Par Dimitri Mouton - Gérant de Demaeter - Auteur de « Sécurité de la dématérialisation » (Eyrolles)

La signature électronique est un élément critique de la chaîne digitale. À travers les offres du marché, la technologie s’adapte pour répondre aux différents niveaux d’exigence souhaités. Mais bien sûr son implémentation ne s’opère pas toute seule !

 

1. un essor indiscutable

La signature électronique est entrée dans le droit français il y a vingt ans. L’essor ininterrompu de la dématérialisation en a fait un outil incontournable dans de très nombreux contextes métier.

Difficultés de mise en œuvre

Dans cet article, nous nous attachons à analyser le marché de la signature électronique des points de vue de la demande et de l’offre, afin d’expliquer pourquoi la signature électronique n’est pas un produit « sur étagère » :

  • rares sont les entreprises et les administrations qui ne se sont pas posé la question de son déploiement ;
  • les prestataires proposant des solutions de signature électronique sont aujourd’hui très nombreux en France et répondent à des typologies très variées ;
  • pourtant, des difficultés de mise en œuvre demeurent, mises en lumière par des jurisprudences récentes.

 

2. des besoins très divers

Accompagnée de ses avatars (le cachet électronique, l’horodatage), la signature électronique a trois utilités : créer des originaux électroniques, former des contrats, établir des preuves. Les enjeux de sa mise en œuvre sont sensiblement toujours les mêmes : la conformité juridique, l’accélération et la simplification des processus métier, les économies induites, l’image de marque.

Le secteur public précurseur

Historiquement, le secteur public a été le premier « consommateur » de signature électronique, avec des obligations légales portant sur les marchés publics, les échanges avec le comptable public et le contrôle de légalité. Riches de cette expérience, les différents corps ont largement étendu les usages vers des fonctionnalités internes (délibérations, ressources humaines) et à destination des administrés (souscription de services, démarches en ligne) : ainsi, la signature électronique sert aujourd’hui aussi bien à un citoyen qui souhaite obtenir sa carte de transport urbain qu’à un opérateur de réseau qui doit déclarer la présence de ses équipements sur le territoire en vue des déclarations préalables aux travaux. On conçoit bien que les niveaux de risque de ces services sont extrêmement différents et, dès lors, que les « niveaux de signature » requis correspondent à des exigences distinctes parmi celles définies par les textes en vigueur, notamment le règlement européen eIDAS sur l’identification et la signature électroniques.

Accélération de la signature des contrats

La législation a également encouragé de nombreux usages : la dématérialisation des fiches de paie ou des factures fait partie des usages aujourd’hui mûrs et très standardisés.

Mais, dans le secteur privé, la « ruée vers l’or » de la signature électronique se situe dans le domaine de l’accélération de la signature des contrats. Que ce soit en BtoB ou en BtoC, aucun secteur n’est épargné par la fièvre de la signature électronique : banque, assurance, immobilier, télécoms, bâtiment, automobile : chacun a à gagner à simplifier ses processus de contractualisation, que ce soit en agence ou à distance via internet.

 

3. des acteurs nombreux et variés

Face à cette croissance de la demande, de très nombreux fournisseurs se sont positionnés sur le marché de la signature électronique. En clarifiant et en normalisant au niveau européen les modalités de qualification de ces « prestataires de services de confiance » (PCSO) et les niveaux de signature électronique (simple, avancée, qualifiée), le règlement eIDAS donne des outils pour mesurer la conformité des offres ; toutefois, le domaine reste touffu et les fameux « niveaux » difficiles à interpréter et, dans la pratique, insuffisants à une prise de décision sereine.

Rappelons que, pour réaliser une signature électronique, il faut deux éléments : un certificat, qui atteste de l’identité du signataire, et un outil de signature électronique, qui permet de réaliser les opérations techniques. En effet, l’article 1367 du Code civil définit la signature électronique comme « l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ». Le certificat et sa procédure de délivrance forment le « procédé fiable d’identification », et l’outil de signature électronique va permettre d’établir techniquement ce « lien garanti » avec le document signé.

Pure players et acteurs métier

Dès lors, les offres des prestataires correspondent à des typologies très différentes. On peut distinguer les « pure players », qui ne font que de la signature électronique, des acteurs « métier », chez qui la signature électronique n’est qu’une fonctionnalité incluse dans un outil plus général, par exemple un logiciel de facture électronique ou d’établissement de la paie : ceux-là intègrent en général des briques techniques fournies par les pure players.

Historiquement, les premiers pure players sont les fournisseurs de certificats (CertEurope, Certinomis, Chambersign, Certigna). Ils procèdent à l’enregistrement des porteurs, c’est-à-dire au contrôle de leur identité, et leur délivrent le certificat sous la forme d’une clef USB ou d’un élément logiciel installé sur leur ordinateur. Ce certificat peut alors être utilisé avec un outil de signature à acquérir par ailleurs. Viennent ensuite les prestataires offrant des solutions en mode Saas (Universign, Lex Persona, Docaposte) : ils fournissent l’outil de signature, qui peut s’intégrer dans les applications métier, et optionnellement également des certificats, moyennant une procédure d’enregistrement souvent réalisée à distance, sur la base de copies de pièces d’identité.

Enfin, certains proposent des solutions « on premise », c’est-à-dire installables directement dans le système d’information du client (Lex Persona). La fonctionnalité d’émission de certificats est généralement exclue de ce type d’offres, car la gestion de la « PKI » (Public Key Infrastructure, le logiciel et le matériel servant à produire les certificats) implique des contraintes très fortes en termes d’exploitation.

Géants, acteurs intermédiaires et nouveaux entrants

Si certains acteurs sont des géants du marché (Docusign, Docaposte), il existe également des acteurs intermédiaires qui offrent une pérennité bien assise (Lex Persona, Universign), et de nombreux « petits poucets », nouveaux entrants du secteur, pratiquant souvent des prix d’appels sur certaines niches fonctionnelles, et dont l’avenir est encore incertain.

 

4. des difficultés mises en lumière par la jurisprudence

Dès lors, la difficulté qui se pose au chargé de projet consiste à identifier, dans cet écosystème complexe, l’offre qui répondra à ses besoins en termes de fonctionnalités, de modèle technique et de modèle économique.

Un enjeu avant tout juridique

Mais le principal point d’achoppement de la signature électronique n’est pas celui-là. Il vient du fait que le projet de signature électronique est souvent porté par la DSI, et que les prestataires eux-mêmes sont en général avant tout des techniciens. Or l’enjeu de la signature électronique est avant tout juridique. Tant qu’il n’y a pas de contestation de sa valeur, une signature est valable. C’est lorsque l’on passe devant le juge que l’on peut mesurer la qualité de ce qui a été déployé. Or les jugements sur la signature électronique sont de plus en plus nombreux, et tous ne donnent pas raison à la dématérialisation, lorsqu’elle n’offre pas les garanties nécessaires. Il est encore fréquent de voir des signatures électroniques réalisées sous la forme de l’inclusion dans le document d’un scan de signature manuscrite. Il est courant de rencontrer des processus conservant des preuves très insuffisantes des contrôles d’identité des signataires. Enfin, lorsque la signature est réalisée en agence, il arrive que les opérateurs de terrain ne respectent pas les procédures prévues (contrôle des pièces d’identité, vérification de la « griffe » apposée sur tablette), entraînant de fait une invalidité du contrat.

 

5. un grand oublié : la vérification de signature électronique

La réalisation de signature électronique est en général un processus simple à mettre en œuvre. Il n’en va pas de même de la vérification de la signature. En effet, cette vérification comporte plusieurs étapes :

1 la vérification technique, qui peut être réalisée par des logiciels gratuits tels qu’Adobe reader, est la partie aisée ;

2 vient ensuite la vérification du certificat du signataire : est-il émis par un prestataire digne de confiance, selon des procédures correspondant au niveau attendu ?

3 enfin, elle repose sur un « chemin de preuve » global qui porte la validité juridique : les pièces justificatives ont-elles été recueillies ? Le consentement du signataire est-il formel et peut-il être prouvé ? L’ordre des opérations (précontractuel/contractuel) et les délais légaux éventuels ont-ils été respectés ? Dans le cas d’une signature multiple, par exemple pour un contrat de prêt à un foyer où les deux co-emprunteurs doivent signer, est-on sûr qu’un des signataires n’a pu se substituer à un autre ?

Des offres lacunaires

Les offres des prestataires sur ce point crucial de la vérification et de la preuve de la signature électronique sont aujourd’hui encore lacunaires, en partie parce que l’établissement de la preuve est réparti entre le SI du client et celui du prestataire, qui ne peut de fait être garant de ce qui ne se déroule pas chez lui.

 

6. la signature électronique n’est pas un produit sur étagère

Pour toutes ces raisons, le marché de la signature électronique reste aujourd’hui bien loin de la simplicité à laquelle aspirent les clients : le choix d’une solution et d’un prestataire est extrêmement dépendant des spécificités juridiques, fonctionnelles et organisationnelles de chaque projet.

Besoin d’un accompagnement expert

Ainsi, si le marché offre aujourd’hui toutes les solutions techniques nécessaires à l’essor continu de la signature électronique, il reste bien difficile d’acquérir sereinement un outil sans un accompagnement expert, pour garantir la sécurité technique et juridique du dispositif cible.

Article paru dans Archimag n° 332, mars 2020 - http://www.archimag.comlien

Consulter en version originale : lien

La référence !

securite_de_la_dematérialisation