Confiance Numérique - La Signature Électronique

M2 MQSE-PSI

CFA UTEC - UNIVERSITÉ PARIS EST

MARNE LA VALÉE

2014

Mémoire de Recherche

La signature électronique

Mémoire M2 MQSE - PSI La signature électronique

1 Christopher GODARD, David SIVA, Sébastien BOUTON

Résumé

L'augmentation conséquente des échanges via internet dans les années 2000 a rapidement nécessité un

moyen permettant d'identifier et de donner une valeur légale à un document numérique de la même

manière que les documents papiers utilisés jusqu’à présent. La signature électronique a été créée afin

de répondre à cette problématique en garantissant l’identité du signataire, la non-répudiation par le

signataire du document signé ainsi que l’intégrité du document signé et son absence de modification.

Les enjeux de la signature électronique se concentrent principalement sur les avantages de ce procédé

mais aussi sur les risques qu’il peut entraîner. C’est un moyen fiable et reconnu par la loi depuis le 13

mars 2000 en France. Aujourd’hui la signature électronique à la même valeur juridique que la

signature manuscrite à condition d’utiliser un certificat ainsi qu’un outil fiable de signature

électronique. Le procédé de signature électronique est un processus qui fait intervenir plusieurs acteurs, du

signataire à l’Etat en passant par les Tiers de confiance. Elle repose sur l’utilisation de clés publiques et privées et des procédés cryptographiques complexes

afin de garantir un niveau de sécurité et une confiance maximale de l’utilisateur. Une signature électronique est constituée d’un ensemble d’éléments standards obligatoires auquel il

est possible d’ajouter des informations complémentaires afin d’ajouter une valeur à la signature

comme l’horodatage. Il existe différentes manières de signer un document qui dépendent du contexte d’utilisation, du niveau

de sécurité exigé et de l’architecture de signature mise en place. En fonction de ces critères,

l’utilisateur devra se fournir de différents éléments de signature et/ou outils afin de procéder à la

signature. Cependant la tendance des entreprises va à la simplification de l’utilisation de la signature

électronique afin de la faire accepter au grand public et il est de plus en plus d’usage de minimiser les

éléments dont doit s’équiper le signataire pour s’orienter vers une intégration totale du procédé de

signature électronique dans les processus métiers. Bien que sécurisé, le procédé de signature électronique présente tout de même des risques qui sont les

mêmes que ceux de la carte bancaire. Sur le plan juridique, lorsqu’une loi existe sur un sujet, les acteurs, les entreprises sont obligés de s’y

conformer. Le cadre juridique est donc primordial pour instaurer la confiance de ces utilisateurs,

clients. En ce qui concerne la signature électronique, un décret Européen a vu le jour dès 1999. Il

définit la signature électronique au même titre que la signature manuscrite. Ce décret étant un décret

international, tous les pays membres de l’Union Européenne doit s’y conformer y compris la France. La loi française s’est donc s’adaptée, au mois de mars 2000, pour intégrer la preuve juridique aux

nouvelles technologies et reconnaître la signature électronique. Depuis, plusieurs lois se sont succédé

pour permettre un meilleur encadrement juridique de la signature électronique et avoir une meilleure

confiance dans ce système de la part des utilisateurs. Aujourd’hui, les labels français existent autour de

la signature électronique. Cependant, ces labels nationaux empêchent les acteurs de conquérir un marché européen. Le mandat

M460, toujours en préparation, devrait résoudre ce problème.



Abstract

The important augmentation of exchanges through internet in the 2000s quickly need a way to identify

and give a legal value to a digital document, in the same way the written documents are used until

now. The electronic signature have been created in order to answer this problematic by ensure the

identity of the signer, his non-repudiation of the signed document, its integrity and its lack of

modification. The challenges of electronic signature are mainly concentrated on the advantages of the

process but also on the risks it could cause. It’s a reliable way and recognized by the law in France

since 13 March 2000. Today, the electronic signature has the same legal value as the handwritten

signature provided you are using a certificate and a reliable tool of electronic signature. The process of electronic signature involves several stakeholders, from the signer to the State passing

through the Escrow Services. It lays on the use of private and public keys, and also on complex cryptographic methods in order to

guarantee a high level of security and a maximal confidence of the user. An electronic signature is formed by a set of mandatory standard elements to which it is possible to

subjoin additional informations in order to add a value to the signature as timestamp. There are differents ways to sign a document which depend of the context of use, the level of security

required and the structure of the signature implemented. According to those standards, the user will

have to provide different signature elements and/or tools in order to sign. Nevertheless, companies’s

trend is based on simplifying the use of electronic signature in order to gain acceptance of the general

public. It is more and more customary to minimize the elements the signer has to tool up to move

towards a full integration of electronic signature in the business processes. Despite it is secure, the process of electronic signature still presents risks, the same as the credit card. Legally, when there is a law on a subject, the stakeholders and the companies have to comply. The

legal framework is therefore essential to have the confidence of its users. Regarding electronic

signature, an European decree was born in 1999. It defines the electronic signature the same way as

the handwritten signature. That decree being an international decree, every country which is a member

of the European Union have to comply, including France. The French law therefore adapt itself on March 2000 to incorporate legal proof to new technologies to

enable the recognition of electronic signature. Since then, several laws have followed to have a better

legal framework for the electronic signature in order to have a better confidence of the users in this

system. Today, there is French labels around electronic signature. Yet, those national labels prevent

stakeholders to conquer an European market. The mandate M460, still in preparation, should resolve

this problem.



Sommaire

Résumé ...................................................................................................................................................................................... 1 Abstract ..................................................................................................................................................................................... 2 Introduction ............................................................................................................................................................................... 5 Définitions ................................................................................................................................................................................. 6 I. Les enjeux de la signature électronique............................................................................................................................ 7

A. Historique............................................................................................................................................................... 7 B. Besoin .................................................................................................................................................................... 7 C. La confiance dans la signature électronique ........................................................................................................... 8 D. Qu’est-ce que la cryptographie ? .......................................................................................................................... 10 E. Quelques cas d’utilisation : .................................................................................................................................. 10

1. Clientèle sur internet et contractualisation .................................................................................................... 10 2. La signature de contrat en ligne avec un certificat temporaire ...................................................................... 10 3. La transmission de documents professionnels .............................................................................................. 11 4. La signature électronique sur tablette ........................................................................................................... 11

F. La signature électronique et les particuliers ......................................................................................................... 12 G. La vulnérabilité et les risques de la SE ................................................................................................................. 13

II. La signature électronique en détail ................................................................................................................................. 15

A. Les acteurs de la signature électronique ............................................................................................................... 15

1. Le signataire ................................................................................................................................................. 15 2. Le tiers de confiance ..................................................................................................................................... 15 3. L’Etat ............................................................................................................................................................ 16

B. Le fonctionnement de la signature électronique ................................................................................................... 16

1. Les éléments de la signature électronique ..................................................................................................... 16 2. Les certificats................................................................................................................................................ 17 3. La génération des certificats, le schéma de la confiance ............................................................................... 18 4. La valeur des certificats ................................................................................................................................ 19 5. Le fonctionnement : point de vue technique ................................................................................................. 19 6. Le fonctionnement : point de vue fonctionnel ............................................................................................... 21 7. Les architectures de mise en œuvre .............................................................................................................. 22 8. Les besoins connexes à la signature électronique ......................................................................................... 23

C. Les risques de la signature électronique ............................................................................................................... 23 D. L’utilisation de la signature électronique aujourd’hui .......................................................................................... 24

1. Une vision utilisateur .................................................................................................................................... 24 2. L’exemple de la signature électronique dans le processus de souscription d’assurance emprunteur ............. 24

III. Le cadre juridique .......................................................................................................................................................... 27

A. La première directive européenne ........................................................................................................................ 27

1. Une initiative européenne ............................................................................................................................. 28

B. La loi française ..................................................................................................................................................... 28

1. Le décret 2001-272 ....................................................................................................................................... 29 2. Le dispositif sécurisé de création de signature électronique .......................................................................... 29 3. L’ANSSI ....................................................................................................................................................... 30 4. Le COFRAC ................................................................................................................................................. 30 5. Les prestataires de services de certification électronique .............................................................................. 31 6. La vérification juridique ............................................................................................................................... 33 7. L’European Telecommunications Standards Institute ................................................................................... 34 8. Le Référentiel Général de Sécurité ............................................................................................................... 35 9. L’avenir de la confiance européenne : le mandat M460 ................................................................................ 37

C. A l’étranger .......................................................................................................................................................... 39

1. En Belgique .................................................................................................................................................. 39 2. Les États-Unis .............................................................................................................................................. 40

IV. Conclusion ..................................................................................................................................................................... 41 V. Bibliographie ................................................................................................................................................................. 42 VI. Annexes ......................................................................................................................................................................... 43

A. Questionnaire envoyé aux acteurs de la signature électronique ............................................................................ 43 B. Questionnaire envoyé aux utilisateurs de la signature électronique ...................................................................... 44



Figure 1 – Différences entre la signature électronique et manuscrite ................................................... 17 Figure 2 – Le schéma de certification .................................................................................................. 19 Figure 3 –Les étapes de la signature ...................................................................................................... 20 Figure 4 – Architectures de mise en œuvre ........................................................................................... 22 Figure 5 – Fonctionnement de la signature électronique à la CNP ....................................................... 25 Figure 6 – Schéma de la chaine de confiance ........................................................................................ 32 Figure 7 – Vu d’ensemble des lois européennes ................................................................................... 37 Figure 9 – Avertissement légal sur un site de signature électronique belge .......................................... 40



Introduction

Les notions d’authentification d’un document lors de sa transmission d’une personne à une autre ainsi

que le souci de l’intégrité de ce même document sont des notions viellent comme le monde. 3000 ans

avant J-C en Mésopotamie, l’utilisation de signes de validation des écrits juridiques par des sceaux

cylindriques que l’on déroule pour marquer une empreinte sur une tablette d’argile était utilisé. Au

moyen âge, l’utilisation de marque graphique de validation tels que les seings (cachet, empreinte), les

sceaux ou encore les souscriptions avec ruches firent leurs apparition.

Au fur et à mesure du temps les manières de procéder pour répondre à ces mêmes besoins ont changé

en fonction des évolutions technologique. Aujourd’hui, en particulier dans le monde professionnel,

nous communiquons énormément via des mails. Mais nous transmettons aussi des documents. Ces

documents doivent être signé et authentifié afin de garder une valeur réelle dans leur intégrité. La

signature électronique intervient donc à ce niveau afin de permettre d’établir une certaine confiance

numérique. Techniquement, la signature électronique a été inventée en 1976 par Rivest, Shamir et

Adleman. Mais elle n’a été définie que le 13 décembre 1999 par le droit européen et en mars 2000 par

la France. C’est un domaine qui, techniquement, est fiable et mûr depuis longtemps mais dont le cadre

juridique a été un frein à son déploiement.

La signature électronique est aujourd’hui de plus en plus présente dans notre quotidien aussi bien dans

le monde professionnel qu’en tant que particulier. Nous achetons sur internet, nous souscrivons des

contrats sur internet par exemple pour un forfait téléphonique, nous transmettons des documents

important nécessitant une garantie particulière lors de la réception de ces mêmes documents. Nous

allons pouvoir, dans cette étude, nous intéresser à différents aspect de la signature électronique. Nous

traiterons des enjeux de celle-ci en nous attardant sur les origines, les besoins mais aussi les risques de

ce procédé qui est au cœur de la confiance numérique. Nous zoomerons sur l’aspect technique et le

fonctionnement de la signature électronique pour bien comprendre son domaine d’application et sa

nécessité dans le monde d’aujourd’hui. Enfin nous étudierons un aspect qui s’avère extrêmement

important dans le domaine de la signature électronique, celui-ci étant l’aspect juridique qui a

longtemps été un frein dans la « propagation » de cette technique.

http://dictionnaire.sensagent.com/cachet/fr-fr/#anchorSynonyms

http://dictionnaire.sensagent.com/empreinte/fr-fr/#anchorSynonyms



Définitions

La signature électronique

La signature électronique est à un document numérique, ce que la signature manuscrite est à un

document papier. Tout comme une signature papier, une signature électronique a pour seul objectif de

démontrer à un tiers que le document a été́ approuvé par une personne identifiée. Il s’agit d’un

mécanisme d’engagement fiable faisant appel à des techniques cryptographiques.

Aujourd’hui, l'écrit sous forme électronique est admis comme preuve au même titre que l'écrit sur

support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit

établi et conservé dans des conditions de nature à en garantir l'intégrité. La législation (et notamment

l’article 1316 du code civil) définit la signature électronique comme « l'usage d'un procédé fiable

d'identification garantissant son lien avec l'acte auquel elle s'attache ». Pour plus d’information sur

ce sujet, vous pouvez consulter ce billet.

https://www.cryptolog.com/fr/blog/avis-d-expert/quelle-est-la-valeur-juridique-d-une-signature-electronique



I. Les enjeux de la signature électronique

A. Historique

La signature électronique reste au jour d’aujourd’hui un concept récent. Seulement quelques dates clés

sont à retenir sur l’histoire et l’évolution de la signature électronique en France :

- 2000 : loi du 13 mars 2000 qui introduit l’écrit électronique dans le code civil

- 2004 : Loi sur la confiance dans l’économie numérique (LCEN) autorisant les écrits sous

forme électronique pour la validité d’un acte.

- 2006 : Instruction fiscale relative au contrôle des comptabilités informatisées.

- 2007 : Instruction fiscale relative à la conservation sous forme électronique des copies de

factures produites sur support papier.

- 2009 : Loi autorisant la dématérialisation du bulletin de paie et arrêté du 04/12/2009 rendant

réglementaire pour l’archivage électronique des collectivités la norme AFNOR NF Z42-013.

- 2010 : Marchés publics : obligation de publication en ligne pour les acheteurs et obligation de

réponse électronique pour les entreprises candidates à des marchés informatiques.

B. Besoin

La signature électronique offre principalement :

la possibilité de signer un document sans l’imprimer (économie de papier)

la possibilité d’envoyer le document par e-mail (économie de timbre)

la possibilité de signer un document sans se rencontrer (réduction des déplacements)

la possibilité de conserver le document au format numérique (simplification et suppression de

l’archivage papier)

etc.

La signature électronique se différencie de la signature écrite par le fait qu'elle n'est pas visuelle mais

correspond à un nombre ou une suite de nombres. En effet, l'opération de signature s'applique à un

fichier et produit une information binaire appelée communément signature électronique ou

cryptographique. Celle-ci sera non seulement liée à ce fichier mais également liée à la personne qui a

fait l'acte de signer.

Cela dit, un certain nombre de logiciels et notamment Adobe Reader vérifient automatiquement

chaque signature à l'ouverture du document et affichent un message visuel de validation, ce qui permet

tout de même de matérialiser la signature électronique.

La signature électronique permet, pour un document numérique, de garantir :

l’identité du signataire

la non-répudiation par le signataire du document signé

l’intégrité du document signé, c’est-à-dire son absence de modification

Les réseaux informatiques ouverts tels que l’internet ont été techniquement optimisés pour assurer le

transport de données. Dans cette optique les aspects liés à la sécurité n’étaient pas une priorité

essentielle. Or, Internet ayant vocation à devenir la plateforme universelle d’échange de produits et de

services, la sécurité devient primordial.

Dans cette perspective, il est indispensable d’organiser les échanges électroniques par la mise en place

de garanties spécifiques à la fois sur le plan technique et sur le plan juridique, ces deux aspects étant

indissociablement liés.



La reconnaissance juridique de la signature électronique constitue la pierre angulaire pour assurer la

sécurité et la fiabilité des échanges en ligne.

Concrètement, lors de la réalisation d’un échange dématérialisé les garanties de sécurité suivante

doivent pouvoir être apportées :

Identification du terminal à l’origine de la requête,

Authentification de l’auteur de l’acte,

Intégrité du message : il ne doit pas avoir été altéré pendant son transport,

Confidentialité du message : il ne doit être compréhensible que par son destinataire ou les

personnes dûment autorisées,

Non répudiation de l’acte afin d’éviter une remise en cause du contenu du message par son

destinataire.

Certains services supplémentaires peuvent être également proposés par des tiers de confiance, comme

les services d’horodatation (certification de la date et de l’heure de réception du message) qui garantit

avec exactitude et certitude le moment où l’acte est réalisé.

C. La confiance dans la signature électronique

Grâce à la signature électronique, l’émetteur d’un document a une garantie de sécurité sur la propriété

de l’intégrité de ses données. Cet acte, au-delà de sa portée juridique, qui est toujours présente, permet

de donner du poids, de formaliser, de se rassurer.

Tout ce que l’on fait par mail en se demandant si cela vaut quelque chose, tout ce que l’on ne fait pas

par mail de peur que ça ne vaille rien, tous les envois que l’on n’ose pas faire sur internet de peur de se

faire spolier, tous ces actes sont facilités par la signature électronique qui permet la traçabilité des

actions et l’intangibilité des documents. Ces échanges deviennent possibles, non par l’apparition d’un

nouveau procédé technique, mais par la disparition d’un frein psychologique.

Les exemples sont nombreux en B to B : courriers recommandés, preuves et accusés de réception

signés, factures, propositions commerciales, bons à tirer… L’entreprise signe ces actes pour les

formaliser et ainsi les rendre dématérialisables.

De même, au sein de l’entreprise, la signature des demandes de congés ou des demandes d’achat

permet une responsabilisation des individus et fluidifie les processus internes.

La dématérialisation des marchés publics est la possibilité de conclure des marchés par voie

électronique, soit par l’utilisation de la messagerie électronique, soit par l’emploi d’une plateforme en

ligne sur internet. Son rapide développement nécessite l’instauration d’une forte relation de confiance

entre les acheteurs et les entreprises, d’où l’enjeu juridique et technique de la signature électronique.

Signature électronique et signature manuscrite ont la même valeur juridique. La signature a pour

fonction d’identifier la personne qui l’appose et de manifester son accord.

Pour signer électroniquement, il est nécessaire de disposer d’un certificat électronique et d'une

application numérique pour signer.

Apposer une signature engage le signataire. Aussi les certificats de signature électroniques sont-ils

nominatifs et délivrés à une seule personne (comme une carte bancaire). Le titulaire d’un certificat de

signature qui signe un document est personnellement engagé par sa signature et est seul à pouvoir

l’utiliser. La signature électronique permet de surcroît de garantir l’intégrité de l’acte signé.

Avec le développement de la dématérialisation, les plateformes de marchés publics proposent

gratuitement un logiciel de signature aux opérateurs qui en sont dépourvus.

La signature électronique permet d’apporter une réelle confiance aux échanges "virtuels". Elle

s’impose de fait lorsque des règlementations impliquent une traçabilité et une conservation des

données pouvant constituer des justificatifs et des preuves. Elle constitue un des éléments



indispensables pour le développement des échanges tels que le commerce électronique, la banque en

ligne ou les processus dématérialisés des entreprises (en interne ou avec leurs partenaires).

Les échanges électroniques constituent un moteur de croissance en dépit du contexte économique

morose. Or, comme le relève le rapport du CLUSIF (Club de la Sécurité de l’Information Français) de

juin 2012, le développement du commerce électronique ou de l’administration électronique est

confronté aux problématiques de piratage et de fraude. Pour contrer ces problématiques, la signature

électronique constitue une réelle solution, encadrée juridiquement depuis la loi sur la signature

électronique du 13 mars 2000 et adoptée progressivement par les différents acteurs économiques.

Ainsi les professions règlementées du droit et du Chiffre (Huissiers, Notaires, Expert-Comptable,

Avocats) utilisent la signature électronique depuis de nombreuses années. Par exemple, les 17 000

avocats membres du barreau de Paris sont équipés de certificats qui leur permettent d’échanger avec le

Greffe du TGI de Paris ou avec la CARPA (Caisse des Règlements Pécuniaire des Avocats), et de

signer électroniquement des demandes d’audience, bordereaux de dépôt ou autres dossiers.

Dans un tout autre domaine, le chronotachygraphe remplace depuis 2006, l’appareil analogique équipé

de disques sur lesquels étaient "tracés" les temps de parcours, distances et temps de conduite des

chauffeurs routiers ou transporteurs de voyageurs. Ces données sont donc désormais enregistrées sous

forme électronique et signées électroniquement par le conducteur. La société de transport peut ainsi

récupérer ces données avant le retour du chauffeur et gagne ainsi un temps précieux, synonyme de plus

de rentabilité.

Dès à présent, tout comme l’on signe des documents avec un stylo, il est possible de signer avec une

signature électronique.



D. Qu’est-ce que la cryptographie ?

L’objectif de confidentialité constitue de plus en plus un impératif essentiel pour les utilisateurs de

service en ligne. Historiquement, cette fonction était assurée et contrôlée par la puissance publique. Si

l’exigence du contrôle demeure une priorité pour les Etats, notamment en vue de lutter efficacement

contre la criminalité, la prestation de services de cryptologie peut être exercée par des prestataires

privés.

La cryptologie est une science qui s’appuie sur l’utilisation d’un ensemble de moyens tant logiciels

que matériels pour rendre une information non compréhensible pour les tiers, mais accessible et

restituable dans son état d’origine pour son auteur et son destinataire.

La cryptologie a essentiellement deux objectifs :

- Assurer l’identification de l’auteur de l’acte,

- Garantir l’intégrité et la confidentialité des données transmises.

E. Quelques cas d’utilisation :

1. Clientèle sur internet et contractualisation

Un groupe, spécialiste de crédit à la consommation, a entièrement dématérialisé son processus

d’acquisition de clientèle : grâce à un enregistrement en ligne disponible 24h/24 le particulier peut

remplir un formulaire, envoyer des copies de ses documents d’identité et obtenir après validation par

un agent un certificat lui permettant d’apposer sa signature électronique sur son contrat d’adhésion.

Les gains de productivité d’un tel processus sont évidents : le client n’a pas besoin de se déplacer ni

d’envoyer ses documents, tout se fait en ligne, sans attente, et la valeur juridique du contrat demeure

identique à celle d’un contrat papier.

2. La signature de contrat en ligne avec un certificat temporaire

Les banques offrent à leurs clients sur internet une offre grandissante de produits et services bancaires.

Pour souscrire à certains de ces services, par exemple, pour un crédit à la consommation, la signature

d’un contrat est légalement obligatoire. Une quinzaine d’établissements financiers proposent

aujourd’hui à leurs clients particuliers de signer ces contrats en ligne.

Ce service est assuré 24h/24 par un opérateur agréé qui délivre des certificats temporaire selon les

informations fournies par les banques. Ceci permet au client internaute de procéder à la signature de

son contrat de crédit alors qu’il n’était pas en possession préalable d’un certificat ; cette procédure ne

nécessite donc aucun équipement pour le client. Cette application ouvre l’usage de la signature de

contrat en ligne à tous les clients internautes des banques ou organismes de crédit à la consommation.



3. La transmission de documents professionnels

Une jeune entreprise de conseil en marketing a développé le concept de « ConsoRéalité » : elle filme

les consommateurs chez eux ou dans les magasins, analyse leurs comportements et transmet ces études

à ses clients, grand nom du secteur agro-alimentaire.

Pour une telle structure, l’usage de la signature électronique doit être avant tout simple, tant pour

l’émetteur des données que pour le destinataire.

La signature ne fait pas partie à proprement parler du processus métier. En revanche, elle permet à une

jeune entreprise innovante de se sécuriser par rapport à sa clientèle en garantissant l’intégrité du travail

fourni et en protégeant l’originalité de la méthode de travail. Elle offre également l’occasion de donner

de l’entreprise une image « de pointe », de dynamisme au sein des nouvelles technologies. Enfin, non

intrusive, elle permet au client de conserver la liberté de copie, d’impression, d’exploitation des études

commanditées.

4. La signature électronique sur tablette

L’ajout de la signature électronique à un projet de mobilité sur tablette amplifie encore

considérablement ces bénéfices. La signature électronique est en effet la dernière pièce à l’édifice

d’une solution de vente sur tablette. Elle vient parachever un projet de ce type en permettant d’aller au

bout de la démarche de dématérialisation avec comme objectif de supprimer toute présence de papier.

Il en découle, dans le processus d’acquisition client, une continuité à tous les niveaux. Avec à la clé

des gains considérables et de sérieuses économies.

Dans un premier temps, la signature électronique sur tablette crée une absence de rupture dans le

processus de vente. La présentation commerciale se déroule sur la tablette et se conclut par une

signature sur la tablette. Le chargé de vente n’interrompt pas sa séquence numérique pour sortir un bon

de commande papier, qu’il doit renseigner à la hâte en faisant patienter le client. Si son application

mobile est bien faite, elle lui permet de générer un document avec un certain nombre de champs pré

renseignés, qu’il ne lui reste plus qu’à compléter pour finaliser le document à signer. La tablette

devient le pivot de la démonstration commerciale autour duquel les différentes étapes du rendez-vous

s’enchaînent naturellement.

La signature électronique est également porteuse de continuité au niveau administratif : de retour au

bureau, vos commerciaux n’ont plus à transmettre les documents signés à votre propre équipe

d’administration des ventes, qui traditionnellement avait en charge de les vérifier, de ressaisir les

informations dans un progiciel, d’émettre les factures et d’assurer leur conservation dans le temps. Les

documents signés électroniquement sont automatiquement rapatriés dans le système d’information de

l’entreprise et poursuivent leur cycle de vie. Il en résulte une accélération mécanique de toute

l’administration commerciale : les opérations de contrôle et d’ouverture de compte client vont plus

vite, les factures sont envoyées plus rapidement, avec à la clé des règlements plus immédiats. Selon les

situations, cette accélération du traitement des ventes peut avoir un impact non négligeable sur la

trésorerie de l’entreprise.



F. La signature électronique et les particuliers

Comme nous l’avons décrit précédemment la signature électronique n’est pas réservée au

professionnel uniquement. En tant que particulier nous l’utilisons dans la vie de tous les jours ne

serait-ce qu’en procédant à des formalités banquières ou avec notre assureur ou encore en procédant à

des achats en ligne.

Les détracteurs de la signature électronique ont soutenu que celle-ci présentait un danger pour les

consommateurs au motif que ceux-ci seraient moins conscients de la portée de leur engagement

lorsqu'il passe par l'intermédiaire de l'ordinateur que lorsqu'il est matérialisé par la main, le stylo, et le

papier. Quoi de plus facile en effet que de cliquer sur une case pour passer une commande, après être

passé à toute vitesse sur des conditions générales que l'on ne lit pas?

Cet argument n'est pas faux s'agissant de transactions non sécurisées, pouvant être exécutées à l'aide

de quelques clics de souris, et pouvant même être réalisées par n'importe qui ayant accès à l'ordinateur

familial. Mais il en va tout autrement si l'on utilise une véritable signature électronique. La série

d'étapes attachée à l'acquisition et à la mise en œuvre des "outils" permettant de signer

électroniquement est de nature à renseigner suffisamment les personnes d'une part sur la sécurité

attachée à la signature électronique, et d'autre part sur les engagements qu'elle traduit.

Il est important de savoir bien choisir son certificat de signature électronique en maîtrisant ses risques.

Le choix d'un fournisseur de certificats par un consommateur pourra prendre en compte les critères

suivants :

- La clarté des explications fournies quant aux garanties de sécurité et aux garanties juridiques

apportées,

- La méthode d'identification du signataire (la fiabilité du certificat sera d'autant plus grande que

les modalités d'identification sont fiables. A cet égard, une identification par e-mail, ou par

envoi postal de documents d'identité, présente des garanties nettement inférieures à une

identification "face à face" au cours de laquelle le demandeur de certificat prouver votre

identité,

- La limite des transactions pouvant être effectuées sur le certificat : elle permet d'adapter le

certificat à l'usage projeté et présente une véritable garantie de sécurité,

- Le caractère acceptable du contrat d'abonnement,

- L'existence d'une couverture d'assurance.

Avant d'utiliser une signature électronique, un contrat d'abonnement doit être conclu avec le

fournisseur du certificat. Le décret du 30 mars 2001 contient des dispositions précises au regard des

mentions que doit contenir le contrat d'abonnement, et le fait pour un prestataire (même non qualifié)

de les respecter est incontestablement un gage de qualité. Ces dispositions sont les suivantes, et

doivent être communiquées par écrit :

- Les modalités et conditions d'utilisation du certificat,

- Le prestataire qualifié ou non,

- Les modalités de contestation et de règlement des litiges

S'agissant d'un contrat en général non modifiable, on s'assurera qu'il ne contient pas de clauses

abusives. Ces clauses, visées par l'article L. 132-1 du Code de la Consommation, sont par exemple

celles qui limitent à l'excès les droits du consommateur en cas d'inexécution de ses obligations par le

professionnel, ou qui permettent au professionnel de modifier unilatéralement les termes d'un contrat.

Si le certificat est amené à être utilisé pour les ordres et transactions avec une seule entreprise

(assurance, par exemple), il n'est pas rare que celle-ci souhaite doubler le dispositif d'un contrat appelé

"convention de preuve", dont la loi a reconnu la validité et qui règle les modalités d'administration de



la preuve entre les parties au-delà des dispositions légales. Par exemple, les conventions de preuve

signées avec les établissements bancaires (et que nous sommes tous censés avoir lues et acceptées)

stipulent que l'usage d'une carte magnétique et la composition concomitante d'un code confidentiel

valent ordre de paiement. Ce type de convention a pour objet d'apporter des précisions sur l'utilisation

des outils fournis et il est essentiel de les lire afin de comprendre dans quelles circonstances la

responsabilité du porteur de certificat pourra être engagée.

Au niveau des assurances : l'utilisation d'un certificat comprenant une garantie d'assurance est un

véritable avantage car elle permet de régler rapidement les petits litiges. Les fournisseurs de certificats

peuvent souscrire auprès d'assureurs spécialisés des assurances "dommage pour compte", qui

permettent d'inclure dans chaque certificat délivré un capital d'assurance plafonné, dont le montant est

adapté au niveau de confiance et de sécurité du dispositif. L'indemnisation est immédiate dès lors que

le préjudice subi est quantifié, ce qui apporte une solution financière rapide aux sinistres isolés sans

mise en cause de la technologie utilisée par l'Autorité de Certification ou des procédures de diffusion

des certificats.

G. La vulnérabilité et les risques de la SE

Premier risque: la remise en cause de l'acte signé électroniquement.

Exemple : j'ai envoyé à ma banque un ordre de virement de 2.000 Euros le 31 mars pour couvrir un

débit. La banque prétend ne jamais l'avoir reçu, bloque mes comptes et me facture des agios

importants. Les textes sur le commerce à distance préconisent que les entreprises accusent rapidement

réception des ordres passés par voie électronique, ce que font actuellement la plupart d'entre elles alors

même que ce n'est pas encore obligatoire au regard des textes français. Dans un système utilisant la

signature électronique, cet accusé de réception est signé par l'entreprise.

Il convient d’accepter cet accusé de réception en n'omettant pas de suivre les étapes essentielles de la

vérification d'une signature numérique, et si possible de garder une trace de l'accusé de réception

envoyé par le prestataire, sur support informatique et/ou sur support papier. A condition de respecter

ces précautions, un particulier est en mesure de faire valoir ses droits dans des conditions qui ne sont

ni plus mauvaises ni meilleures que si sa preuve consiste en un fax avec accusé de réception "OK".

Deuxième risque : la falsification de sa signature numérique

Exemple : Vous constatez lors de la vérification de votre relevé de compte qu'un ordre de débit de

2.000 Euros a été passé au profit d'un tiers. Renseignements pris, cet ordre aurait été passé

électroniquement en utilisant votre signature. Le maillon faible de la signature numérique est qu'elle

peut effectivement être "imitée" dès lors qu'un tiers a la possibilité d'utiliser les moyens de création de

signature d'une personne (avoir accès à son ordinateur ou à sa carte de signature, etc).

Tout comme il est d'usage pour les moyens de paiement (carte bancaire, chéquier), il faut faire en sorte

que ses moyens de signature ne puissent être détournés par un tiers. Si cela est le cas, et que le

certificat de signature n'a pas été révoqué, il est à craindre que le préjudice reste à la charge du titulaire

du certificat.

Hors le détournement des outils de signature, la falsification de signature électronique sera en pratique

très rare car considérablement plus compliquée à mettre en œuvre que s'agissant d'une signature

manuscrite : c'est bien pour cette raison que les prestataires qui fournissent des moyens de signature

électronique se voient obligés par les textes à des exigences sévères en matière de sécurité et de choix

de leur personnel.

Se fier à une signature électronique revêt une portée tout à fait différente de l'utilisation d'une signature

électronique. Cela signifie tout d'abord se fier à un tiers de "confiance", qui a fourni au signataire de

l'acte que l'on est censé accepter des moyens techniques pour apposer sa signature, et qui lui a délivré

un certificat en s'étant préalablement assuré de son identité. C'est sur ce tiers que repose la confiance

de ceux qui se fient à une signature électronique et c'est pour cette raison que les textes européens, et

bientôt les textes français, mettent à sa charge une responsabilité aggravée.



S'agissant d'un particulier, les occasions les plus courantes qu'il aura d'être en position de se fier à une

signature électronique seront :

- La vérification de l'accusé de réception envoyé par l'entreprise à laquelle il aura passé un

ordre, ou une commande,

- La vérification de la qualité d'un interlocuteur, par exemple dans les cas d'accès à une

profession réglementée (avocat, médecin, expert-comptable).

Compte tenu de l'impossibilité pour le récepteur d'un message signé de vérifier de façon détaillée la

fiabilité du tiers qui a fourni les moyens de signature, il est vraisemblable qu'on le considérera comme

dégagé de toute responsabilité s'il s'est fié à tort à un message signé dès lors qu'il a pris soin de

respecter les étapes suivantes :

- Vérifier que le certificat électronique utilisé est en vigueur, et n'a pas été révoqué,

- Vérifier que les limites d'utilisation éventuellement portées sur le certificat ne sont pas

dépassées.

Il n'est donc pas plus dangereux d'accepter un document signé numériquement qu'un document papier

portant une signature manuscrite envoyée par courrier.



II. La signature électronique en détail

A. Les acteurs de la signature électronique

Plusieurs acteurs sont nécessaires au bon fonctionnement de la signature électronique, que ce soit pour

le processus de certification, pour la signature elle-même ou pour l’élaboration des standards de la

signature.

Parmi eux, les principaux sont le signataire, les tiers de confiance et l’Etat.

1. Le signataire

Le signataire est la personne physique ou morale qui va accepter les termes du contrat en y apposant sa

signature.

Il est l’acteur principal de la signature électronique.

2. Le tiers de confiance

Le Tiers de Confiance Numérique est un acteur du développement de la confiance dans le monde

numérique. Il intervient dans la protection de l’identité, des documents, des transactions et de la

mémoire numérique. Il engage sa responsabilité juridique dans les opérations qu’il effectue pour le

compte de son client.

Dans le processus de signature électronique, on identifie trois types de tiers de confiance :

- L’autorité de certification

- L’autorité d'enregistrement

- L’opérateur de certification

Les Autorités de Certification « Une autorité de certification est une société ou un service administratif chargé de créer, de délivrer et

de gérer des certificats électroniques. L’autorité de certification est un prestataire qui produit des

certificats pour le compte d'utilisateurs. Lorsque ce prestataire est une entreprise privée, il

commercialise les certificats produits. Lorsque le prestataire est une autorité administrative, il les

délivre à ses agents.

L’autorité de certification signe le certificat (avec sa propre clé privée) garantissant ainsi l'intégrité du

certificat et la véracité des informations contenues dans les certificats qu’elle émet.

L’autorité de certification assure le lien entre l’utilisateur (le futur signataire) et le certificat qu’elle va

émettre pour lui en s’assurant préalablement, par l’examen de pièces d’identité et le cas échéant, selon

le niveau de sécurité, par une rencontre en face-à-face de la véracité des informations fournies par le

demandeur du certificat. »

Source : www.marche-public.fr

Elle doit répondre à des procédures d’audit annuelles strictes définies par l’Etat pour avoir

l’autorisation de délivrer des certificats.

Les autorités d’enregistrement « Une autorité d’enregistrement représente le point de contact entre l’utilisateur et l’autorité de

certification. Un utilisateur souhaitant obtenir un certificat se fait connaître et effectue sa demande

auprès d’une autorité d’enregistrement.

L’enregistrement d’un utilisateur n’a lieu qu’après la vérification d’informations propres au

demandeur de certificat. Le type des informations vérifiées dépend de la politique de certification mise

en œuvre. Ces informations peuvent être la preuve de l’identité du demandeur, la preuve de possession



de la clé privée correspondant à la clé publique à certifier, une autorisation de demande de certificat,

une preuve de la fonction occupée par le demandeur, etc.

Une fois ces informations vérifiées, l’enregistrement est effectué et seules les informations nécessaires

à la certification sont communiquées à l’autorité de certification. »

Source : www.securite-informatique.gouv.fr

L’opérateur de certification L’opérateur de certification assure la gestion et la fourniture des certificats électroniques. Il doit mettre

en place une plateforme technique sécurisée pour cela et être conforme aux exigences citées dans la

politique de certification.

La politique de certification est l’ensemble des règles qui définissent les exigences auxquelles se

conforme l’autorité de certification dans le processus d’attribution des certificats.

3. L’Etat

Dans le cadre de la signature électronique, l’Etat a pour rôle de s’assurer à travers des audits annuels

que les Autorités de Certification respectent toutes les exigences requises pour délivrer des certificats.

B. Le fonctionnement de la signature électronique

1. Les éléments de la signature électronique

Pour pouvoir signer un document électroniquement, des éléments sont indispensables pour attester de

l’intégrité du document. D’autres sont quant à eux facultatifs, mais apportent des informations

supplémentaires.

Leur intégration dans la signature dépend de l’utilisation et de l’obligation légale en fonction du

contexte.

Les éléments de base Bien que la technologie une nouveauté dans le processus de signature, on s’aperçoit que les éléments

pour réaliser une signature électroniquement sont les mêmes que pour une signature manuscrite :

- Un signataire qui va marquer son engagement sur les termes du document à signer,

- Un document à signer,

- Un instrument pour réaliser la signature,

- Un secret connu uniquement du signataire pour réaliser la signature.



Figure 1 – Différences entre la signature électronique et manuscrite

Les éléments facultatifs Des éléments complémentaires peuvent être apportés dans chaque signature :

- La chaîne de confiance complète du certificat qui permet de remonter jusqu’à l’identité qui a

certifié le signataire,

- Le jeton d’horodatage qui précise la date et l’heure de réalisation du certificat,

- Une preuve de validité du certificat qui garantit que le certificat n’est pas périmé.

En fonction du contexte, il peut être intéressant, voire nécessaire, d’ajouter des éléments

complémentaires à la signature.

Par exemple, dans le cas d’une création graphique ou intellectuelle, il peut être judicieux d’y ajouter

un jeton d’horodatage dans le cas de devis ou propositions commerciales.

Pour tout ce qui concerne les échanges inter administrations ou entre administrations et usagers, il est

obligatoire d’y ajouter un horodatage.

2. Les certificats

Afin de répondre à différentes attentes du marché Français, le RGS a défini plusieurs degrés de

sécurité dans la création de certificats.

Le contexte définira le certificat à utiliser.

La notation a été faite en attribuant un nombre d’étoiles pour symboliser le degré de sécurité allant de

zéro à trois étoiles.



Le tableau ci-dessous résume les différents certificats possibles et leurs conditions d’attribution.

Certificats de personnes physiques Certificat de

personne morale

0 * ** ***

Signature simple Signature simple Signature

électronique

sécurisée

Signature

électronique

présumée fiable

Signature

électronique

personne morale

certificat

remis

dans des

conditions

définies par

son

producteur

Certificat remis

sans face à face,

mais sur la base

d’un dossier

d’enregistrement

contenant une

pièce d’identité

Certificat remis

après un face a

face avant ou lors

de la remise

Certificat remis

avec face à face

sur un matériel

certifié conforme

au décret 2001-

272

Certificat « cachet

serveur » remis au

représentant de

l’organisation

3. La génération des certificats, le schéma de la confiance

La signature électronique est au cœur de la confiance numérique.

C’est elle qui a la charge de garantir la notion de confiance dans les échanges numériques en

garantissant l’intégrité de la personne qui signe le document.

Pour établir cette confiance, un processus strict définit comment les certificats doivent être générés et

délivrés.

On appelle ce processus la chaîne de confiance.

Dans ce processus, les acteurs qui ont un rôle majeur sont le signataire, l’Autorité de certification et

l’Etat.

Si l’on part du document signé, celui-ci est garanti fiable par la signature apposée par le signataire.

Le signataire est lui-même fiable de par son certificat qui lui a été délivré par une Autorité de

Certification.

L’Autorité de certification, rappelons-le, est le tiers de confiance qui a généré le certificat en le signant

avec sa propre clé privée pour garantir l’intégrité du certificat et la véracité des informations qu’elle

contient.

Enfin l’Autorité de certification est soumise à des audits annuels mis en place et contrôlés par

l’organisme de contrôle : l’Etat.

C’est donc finalement l’Etat qui se porte garant de l’identité numérique à travers la chaîne de

confiance.

L’ajout d’une convention de preuve au processus de signature ajoute un niveau supplémentaire en

termes de confiance.



Figure 2 – Le schéma de certification

4. La valeur des certificats

Le certificat généré va dépendre de l’identité de la personne qui demande à être certifiée et dans

chaque cas l’engagement qui sera porté par l’apposition de la signature variera.

On trouve trois situations pour lesquelles la portée de l’engagement changera :

- La demande est faite par une personne physique : ce cas est le plus simple car le certificat

généré n’engagera que la personne qui en fait la demande. Seules les informations la

concernant sont demandées.

- La demande est faite par une personne physique dans le cadre professionnel : dans cette

situation, l’apposition du certificat engage la personne physique dans le cadre de ses activités

professionnelles qui par ce biais engage également la personne morale qui lui est rattachée.

Dans ce cas de figure, les informations sur la personne physique ou morale sont demandées.

- La demande est faite pour une personne morale : le certificat engage la personne morale

lorsque la signature sera apposée. Néanmoins, il faudra également que la personne physique

signe le document avec sa signature en même temps qu’elle apposera la signature de la

personne morale.

Les informations demandées pour la génération de ce certificat sont celles de la personne

morale.

5. Le fonctionnement : point de vue technique

La Signature Electronique : un système asymétrique Afin de garantir un fonctionnement sécurisé, la signature électronique repose sur un système dit

asymétrique, fonctionnant avec une clé publique et privée dont chacune à un usage à sens unique.

Le jeu de clé publique et privée est généré à l’aide d’un logiciel de cryptographie qui va utiliser un

nombre aléatoire pour créer le jeu de clés. La personne ayant généré ces clés va donc pouvoir diffuser

la clé publique aux personnes externes et conservera précieusement sa clé privée.

Il est possible d’utiliser ces clés de deux manières possibles.

La première est pour encrypter un message.

L’émetteur du message désire que seul le destinataire du message puisse décrypter le message.

Dans ce cas, l’émetteur va encrypter le message avec la clé publique du destinataire et lui transmettre

afin qu’il le décrypte avec sa clé privée. Dans ce cas, il n’y a que le destinataire, seul détenteur de la

clé privée, qui pourra lire le message.



Le cas qui concerne la signature électronique est le deuxième, celui qui permet de vérifier un message.

L’émetteur du message désire que l’intégrité de son message soit conservée et que tous ses

destinataires puissent la vérifier.

Dans ce cas il va encrypter le message avec sa clé privée et va distribuer sa clé publique avec son

message pour que le destinataire puisse le décrypter, ce qui assure au destinataire l’intégrité de la

personne ayant émis le message.

Dans le cas de la signature électronique on ne va pas encrypter le document directement mais un

condensé de celui-ci comme expliqué dans la partie ci-après.

L’étape de signature Les étapes réalisées lorsque le signataire clique sur le bouton « signer » :

- Le document à signer est haché pour obtenir un condensé,

- Le résultat obtenu est utilisé avec la clé privée pour obtenir la signature via un calcul

mathématique (RSA),

- La signature obtenue est jointe au document avec le certificat pour permettre sa vérification.

Figure 3 –Les étapes de la signature

L’étape de vérification Les étapes de vérification d’un document sont :

- Le document est séparé de la signature qui lui est liée,

- La clé publique est extraite du certificat pour effectuer le calcul RSA inverse pour obtenir le

condensé initialement signé,

- Il effectue le calcul du condensé du document initial,

- Il compare les deux condensés obtenus pour vérifier qu’ils sont bien identiques.

Les formats de signature On compte trois différents formats majeurs de signature électronique :

- XAdES (XML Advanced Electronic Signature),

- CAdES (CMS Advanced Electronic Signature),

- PAdES (PDF Advanced Electronic Signature).

Le format XAdES est un format de stockage des signatures électroniques.

Celui-ci peut être indépendant des documents signés et dans ce cas il fera l’objet d’un fichier XML qui

sera joint séparément du document.



L’avantage de ce format est que le document signé peut être de n’importe quel format et dans le cas où

il s’agit d’un document XML, il peut être inclus dans le document signé.

En revanche, aucun élément graphique ne permet de voir s’il y a la présence d’une signature.

Pour le format CadES, il est possible de créer des signatures dites « détachées », c’est-à-dire qu’elle

sera transmise séparément du document signé, tout comme le format XadES. Il faudra, dans ce cas

envoyer simultanément la signature et le document qui pourra être lu nativement par n’importe quel

logiciel associé.

Ou bien de créer des signatures dites « opaques » et dans ce cas seule une « enveloppe » contenant le

document signé et la signature sera envoyée en une fois. L’inconvénient de cette solution est que sans

outil pour extraire le document de « l’enveloppe », celui-ci ne peut pas être lu directement.

L’avantage de ce format est qu’il est possible de signer le document par plusieurs signataires, on

parlera alors de co-signature. Mais tout comme le format XadES, aucun élément graphique ne permet

de voir la présence d’une signature.

Enfin, le format PadES est un format qui étend le format CadES puisqu’il a la particularité de pouvoir

également signer plusieurs fois le document à la différence qu’à chaque nouvelle signature, on va

également signer les signatures précédentes, il s’agit alors de contre-signature.

C’est le format qui est utilisé pour signer les documents PDF.

Il existe d’autres formats de signatures comme le PKCS #7, CMS, S/MIME, XML-Dsig et le PDF

signature mais ils sont moins utilisés que les trois premiers et ne seront pas détaillés dans le cadre de

ce mémoire.

Il n’y a donc pas un format plus répandu qu’un autre ou à préférer. Le choix du format de signature va

dépendre de son contexte d’utilisation.

Il dépendra du contexte métier dans lequel est produit la signature, du type de données à signer selon

que le document est structuré comme un XML ou comme un PDF. Mais aussi du type et de

l’équipement du destinataire car il doit pouvoir vérifier la signature avec l’équipement dont il dispose.

6. Le fonctionnement : point de vue fonctionnel

Il existe différentes manières de signer un document.

Tout dépend des éléments que le signataire a en sa possession et des moyens dont il dispose pour

signer.

De manière autonome Le signataire qui désire signer un document de manière autonome doit avoir en sa possession tous les

éléments nécessaires à sa réalisation.

Pour commencer il devra disposer de son certificat ainsi que du document à signer.

A l’aide d’un outil de signature qu’il aura au préalable installé sur la machine utilisateur, il pourra

procéder à la signature du document.

Ce document, une fois signé, sera envoyé au destinataire souhaité.

Via une applet Dans ce cas de figure, le signataire n’a besoin d’avoir en sa possession que de son certificat et le

document à signer.

Il utilisera un service de signature mis à disposition d’un tiers pour signer son document.

Dit « a la volée » Le signataire ne dispose d’aucun élément, il va donc utiliser un service tiers pour signer le document.



Ce même tiers va générer à la volée un certificat à usage unique qui sera utilisé pour signer le

document.

Un moyen d’authentification fiabilisé doit cependant être mis en place pour identifier de manière

fiable le signataire afin de prouver son identité comme la saisie d’un code reçu sur son numéro de

téléphone portable par exemple.

Par carte à puce virtuelle Pour signer un document via carte à puce virtuelle, le procédé est le même que pour la signature « à la

volée », le signataire ne dispose d’aucun élément autre que son document et va utiliser le service tiers

pour le signer.

La seule différence réside dans la création du certificat. Celui-ci ne sera pas dans ce cas généré à la

volée mais en amont du processus de signature et sera stocké sur un serveur.

7. Les architectures de mise en œuvre

Le fait de pouvoir signer de différentes manières un document entraine des architectures différentes en

fonction des situations dont en voici la liste :

Figure 4 – Architectures de mise en œuvre



8. Les besoins connexes à la signature électronique

L’objectif de la signature électronique est d’une part de pouvoir vérifier l’intégrité d’une personne sur

un document mais aussi de faire perdurer cette validité.

Pour cela des besoins liés à la signature électronique existent comme le besoin de conservation, rendus

possible via l’archivage électronique (cf. Mémoire « G, les coffres forts numériques (cf. Mémoire « Le

coffre-fort numérique »).

L’autre besoin est la notion d’horodatage, la signature d’un document peut être suffisante mais

horodater le moment de la signature peut être judicieux, voire obligatoire, ne serait-ce que pour faire

référence aux textes et normes qui s’appliquent au document au moment de la signature.

Enfin le dernier besoin, qui lui est plus évident, est de disposer d’outils de vérification de la signature

d’un document aujourd’hui mais doit également tenir une rétrocompatibilité sur l’ensemble des

formats ayant existé et cela est valable aujourd’hui mais également dans le futur.

C. Les risques de la signature électronique

Bien que la signature électronique soit un procédé bien plus fiable que la signature manuscrite, il n’en

réside pas moins des risques à prendre en compte.

Au même titre que la carte bleue, dès lors que l’on met en jeu l’intégrité d’une personne, que le

procédé soit portatif ou reproductible, on s’expose à des risques d’usurpation d’identité (cf. Mémoire

« Usurpation d’identité »).

Le premier risque est lié au vol ou la copie du moyen du certificat de signature. Une personne ayant

dérobé le certificat d’autrui peut s’en servir de la même manière que son détenteur légitime et peut

signer des documents en engageant son identité.

Toujours pour faire un lien avec la carte bleue, il est possible de déclarer son certificat volé.

Le second point concerne la falsification de certificat. Ce risque qui reste assez faible grâce à la

complexité pour produire un certificat, est tout de même possible dès lors que l’on possède le procédé

de création du certificat ainsi que la chaîne ayant servi de base pour le produire.

Ce risque est réduit par le fait que les certificats sont générés par des autorités sous contrôle comme

expliqué précédemment.

De plus, un certificat n’a pas une durée de validité illimitée dans le temps, la durée légale étant de

deux ans pour un certificat.

Le but de cette limite de validité est d’éviter les risques de perte de certificat ou de vol lié à une

négligence de sécurisation.

Pour plus de détails concernant l’usurpation d’identité, se référer à la partie traitant de l’usurpation

d’identité (cf. Mémoire « Usurpation d’identité »).



D. L’utilisation de la signature électronique aujourd’hui

1. Une vision utilisateur

La notion de confiance dans le procédé de signature électronique est un sujet sensible car le succès de

la démocratisation de celle-ci dépend entièrement de l’adhésion de l’utilisateur.

Le frein à sa mise en place le plus flagrant vient du fait que l’on passe d’un élément visible, tactile, à

un élément dématérialisé, intangible.

On ajoute donc de plus en plus dans les procédés de signature électronique un élément graphique au

document, que l’utilisateur pourra voir s’il imprime son document comme une signature graphique ou

un texte indiquant que le document a été signé.

Néanmoins cet élément n’apporte aucune valeur à la signature du document, il n’est là que pour

rassurer l’utilisateur, lui faire accepter le fait que la signature électronique est aussi sécurisée et

possède la même valeur que la signature manuscrite.

On observe également chez les organismes ayant mis en place la signature électronique, que ce soit

dans l’administration, dans le domaine de l’assurance, etc… que la tendance va à la simplification du

processus pour l’utilisateur.

On désire faire adhérer l’utilisateur au processus, lui simplifier son utilisation.

Pour cela une politique d’intégration de la signature électronique au processus métier est de plus en

plus présente et son importance n’est pas négligée.

Une première bonne pratique consiste donc de la part des organisations à intégrer de manière

automatique les informations signées dans le SI. Cela bénéficie d’une part à leurs systèmes

d’informations qui pourront améliorer leur gestion et d’autre part aux utilisateurs qui n’ont plus

forcément besoin de réécrire leurs informations.

Une seconde bonne pratique consiste à éviter au maximum aux utilisateurs de devoir ajouter des outils

supplémentaires, qu’ils soient gratuits ou non, pour lire et visualiser le document et leur signature. Les

outils tels qu’Adobe Reader, les suites bureautiques ou boites mails doivent suffire.

2. L’exemple de la signature électronique dans le processus de souscription

d’assurance emprunteur

Bruno Queste et Marc Menget, respectivement chef de projet et technicien sur le projet d’intégration

de la signature électronique dans le processus d’assurance emprunteur ont décrit comment la signature

électronique a été mise en place au sein de CNP Assurances.

La CNP est la première à avoir intégré la signature dans l’assurance emprunteur.



Point de vue fonctionnel

Figure 5 – Fonctionnement de la signature électronique à la CNP

Pour la CNP, le mode de fonctionnement qui a été adopté pour la génération des certificats est celui

par carte à puce pour la signature car le certificat est stocké sur un serveur, et on fait appel au service

du tiers de confiance pour signer le document.

De plus, il utilise le système « à la volée » pour la signature côté client. Le tiers de confiance va donc

générer un certificat éphémère pour apposer la signature client.

Les éléments complémentaires Pour valider un document d’assurance emprunteur, il a été obligatoire d’y ajouter un élément

complémentaire : la convention de preuve.

Cette convention de preuve contient le parcours utilisateur afin de retracer le chemin qui a été fait sur

la plateforme de souscription afin de valider que l’utilisateur a bien accepté tous les termes du contrat

qui lui a été présenté.

Le tiers de confiance, un gage de confiance Dans ce processus de souscription, un tiers de confiance est appelé pour réaliser l’apposition de

signature.

On voit bien que le document, une fois signé par l’assureur et affiché à l’écran de l’utilisateur, ne peut

être interféré par l’assureur car le service du tiers signataire est directement appelé depuis l’écran du

navigateur de l’assuré.



Ce procédé est certes, d’une part une obligation légale, mais vise d’autre part à rassurer et renforcer la

notion de confiance de l’utilisateur par l’intervention d’un tiers neutre dans le processus de

souscription.

Le format de signature Les documents à signer étant des fichiers PDF, il a été évident d’utiliser le format PadES qui est

adapté à la signature de documents PDF.

De plus, dans le cadre de l’assurance emprunteur, il y a une double signature : celle de l’assureur et

celle de l’assuré. Le principe de contre signature a donc été appliqué : la signature de l’assureur dans

un premier temps et celle de l’assuré ensuite.

Effectuer la signature dans ce sens, renforce la confiance de l’utilisateur qui visualise un document

déjà signé par l’assureur, avant de donner son accord pour apposer la sienne.

La simplification pour l’utilisateur Les principes décrits précédemment visant à simplifier l’adoption de la signature par l’utilisateur sont

bien présents.

L’utilisateur n’a pas à se préoccuper de générer de certificat pour signer son document puisqu’il est

généré « à la volée ».

De plus, tout le processus utilise les données qu’a rempli précédemment l’utilisateur, que ce soit sur la

plateforme internet de la CNP ou sur celle d’un des partenaires utilisé au préalable, pas besoin de

remplir plusieurs fois les mêmes données.

Enfin, les outils pour visualiser le document sont directement intégrés sur la plateforme, ici il s’agit

d’un plugin mis à disposition par Adobe.

Même si l’utilisateur ne dispose d’aucun outil de visualisation, il pourra quand même finaliser sa

souscription. En revanche, un outil sera nécessaire s’il désire visualiser ses documents une fois

téléchargés.



III. Le cadre juridique

Le cadre juridique est le meilleur moyen pour rétablir la confiance. En effet, sans

lois pour réglementer un sujet, les personnes, les dirigeants, n'ont pas de limite et

peuvent faire ce qu'ils veulent au péril des utilisateurs.

Le système juridique est organisé selon la hiérarchie des normes créée par Hans

Kelsen. Ce système peut être schématisé par une pyramide. Les lois inférieures

doivent être cohérentes avec les lois supérieures.

En bas de cette pyramide, ce sont les lois des Etats (pour les Etats unitaires tel que la France par

exemple) ou les lois des états fédérés (pour les Etats fédéraux comme les Etats-Unis d'Amérique). En

haut de cette pyramide, les traités internationaux règlementent le droit au niveau international. Au

milieu de cette pyramide, et pour l'Europe uniquement, on y retrouvera les lois européennes votées par

le Parlement Européen.

A. La première directive européenne

Une directive européenne est un acte pris par les institutions de l’Union européenne afin de donner des

objectifs à atteindre pour chaque pays membre. Il existe un délai pour permettre aux états membres de

s’adapter. La différence entre une directive et un règlement communautaire est que le règlement

communautaire s’applique totalement soit à une date précise ou à défaut dans les 20 jours après sa

publication au journal officiel.

Le texte fondateur concernant la signature électronique est la directive européenne du 13 décembre

1999. Elle y définit le cadre juridique au niveau européen. Il est donc à la charge de chaque Etat de la

transposer en droit national. Concernant cette directive, les états membres avaient jusqu’au 19 juillet

2001 pour se conformer à celle-ci.

L’objectif de cette directive est défini à l’article 1 et indique qu’elle permet de “faciliter l’utilisation

de la signature électronique et de contribuer à sa reconnaissance juridique”. Elle permet donc de

définir un premier cadre juridique, de confiance, pour les signatures électroniques.

Deux types de signatures sont ainsi reconnus :

- La signature électronique

- La signature électronique avancée

Une définition des deux types de signatures est donnée dans l’article 2 de la directive européenne. Une

signature électronique telle qu’elle est définie, pourra être reconnue devant un tribunal mais elle ne

peut prétendre au même niveau de reconnaissance qu’une signature manuscrite.

La signature électronique avancée sera reconnu au même titre que la signature manuscrite si et

seulement si, elle remplit les trois conditions suivantes :

Elle répond à la définition de l’article 2 :

- “Signature électronique avancée", une signature électronique qui satisfait aux exigences

suivantes:

a) être liée uniquement au signataire;

b) permettre d'identifier le signataire;

c) être créée par des moyens que le signataire puisse garder sous son contrôle

exclusif

d) être liée aux données auxquelles elle se rapporte de telle sorte que toute

modification ultérieure des données soit détectable;

- Elle utilise un dispositif sécurisé de création de la signature certifiée conforme

- Elle utilise un certificat qualifié (qui satisfait aux exigences)



L’Europe, à travers cette directive du 13 décembre 1999, a décrit le cadre communautaire sur la

signature électronique. Celle-ci servira de base pour les pays membres de l’Union Européenne pour y

définir localement la signature électronique.

1. Une initiative européenne

Peu de temps après la directive du 13 décembre 1999, la commission européenne a lancé un groupe de

travail pour une initiative de normalisation : EESSI (European Electronic Signature Standardization

Initiative). Le but de cette initiative était de mettre en forme des documents techniques normatifs.

Deux organismes européens ont fait partie du groupe :

- Le CEN : Le Comité Européen de normalisation

- L’ETSI : l’European Telecommunications Standards Institute

Dans un communiqué fait le 19 juin 2001, Erkki LIIKANEN, membre de la commission européenne,

indique que le risque principal est la fragmentation du marché entre le secteur publique et le secteur

privé. Le but est donc d’implémenter le cadre légal en s’appuyant au maximum sur les solutions

existantes de manière efficiente et rentable.

Il est à noter que depuis le mois d’octobre 2004, ce groupe de travail n’existe plus après la publication

de leurs spécifications. Cependant, l’ETSI et le CEN travaillent toujours en coopération pour produire

des normes dans le domaine des télécommunications (cf. Chapitre « L’European Telecommunications

Standards Institute »).

B. La loi française

Comme dit précédemment, les directives européennes laissent du temps aux

états membres afin de transposer le droit européen dans le droit national. Dans

le cadre de cette directive, c’est la date du 19 juillet 2001 qui a été arrêtée.

Cependant, trois mois après la directive européenne, la France vote un décret

pour déterminer la législation française sur la signature électronique. Ce texte

de loi portant le numéro 2000-230 et daté du 13 mars 2000, adapte le droit

français à propos de la preuve juridique, aux technologies du numérique et

notamment en ce qui concerne la signature électronique. Par la même occasion, le code civil est

modifié : toutes les signatures électroniques sont recevables en justice à partir du moment où elles

assurent l’identification du signataire et l’intégrité du document.

La loi du 13 mars 2000 reconnaît deux types de signatures électroniques, conformément à la directive

européenne :

- La signature électronique simple,

- La signature électronique “présumée fiable”.

La première dispose d’un niveau de reconnaissance juridique faible. C'est-à-dire qu’elle ne peut pas

être refusée devant la justice au titre de preuve mais contrairement à la seconde, elle ne met pas en

place un dispositif sécurisé défini dans la loi. La signature électronique « présumée fiable » s’appelle

ainsi car, la fiabilité du procédé est « présumée fiable » jusqu’à preuve du contraire devant la justice à

condition que la signature électronique soit créée, que l’identité du signataire et du document signé soi

assurée.

Depuis cette loi du mois de mars 2000, différents décrets ont vu le jour. Voici la liste de ces différents

textes :

- le décret n°2001-272 du 30 mars 2001

- le décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité

offerte par les produits et les systèmes des technologies de l’information



- le décret n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique qui

précise le régime de responsabilité des prestataires de services de certification électronique

délivrant des certificats électroniques qualifiés

- l’arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de

services de certification électronique et à l’accréditation des organismes qui procèdent à leur

évaluation.

L’ensemble de ces décrets permet donc de définir le cadre juridique autour de la signature électronique

qui permet une meilleure confiance dans ce système.

1. Le décret 2001-272

Ce décret datant du 30 mars 2001 est très important car il suit la loi du 13 mars 2000 qui, pour rappel,

ne fait qu’adapter le droit français à propos de la preuve juridique et notamment celle de la signature

électronique. Il y définit notamment comment le procédé de signature électronique est présumé fiable.

Pour que la signature électronique soit considérée comme sécurisée, il faut qu’elle :

- soit propre au signataire (tout comme la signature manuscrite),

- soit créée par des moyens que le signataire puisse garder sous son contrôle,

- garantisse que toute modification du document signé puisse être détectée.

Autre élément important, la signature électronique doit être faite grâce à un dispositif sécurisé de

création de signature électronique. Ce dispositif de création de signature est règlementé par la loi et est

certifié par des organismes.

Enfin, un certificat « qualifié » doit être utilisé pour vérifier la signature électronique.

Si toutes ces conditions sont réunies, alors la signature électronique est présumée fiable. C’est-à-dire

qu’elle pourra prétendre au même niveau de reconnaissance qu’une signature manuscrite devant un

tribunal. S’il y a contestation, c’est à la personne qui remet en cause la fiabilité du procédé d’apporter

la preuve de non-fiabilité.

2. Le dispositif sécurisé de création de signature électronique

La notion de dispositif sécurisé de création de signature électronique englobe à la fois le procédé de

création du certificat (la clé publique et la clé privée) et la mise en œuvre technique de la signature du

document. Les exigences pour ce dispositif sont définies dans l’annexe 3 de la directive européenne et

sont aussi reprises dans le décret du 30 mars 2001. Les spécifications techniques sont produites par le

CEN (Comité Européen de Normalisation) et sont présentes dans le document nommé CWA 14169

(CEN Workshop Agreements).

Pour pouvoir bénéficier de la présomption de fiabilité du procédé de signature électronique, le

dispositif de création de la signature électronique doit être certifié. La certification peut se faire de

deux manières différentes :

- Par le 1er Ministre dans certaines conditions (règlementé par le décret n° 2002-535 du 18 avril

2002,

- Par un organisme désigné par les Etats membres.

Un dispositif sécurisé de création de signature électronique doit comporter au minimum :

- La génération de la clé publique et de la clé privée,

- La création de la signature électronique.

Ces fonctions font l’objet de l’obtention d’un certificat de conformité délivré par l’ANSSI.



3. L’ANSSI

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) a été

créée par le décret n°2009-834 au mois de juillet 2009. Cette autorité est

rattachée au Secrétaire Général de la Défense et de la Sécurité Nationale

(SGDSN) qui lui-même est rattaché au Premier ministre. Actuellement, le

directeur de l’ANSSI est Guillaume POUPARD qui a été nommé le 27 mars

2014. L’agence est le fruit de nombreuses fusions d’organismes chargés

d’assurer la sécurité des informations sensibles de l’Etat.

La création de l’ANSSI fait suite à la publication d’un livre blanc nommé

« Livre blanc sur la défense et la sécurité nationale » qui a été publié le 17 juin

2008. Il y est indiqué notamment que « notre (l’Etat et ses services associés) dépendance aux

processus informatiques croit sans cesse avec le développement de la société ». En conséquence,

l’Etat se devait d’avoir une force de réaction aux attaques informatiques et d’en faire une priorité

majeure dans la sécurité nationale. Cependant, la réaction aux attaques ne suffit pas. Il faut aussi

disposer d’une capacité de détection de ces attaques. Elle est ainsi devenue l’autorité nationale la plus

haute et la plus adaptée face à la sécurité et à la défense des systèmes d’informations.

L’ANSSI a ainsi plusieurs missions dont :

- La détection et la réaction face à des attaques informatiques,

- Prévenir la menace en aidant au développement de services de confiance,

- Jouer un rôle de soutien et de soutien aux opérateurs d’importance vitale ainsi qu’aux

administrations,

- Informer régulièrement le public sur les menaces.

Elle se définit ainsi comme « un réservoir de compétences destiné à apporter son expertise et son

assistance technique ».

L’ANSSI a donc dès le départ été pensée pour être une autorité de confiance face au public. C’est dans

ce cadre que l’ANSSI délivre des habilitations aux prestataires de service de certification électronique

(cf. Chapitre « Les prestataires de services de certification électronique »).

4. Le COFRAC

Le COFRAC, ou Comité Français d’Accréditation, est l’unique organisme chargé de délivrer des

accréditations aux organismes délivrant des évaluations de conformité. Il a été créé en 1994 à Paris

sous le statut d’association loi 1901 à but non lucratif par les pouvoirs publics. Son but était de créer

un système compatible aux pratiques européennes mais aussi internationales concernant les

accréditations. Le COFRAC est donc le premier maillon dans la chaine de confiance.

La principale mission de cette association est donc d’attester que les organismes accrédités sont

compétents et impartiaux. Ils peuvent ainsi obtenir l’acceptation de leurs prestations au niveau

mondial. Le COFRAC fait partie de l’organisation européenne EA (European Accreditation) qui elle-

même fait partie de l’ILAC (International Laboratory Accreditation). Le COFRAC, ayant une portée

mondiale, permet ainsi à ses clients de pouvoir bénéficier d’une reconnaissance mondiale. De plus,

cette portée lui permet d’être digne de confiance, non pas juste en France ou en Europe, mais partout

dans le monde. En France, les pouvoirs publics (à l’origine de sa création), les partenaires du

COFRAC ou les clients ont tous une confiance totale dans cet organisme. D’ailleurs, le leitmotiv de ce

dernier est :

« Notre métier consiste à instaurer la confiance. Chaque jour, au COFRAC, nous œuvrons pour la

mériter. »

L’accréditation donne, qu’elle soit obligatoire (à cause d’une loi), ou volontaire, aux entreprises un

avantage concurrentiel qui permettra ainsi un retour sur investissement plus important.



5. Les prestataires de services de certification électronique

Les prestataires de services de certification, aussi appelés prestataires de services de confiance ou

PSC, sont des entreprises mettant en place les infrastructures permettant de gérer les certificats

électroniques. Dans le droit, les mots « prestataires de services de confiance » ou « prestataires de

services de certifications » sont utilisés. Cependant, pour faire le parallèle avec ce qui a été dit plus

haut, on les appelle aussi des tiers de confiance (cf. Chapitre « Le tiers de confiance »).

Il est important de noter que la qualification d’un prestataire de services de confiance est un acte

volontaire de sa part. Il peut permettre une augmentation du chiffre d’affaire grâce à la confiance que

la qualification va générer. Cette qualification ne peut être effectuée que par un organisme accrédité

par le COFRAC et habilité par l’ANSSI. Tout comme pour les audits des normes ISO, la qualification

ne sera approuvée que si aucun écart majeur par rapport aux exigences n’aura été trouvé durant l’audit.

Cette qualification sera valable pendant trois ans à condition qu’un suivi annuel soit réalisé. Encore

une fois, tout est fait pour maintenir un niveau de confiance élevé dans le système de la signature

électronique.

Il existe trois niveaux de sécurité auxquels les prestataires de services de certifications électroniques

doivent répondre : * (une étoile), ** (deux étoiles) et *** (trois étoiles).

Les certificats de premier niveau (*) sont utilisés par des applications où les risques de tentative

d’usurpation d’identité sont moyens.

Pour les certificats de deuxième niveau (**), ils sont utilisés par des applications où les risques de

tentative d’usurpation sont forts.

Enfin, le dernier niveau de sécurité (**), les risques d’usurpation d’identité sont très forts.

Une entité a la possibilité prendre un certificat de niveau supérieur à son besoin pour son application.

Il est bien évident que cette solution aura un cout plus important. Cependant, cela peut aussi permettre

à la société de vendre plus de « confiance » auprès de son client.

Pour connaitre les risques concernant l’usurpation d’identité, se référer au mémoire « Usurpation

d’identité ».

Voici un tableau récapitulatif permettant de voir les différents certificats qu’un prestataire peut vendre

avec son niveau de sécurité associé :

Prestations de services de confiances des PSCE Niveau de sécurité

Certificats électroniques de chiffrement *, **, ***

Certificats électroniques d’authentification *, **, ***

Certificats électroniques de signature électronique *, **, ***

Certificats électroniques d’authentification serveur *, **, ***

Certificats électroniques de cachet *, **, ***

Certificats électroniques d’authentification et de signature *, **



Aujourd’hui, les prestataires de certification électronique jouent beaucoup sur la confiance. En effet,

dans leurs slogans, ce mot et son contexte sont retrouvés régulièrement avec par exemple :

- Certinomis (groupe La Poste) et son slogan : « la confiance ça se prouve »

- ChamberSign France (CCI) et son slogan : « Echangez en toute sécurité »

- MediaCert (groupe Atos Origin) et son slogan : « Trusted & secured certificates »

Afin de ne pas redéfinir ce qui l’a déjà été, voici un schéma permettant de mieux comprendre

comment fonctionne le système dans sa globalité :

Dans cet organigramme présentant la hiérarchie de la confiance, on peut voir que le sommet est

l’Europe. Elle y édite des lois, des règlements ou des directives. En dessous, on y retrouve les Etats

membres. Ici, seule la France est représentée. Elle transpose le droit européen dans le cadre juridique

français. Dans la chaine de confiance, se place ensuite le COFRAC, qui est l’organisme français

permettant d’accréditer (*) des organismes de certifications. Ces organismes de certifications peuvent

être habilités (*) par l’ANSSI. D’après un article datant du 29 mai 2013 sur le site de l’ANSSI, il n’y a

qu’un seul organisme permettant de certifier un prestataire de services de confiance : la société LSTI.

Cette qualification est accordée aux organismes de certifications pour une durée de trois ans.

Les organismes de certifications vont donc certifier les prestataires de services de confiance, aussi

appelé tiers de confiance. Ces derniers vont travailler directement avec les entreprises mettant en place

la signature électronique.

Finalement, on retrouvera le client final qui signera ses documents.

Figure 6 – Schéma de la chaine de confiance



A travers cet organigramme, on peut voir qu’il existe une chaine de confiance. Dans les faits, toutes

les démarches, les marches à suivre, les procédures sont normées et vérifiées par un organisme à un

moment ou à un autre. L’Etat étant tout en haut de cette chaine de confiance, s’il n’existe pas de

confiance dans le gouvernement, qui est quand même à la base des lois qui régissent le procédé de la

signature électronique, alors aucune confiance ne peut être accordée au processus de fabrication.

* : Afin de ne pas confondre « accréditation » et « habilitation », voici une petite explication.

L’accréditation est un jugement sur la conformité d’un service. Ce jugement est fait par un organisme

indépendant. L’habilitation est un acte pris généralement par un ministère (ici, ce sera l’ANSSI) qui

va transformer l’accréditation en une disposition légale et/ou règlementaire. L’habilitation a donc une

valeur juridique. Elle est plus digne de confiance qu’une accréditation qui est uniquement basée sur

un jugement.

6. La vérification juridique

Une étape importante est souvent oubliée lors de la mise en œuvre d’une vérification d’une signature

électronique : la vérification juridique. Cette étape, bien que difficile à mettre en œuvre, dépend

entièrement du contexte de l’application dans laquelle elle est employée. Sa difficulté réside dans le

fait qu’une vérification juridique ne peut être faite automatiquement. Une personne physique, un

humain doit réaliser cette étape manuellement. Il faut savoir qu’aujourd’hui dans certains cas,

lorsqu’une société du secteur privée répond à un appel d’offre du secteur public, la signature

électronique est obligatoire pour répondre à cet appel d’offre. Ceci s’inscrit dans le cadre de la

dématérialisation voulue par l’administration électronique (cf. Mémoire « La dématérialisation » et

« L’administration électronique »)

La vérification juridique consiste donc à vérifier que :

- Le signataire fasse bien partie de l’entreprise,

- Le signataire soit habilité à engager l’entreprise (il peut figurer sur l’extrait K-Bis ou il a reçu

un mandat de délégation de la part d’un responsable).

Dans le cas où un mandat de délégation a été émis, il faut alors vérifier que celui-ci soit conforme au

texte du marché car il peut être limité dans le temps mais aussi par un montant.

Cette vérification n’est pas anodine car elle permet ainsi d’éviter l’usurpation d’identité (cf. Mémoire

« Usurpation d’identité ») et permet d’avoir pleinement confiance dans la réponse à l’appel d’offre.



7. L’European Telecommunications Standards Institute

Après avoir vu le référentiel français en matière de signature électronique, il faut savoir qu’il existe un

autre référentiel, européen cette fois-ci. La principale difficulté pour un

prestataire de service de confiance lorsqu’il est qualifié « RGS v1 » est

de pouvoir être présent sur le marché européen. Le RGS étant un

référentiel français, un pays tel que l’Allemagne disposera d’un autre

cadre, un autre référentiel que le RGS. La confiance d’un référentiel

national s’arrête donc aux frontières du pays qu’il représente.

L’European Telecommunications Standards Institute (ETSI) est un organisme de normalisation

européen présent dans le domaine des télécommunications qui a été créé à la suite de la directive

européenne du 13 décembre 1999. Il est donc un élément important en ce qui concerne la

dématérialisation des documents et tout ce qui va autour. C’est un organisme à but non lucratif dont le

rôle est de créer des normes pour demain. Il est basée à Sophia Antipolis (France) et travaille en

relation avec le CEN (Comité Européen de Normalisation) et le CENELEC (Comité Européen de

Normalisation et ELectronique et en EleCtrotechnique). L’ETSI a réussi à réunir 688 membres issus

de 55 pays du monde incluant aussi bien des opérateurs, des administrations des fournisseurs de

services ou encore des centres de recherche.

Les normes adoptées par l’ETSI (en rapport avec la signature électronique) sont :

- Certificats électroniques :

o ETSI TS 102 042 : Définit les exigences de la politique pour les autorités de

certification délivrant des certificats de clés publiques

o ETSI TS 101 456 : Définit les exigences de la politique pour les autorités de

certification délivrant des certificats qualifiés

o ETSI TS 102 280 : Profil de certificat pour les certificats délivrés qu'à des personnes

physiques

- Signatures électroniques :

o ETSI TS 101 733 : Exigences pour le format de fichier CMS (Cryptographic Message

Syntax)

o ETSI TS 101 903 : Exigences pour le format de fichier XML

o ETSI TS 102 778 : Exigences pour le format de fichier PDF

Il existe deux normes concernant l’horodatage :

o ETSI TS 102 023 : Définit les exigences de la politique pour les autorités d'horodatage

(PSHE)

o ETSI TS 101 861 : Profil de l’horodatage

Toutes ces spécifications permettent d’avoir un groupe de travail au niveau européen afin de générer

de la confiance à un niveau supérieur à la France. La plupart de ces spécifications sont à la base des

différents référentiels présents dans les pays membres de l’Union Européenne. Ainsi, le référentiel

français (décrit ci-après) n’hésite pas à y faire des références.



8. Le Référentiel Général de Sécurité

Le RGS et la fonction de sécurité « Signature » En pratique, n’importe quelle entité, physique ou morale, a la

possibilité de créer des certificats pour les signatures électroniques. La

question qui se pose alors, est : A qui faire confiance pour mon

application de signature électronique ? Il faut savoir qu’en France, il

n’existe pas un texte, une loi ou un référentiel qui règlemente la

signature électronique, qui impose une façon de faire. En 2010,

l’ANSII publie un référentiel : le Référentiel Général de Sécurité (le

RGS). Ce document est un recueil de bonnes pratiques et n’est à la base pas destiné aux entreprises du

secteur privée. Par contre, elle est une obligation pour les administrations de l’Etat français (cf.

Mémoire « L’administration électronique »). Cependant, comme le RGS définit un cadre pour la

signature électronique et que les entreprises n’aiment généralement pas le vide juridique (comment

vendre de la confiance auprès de ces clients autrement ?), le RGS est finalement rapidement devenu la

référence dans le secteur privé. Ainsi beaucoup de prestataires de services de confiance sont certifiés

RGS v1. Une version 2 est aujourd’hui en cours de rédaction.

Le club PSCO est une association loi de 1901 à but non lucratif qui regroupe plusieurs acteurs français

intervenant dans le domaine des infrastructures PKI, de la signature électronique et de l’horodatage.

Ce sont des prestataires de services de confiance qui sont membres de cette association. Un document

a été écrit par cette dernière où il est indiqué qu’avant le label « RGS », il existait un autre label de

confiance nommé « PRIS ». Ce label historique a été remplacé par le « RGS » en 2013. Cependant,

aucune information n’a pu être trouvée concernant cet ancien label de confiance.

L’annexe 3 du RGS contient toute une série de bonnes pratiques concernant la vérification de la

signature électronique. Cette annexe rappelle notamment que la signature électronique est l’une des

fonctions de sécurité permettant de la confiance dans les échanges dématérialisés. Il existe différents

types de relations couvertes par la signature électronique qui sont indiquées dans cette annexe. Enfin,

celle-ci rappelle qu’elle regroupe toutes les règles de sécurité applicables pour les différents

« composants » nécessaire à la mise en œuvre de la signature électronique :

- Les bi-clés ainsi que le certificat électronique (qui sert à l’authentification),

- Le dispositif d’authentification,

- Le module de vérification d’authentification,

- L’application d’authentification.

Dans les administrations française, une des exigences est donc de se voir délivrer un certificat ainsi

que les bi-clés par un prestataire de service de confiance qualifié RGS v1. Lors de la réception d’un

certificat, il convient de vérifier qu’il contient une indication d’usage conforme à ce qui est attendu

(les niveaux de sécurité *, ** et *** ne permettent pas d’utiliser la même application), qu’il soit valide

et non révoqué et finalement qu’il a une chaine de certification qui est correcte à tous les niveaux. Ce

dernier point n’est pas forcément facile à vérifier pour une société car elle n’en a souvent ni le temps

ni les compétences (cf. Chapitre « La vérification juridique »).

Le RGS étant à la base de la confiance, avant d’acheter un certificat, il est nécessaire de vérifier que le

PSC est bien conforme au référentiel. Pour effectuer cette vérification, il faut se renseigner auprès de

la société délivrant le certificat souhaité pour voir la qualification. Sinon, il existe une autre manière

plus simple et plus rapide qui consiste à vérifier la liste des prestataires de service de confiance

disponible sur le site de la seule société habilitée par l’ANSSI à qualifier des prestataires de services :

http://www.lsti-certification.fr/images/liste_entreprise/RGS

Il est à noter que la mise en œuvre d’un procédé de signature électronique qui respecte les exigences

du niveau de sécurité *** permet de bénéficier de la présomption de fiabilité du procédé de signature

telle que l’article 1316-4 du code civil le prévoit :

http://www.lsti-certification.fr/images/liste_entreprise/RGS



La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle

manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est

apposée par un officier public, elle confère l'authenticité à l'acte.

Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification

garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est

présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du

signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en

Conseil d'Etat.

Pour bénéficier d’un niveau de confiance élevé, il est donc fortement recommandé d’utiliser un

certificat dont le niveau de sécurité est ***.

L’horodatage L’horodatage permet d’attester qu’une donnée existe à un instant donné. C’est bien souvent une option

dans le système de signature électronique (cf. Chapitre « Les éléments facultatifs »). Elle ne revêt pas

de caractère obligatoire vis-à-vis de la loi. Elle reste cependant règlementée.

Le RGS a défini une annexe (RGS_A_12) correspondant à l’horodatage. Les prestataires de services

d’horodatage électronique ou PSHE y sont définis. Mais son but second est aussi de renseigner les

usagers et agents et promoteurs d’applications qu’une marque de temps peut être apposée sur des

documents électroniques.

Contrairement aux certificats électroniques qui sont composés de trois niveaux de sécurité (*, ** et

***), ici l’horodatage ne contient qu’un seul niveau de sécurité. Et de la même manière que pour les

prestataires de services de certifications, la qualification se fait de manière volontaire. Elle est

cependant fortement recommandée pour générer de la confiance et, encore une fois, avoir la possibilité

d’augmenter son chiffre d’affaire.

La marque de temps apposée sur le document signé est au format universel UTC (Coordinated

Universal Time). C’est une échelle de temps que la plupart des pays du monde connait et utilise. Ce

système permet donc à tous les pays d’avoir une même référence concernant la confiance dans le

principe de l’horodatage.

Les clés privées utilisées pour générer les marques de temps sont gérées par les Autorités d’horodatage

et elles en sont entièrement responsables conformément aux exigences de l’annexe 12 du RGS.

La confiance en l’horodatage se fait de deux manières. La première repose sur les éléments techniques

tels qu’ils sont décrits dans l’annexe du RGS. La seconde manière concerne les règles de gestion qui

sont présentées dans la politique d’horodatage des prestataires. Elle présente aux utilisateurs les

engagements que prend l’autorité d’horodatage en ce qui concerne la sécurité mais aussi les moyens

mis en œuvre pour tenir ces engagements. Ce document est très important puisqu’il incarne le niveau

de confiance que peut atteindre le service d’horodatage. Avant de souscrire à ce service, il est donc

important de lire ces engagements.



9. L’avenir de la confiance européenne : le mandat M460

Après la création de l’EESSI (cf. Chapitre « Une initiative européenne »), suite à la directive

européenne, le travail pour une standardisation au niveau européen continue. La commission

européenne a adopté en 2008, un plan d’action pour la signature électronique et « l’eIdentification »

(l’identification électronique) qui consiste entre autre à :

- Disposer d’une liste de confiance (« Trusted List ») des prestataires de services de confiance

au niveau européen,

- Fournir des conseils pour permettre une signature électronique interopérable.

L’objectif de ce mandat est donc de mettre à jour les standards existants à propos de la signature

électronique. Cette mise à jour est importante dans la confiance que l’on peut avoir dans les acteurs de

la signature électronique. En effet, cela montre qu’il y a une volonté de la part des instances

gouvernementales de maintenir un cadre légal autour de la signature électronique. Ainsi, les lois

évoluant, la confiance envers les acteurs de la signature électronique reste inchangée.

Figure 7 – Vu d’ensemble des lois européennes

Ce schéma montre la hiérarchie des lois. Tout en haut, se trouve la directive européenne du 13

décembre 1999. Toutes les lois découlent finalement de celle-ci. La décision « 2003/511/EC » n’a pas

été évoquée ici car il s’agit d’un texte visant à encadrer la nomenclature des normes. Elle n’apporte

finalement rien de concret concernant la confiance dans la signature électronique. Beaucoup de

spécifications viennent directement soit du CEN soit de l’ETSI.



Il existe différents formats de signature électronique (cf. Chapitre « Le format de signature »). Il est à

noter que l’ETSI et l’ISO (l’organisation internationale de normalisation) ont travaillé ensemble pour

établir une norme concernant les formats de signature électronique sous un standard ISO.

Il existe un obstacle majeur dans la signature électronique : la durée de conservation. En effet, le

document signé numériquement peut avoir un cycle de vie supérieur à la durée légale de conservation.

Pour pallier à ce problème, ISO a fait deux normes : ISO 14533 (Processus, éléments d'informations et

documents dans le commerce, l'industrie et l'administration – Profils de signature à long terme)

- ISO 14533-1:2012 définit un cadre pour le format CMS

- ISO 14533-2 :2012 définit un cadre pour le format XML

Ces deux chapitres de la norme fournissent un cadre pour permettre d’avoir une durée de conservation

plus longue que la durée légale. Ainsi, une entreprise se certifiant ISO 14533 disposera d’un avantage

concurrentiel plus important qu’une entreprise n’étant pas certifiée.

De plus, pour permettre une confiance mondiale, les députés européens travaillant sur ce mandat sont

pleinement conscients de l’importance de la place des organisations de normalisations internationales

tels que l’ISO, OASIS (Organization for the Advancement of Structured Information Standards) ou

encore le W3C (World Wide Web Consortium). D’ailleurs, afin d’assurer une interopérabilité

mondiale, les normes CEI, UIT ou ISO sont utilisées.

Ce mandat qui devrait être opérationnel au mois de juillet 2015 permettra à tous les acteurs des pays

membres d’être présents sur le marché européen et en toute confiance.



C. A l’étranger

A l’étranger et dans la plupart des pays étrangers, la signature électronique est reconnue d’un point de

vue juridique au même titre qu’une signature manuscrite.

1. En Belgique

La Belgique étant un pays faisant partie de l’Union européenne, a dû se conformer à la première

directive européenne concernant la signature électronique. La première transposition du décret

européen date du 29 septembre 2001 et définit les règles de la signature électronique. Il existe un

arrêté royal datant du 6 décembre 2002 qui organise et contrôle l’accréditation des prestataires des

services de certification qui délivrent des certificats qualifiés. Ce document est à la base du système

actuel concernant la signature électronique. Le contrôle des prestataires de services de confiance est

réalisé par le SPF Economie (le Service Public Fédéral Economie) qui peut à tout moment vérifier la

conformité aux prescriptions légales.

Le SPF Economie est le service public fédéral chargé d’administrer les aspects économiques du pays.

Ce ministère est notamment chargé de la protection des consommateurs et va contrôler et accréditer les

produits mis sur le marché. Sa mission de contrôle ne concerne que les prestataires de services de

certifications. Il faut cependant savoir que l’accréditation n’est pas obligatoire. En effet, elle ne se fait

que sur la base du volontariat en remplissant un simple formulaire. Cette accréditation n’apporte

aucune valeur légale supplémentaire. Il n’existe qu’un seul organisme chargé d’accréditer les

prestataires de services de confiance : BE.SIGN.

Il faut savoir aussi que la Belgique est le premier pays à être passé à la carte d’identité électronique.

Elle est disponible depuis 2002. Cette carte d’identité contient une puce qui elle-même contient bien

évidement des données personnelles tel qu’une photo, le nom, le prénom, la signature, le numéro de

carte, la profession, la composition de son ménage, …. Autant d’informations qu’il vaut mieux éviter

de se faire voler (cf. Mémoire « Usurpation d’identité »).

La carte d’identité permet notamment de signer des documents. Elle contient toutes les informations

nécessaires pour pouvoir le faire. Il existe un service, mis en place par le gouvernement, permettant

de :

- Signer un document,

- Vérifier une signature,

- Vérifier un certificat.



Lorsque l’on souhaite signer un document, le site affiche un avertissement légal permettant de mettre

en confiance l’utilisateur. Il y est indiqué que tout ce qui sera fait sur ce site est conforme aux lois en

vigueur dans le pays belge. Un bouton « Test de compatibilité eID » (la carte d’identité électronique)

permet de tester que le site peut communiquer avec l’eID. La signature électronique d’un document

par ce service peut ainsi être vue comme un gage de confiance dû au fait que la carte d’identité de la

personne est directement utilisée pour signer. Dans le cas où il s’agit d’une carte d’identité volée, la

confiance n’existe plus. Mais il s’agit maintenant d’une usurpation d’identité et cela dépasse le cadre

de ce mémoire (cf. Mémoire « Usurpation d’identité »).

2. Les États-Unis

Aux États-Unis, la signature électronique est été rendue légale grâce à deux lois : UETA (1999) et l’E-

SIGN Act (2000). Bien que ces deux textes contiennent des informations communes, la plus grande

différence réside dans la gouvernance. L’E-SIGN Act est une loi fédérale impliquant toutes les

personnes faisant du commerce électronique dans les cinquante états fédéraux tandis que l’UETA a été

adoptée état par état. Chaque état fédéral a la possibilité d’accepter ou de rejeter des lignes composant

l’UETA. Cependant, en cas de conflit entre ces deux textes, ce sera la loi de l’Etat qui prévaudra

(l’UETA). Toutefois, l’E-SIGN Act précise que même si les lois des Etats n’ont pas à se conformer

exactement à la loi fédérale, ils doivent fournir une protection équivalente pour les contrats

électroniques et les signatures. En 2011, l’UETA a été adoptée dans 47 états. Seuls les états de

Washington, de l’Illinois et de New-York n’ont pas adopté ce texte. Cependant, ces états ne sont pas

restés à l’âge de pierre et ont en fait adopté des textes différents en faveur de la signature électronique :

- Dans l’état de Washington, le texte de loi « Electronic Authentification Act » a été adopté en

1997, soit deux ans avant l’UETA.

- Dans l’Illinois, « l’Electronic Commerce Security Act » est entré en vigueur le 1er juillet.

- L’état de New-York a adopté une loi qui s’assure que les signatures électroniques sont toutes

aussi juridiquement contraignantes que les signatures manuscrites. De plus, elle donne

l’autorité au gouvernement d’archiver les documents électroniques. Ce texte de loi s’appelle

« the Electronic Signatures and Records Act ».

L’E-SIGN Act a été un cadre légal concernant les signatures de contrats en ligne ou de documents pour

éliminer « le fardeau du papier pour les consommateurs » (cf. Mémoire « La dématérialisation »). Ce

document a été signé par le président Bill Clinton le 30 juin 2000.

Avant ces différentes lois, les entreprises ont du mal avec la façon de traiter les transactions en ligne.

Même si les entreprises acceptaient les signatures électroniques, beaucoup de questions étaient posées

quant à la façon dont ces signatures feraient face à la justice. Même si les entreprises américaines

utilisaient les signatures électroniques avant qu’une loi ne définisse leur cadre légale, ces entreprises

n’avaient pas confiance.

Les États-Unis ont eux aussi conscience des enjeux de la signature électronique dans le commerce et

de la confiance que cela peut apporter aux transactions électroniques. L’état de Washington en a eu

conscience deux ans plus tôt.

Figure 8 – Avertissement légal sur un site de signature électronique belge



IV. Conclusion

Malgré le fait que la signature électronique soit un concept relativement récent, elle s’impose de plus

en plus chez les professionnels.

La signature électronique n’est pas visuelle comme la signature manuscrite. Elle n’est qu’une suite de

nombres appliqués à un document. C’est un m. Du premier coup d’œil, elle ne donne pas confiance.

D’autant que, contrairement à la signature manuscrite, la signature électronique n’est pas utilisée par le

plus grand nombre. Elle peine à s’installer dans les mœurs.

Cependant, une première directive européenne encadre la signature électronique. Ce texte est à la base

de tous les autres textes de lois. Il permet de redonner une confiance par la certification des acteurs à

tous les niveaux.

La signature électronique est au cœur de la confiance numérique. Les enjeux de la signature

électronique sont importants pour la dématérialisation afin de restaurer la confiance auprès des

utilisateurs. La signature électronique est un des éléments clés du coffre-fort numérique (cf. Mémoire

« Le coffre-fort numérique »).



V. Bibliographie

Document pédagogique du Club PSCO : http://clubpsco.fr/wp-content/uploads/2012/07/GT-1-GT-

Interop-Document-pedagogique-signature-electronique-20120627.pdf

La signature électronique : http://www.senat.fr/lc/lc67/lc671.html

Fédération Nationale des Tiers de Confiance : http://www.fntc.org

Utiliser la signature électronique à titre personnel : quels risques, quelles garanties? :

http://www.journaldunet.com/juridique/juridique020618.shtml

La dématérialisation, qu’est-ce qu’un certificat de signature électronique et comment s’en

procurer un ? :

http://www.boamp.fr/BOAMP/Comprendre-les-marches-publics/La-dematerialisation/9.-Qu-est-ce-

qu-un-certificat-de-signature-electronique-et-comment-s-en-procurer-un

L’ANSSI : http://www.ssi.gouv.fr/

Référentiel Général de Sécurité (RGS) v1 : http://www.ssi.gouv.fr/IMG/pdf/RGSv1-0.pdf

Annexe 3 du RGS v1 sur la fonction de signature électronique :

http://www.ssi.gouv.fr/IMG/pdf/RGS_fonction_de_securite_Signature_V2-3.pdf

Annexe 12 du RGS v1 sur les politiques d’horodatages :

http://references.modernisation.gouv.fr/sites/default/files/RGS_%20P%20Horodatage-Type_v2_3.pdf

La société LSTI : http://www.lsti-certification.fr/

E-signature : http://www.e-signature.com/e-signature-law/

Docusign : https://www.docusign.com/electronic-signature-legality

ElectronicSignature :

- E-SIGN Act : http://electronicsignature.com/esignact/

- UETA : http://electronicsignature.com/ueta-uniform-electronic-transactions-act/

Certinomis : https://www.certinomis.fr/

http://clubpsco.fr/wp-content/uploads/2012/07/GT-1-GT-Interop-Document-pedagogique-signature-electronique-20120627.pdf

http://clubpsco.fr/wp-content/uploads/2012/07/GT-1-GT-Interop-Document-pedagogique-signature-electronique-20120627.pdf

http://www.senat.fr/lc/lc67/lc671.html

http://www.fntc.org/

http://www.journaldunet.com/juridique/juridique020618.shtml

http://www.boamp.fr/BOAMP/Comprendre-les-marches-publics/La-dematerialisation/9.-Qu-est-ce-qu-un-certificat-de-signature-electronique-et-comment-s-en-procurer-un

http://www.boamp.fr/BOAMP/Comprendre-les-marches-publics/La-dematerialisation/9.-Qu-est-ce-qu-un-certificat-de-signature-electronique-et-comment-s-en-procurer-un

http://www.ssi.gouv.fr/

http://www.ssi.gouv.fr/IMG/pdf/RGSv1-0.pdf

http://www.ssi.gouv.fr/IMG/pdf/RGS_fonction_de_securite_Signature_V2-3.pdf

http://references.modernisation.gouv.fr/sites/default/files/RGS_%20P%20Horodatage-Type_v2_3.pdf

http://www.lsti-certification.fr/

http://www.e-signature.com/e-signature-law/

https://www.docusign.com/electronic-signature-legality

http://electronicsignature.com/esignact/

http://electronicsignature.com/ueta-uniform-electronic-transactions-act/

https://www.certinomis.fr/



VI. Annexes

A. Questionnaire envoyé aux acteurs de la signature électronique

Utilisez-vous la signature électronique au quotidien ? Et dans quel contexte ?

…………………………………………………………………………………………………….……

Dans le cadre professionnel, avez-vous mis en place la signature électronique ? Si oui, de quelle(s)

manière(s) et qui l’utilise ?

…………………………………………………………………………………………………….……

Quel est votre rôle dans votre société et quel lien celui-ci a-t-il avec la signature électronique ?

…………………………………………………………………………………………………….……

Dans le cas où votre métier aurait un lien avec la signature électronique : Quels sont les compétences que vous avez dû développer dans ce cadre ?

…………………………………………………………………………………………………….…… Quel est votre cursus scolaire et professionnel ?

…………………………………………………………………………………………………….……

Dans le cadre de la démocratisation de la signature électronique, pensez-vous que des formations

spécialisées doivent voir le jour ?

…………………………………………………………………………………………………….…… Quels sont les nouveaux métiers qui, selon vous, devront être créé autour de la signature électronique ?

…………………………………………………………………………………………………….…… Comment arrivez-vous à convaincre vos partenaires que la signature électronique se substitue à la

signature manuscrite et qu’elle renforce la sécurité du système d’information ? Quel est votre discours

?

…………………………………………………………………………………………………….…… Dans la chaîne de confiance, l’état réalise des audits annuels pour certifier les tiers de confiance apte à

délivrer des certificats.

Pensez-vous que cela est suffisant pour établir une confiance internationale ou faudrait-il ajouter une

entité supérieure en charge de vérifier la conformité des audits réalisés ?

…………………………………………………………………………………………………….…… Il est dit que le niveau de sécurité se mesure grâce à la force de son maillon le plus faible. Selon vous, dans la chaîne de confiance, quel serait le maillon le plus faible ?

…………………………………………………………………………………………………….……

Quels sont les risques apparaissant avec la signature électronique?

…………………………………………………………………………………………………….……

L’instauration de la confiance par l’obtention de labels permet aux organisations de se vendre. Pensez-

vous que la création d’un label dédié à la signature électronique serait une valeur ajoutée pour

l’organisation ?

…………………………………………………………………………………………………….……

Avez-vous une vision sur la démocratisation de la signature électronique auprès des particuliers et

organisations : dans combien de temps pensez-vous que la signature électronique sera utilisée

quotidiennement pour chacun d’eux ? (par exemple, la fiche de paie dématérialisée)

…………………………………………………………………………………………………….……



B. Questionnaire envoyé aux utilisateurs de la signature électronique

Utilisez-vous au quotidien la signature électronique ? Pour quelle utilisation ?

…………………………………………………………………………………………………….……

Depuis quand utilisez-vous la signature électronique ?

…………………………………………………………………………………………………….…… A quelle fréquence l’utilisez-vous ?

☐Quotidiennement

☐Mensuellement

☐Usage unique

☐Autres (précisez)

…………………………………………………………………………………………………….……

Avez-vous eu des appréhensions à l’utiliser ? Si oui, pour quelles raisons ?

…………………………………………………………………………………………………….…… Quel(s) retour(s) positif(s) ou négatif(s) pouvez-vous faire par rapport à l’utilisation de la signature

électronique ?

…………………………………………………………………………………………………….…… La création d’un label pour les entreprises vous permettrait-elle de vous sentir plus en confiance vis-à-

vis des acteurs de la signature électronique ?

…………………………………………………………………………………………………….……

Pour vous, existe-t-il des risques liés à l’utilisation de la signature électronique ? Si oui, quels sont-

ils ?

…………………………………………………………………………………………………….……

Avez-vous l’impression que la signature électronique est de plus en plus présente autour de vous ?

Dans combien de temps pensez-vous qu’elle sera utilisée au quotidien ?

…………………………………………………………………………………………………….……

Documents

Confiance Numérique - La Signature Électronique