Comment vérifier la validité d’une signature électronique sur un document ?

À l’heure actuelle, les entreprises font face à une digitalisation croissante des échanges : elles émettent et reçoivent quotidiennement des documents numériques transmis par divers interlocuteurs. Et cela, sans avoir de véritable contrôle sur les outils utilisés pour créer, signer ou transmettre ces documents. Or, une remise en question de l’authenticité d’un document reçu, voire un rejet de celui-ci comme preuve en cas de litige, peuvent avoir un impact juridique et financier conséquent pour l’entreprise.

Les politiques de confiance mises en place par les entreprises permettent de définir les différents niveaux de signatures électroniques acceptées, en fonction des documents et de leurs enjeux. Dans ce contexte, comment vérifier que les documents reçus répondent aux exigences définies par ses politiques de confiance ? 

Validao : service de validation du niveau de confiance de documents électroniques

Pour répondre à ce besoin, Docaposte a créé Validao.

Service de validation du niveau de confiance via le dispositif Validao 

Concrètement, l’entreprise paramètre dans Validao ses règles de politique de confiance (les prestataires de confiance acceptés, les niveaux de signatures requis, les critères métiers etc.). Pour s’assurer qu’un document signé est recevable, il suffit ensuite de le soumettre à validation en précisant les critères métiers auxquels il est associé.

Des contrôles relatifs à ces critères seront ensuite réalisés via Validao sur le document afin de vérifier que la signature utilisée correspond bien à la politique de confiance définie. Le service s’assure également que la signature était bien valide au moment de son apposition en interrogeant des services externes (liste de confiance eIDAS, jetons OSCP, liste des certificats révoquées etc.).

Validité d’une signature électronique : les étapes du processus Validao

Disponible via portail web et API, Validao est un service de validation indépendant des signatures et cachets électroniques, modulable en fonction de l’échelle de sensibilité des documents. Qualifié eIDAS, Validao a la capacité de produire des rapports de validation des signatures intégrables dans un dossier de preuves. Après soumission du document dans Validao, sont vérifiés : la présence de la signature, si celle-ci répond au niveau exigé par la politique de confiance définie par l’entreprise, et si la signature était valide au moment de son apposition.

Pour ce faire, le système procède à l’identification du signataire et à l’interrogation des services externes, avant d’établir son rapport de validation. Ce n’est qu’à l’issue de ces différentes étapes que le système détermine l’acceptabilité ou le refus du document.

Quelques exemples d’utilisation de Validao

Les cas d’usage de vérification avec Validao sont multiples :

• Secteur de la finance : contrats de crédits, pièces d’identité, bulletins de salaire et toutes autres pièces justificatives, 
• Secteur de l’assurance : les contrats des partenaires courtiers,
• Professionnels du droit : toute pièce signée reçue de la part de tiers,
• Professionnels de l’immobilier : les pièces des candidats locataires,
• Service RH : l'authenticité des diplômes et contrats fournis par un candidat

Qu’est-ce qu’une signature électronique ?

Rappelons les principes de la signature électronique et ce qui permet de déterminer sa validité.

Quelles sont les exigences de la signature électronique ?

Grâce à la signature électronique, contrats de travail, factures, devis, compromis de vente, documents comptables, juridiques ou actes notariés peuvent être signés en l’espace de quelques secondes, sans que les parties prenantes n’aient à se rencontrer physiquement.

Pour que cela soit possible, et valide, des conditions de mise en œuvre ont été définies par le règlement eIDAS.

Une signature électronique doit permettre de :

• Authentifier le signataire : s’assurer de l’identité de son auteur ;
• Connaître la date et l’heure de la signature ;
• Assurer l’intégrité du document : apporter la garantie que le document n'a pas été modifié entre sa signature et sa consultation ;
• Apporter la preuve du consentement du signataire ;
• Démontrer le lien entre le signataire et l’acte : le signataire est relié au document signé.

La réglementation européenne eIDAS définit 3 niveaux de signature électronique en fonction de la sensibilité de vos documents, qui se différencient par le niveau de vérification d’identité : simple, avancé ou qualifié.

Concrètement, la complexité du parcours utilisateur est proportionnelle au niveau de sensibilité des documents.

Force probante d’un document numérique et validité d’une signature électronique

Il est important de comprendre que toute transaction numérique s’inscrit dans un cadre juridique faisant l’objet d’un règlement spécifique (règlement eiDAS) au sein de l’Union Européenne : « le règlement eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il établit une base commune pour les échanges électroniques sécurisés entre les citoyens, les entreprises et les autorités publiques ».

En France, l’article 1366 du code civil précise notamment qu’un « écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. » (Source : Legifrance). 

Ainsi, 5 éléments permettent d’identifier le signataire :

• La signature électronique ;
• Le cachet électronique ;
• L’horodatage électronique ;
• L’envoi recommandé ;
• L’authentification de sites internet. 

Notons que pour chacun de ces éléments, des qualifications portant sur la délivrance du service, la validation du service et la préservation du service existent afin d’identifier les prestataires fournissant ces services, conformément au règlement. 

Soulignons également que la validité d’une signature électronique n’est effective qu’à certaines conditions.

En effet, elle doit être :

• Infalsifiable : un signataire ne peut se faire passer pour un autre ;
• Irrévocable : le signataire ne peut contester la signature ;
• Authentique : l'identité de l’auteur doit pouvoir être retrouvée de manière certaine ;
• Inaltérable : une fois que le document est signé, il est impossible de le modifier ;
• Non réutilisable : la signature ne pourra pas être utilisée, reproduite ou déplacée sur un autre document.

(Source : francenum.gouv.fr)