La signature numérique qualifiée, un vieux vin dans un nouveau sac ?

30 août 2016

Ces derniers temps, la signature numérique qualifiée fait de plus en plus parler d'elle en raison de l'évolution de la législation. Il y a également de plus en plus de questions sur la signature numérique qualifiée. Ou la signature électronique qualifiée, comme l'appelle le législateur. Comment fonctionne exactement une signature électronique qualifiée ? Et quelle est la différence avec la signature électronique avancée. Et peut-on mettre simultanément une signature électronique qualifiée et une signature électronique avancée sur un document ?

Pour expliquer ce qu'est une signature électronique qualifiée, je voudrais revenir quelques siècles en arrière. Parce que peu de choses ont changé au cours des 800 dernières années... Autrefois, les documents importants étaient toujours scellés. Pour ce faire, on pliait le document et on le scellait avec une goutte - généralement rouge - de cire fondue chaude. À l'aide d'une chevalière, le sceau de l'expéditeur était ensuite pressé dans la cire chaude avant qu'elle ne durcisse. Le sceau garantissait ainsi l'identité de l'expéditeur et un sceau intact que le contenu n'avait pas été modifié.

Avec la signature électronique avancée et qualifiée, la même chose se produit, bien que le sceau soit remplacé par un certificat PKI. Un tel certificat - délivré par l'autorité de certification - garantit l'identité du signataire et fait en sorte que les documents portant un tel sceau ne puissent être modifiés sans "briser le sceau". Comment cela fonctionne-t-il en pratique ?

Il existe deux types de signatures électroniques où la certification joue un rôle, la signature électronique avancée et la signature électronique qualifiée.

Signature électronique avancée

Avec une signature électronique avancée, le fournisseur de services de signature scelle le document avec son certificat PKI spécifique à l'organisation. Par exemple, l'anneau de sceau de l'entreprise. Le scellement signifie alors que le prestataire de services de signature a suffisamment vérifié l'identité des signataires à l'aide d'un moyen d'authentification sécurisé, tel que iDIN ou DigiD. Et qu'après le scellement, le contenu du document ne peut être modifié sans briser le sceau. Tout cela est exigé par la loi pour les prestataires de services de signature. Auparavant, cela signifiait qu'un document était rédigé, que le prestataire de services de signature vérifiait l'identité de tous les signataires et qu'il scellait le document avec sa propre chevalière.

Signature électronique qualifiée

Il existe certains documents pour lesquels le législateur exige que l'authentification de certains signataires soit garantie à un degré encore plus élevé. Pensez aux notaires, aux comptables et aux maires. Ces parties disposent alors de leur propre certificat PKI personnel ou propre à leur organisation. Ce certificat garantit non seulement l'identité de ce signataire, mais il est également utilisé pour sceller le document, en plus du sceau du prestataire de services de signature. Ce dernier reste nécessaire parce que tous les signataires n'ont pas leur propre certificat et pour garantir que le processus s'est déroulé comme prévu par la loi. Comparez-la à la méthode de la chevalière : un document est créé, le prestataire de services de signature vérifie l'identité de tous les signataires et scelle le document avec sa propre chevalière. Et le document est également scellé par toutes les autres parties avec leur propre sceau.

Ah oui, depuis le 1er juillet 2016, les employeurs sont également tenus par la loi de disposer de leur propre certificat ICP lorsqu'ils signent électroniquement un contrat de travail. Cependant, ils peuvent également utiliser un tel certificat pour le scellement qualifié des factures numériques sortantes, ce qui est également une exigence du législateur de nos jours.

Par ailleurs, la signature électronique ordinaire n'utilise pas un tel sceau ou certificat. La signature électronique ordinaire peut donc encore être juridiquement valable, mais les documents peuvent être modifiés après la signature et ne sont donc pas fiables. En outre, l'identité des signataires n'est pas garantie. Un exemple de signature électronique ordinaire est l'image scannée d'une signature qui est collée dans un document Word.