Au sein de l’UE, la signature électronique est juridiquement régie par le règlement eIDAS, révisé en mai 2024, par l’introduction notamment de la notion de « portefeuille d’identité numérique européen » (EUDI Wallet). Ce cadre vise à renforcer progressivement un « écosystème d’identité numérique » interopérable au niveau européen.
En France, le Code civil (article 1367) stipule qu’une signature électronique ne peut pas être écartée comme preuve au seul motif de sa forme électronique. Elle doit reposer sur un « procédé fiable d’identification garantissant son lien avec l’acte ». La fiabilité est présumée dès lors que l’identification du signataire et l’intégrité de l’acte sont assurées.
Ce cadre juridique distingue encore et toujours trois niveaux de signature : la signature électronique simple (SES), comme l’image d’une signature sur un PDF ou un clic de validation, couramment utilisée ; mais attention, sa valeur probatoire reste limitée. La signature électronique avancée (AES) apporte une identification plus fiable du signataire et un lien renforcé avec le document. Et, enfin, la signature électronique qualifiée (QES) repose sur un certificat délivré par un prestataire de services de confiance qualifié. Juridiquement, c’est l’équivalent d’une signature manuscrite. En cas de litige, une signature qualifiée (QES) bénéficie d’une présomption de fiabilité juridique : c’est à la partie qui la conteste de démontrer qu’elle n’est pas valide.
Des cyberattaques « boostées » par l’IA
La signature électronique revient d’actualité en raison des nouvelles formes de cybermenaces liées à l’IA générative : elle tend à banaliser certaines fraudes documentaires avec usurpation d’identité, notamment via des techniques de type ‘deepfake’ (hyper-sophistication des faux). L’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande d’adapter le niveau de signature en fonction des risques juridiques et financiers. Elle préconise d’utiliser des mécanismes robustes de vérification d’identité (cf. les niveaux AES ou QES).
Les secteurs sensibles comme la défense, la santé ou le notariat utilisent des systèmes fortement sécurisés, basés sur des infrastructures cryptographiques et des certificats électroniques. Le notariat, de son côté, utilise, en outre, des environnements dédiés pour la conservation des actes authentiques sur le long terme (notamment le MICEN – Minutier central électronique du notariat, sur 75 et 100 ans). Contrairement à une idée reçue, la tendance n’est plus à la conservation papier systématique, mais à la dématérialisation sécurisée des archives, avec report sur des supports électroniques de nouvelle génération.
Le choix entre ‘cloud’ public et autonomie logicielle
Sur le terrain de l’offre, il existe beaucoup de solutions de signature numérique fiables. Elles reposent principalement sur des services en ligne (SaaS) et sur des infrastructures cryptographiques asymétriques (avec clés privées / publiques ou PKI). Les algorithmes du type RSA historiquement les plus utilisés restent très présents, mais évoluent vers des standards plus récents (ECDSA ou EdDSA), pour se préparer à la puissance de l’informatique quantique que pourraient utiliser les ‘hackers’.
Dans les solutions en ligne, on trouve AdobeSign, DocuSign mais aussi des solutions européennes ou françaises, comme Signaturit, Universign ou Yousign. Les coûts sont généralement compris entre 10 et 50 euros par mois, par utilisateur. La signature qualifiée (QES) peut générer des coûts additionnels.
Si les exigences de souveraineté ou de sûreté sont élevées, on peut recourir à des solutions hébergées en interne (self-hosting) ou en « environnement maîtrisé », proposées par des acteurs comme Goodflag, Lex Persona ou Docaposte, ainsi que par certains spécialistes des infrastructures de confiance, comme CertEurope ou Chambersign.
Il existe également des solutions ‘open source’ comme Nextcloud ou LibreSign qui permettent la gestion documentaire et certaines formes de signature électronique ; mais elles restent limitées aux signatures simples ou avancées ; elles ne permettent pas d’atteindre le niveau de signature qualifiée, sauf à recourir à un prestataire de confiance (QTSP), comme CertEurope, Universign, Docaposte ou Chambersign.
A noter enfin que les développements en cours préparent une intégration plus fluide des « certificats qualifiés », via des portefeuilles d’identité numérique. Le système repose toujours principalement sur la cryptographie asymétrique (clé privée/ publique), sur les infrastructures de confiance et sur la vérification d’identité, plutôt que sur des technologies alternatives comme la ‘blockchain’ : cette dernière, malgré ses promesses, reste marginale ou complémentaire.
