Signature électronique

Un mot, de multiples réalités

Le terme « signature électronique » désigne à la fois un acte simple que chacun peut réaliser au quotidien, un procédé technique applicable dans de nombreux cas de figure différents, et une définition juridique, qui peut varier selon les contextes.

Cette multitude d’acceptions rend l’usage du terme délicat, et l’implémentation de la fonctionnalité sujette à de nombreuses interrogations.

 

La signature électronique en pratique

La réalisation d’une signature nécessite quatre éléments :

  1. un individu, le signataire, qui peut agir en son nom propre ou au nom d’une entité qu’il représente ;
  2. un document à signer, qui peut être de natures diverses tant pour le fond (contrat, lettre, formulaire…) que pour la forme (papyrus, parchemin, simple papier, papier sécurisé, formulaire CERFA…) ;
  3. un instrument d’écriture (stylet, plume, stylo…) ;
  4. un geste, que le signataire est le seul à savoir réaliser avec l’instrument d’écriture : la signature à proprement parler.

La signature électronique est un cas particulier de signature, qui porte sur un document de nature électronique en non de nature physique.

La réalisation de la signature électronique nécessite quatre éléments, dans un parallèle quasiment parfait avec la signature manuscrite :

  1. un individu, le signataire, qui peut agir en son nom propre ou au nom d’une entité qu’il représente, en général muni d’un terminal informatique pour réaliser l’opération de signature ;
  2. un document à signer, qui peut être de natures diverses tant pour le fond (contrat, lettre, formulaire…) que pour la forme (document issu d’un traitement de texte, fichier pdf, fichier image, données informatiques au format xml, csv ou autre…) ;
  3. un instrument de signature (la carte à puce, la clef USB ou le magasin logiciel support du certificat) ;
  4. un secret, que le signataire est le seul à connaître : le code de déblocage de sa clef privée sur le support du certificat, appelé en général code PIN (Personal Identification Number) : c’est l’équivalent du code de la carte bancaire.

 

 07-01

 

La signature électronique, une définition juridique

La mise en œuvre de la signature électronique dans un projet répond nécessairement à un besoin juridique. Dans le cas inverse, il faudrait, en amont, s’interroger sur l’utilité de la mise en œuvre de la signature !

En France, La loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique a défini dans l’article 1316-4 du Code civil le cadre juridique applicable pour la signature électronique.

Le décret du 30 mars 2001 a ensuite approfondi la notion de signature électronique en développant les notions de « signature électronique sécurisée » et de « signature électronique présumée fiable ».

 

Code civil – Article 1316-4 (1er alinéa)

La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte.

 

Deux choses fondamentales sont à remarquer.

Tout d’abord, cet alinéa ne porte pas sur la signature électronique, mais sur la signature en général, qu’elle soit manuscrite ou électronique. Aucune distinction n’est faite entre les deux cas.

Ensuite, il s’agit de la première définition de la signature dans le droit français. Auparavant, la signature était un usage lié à l’habitude, à la tradition, mais ne faisait pas l’objet d’une description précise.

 

À quoi sert la signature ?

Elle sert à la perfection d’actes juridiques. À défaut de signature, le document ne sera pas dénué de valeur juridique, mais il ne constituera qu’un commencement de preuve.

 

En quoi consiste la signature ?

Elle consiste en une identification du signataire. Pour faire le parallèle avec la définition pratique établie plus haut, cette identification certaine du signataire reposera sur l’existence d’un « secret » détenu par le seul signataire : sa capacité à former le signe manuscrit qui constitue sa signature sur papier, ou l’élément cryptographique secret qui lui sert à faire un calcul dans le cas de la signature électronique.

 

Qu’emporte la signature ?

La signature emporte le consentement du signataire aux termes du document signé.

 

Code civil – Article 1316-4 (2ème alinéa)

Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'État.

 

La signature électronique est… Une signature !

Ce dernier alinéa de la loi du 13 mars 2000 aborde enfin la notion de signature électronique à proprement parler. Il convient de porter une attention toute particulière aux termes choisis. En effet, le législateur n’a pas écrit « la signature électronique est… », mais : « lorsqu’elle est électronique, elle… ».

Par ce choix délibéré est exprimé le fait que la signature électronique n’est qu’un cas particulier de signature. Dans la continuité des articles précédents du code civil, qui établissaient l’équivalence du papier et de l’électronique, la signature électronique n’est qu’un cas particulier de signature, et pas une notion juridique à part.

Une signature électronique n’est rien d’autre qu’une signature, qui porte sur un document de nature électronique. Tout ce qui a été dit sur la signature plus haut s’applique donc à la signature électronique.

 

En quoi consiste la signature électronique ?

La signature électronique consiste en l’usage d’un procédé fiable d’identification. La fiabilité de ce procédé repose sur la qualité du certificat de signature employé, et en particulier sur le procédé d’enregistrement de l’utilisateur, c’est-à-dire les moyens mis en œuvre pour garantir que le porteur du certificat est bien qui il prétend être et pour protéger sa clef privée.

Ce procédé d’identification doit « garantir son lien avec l’acte auquel il s’attache » : nous verrons dans la définition technique de la signature électronique comment les mécanismes cryptographiques permettent de créer et de maintenir ce lien de manière irréfutable. Cette exigence, qui n’est pas exprimée pour la signature manuscrite, pose le principe équivalent au fait que l’encre marque le papier de manière indélébile et est donc indissociable du document signé.

Un élément est fondamental à faire ressortir : inclure dans un document le scan d’une signature manuscrite ne répond absolument pas à la définition. En effet, il suffirait de disposer d’un document signé par un individu et de copier l’image de sa signature (ou la scanner s’il s’agit d’une signature papier) pour constituer un document signé par cette personne ! Cela ne peut en aucun cas constituer « un procédé fiable d’identification », puisque ce travail de faussaire est aujourd’hui à la portée de n’importe quel enfant un peu familier avec l’outil informatique.

 

La signature électronique, une définition technique

Le déroulement d’une signature électronique, du strict point de vue cryptographique, est le suivant :

  • le document est condensé à l’aide d’une fonction de hash, par exemple SHA256 ;
  • le hash du document est soumis à un calcul RSA à l’aide de la clef privée du signataire (cette opération nécessite la saisie du code PIN du signataire si le certificat est sur un support physique) ;
  • le résultat de ce calcul est, au sens technique, un scellement garantissant l’intégrité du document et réalisé par un acteur identifié, le signataire.

Lorsqu’on est dans le cadre juridique de l’engagement d’une personne sur le contenu d’un document, on appelle ce scellement une « signature électronique », et c’est le terme générique retenu abusivement pour décrire l’opération technique ici décrite. Pourtant, dans certains contextes, cette même procédure peut donner naissance à un cachet, à un jeton d’horodatage, à un certificat…

 

08-01

 

Une fois le calcul décrit ci-dessus réalisé, la signature électronique doit être complétée par les éléments nécessaires à sa vérification par le destinataire, et mise en forme à l’un des formats standards que nous évoquerons plus bas.

Les éléments complémentaires à ajouter dans une signature électronique sont au nombre de trois :

  • le certificat du signataire et la chaîne de certification correspondante ;
  • un jeton d’horodatage permettant de connaître avec certitude le moment de réalisation de la signature, et ainsi de vérifier la validité du certificat du signataire ;
  • une preuve de non révocation du certificat du signataire.

Le contenu d’une signature électronique est alors le suivant :

 

08-02

 

Les différents formats de signature électronique

Il existe trois formats principaux de signature électronique :

  • CAdES (CMS Advanced Electronic Signature) ;
  • XAdES (XML Advanced Electronic Signature) ;
  • PAdES (PDF Advanced Electronic Signature).

Chacun d’eux permet de nombreuses options (modes englobant, opaque ou détaché, inclusion ou non d’horodatage et de preuve de non-révocation…) et sont applicables préférentiellement à certains types de fichiers ou de processus métier.

Le choix d’un format de signature électronique devra être fait en fonction du contexte applicatif.

 

Les différents modes de réalisation de signature électronique

Pour réaliser une signature électronique, une personne doit disposer d’une clef privée et du certificat correspondant d’une part, et d’un outil de signature d’autre part.

On peut imaginer que l’utilisateur génère son propre certificat (c’est par exemple le modèle de PGP) ; qu’il l’obtienne gratuitement auprès du service qu’il utilise (c’était le modèle de TéléIR) ; qu’il l’achète auprès d’une Autorité de Certification (par exemple pour la réponse aux marchés publics) ; ou que son certificat soit généré de manière éphémère uniquement pour la durée de l’acte de signature (par exemple pour la signature des demandes d’aide auprès de la Région dans la plate-forme PlaNet Limousin).

De même, l’outil de signature peut être inclus dans les outils bureautiques (Outlook permet de signer électroniquement les mails) ; il peut être un outil autonome (par exemple dans SignExpert, la signature électronique des experts-comptables) ; il peut être inclus dans un service en ligne (par exemple dans achatpublic.com) ; il peut être en mode SaaS (par exemple CertSign) ; il peut être présent uniquement sur un serveur (par exemple K WebSign)…

Les modes de réalisation de signature électronique sont ainsi très nombreux, et il faut veiller à adapter le choix au contexte applicatif et juridique.

 

Vérifier une signature électronique

La vérification d’une signature électronique comporte trois étapes :

  • la vérification technique, qui consiste à vérifier que la signature est bien formée techniquement et correspond bien au document signé ;
  • la vérification de la chaîne de confiance, qui consiste à vérifier que le certificat du signataire est bien émis par une Autorité de Certification fiable, et qu’il n’était ni expiré ni révoqué au moment de la réalisation de la signature ;
  • la vérification juridique, qui consiste à vérifier que, dans le contexte précis de l’application, la signature est bien recevable.

 

Les autres formes de « signature électronique »

Le même procédé technique qui permet à un individu de marquer son consentement sur le contenu d’un document peut également être employé dans d’autres contextes fonctionnels et juridiques :

  • la « signature électronique » d’une personne morale portera le nom de « cachet » et garantira la provenance et l’intégrité d’un document, par exemple une facture ou une fiche de paie ;
  • la « signature électronique » apposée par une Autorité de Certification sur les données d’identité d’un utilisateur et sur sa clef privée constitue le scellement du certificat de l’utilisateur : elle sert alors à reconstituer la chaîne de la confiance et à garantir l’intégrité du certificat ;
  • la « signature électronique » apposée par une Autorité d’Horodatage sur le hash d’un document et la date et l’heure émises par une source de temps fiable sert à positionner dans le temps l’existence d’un document, et ainsi à prouver son intégrité mais aussi son existence à un instant donné dans le cadre d’un processus ;

la « signature électronique » apposée par un serveur sur des données de traçabilité en constitue un scellement à des fins de vérification ultérieure d’intégrité…

https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.aide-decisiongk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.assistance_maitrisegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.E-gouvernementgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.votegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.conception-de-servicesgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.accompagnement_rdgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.etude-de-securitegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.auditgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.sur-mesuregk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.dématérialisationgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.conceptsgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.gestion-d-identitesgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.textes-juridiquesgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.signature-electroniquegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.parapheur-électroniquegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.traçabilitegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.horodatagegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.confidentialitegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.archivagegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.convention-de-preuvegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.tiers-de-confiancegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.publicationsgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.referencesgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.conduite-du-changementgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.formationgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.securitegk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.normesgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.clientsgk-is-97.jpglink
https://www.demaeter.fr/modules/mod_image_show_gk4/cache/rubriques.missionsgk-is-97.jpglink

La référence !

securite_de_la_dematérialisation