Niveaux de signature électronique survendus

Dans l'un de nos premiers articles de blog, nous avons expliqué les niveaux de signature électronique tels que définis par le règlement eIDAS, c'est-à-dire « la Bible » de l'utilisation des signatures électroniques et des services de confiance en Europe. Pour rappel, il existe trois niveaux : simple, avancé et qualifié, chacun avec ses propres caractéristiques et ses différents niveaux de sécurité et d'acceptation légale. Pour rafraîchir vos connaissances, consultez notre article ici.

Pour différentes raisons ou à cause d'idées reçues (que nous détaillerons une prochaine fois), les gens ont tendance à prendre des raccourcis lorsqu'ils utilisent la signature électronique. Certains pensent, à tort, que l'ajout de nouveaux éléments peut faire passer leur signature électronique au niveau supérieur.

Par exemple, ajouter un horodatage à une signature électronique simple en espérant qu'elle deviendra une signature avancée est une erreur courante. L'horodatage est, bien sûr, utile, car il constitue une preuve juridique de la date et l'heure d'exécution de la signature électronique, mais il n'offre pas d'informations supplémentaires sur l'identité du signataire ou son intention de signer.

Soyons clairs, une signature électronique simple, même si elle est accompagnée d'un horodatage, reste une signature simple qui doit être étayée par d'autres types de preuves (concrètes) en cas de litige.

Se tromper sur les niveaux de signature électronique 

Il arrive aussi que nous pensions utiliser le niveau de signature électronique adéquat pour nos documents, alors qu'en fait, ce n'est pas le cas.

Cela peut se produire lorsque l'émetteur du certificat requis pour une signature électronique qualifiée ou un horodatage ne figure pas dans la Liste de confiance de l'UE ou n'est pas validé dans la liste EUTL d'Adobe. Pour rappel, seuls les prestataires de services de confiance qualifiés sont autorisés à fournir des certificats qualifiés pour une signature qualifiée ou d'autres services de confiance qualifiés (y compris l'horodatage, le cachetage électronique, etc.). Dans ces cas, la validité des signatures ainsi que leurs qualités ne sont pas garanties dans le temps.

Bien sûr, il peut être déroutant de réaliser que la signature électronique n'a pas le niveau ou la force que nous pensions. Cela peut vouloir dire que nous avons pris certains risques internes et déroger à certains principes de conformité qui exposent l'entreprise à des risques externes accrus. Mais, en cas de litige, cela ne signifie pas nécessairement que tout est perdu. Une issue favorable est encore possible. Le contexte global fera l'objet d'une enquête. La validation de ces signatures électroniques compromises nécessitera sûrement beaucoup plus d'efforts en matière de recherche et d'analyse de preuves supplémentaires. D'une part, cela peut se traduire par des retards et des frais juridiques plus élevés. D'autre part, cela peut avoir un impact supplémentaire sur les primes d'assurance de l'entreprise.

Une signature électronique qualifiée eIDAS correctement appliquée permet d'atténuer les risques juridiques et de réduire les coûts associés, bien qu'une signature électronique simple ou avancée puisse tout à fait suffire dans certaines circonstances. Les entreprises doivent donc travailler en étroite collaboration avec leurs services Risques, Conformité et/ou Juridique afin d'identifier les niveaux de signature électronique requis pour les documents à signer. Il est conseillé d'éviter une discordance entre les niveaux de signature électronique dans des contextes sensibles, comme lors de la signature ou du cachetage de volumes importants de données ou de documents à haut risque.