Accueil
Envoyer
Imprimer
Partager
Décryptage en 5 questions avec Frédéric Ollivier, Responsable Commercial Signature Électronique & Vérification d’Identité chez Docaposte.
Comment se déroule un parcours de signature électronique ?
Pour signer électroniquement un document, on dénombre quatre grandes étapes :
1. L’émetteur du document s’identifie en se connectant à la plateforme de signature, y dépose ses documents et renseigne les destinataires invités à signer électroniquement
2. Les destinataires reçoivent par mail, avec un lien URL pour visualiser le document, une invitation à signer le document qu’ils peuvent accepter ou refuser de signer.
3. Les documents, une fois signés par toutes les parties prenantes, sont diffusés à l’ensemble des signataires. L’émetteur peut y accéder directement via une interface web dédiée.
4. Les fichiers de preuves sont stockés et archivés dans un système d’archivage électronique pendant 10 ans, délai recommandé pour se prémunir contre d’éventuels recours.
Pour initier un parcours, l’utilisateur peut :
- Rester sur son environnement de travail et générer un template via un applicatif
- Utiliser une solution en mode SaaS, avec URL, login, mot de passe.
Quelles normes et certifications en vigueur et à venir sont à respecter ?
Le règlement Européen eIDAS définit un langage commun et des normes communes autour de la signature électronique, imposés à tous les états membres, et formule notamment des exigences relatives à l’identification du signataire et à la signature.
Le niveau de vérification d’identité du signataire doit ainsi répondre aux exigences applicables aux différents niveaux de garantie prévus par ce règlement eIDAS.
En France, la création récente du référentiel PVID (Prestataires de Vérification d'Identité à Distance) répond à ces enjeux et contient les exigences applicables aux services de vérification d’identité à distance.
Cette évolution va permettre de démocratiser mais aussi de simplifier les parcours de signature avancée et surtout de signature qualifiée puisque cette dernière nécessitait jusqu’alors une vérification en face-à-face physique.
Comment définir et gérer le niveau de risque en fonction du type de document à signer ?
On distingue aujourd’hui 3 niveaux de signature :
• La signature simple :
Ce niveau, le plus utilisé par les entreprises, est particulièrement adapté pour signer facilement à distance des documents au risque juridique moindre, pouvant se baser sur une identité « déclarée ». Ses avantages : la facilité de déploiement, la simplicité et la rapidité des parcours de signature et son faible coût, la rendent abordable pour toute entreprise.
On peut ainsi l’utiliser pour signer facilement des documents à distance tels que des contrats commerciaux ou fournisseurs, des documents RH ou encore un bail locatif.
• La signature avancée :
Elle est recommandée pour des documents au risque juridique plus élevé, nécessitant une vérification d’identité (face à face physique ou via un moyen de vérification à distance). Cette signature repose sur des certificats de différents niveaux. Le parcours utilisateur reste fluide, tout en ajoutant une brique technologique de vérification d’identité du signataire, ainsi que de plus fortes exigences quant à la gestion et la sécurité d’hébergement du certificat. Le fichier de preuves – utile en cas de litige – est renforcé puisqu’il sera alimenté avec les éléments d’identification du signataire.
Elle est requise pour la signature de documents requérant de réduire les risques de fraudes à l’identité, par exemple pour souscrire un contrat bancaire, un contrat d’épargne ou un contrat d’assurance-vie.
• La signature qualifiée :
C’est le niveau de signature le plus élevé, particulièrement adapté pour des documents au risque juridique fort ou répondant à une législation réglementaire qui l’impose et dont la vérification d’identité équivaut à une vérification en face-à-face dans le monde physique. La signature qualifiée est équivalente juridiquement à la signature manuscrite.
Cet état de l’art est de plus en plus recherché par les entreprises.
Cette signature est recommandée dans le cas de signature d’actes notariés, d’actes d’avocats ou pour souscrire des contrats bancaires et d’assurance hors territoire national.
Mis à part pour les actes authentiques (signature qualifiée) ou les réponses à appels d’offres de marché public (signature avancée avec certificat qualifié), aucun texte n'impose la prévalence d’un niveau de signature sur un autre. Le choix du niveau de signature repose uniquement sur une appréciation du risque par les entreprises.
A noter que, plus le niveau de signature est élevé, plus le coût de sa solution l’est et plus le parcours utilisateur peut être exigeant.
Concrètement, trois niveaux d’analyse permettent de définir le niveau de signature à utiliser :
- Évaluer le contexte normatif du métier : le contexte métier et l’environnement réglementaire fort dans le secteur bancaire (LCBFT, DSP2 : attentes fortes et particulières)
- Évaluer le risque : balance enjeux/risques. Par exemple le contrat de travail (identité déjà vérifiée) ou l’assurance IARD (de niveau simple, si le détenteur est en défaut il n’est plus assuré) ou encore l’assurance vie (lutte contre le blanchiment, obligation de signature d’un certain niveau et donc vérification d’identité)
- Évaluer la valeur du document : si les montants en jeu sont faibles, une signature avancée ou qualifiée sera trop couteuse.
Finalement, c’est bien le niveau de confiance sur l’identité du signataire et les moyens de la vérifier, ainsi que la qualité du prestataire de certification gérant le certificat, qui constituent un point clé de la sécurisation de la signature électronique à distance des documents.
Une confiance numérique que Docaposte assure de bout en bout sur l’ensemble de la chaine de transaction.
Quels sont les risques à ne pas utiliser une solution de niveau insuffisant ?
Le risque est l’annulation du contrat et donc le préjudice financier potentiel qui en découle. Pour statuer sur le litige, le juge s’appuie sur le faisceau de preuve apporté.
Tous les niveaux de signature sont recevables en justice. Cependant, une signature de niveau qualifiée permet l’inversion de la charge de la preuve. Ainsi, en cas de litige, c’est à la personne qui dénonce le contrat (le signataire) de prouver ce qu’il conteste (il conteste être l’auteur de la signature, il conteste le contenu, il conteste l’horodatage).
L’opposabilité d’un document signé est rendue possible en apportant la garantie des éléments suivants :
- L’identification du signataire : dans le cas de la signature électronique, on appose un certificat qui va représenter le signataire
- L’heure et la date de la signature (horodatage)
- Le consentement du signataire au contenu de l’acte signé
- Le lien entre le signataire et l’acte auquel la signature est attachée
- L’intégrité du document signé grâce à ce qu’on appelle une « empreinte numérique » qui sera chiffrée.
Comment s’assurer de l’identité du signataire ?
Garantir l’identité de l’utilisateur constitue un des piliers de la confiance numérique. Docaposte, première autorité d’identification française, propose une gamme complète de solutions adaptées à cet enjeu.
Les MIE (moyens d’identification Electronique), tels que :
- L’Identité Numérique La Poste, attestée de niveau substantiel par l’ANSSI et conforme au règlement européen eIDAS. Elle est équivalente à vérification d’identité en face à face et réutilisable pour toutes les démarches nécessitant de s’identifier.
- Les certificats électroniques qualifiés eIDAS et RGS (Règlement général de sécurité) de l’autorité de certification de Docaposte, Certinomis, sur token physique ou à distance.
Les parcours de vérification d’identité à distance, qui effectuent la collecte et le contrôle du titre d’identité, effectuent une comparaison faciale avec un selfie vidéo et impliquent de réaliser une preuve de vie. Ces parcours peuvent être automatiques, ou certifiés PVID (en cours de certification par l’ANSSI), les seconds apportent le niveau substantiel, équivalents à une vérification d’identité en face à face physique, et utilisables pour une opération donnée comme l’envoi d’une lettre recommandée électronique. A noter que les parcours PVID imposent une vérification par un opérateur humain expert.
Docaposte propose également un service global de vérification d’identité à distance (ID360) qui offre tous les moyens d’identification et d’authentification disponibles via une console d’administration : ceux cités plus haut, mais également FranceConnect+. D’autres modalités sont à venir. L’utilisateur choisit ainsi le moyen d’identification adapté, en fonction de l’usage. Le dossier de preuves est ensuite archivé à vocation probatoire pendant 10 ans.
Comment se déroule un parcours de signature électronique ?
Pour signer électroniquement un document, on dénombre quatre grandes étapes :
1. L’émetteur du document s’identifie en se connectant à la plateforme de signature, y dépose ses documents et renseigne les destinataires invités à signer électroniquement
2. Les destinataires reçoivent par mail, avec un lien URL pour visualiser le document, une invitation à signer le document qu’ils peuvent accepter ou refuser de signer.
3. Les documents, une fois signés par toutes les parties prenantes, sont diffusés à l’ensemble des signataires. L’émetteur peut y accéder directement via une interface web dédiée.
4. Les fichiers de preuves sont stockés et archivés dans un système d’archivage électronique pendant 10 ans, délai recommandé pour se prémunir contre d’éventuels recours.
Pour initier un parcours, l’utilisateur peut :
- Rester sur son environnement de travail et générer un template via un applicatif
- Utiliser une solution en mode SaaS, avec URL, login, mot de passe.
Quelles normes et certifications en vigueur et à venir sont à respecter ?
Le règlement Européen eIDAS définit un langage commun et des normes communes autour de la signature électronique, imposés à tous les états membres, et formule notamment des exigences relatives à l’identification du signataire et à la signature.
Le niveau de vérification d’identité du signataire doit ainsi répondre aux exigences applicables aux différents niveaux de garantie prévus par ce règlement eIDAS.
En France, la création récente du référentiel PVID (Prestataires de Vérification d'Identité à Distance) répond à ces enjeux et contient les exigences applicables aux services de vérification d’identité à distance.
Cette évolution va permettre de démocratiser mais aussi de simplifier les parcours de signature avancée et surtout de signature qualifiée puisque cette dernière nécessitait jusqu’alors une vérification en face-à-face physique.
Comment définir et gérer le niveau de risque en fonction du type de document à signer ?
On distingue aujourd’hui 3 niveaux de signature :
• La signature simple :
Ce niveau, le plus utilisé par les entreprises, est particulièrement adapté pour signer facilement à distance des documents au risque juridique moindre, pouvant se baser sur une identité « déclarée ». Ses avantages : la facilité de déploiement, la simplicité et la rapidité des parcours de signature et son faible coût, la rendent abordable pour toute entreprise.
On peut ainsi l’utiliser pour signer facilement des documents à distance tels que des contrats commerciaux ou fournisseurs, des documents RH ou encore un bail locatif.
• La signature avancée :
Elle est recommandée pour des documents au risque juridique plus élevé, nécessitant une vérification d’identité (face à face physique ou via un moyen de vérification à distance). Cette signature repose sur des certificats de différents niveaux. Le parcours utilisateur reste fluide, tout en ajoutant une brique technologique de vérification d’identité du signataire, ainsi que de plus fortes exigences quant à la gestion et la sécurité d’hébergement du certificat. Le fichier de preuves – utile en cas de litige – est renforcé puisqu’il sera alimenté avec les éléments d’identification du signataire.
Elle est requise pour la signature de documents requérant de réduire les risques de fraudes à l’identité, par exemple pour souscrire un contrat bancaire, un contrat d’épargne ou un contrat d’assurance-vie.
• La signature qualifiée :
C’est le niveau de signature le plus élevé, particulièrement adapté pour des documents au risque juridique fort ou répondant à une législation réglementaire qui l’impose et dont la vérification d’identité équivaut à une vérification en face-à-face dans le monde physique. La signature qualifiée est équivalente juridiquement à la signature manuscrite.
Cet état de l’art est de plus en plus recherché par les entreprises.
Cette signature est recommandée dans le cas de signature d’actes notariés, d’actes d’avocats ou pour souscrire des contrats bancaires et d’assurance hors territoire national.
Mis à part pour les actes authentiques (signature qualifiée) ou les réponses à appels d’offres de marché public (signature avancée avec certificat qualifié), aucun texte n'impose la prévalence d’un niveau de signature sur un autre. Le choix du niveau de signature repose uniquement sur une appréciation du risque par les entreprises.
A noter que, plus le niveau de signature est élevé, plus le coût de sa solution l’est et plus le parcours utilisateur peut être exigeant.
Concrètement, trois niveaux d’analyse permettent de définir le niveau de signature à utiliser :
- Évaluer le contexte normatif du métier : le contexte métier et l’environnement réglementaire fort dans le secteur bancaire (LCBFT, DSP2 : attentes fortes et particulières)
- Évaluer le risque : balance enjeux/risques. Par exemple le contrat de travail (identité déjà vérifiée) ou l’assurance IARD (de niveau simple, si le détenteur est en défaut il n’est plus assuré) ou encore l’assurance vie (lutte contre le blanchiment, obligation de signature d’un certain niveau et donc vérification d’identité)
- Évaluer la valeur du document : si les montants en jeu sont faibles, une signature avancée ou qualifiée sera trop couteuse.
Finalement, c’est bien le niveau de confiance sur l’identité du signataire et les moyens de la vérifier, ainsi que la qualité du prestataire de certification gérant le certificat, qui constituent un point clé de la sécurisation de la signature électronique à distance des documents.
Une confiance numérique que Docaposte assure de bout en bout sur l’ensemble de la chaine de transaction.
Quels sont les risques à ne pas utiliser une solution de niveau insuffisant ?
Le risque est l’annulation du contrat et donc le préjudice financier potentiel qui en découle. Pour statuer sur le litige, le juge s’appuie sur le faisceau de preuve apporté.
Tous les niveaux de signature sont recevables en justice. Cependant, une signature de niveau qualifiée permet l’inversion de la charge de la preuve. Ainsi, en cas de litige, c’est à la personne qui dénonce le contrat (le signataire) de prouver ce qu’il conteste (il conteste être l’auteur de la signature, il conteste le contenu, il conteste l’horodatage).
L’opposabilité d’un document signé est rendue possible en apportant la garantie des éléments suivants :
- L’identification du signataire : dans le cas de la signature électronique, on appose un certificat qui va représenter le signataire
- L’heure et la date de la signature (horodatage)
- Le consentement du signataire au contenu de l’acte signé
- Le lien entre le signataire et l’acte auquel la signature est attachée
- L’intégrité du document signé grâce à ce qu’on appelle une « empreinte numérique » qui sera chiffrée.
Comment s’assurer de l’identité du signataire ?
Garantir l’identité de l’utilisateur constitue un des piliers de la confiance numérique. Docaposte, première autorité d’identification française, propose une gamme complète de solutions adaptées à cet enjeu.
Les MIE (moyens d’identification Electronique), tels que :
- L’Identité Numérique La Poste, attestée de niveau substantiel par l’ANSSI et conforme au règlement européen eIDAS. Elle est équivalente à vérification d’identité en face à face et réutilisable pour toutes les démarches nécessitant de s’identifier.
- Les certificats électroniques qualifiés eIDAS et RGS (Règlement général de sécurité) de l’autorité de certification de Docaposte, Certinomis, sur token physique ou à distance.
Les parcours de vérification d’identité à distance, qui effectuent la collecte et le contrôle du titre d’identité, effectuent une comparaison faciale avec un selfie vidéo et impliquent de réaliser une preuve de vie. Ces parcours peuvent être automatiques, ou certifiés PVID (en cours de certification par l’ANSSI), les seconds apportent le niveau substantiel, équivalents à une vérification d’identité en face à face physique, et utilisables pour une opération donnée comme l’envoi d’une lettre recommandée électronique. A noter que les parcours PVID imposent une vérification par un opérateur humain expert.
Docaposte propose également un service global de vérification d’identité à distance (ID360) qui offre tous les moyens d’identification et d’authentification disponibles via une console d’administration : ceux cités plus haut, mais également FranceConnect+. D’autres modalités sont à venir. L’utilisateur choisit ainsi le moyen d’identification adapté, en fonction de l’usage. Le dossier de preuves est ensuite archivé à vocation probatoire pendant 10 ans.
Autres articles
-
Analyste Private Equity - Stage - Septembre 2024
-
Avec la consolidation du secteur, les mouvements au sein du Fintech100 2024 atteignent un record
-
La fintech française, Powens officialise son rapprochement avec l'Espagnole Unnax. Objectif : devenir le leader de l'open finance et de la finance embarquée en Europe
-
Stables amorce un nouveau virage stratégique avec l'arrivée Tezos et d'un nouveau DG au capital
-
Nomination | myPOS annonce l'arrivée de Mario Shiliashki en tant que Directeur Général
