Au centre de tout parcours de signature électronique, il y a le certificat de signature électronique. Méconnu, peu visible, ce petit fichier infalsifiable est pourtant le porteur de la plupart des garanties en opposabilité. Pour mieux connaître celui qui agit dans l’ombre pour une signature électronique reconnue sur le plan juridique, prenez les 3 minutes nécessaires à la lecture de cet article.
A quoi sert le certificat de signature électronique ?
Le certificat de signature électronique permet de garantir le contenu d’un document avec une clé cryptographique, utilisable uniquement par son porteur. Ce faisant, il n’est pas que pratique, il est votre meilleur allié juridiquement parlant.
Un certificat de signature électronique, c’est quoi ?
Le certificat de signature est un fichier numérique infalsifiable, généré par une Autorité de Certification (AC). Nominatif, il est délivré à une personne physique, le porteur, après la vérification plus ou moins approfondie de son identité par l’AC. Plus la vérification est approfondie, plus le niveau de signature électronique peut être élevé. Dans le cas d’un porteur agissant pour le compte de son entreprise, la vérification porte également sur l’identité de l’entreprise et son droit à agir pour le compte de celle-ci.
Une fois généré, ce certificat peut :
- Soit être placé dans un support cryptographique (sécurisé) et stocké sur support physique (clé USB, carte à puces)
- Soit être placé dans le support cryptographique de l’Autorité de Certification. On parle alors de certificat hébergé
Comment se procurer un certificat électronique ?
Seule une Autorité de Certification (AC) est en capacité de délivrer un certificat électronique. En effet, ces Prestataires de Service de Confiance électronique (PSCe) sont des tiers de confiance en capacité de délivrer des certificats de signature électronique. Ils garantissent la fiabilité et la confiance des opérations et des échanges en ligne en entreprise et pour les marchés publics. Ils sont qualifiés « Référentiel général de sécurité » (RGS) en France ou bien eIDAS (electronic IDentification, Authentication and trust Services) en Europe. Notez que la liste des produits et services qualifiés par l’ANSSI est consultable par ce lien. Les prestataires de services de confiance délivrant des certificats de signature électronique qualifiés selon le règlement n°910/2014 « eIDAS » sont répertoriés dans la catégorie « Délivrance de certificat de signature électronique ».
Pour un certificat délivré à une personne physique agissant au nom de l’entreprise, le certificat contient la raison sociale de l’entreprise ou de l’organisation publique pour laquelle la personne physique agit. Il faut savoir que certaines conditions encadrent l’obtention d’un certificat numérique. En effet, depuis 2012, votre certificat doit être conforme au Référentiel Général de Sécurité (RGS) deux ou trois étoiles (RGS** ou RGS***). Enfin, deux à quatre semaines sont nécessaires à l’obtention d’un certificat de signature.
Il existe des certificats européens qui offrent la possibilité de signer électroniquement dans tous les pays membres de l’Union européenne. Ces certificats doivent être en conformité avec le règlement européen eIDAS qui prévoit 4 types de niveaux de sécurité des signatures électroniques. Notez qu’en France, pour la commande publique, il faut un certificat de signature électronique correspondant aux niveaux 3 ou 4.
Obtenir un certificat électronique via le PVID
Mis en place par l’ANSSI (agence nationale de la sécurité des systèmes d’information), le référentiel PVID définit un ensemble de règles et de recommandations. Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance.
Docaposte est un prestataire certifié PVID et propose donc un certificat électronique qualifié entièrement à distance. La solution PVID certifiée de Docaposte repose sur des solutions de reconnaissance automatique de documents et d’intelligence artificielle, mais également sur son équipe d’opérateurs de vérification d’identité expérimentée puisque le référentiel impose un verdict humain en dernier ressort.
Les principes de la signature électronique
Lorsqu’on signe un document via un certificat sur support USB, on parle de local signing.
Lorsqu’on signe un document via un certificat hébergé, généré en cours de parcours, on parle de remote signing.
Quel que soit le mode de conservation du certificat, les exigences sont les mêmes : s’assurer que le porteur a le contrôle exclusif du certificat (sinon, cela n’apporterait pas de preuves !). Cela passe par un code pin pour les certificats sur support USB ou carte, et par des dispositifs électroniques pour les certificats hébergés.
> En apprendre plus sur le fonctionnement de la signature électronique
Pas un, mais plusieurs certificats électroniques
Les certificats de signature électronique sont évalués selon 2 référentiels :
- Le plus ancien, valable pour la France, est le Règlement Général de Sécurité. Il propose 3 niveaux d’exigence croissante renseignée par des étoiles : RGS*, RGS** et RGS***. Les 2 derniers nécessitent une vérification d’identité en face à face physique
- A l’échelle européenne, le règlement eIDAS, via des normes ETSI (319411-1 et -2 notamment), définit également différents niveaux, en fonction du degré de vérification d’identité. Du moins exigeant au plus exigeant, vous avez : LCP, NCP, QCP, QCP-n-QSCD
Dans les faits, la plupart des prestataires qui délivrent des certificats évaluent maintenant leur certificat selon les 2 référentiels.
Comment vérifier une signature électronique ?
La meilleure solution pour vérifier une signature électronique est d’utiliser un service de vérification. Auparavant, il faudra quand même avoir défini les différents niveaux de signature acceptés en fonction des documents signés.
> En apprendre plus sur la vérification de signature électronique
Vous avez bien compris l’utilité et l’importance du certificat de signature électronique. Vous savez à quoi il ressemble et connaissez les différentes formes qu’il peut prendre. Quant à savoir lequel est fait pour vous, en regard de vos usages et de vos priorités en termes d’opposabilité : demandez conseil à votre prestataire de signature.