de délivrance et de gestion du cycle de vie du certificat garantissent que celui-ci est uniquement délivré au signataire légitime.

En cas de litige, la preuve de la fiabilité de la signature sera simplifiée dans la mesure où l’identité du signataire sera présumée. Seuls le lien entre le certificat et le document auquel la signature est attachée ainsi que l’intégrité du document devront être démontrés.

Ce niveau de signature électronique est plus fiable que la signature simple ou la signature avancée.
Il s’agit du niveau de signature minimum imposé en matière de marchés publics.
Compte tenu des garanties techniques attachées au certificat qualifié qui impliquent une présomption juridique de fiabilité de l’identification du signataire, les risques de remise en cause de la signature électronique reposant sur ce type de certificat sont limités.
En revanche, ce type de signature électronique n’est pas présumée comme ayant la même valeur qu’une signature manuscrite. Il est donc recommandé de vérifier que la signature électronique avancée reposant sur un certificat qualifié est bien accompagnée d’un dossier de preuve simplifié, démontrant que l’intégrité de l’acte est garantie.

D. La signature électronique qualifiée.

La signature électronique qualifiée correspond au degré de fiabilité le plus élevé, portant tant sur l’identité du signataire (à l’aide d’un certificat qualifié tel que détaillé ci-avant) et l’intégrité du document signé (grâce au dispositif de signature qualifié).

En droit français, l’utilisation d’une signature électronique qualifiée est associée à une présomption de fiabilité. Cela signifie qu’aucun dossier de preuve ne devra être apporté en complément de l’acte signé pour que la signature électronique ait même valeur qu’une signature manuscrite.

Le dispositif de création de signature électronique qualifié combine un logiciel et un élément matériel et garantit l’intégrité et la confidentialité des données de création, ainsi que la sécurité de la signature.

En pratique, il se matérialise généralement par une clé d’authentification certifiée, ou par l’installation d’équipements cryptographiques certifiés dans l’environnement du prestataire de confiance qualifié.

Les dispositifs de création de signature électronique qualifiés sont gérés par des prestataires de service de confiance qualifiés et respectent les exigences fixées à l’annexe II du Règlement eIDAS :

  •  la confidentialité des données de création de signature électronique utilisées pour créer la signature électronique est suffisamment assurée ;
  •  les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être pratiquement établies qu’une seule fois ;
  •  l’on peut avoir l’assurance suffisante que les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être trouvées par déduction et que la signature électronique est protégée de manière fiable contre toute falsification par les moyens techniques actuellement disponibles ;
  •  les données de création de signature électronique utilisées pour créer la signature électronique peuvent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autres.
  •  les dispositifs de création de signature électronique qualifiés ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature.

La signature électronique qualifiée, délivrée par un prestataire de signature de confiance qualifié, est la seule à porter l’ensemble des effets juridiques de la signature manuscrite et est reconnue dans l’ensemble des Etats membres de l’Union Européenne.

E. Les normes techniques applicables.

Pour ses aspects techniques le règlement eIDAS renvoie à des actes d’exécution.

En particulier, l’ETSI (European Telecommunications Standards Institute) et le CEN (Comité Européen de Normalisation) se sont vu confier la mission d’élaborer des normes relatives aux services de confiance prévus par eIDAS, et notamment relatives aux procédés de signatures et de certificats d’identité électroniques.

Même si le respect de ces normes n’est pas une obligation pour qu’un procédé de signature électronique soit considéré comme doté d’un niveau « avancé », il est un moyen sûr de vérifier la conformité aux exigences légales attachées à ce niveau de signature.

Il est donc préconisé de choisir des procédés de signatures qui implémentent les spécifications techniques qui sont fournies par les différentes normes de l’ETSI et du CEN.

Dans le cadre des marchés publics, il est par exemple exigé d’avoir recours à un dispositif de signature électronique répondant à l’une des trois normes suivantes :

  •  XAdES : signature détachée du fichier original matérialisée par un fichier .xml ;
  •  CAdES : signature détachée du fichier original matérialisée par un fichier .p7s ;
  •  PAdES : signature directement intégrée au fichier original.

Par ailleurs, l’ANSSI a élaboré un ensemble de règles et recommandations au sein du PVID afin de créer des services d’identification à distance fiables, ayant la même valeur qu’une vérification en face à face et répondant aux risques spécifiques d’usurpation d’identité numérique (deepfakes, injection de données frauduleuses, etc.)

Ce référentiel est disponible ici.

L’ANSSI défini deux niveaux de garantie des dispositifs de vérification d’identité à distance : le niveau de garantie substantiel et le niveau de garantie élevé.

Le niveau de garantie substantiel garantit l’équivalence en termes de fiabilité à un face à face physique réalisé dans le cadre de l’accès à un service public ou privé nécessitant une preuve d’identité (comparaison de visages par une personne ne disposant pas d’outillage élaboré).

Le niveau de garantie élevé garantit l’équivalence en termes de fiabilité avec un face à face physique réalisé dans le cadre de la délivrance d’un titre d’identité (comparaison de visages par une personne disposant d’un outillage spécifique permettant de confirmer l’authenticité des titres d’identité).

Selon le référentiel PVID, le service de vérification d’identité à distance met en œuvre les étapes suivantes :

  •  l’acquisition des données d’identification ;
  •  la vérification des données d’identification ;
  •  la constitution d’un dossier de preuves ; et
  •  la transmission du résultat de la vérification d’identité à distance.

La certification de prestataires de service de vérification d’identité à distance selon ce référentiel permet d’apporter une présomption de conformité à l’exigence d’identification « univoque » du signataire attaché au niveau avancé de signature électronique.

En conséquence, il conviendra de choisir un niveau de signature adapté en fonction du risque attaché au contrat à conclure (valeur, risque juridique, financier et opérationnel attaché à la transaction, dimension nationale ou internationale). En outre, si vous souhaitez avoir recours à un procédé de signature qui n’est pas qualifié, il sera important de vérifier que les garanties de fiabilité fournies par le prestataire (références à des normes, certifications, description du procédé, etc.) sont suffisantes au regard de votre projet.

III. Comment identifier le niveau de responsabilité du prestataire de signature ?

Les « prestataires de services de confiance » sont définis au sein du règlement eIDAS comme les prestataires qui fournissent des services de confiance, à savoir notamment de validation, vérification et conservation de signatures électroniques (article 3 du Règlement eIDAS).

Ils peuvent être qualifié à la suite d’un audit préalable et d’une décision de l’autorité de contrôle (l’ANSSI en France), ou non.
Tous les prestataires de service de confiance, qu’ils soient qualifiés ou non, sont soumis à des obligations et au régime de responsabilité prévu par le règlement.

Le règlement eIDAS a institué un régime de contrôle de l’ensemble des prestataires de service de confiance avec pour objectif d’assurer des conditions de concurrence équitables entre ceux-ci et de contribuer à la protection des utilisateurs.

Bien que non-soumis à un système de contrôle a priori, les prestataires de services de confiance non qualifiés peuvent donc faire l’objet de contrôles a posteriori, qui sont justifiés par la nature de leurs services et activités. En revanche, ce type de contrôles n’interviennent qu’en marge dans la mesure où ils ne seront diligentés que lorsque l’autorité de contrôle est informée qu’un prestataire de services de confiance non qualifié ne satisfait pas aux exigences du règlement eIDAS.

Les obligations des prestataires de services de confiance, sont notamment les suivantes :

  •  effectuer le traitement de données à caractère personnel conformément au Règlement Général sur la Protection des Données n°2016/679 ;
  •  rendre accessible aux personnes handicapées, dans la mesure du possible, leurs services de confiance ainsi que les produits servant à fournir ces services et destinés à un utilisateur final ;
  •  prendre les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services qu’ils fournissent ;
  •  notifier à l’organe de contrôle (et, lorsque l’atteinte est susceptible de lui porter préjudice, la personne physique ou morale concernée) toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées.

En application de l’article 13 du Règlement eIDAS :

« les prestataires de services de confiance sont responsables des dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d’un manquement à leurs obligations ».

Si le prestataire de service de confiance n’est pas qualifié, c’est à la personne qui invoque ces dommages de prouver l’intention ou la négligence du prestataire.

Afin de faciliter l’évaluation du risque financier supporté par les prestataires de service de confiance ou qu’ils devraient couvrir, le Règlement eIDAS autorise d’encadrer leur responsabilité. Ainsi, il est prévu que lorsque les prestataires de services de confiance informent dûment leurs clients au préalable des limites qui existent à l’utilisation des services qu’ils fournissent et que ces limites peuvent être reconnues par des tiers (par exemple par l’insertion d’une notice relative à ces limites dans les conditions applicables au service fourni ), les prestataires de services de confiance ne peuvent être tenus responsables des dommages découlant de l’utilisation des services au-delà des limites indiquées.

Dans ces conditions, lorsque vous choisissez un service de signature électronique, il conviendra de tenir compte de la qualification du prestataire de signature qui renforce les obligations et la responsabilité incombant au prestataire, et des limites posées par le prestataire quant à l’utilisation du service.

En résumé, plus le document que vous souhaitez signer par un dispositif de signature électronique est sensible (obligation légale, enjeu financier, enjeu opérationnel, risque de contentieux fort) plus ce dispositif devra présenter des garanties de fiabilité importante.

Les éléments à évaluer sont les suivants :

  •  la qualification ou non du prestataire de signature (tous les projets ne nécessitent pas nécessairement d’avoir recours à un prestataire qualifié si celui-ci fourni des garanties suffisante en considération des risques que vous aurez identifiés) ;
  •  les limites quant à l’utilisation du procédé de signature utilisé ;
  •  la politique de signature électronique choisie et les normes auxquelles il est fait référence (attention, ce n’est pas parce qu’un prestataire est qualifié que l’ensemble des procédés de signature qu’il propose sont qualifiés ou avancés. Faites attention au niveau de service que vous choisissez) ;
  •  les données fournies au sein du dossier de preuve.

Et si le prestataire n’est pas qualifié :

  •  la politique de sécurité du prestataire ;
  •  la politique de protection des données ;
  •  les éventuelles certification dont il est titulaire.
Comment choisir un niveau de signature électronique adapté à votre projet ?