Firma électronique, avancée et qualifiée: différences et validité légale

Firma électronique, avancée et qualifiée (numérique) : différences et validité légale Signature électronique, signature électronique avancée et signature qualifiée : qu’est-ce que c’est, quelles sont les différences et quand les utiliser

Le terme signature électronique désigne, au sens large, un ensemble hétérogène d’outils et de modalités de souscription numérique : cela va de la simple saisie de codes d’accès (nom d’utilisateur et mot de passe) jusqu’à la signature numérique basée sur des dispositifs physiques tels que token ou carte à puce.

Il est important de préciser que signature électronique et signature numérique ne sont pas synonymes. Il s’agit en effet de catégories différentes, présentant divers niveaux de complexité technique, de sécurité, de modalités d’identification du signataire et de validité juridique. Pour éviter toute confusion, il est utile de se référer aux définitions officielles contenues dans le Code de l’Administration Numérique (CAD) et dans le Règlement européen eIDAS, qui fixent les exigences et caractéristiques de chaque type de signature.

Quels sont les types de signature électronique ?

Le règlement eIDAS (Electronic Identification, Authentication and Trust Services) identifie 3 niveaux différents de signature :

• Signature Électronique Simple (SES) : n’a pas de valeur légale prépondérante et sa valeur probatoire est limitée, mais elle est très utilisée, par exemple pour identifier la personne qui souscrit un document ou une action comme l’accès à un site ou un service web ;
• Signature Électronique Avancée (SEA) : est une signature plus robuste que la SES, qui peut avoir la même validité juridique qu’une signature manuscrite pour certains types de contrats et d’actes sous seing privé ;
• Signature Électronique Qualifiée (SEQ) : également connue sous le nom de signature numérique, elle permet aux citoyens et aux entreprises de signer des contrats et documents avec pleine valeur légale.

Dans ces trois typologies de signature électronique, entrent de nombreuses formes d’authentification informatique : le code PIN inséré pour un paiement par carte est déjà une signature électronique, tout comme la numérisation d’une signature manuscrite sur papier. Sont également techniquement considérées comme signatures électroniques la saisie d’un nom d’utilisateur et d’un mot de passe pour accéder à un site, ainsi que l’authentification par mot de passe à usage unique, ou OTP (one-time password).

Signature Électronique Simple (SES) : la forme la plus accessible et répandue de signature électronique

La Signature Électronique Simple (SES ou QES) représente la typologie la plus basique et la plus répandue de signature électronique. La réglementation la définit comme "des données sous forme électronique, jointes ou associées logiquement à d’autres données électroniques, utilisées par le signataire pour apposer sa signature".

Le règlement eIDAS établit un principe clé : une signature électronique ne peut pas être exclue d’efficacité juridique uniquement parce qu’elle est numérique. En outre, l’art. 20, alinéa 1-bis du Code de l’Administration Numérique (CAD) prévoit que la valeur probatoire et l’aptitude du document électronique à satisfaire la forme écrite soient librement appréciées en justice, en tenant compte des caractéristiques de sécurité, d’intégrité et d’inaltérabilité de la solution de signature utilisée. Cela signifie que même la SES bénéficie d’une reconnaissance légale, bien qu’avec certaines limitations ; en particulier, il incombe à l’utilisateur de démontrer sa fiabilité.

Pour accroître la sécurité et la valeur juridique de la SES, il est possible d’intégrer le processus avec des systèmes d’authentification supplémentaires, comme la double authentification, où un code envoyé par SMS ou email est nécessaire pour finaliser la signature.

Un autre élément qui renforce sa crédibilité est la création et la conservation d’un audit trail, c’est-à-dire un registre complet qui recueille toutes les informations pertinentes pour la validité de la signature — comme les données de l’expéditeur et du signataire, les adresses IP, les méthodes d’authentification et les documents signés. Ce registre fonctionne comme une garantie en cas de litiges, permettant de reconstituer avec précision la séquence du processus de signature électronique.

Cas d’utilisation de la Signature Électronique Simple

La signature électronique simple (SES) peut être utilisée lorsqu’aucune obligation légale ne requiert un niveau supérieur de signature (avancée ou numérique), comme par exemple :

• Livraisons à domicile : signature sur le terminal du livreur pour confirmer la réception.
• Acceptation d’informations : confidentialité, traitement des données, conditions d’utilisation d’un service en ligne.
• Inscriptions à des cours ou événements où le consentement de l’utilisateur est suffisant.
• Documents commerciaux : Devis, commandes, confirmations de commande et documents de transport (DDT).
• Ordres et validations internes en entreprise : demandes de congés, approbation de notes de frais, confirmation d’activités.

Signature Électronique Avancée (SEA) : qu’est-ce que c’est et quand l’utiliser

La Signature Électronique Avancée (SEA ou AdES) est la deuxième typologie de signature électronique en ordre de complexité et de sécurité, et permet de souscrire des documents avec valeur légale. Contrairement à la signature électronique simple, la SEA est liée de manière univoque au signataire, permettant son identification certaine.

Un autre élément caractérisant cette typologie de signature est le fait qu’elle soit liée au document de manière telle que toute modification ultérieure des données soit détectable. Pour être valide, une SEA doit donc garantir :

• l’identification certaine du signataire ;
• la connexion univoque entre signature, signataire et document ;
• le contrôle exclusif du signataire sur le système de génération de la signature, quel qu’il soit ;
• la possibilité pour le signataire de contrôler d’éventuelles modifications ultérieures du document ;
• l’identification de l’entreprise délivrant le certificat, ou de l’autorité de certification.

Exemples de SEA : signature graphométrique, utilisation de l’empreinte digitale, reconnaissance faciale ou de l’iris. Dans les relations avec l’Administration Publique, sont également considérées comme SEA les signatures apposées avec CIE, CNS, Carte de Santé, Passeport électronique et SPID. Cela ne signifie toutefois pas que ces outils puissent être assimilés à une Signature Électronique Avancée : en effet, étant considérés comme tels uniquement dans les frontières nationales, ils ne répondent pas aux directives du Règlement Européen eIDAS.

Cas d’utilisation de la Signature Électronique Avancée

La signature électronique avancée peut être utilisée par exemple dans les cas suivants :

• Secteur immobilier : acte de vente de biens immobiliers
• Services bancaires : ouverture de compte, contrats bancaires
• Domaine assurantiel : assurances vie, accidents, invalidité professionnelle, assurance automobile

Signature Électronique Qualifiée (SEQ) : la signature avec le niveau de sécurité le plus élevé

La Signature Électronique Qualifiée (SEQ ou QES) représente le niveau de sécurité le plus élevé prévu par la réglementation européenne et italienne pour une signature électronique. Elle repose sur l’utilisation d’une certification cryptographique, de contraintes juridiques bien définies et possède pleine valeur légale, équivalente à une signature manuscrite.

Selon le règlement eIDAS, la Signature Électronique Qualifiée est une signature électronique avancée qui satisfait à des exigences supplémentaires spécifiques :

• Elle est créée par un dispositif qualifié de création de signature électronique
• Elle repose sur un certificat qualifié pour les signatures électroniques
• Elle est délivrée par un prestataire de services de confiance qualifié (QTSP)
• Elle garantit authenticité (identifie le signataire de manière certaine), intégrité (le document ne peut pas être modifié après la signature) et non-répudiation (le signataire ne peut pas nier avoir signé).

Le CAD définit la SEQ comme une signature « basée sur un système de clés cryptographiques, une publique et une privée, corrélées entre elles, qui permet au titulaire grâce à la clé privée et au destinataire grâce à la clé publique, respectivement, de rendre manifeste et de vérifier la provenance et l’intégrité d’un document électronique ou d’un ensemble de documents électroniques ».

Sa valeur juridique est équivalente à celle d’une signature manuscrite et est légalement reconnue dans tous les États Membres de l’Union Européenne.

En Italie, l’un des types les plus répandus de signature électronique qualifiée est la signature numérique, qui s’utilise via des dispositifs physiques tels que cartes à puce, token USB ou dispositifs avec écran dédié. Un autre type très important est la signature à distance, qui représente environ 60 % des signatures électroniques qualifiées dans le pays. Cette solution repose sur l’utilisation d’un HSM (Hardware Security Module) en Cloud et permet d’utiliser les certificats qualifiés à distance, garantissant l’authentification du signataire par un système à deux facteurs.

Ces dernières années, a également gagné en popularité la SEQ dite « jetable » ou « one-shot ». Dans ce cas, le signataire accède à la plateforme uniquement pour souscrire un ou plusieurs documents de manière limitée dans le temps, sans avoir besoin de posséder un outil de signature permanent. L’archivage des documents signés s’effectue en mode numérique, offrant ainsi une solution pratique pour ceux qui ne signent pas habituellement. Les procédures d’onboarding sont particulièrement rapides si l’utilisateur dispose de credentials SPID ou de la Carte d’Identité Électronique, réduisant au minimum les délais et formalités pour l’identification initiale.

Cas d’utilisation de la Signature Électronique Qualifiée

La signature électronique qualifiée est utilisée dans les cas où un niveau élevé de sécurité et une pleine validité juridique, équivalente à celle d’une signature manuscrite, sont nécessaires. En particulier, elle est requise pour :

• Contrats bancaires et financiers
• Contrats commerciaux importants, tels que contrats de travail, contrats d’entreprise et contrats de conseil.
• Actes juridiques et officiels nécessitant une certitude sur l’identité du signataire et l’intégrité du document.
• Documents fiscaux et civils nécessitant pleine valeur probatoire.
• Relations avec l’Administration Publique, par exemple appels d’offres publics importants.
• Communications officielles avec des organismes publics, déclarations fiscales complexes, concessions et autorisations
• Toute situation où il est essentiel de garantir authenticité, intégrité et non-répudiation du document signé.

 

Typologie	Valeur légale	Niveau de sécurité	Exemples et cas d’utilisation
Signature Électronique Simple (SES)	Valeur probatoire limitée, soumise à l’appréciation du juge.	Faible – peut être renforcée avec une authentification à deux facteurs ou un audit trail.	- Signature lors de la livraison de colis - Acceptation d’informations en ligne (confidentialité, conditions d’utilisation) - Ordres et validations internes en entreprise
Signature Électronique Avancée (SEA)	Peut avoir la même valeur qu’une signature manuscrite pour certains contrats.	Moyen – connexion univoque entre signature, signataire et document ; détecte les modifications ultérieures.	- Contrats bancaires et assurantiels - Secteur immobilier (actes de vente) - Accès à des services avec SPID, CIE, CNS (dans les relations avec la PA)
Signature Électronique Qualifiée (SEQ) (Signature numérique)	Pleine valeur légale, équivalente à la signature manuscrite dans toute l’UE.	Élevé – basée sur un certificat qualifié et un dispositif sécurisé (carte à puce, token, HSM, signature à distance).	- Contrats commerciaux et de travail - Actes juridiques et fiscaux officiels - Appels d’offres publics et relations avec l’Administration Publique

Sur Openapi.fr il est possible de demander tous les types de signature électronique simple, avancée, qualifiée et massive, directement via API.

Voulez-vous découvrir le service eSignature ?

Accédez immédiatement à la Documentation

ACCÉDER À LA DOCUMENTATION