Un mot, de multiples réalités
Le terme « signature électronique » désigne à la fois un acte simple que chacun peut réaliser au quotidien, un procédé technique applicable dans de nombreux cas de figure différents, et une définition juridique, qui peut varier selon les contextes.
Cette multitude d’acceptions rend l’usage du terme délicat, et l’implémentation de la fonctionnalité sujette à de nombreuses interrogations.
La signature électronique en pratique
La réalisation d’une signature nécessite quatre éléments :
- un individu, le signataire, qui peut agir en son nom propre ou au nom d’une entité qu’il représente ;
- un document à signer, qui peut être de natures diverses tant pour le fond (contrat, lettre, formulaire…) que pour la forme (papier simple, papier sécurisé, formulaire CERFA…) ;
- un instrument d’écriture (stylo) ;
- un geste, que le signataire est le seul à savoir réaliser avec l’instrument d’écriture : la signature à proprement parler.
La signature électronique est un cas particulier de signature, qui porte sur un document de nature électronique en non de nature physique.
La réalisation de la signature électronique nécessite quatre éléments, dans un parallèle quasiment parfait avec la signature manuscrite :
- un individu, le signataire, qui peut agir en son nom propre ou au nom d’une entité qu’il représente, en général muni d’un terminal informatique pour réaliser l’opération de signature ;
- un document à signer, qui peut être de natures diverses tant pour le fond (contrat, lettre, formulaire…) que pour la forme (document issu d’un traitement de texte, fichier pdf, fichier image, données informatiques au format xml, csv ou autre…) ;
- un instrument de signature (la carte à puce, la clef USB ou le magasin logiciel support du certificat, ou le service de signature à la volée) ;
- un secret, que le signataire est le seul à connaître : le code de déblocage de sa clef privée sur le support du certificat, appelé en général code PIN (Personal Identification Number) : c’est l’équivalent du code de la carte bancaire ; ou, dans le cas d’un service de signature à la volée, un moyen d’authentification (par exemple une adresse mail ou un numéro de téléphone mobile sur lequel sera envoyé un code à usage unique.
La signature électronique, définition juridique française
La mise en œuvre de la signature électronique dans un projet répond nécessairement à un besoin juridique. Dans le cas inverse, il faudrait, en amont, s’interroger sur l’utilité de la mise en œuvre de la signature !
En France, La loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique a défini dans le Code civil le cadre juridique applicable pour la signature électronique.
Code civil – Article 1367 (1er alinéa)
La signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte.
Deux choses fondamentales sont à remarquer.
Tout d’abord, cet alinéa ne porte pas sur la signature électronique, mais sur la signature en général, qu’elle soit manuscrite ou électronique. Aucune distinction n’est faite entre les deux cas.
Ensuite, il s’agit de la première définition de la signature dans le droit français. Auparavant, la signature était un usage lié à l’habitude, à la tradition, mais ne faisait pas l’objet d’une description précise.
À quoi sert la signature ?
Elle sert à la perfection d’actes juridiques. À défaut de signature, le document ne sera pas dénué de valeur juridique, mais il ne constituera qu’un commencement de preuve.
En quoi consiste la signature ?
D'une part, elle consiste en une identification du signataire. Pour faire le parallèle avec la définition pratique établie plus haut, cette identification certaine du signataire reposera sur l’existence d’un « secret » détenu par le seul signataire : sa capacité à former le signe manuscrit qui constitue sa signature sur papier, ou l’élément cryptographique secret qui lui sert à faire un calcul dans le cas de la signature électronique.
D’autre part, elle manifeste le consentement du signataire aux termes du document signé. Il sera important d’être en capacité à prouver qu’une signature a bien été réalisée dans des conditions claires de consentement : après avoir pris connaissance du document à signer, et sans contrainte, ni risque d’erreur lié à une interface confuse.
Code civil – Article 1367 (2ème alinéa)
Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'État.
La signature électronique est… Une signature !
Ce dernier alinéa de l’article 1367 du Code Civil aborde enfin la notion de signature électronique à proprement parler. Il convient de porter une attention toute particulière aux termes choisis. En effet, le législateur n’a pas écrit « la signature électronique est… », mais : « lorsqu’elle est électronique, elle… ».
Par ce choix délibéré est exprimé le fait que la signature électronique n’est qu’un cas particulier de signature. Dans la continuité des articles précédents du code civil, qui établissaient l’équivalence du papier et de l’électronique, la signature électronique n’est qu’un cas particulier de signature, et pas une notion juridique à part.
Une signature électronique n’est rien d’autre qu’une signature, qui porte sur un document de nature électronique. Tout ce qui a été dit sur la signature plus haut s’applique donc à la signature électronique.
En quoi consiste la signature électronique ?
La signature électronique consiste en l’usage d’un procédé fiable d’identification. La fiabilité de ce procédé repose sur la qualité du certificat de signature employé, et en particulier sur le procédé d’enregistrement de l’utilisateur, c’est-à-dire les moyens mis en œuvre pour garantir que le porteur du certificat est bien qui il prétend être et pour protéger sa clef privée.
Ce procédé d’identification doit « garantir son lien avec l’acte auquel il s’attache » : nous verrons dans la définition technique de la signature électronique comment les mécanismes cryptographiques permettent de créer et de maintenir ce lien de manière irréfutable. Cette exigence, qui n’est pas exprimée pour la signature manuscrite, pose le principe équivalent au fait que l’encre marque le papier de manière indélébile et est donc indissociable du document signé.
Un élément est fondamental à faire ressortir : inclure dans un document le scan d’une signature manuscrite ne répond absolument pas à la définition. En effet, il suffirait de disposer d’un document signé par un individu et de copier l’image de sa signature (ou la scanner s’il s’agit d’une signature papier) pour constituer un document signé par cette personne ! Cela ne peut en aucun cas constituer « un procédé fiable d’identification », puisque ce travail de faussaire est aujourd’hui à la portée de n’importe quel enfant un peu familier avec l’outil informatique.
Et la signature « présumée fiable » ?
Le décret n° 2017-1416 du 28 septembre 2017 pris pour l'application de l’article 1367 du code civil précise que la signature électronique « présumée fiable » est la signature électronique qualifiée définie dans le règlement européen eIDAS (voir ci-dessous) :
Décret 2017-1416
La fiabilité d'un procédé de signature électronique est présumée, jusqu'à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée.
La signature électronique, définition juridique européenne
Le règlement européen N° 910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (appelé plus brièvement eIDAS) définit trois niveaux de signature électronique :
- la signature électronique dite « simple » ;
- la signature électronique avancée ;
- la signature électronique qualifiée, qui équivaut à une signature manuscrite.
La signature électronique « simple »
La signature électronique « simple » est définie à l’article 3 §10 du règlement eIDAS comme « des données sous forme électronique, qui sont jointes ou associées logiquement à d'autres données électroniques et que le signataire utilise pour signer ».
De nombreuses réalisations techniques permettent de correspondre à cette définition.
La signature électronique avancée
La signature électronique avancée est définie à l’article 26 du règlement eIDAS :
Règlement eIDAS Article 26
Une signature électronique avancée satisfait aux exigences suivantes :
- être liée au signataire de manière univoque ;
- permettre d’identifier le signataire ;
- avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
- être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
La signature électronique qualifiée
La signature électronique qualifiée est définie à l’article 3 §12 du règlement eIDAS comme « une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique ».
Le certificat et son support correspondent à des normes de sécurité exigeantes.
L’article 25 du règlement eIDAS précise : « L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite. » Comme on l’a vu plus haut, en France, la signature électronique qualifiée emporte de plus présomption de fiabilité.
La signature électronique, une définition technique
Le déroulement d’une signature électronique, du strict point de vue cryptographique, est le suivant :
- le document est condensé à l’aide d’une fonction de hash, par exemple SHA256 ;
- le hash du document est soumis à un calcul RSA à l’aide de la clef privée du signataire (cette opération nécessite la saisie du code PIN du signataire si le certificat est sur un support physique) ;
- le résultat de ce calcul est, au sens technique, un scellement garantissant l’intégrité du document et réalisé par un acteur identifié, le signataire.
Lorsqu’on est dans le cadre juridique de l’engagement d’une personne sur le contenu d’un document, on appelle ce scellement une « signature électronique », et c’est le terme générique retenu abusivement pour décrire l’opération technique ici décrite. Pourtant, dans certains contextes, cette même procédure peut donner naissance à un cachet, à un jeton d’horodatage, à un certificat…
Une fois le calcul décrit ci-dessus réalisé, la signature électronique doit être complétée par les éléments nécessaires à sa vérification par le destinataire, et mise en forme à l’un des formats standards que nous évoquerons plus bas.
Les éléments complémentaires à ajouter dans une signature électronique sont au nombre de trois :
- le certificat du signataire et la chaîne de certification correspondante ;
- un jeton d’horodatage permettant de connaître avec certitude le moment de réalisation de la signature, et ainsi de vérifier la validité du certificat du signataire ;
- une preuve de non révocation du certificat du signataire.
Le contenu d’une signature électronique est alors le suivant :
Les différents formats de signature électronique
Il existe trois formats principaux de signature électronique :
- CAdES (CMS Advanced Electronic Signature) ;
- XAdES (XML Advanced Electronic Signature) ;
- PAdES (PDF Advanced Electronic Signature).
Chacun d’eux permet de nombreuses options (modes englobant, opaque ou détaché, inclusion ou non d’horodatage et de preuve de non-révocation…) et sont applicables préférentiellement à certains types de fichiers ou de processus métier.
Le choix d’un format de signature électronique devra être fait en fonction du contexte applicatif.
Les différents modes de réalisation de signature électronique
Pour réaliser une signature électronique, une personne doit disposer d’une clef privée et du certificat correspondant d’une part, et d’un outil de signature d’autre part.
On peut imaginer que l’utilisateur génère son propre certificat (c’est par exemple le modèle de PGP) ; qu’il l’obtienne gratuitement auprès du service qu’il utilise ; qu’il l’achète auprès d’une Autorité de Certification (par exemple pour la réponse aux marchés publics) ; ou que son certificat soit généré de manière éphémère uniquement pour la durée de l’acte de signature (c’est le cas de la signature électronique « à la volée »).
De même, l’outil de signature peut être inclus dans les outils bureautiques (Outlook permet de signer électroniquement les mails) ; il peut être un outil autonome ; il peut être inclus dans un service en ligne ; il peut être en mode SaaS ; il peut être présent uniquement sur un serveur…
Les modes de réalisation de signature électronique sont ainsi très nombreux, et il faut veiller à adapter le choix au contexte applicatif et juridique.
Vérifier une signature électronique
La vérification d’une signature électronique comporte trois étapes :
- la vérification technique, qui consiste à vérifier que la signature est bien formée techniquement et correspond bien au document signé ;
- la vérification de la chaîne de confiance, qui consiste à vérifier que le certificat du signataire est bien émis par une Autorité de Certification fiable, et qu’il n’était ni expiré ni révoqué au moment de la réalisation de la signature ;
- la vérification juridique, qui consiste à vérifier que, dans le contexte précis de l’application, la signature est bien recevable.
Les autres formes de « signature électronique »
Le même procédé technique qui permet à un individu de marquer son consentement sur le contenu d’un document peut également être employé dans d’autres contextes fonctionnels et juridiques :
- la « signature électronique » d’une personne morale portera le nom de « cachet » et garantira la provenance et l’intégrité d’un document, par exemple une facture ou une fiche de paie ;
- la « signature électronique » apposée par une Autorité de Certification sur les données d’identité d’un utilisateur et sur sa clef privée constitue le scellement du certificat de l’utilisateur : elle sert alors à reconstituer la chaîne de la confiance et à garantir l’intégrité du certificat ;
- la « signature électronique » apposée par une Autorité d’Horodatage sur le hash d’un document et la date et l’heure émises par une source de temps fiable sert à positionner dans le temps l’existence d’un document, et ainsi à prouver son intégrité mais aussi son existence à un instant donné dans le cadre d’un processus ;
la « signature électronique » apposée par un serveur sur des données de traçabilité en constitue un scellement à des fins de vérification ultérieure d’intégrité…