La signature électronique n’est encore que peu utilisée en France. Béatrice Piquer, directrice commerciale et marketing de Certigna analyse en quoi se doter d’une capacité de preuves juridiques et numériques accompagne la stratégie data des entreprises.

>> Cet article est extrait du hors-série « Le Numérique en Pratique », la data, téléchargez-le !

En quoi la signature électronique est-elle un sujet important de la transformation actuelle des entreprises ?

Béatrice Piquer. Les échanges de données entre les entreprises et leurs clients, qu’ils soient des particuliers ou d’autres entreprises, sont devenus permanents. La dématérialisation croissante a de nombreux avantages, mais elle provoque aussi des effets de bords. De manière générale, si vous vous digitalisez, avec l’entrée en vigueur du RGPD depuis mai 2018, sécuriser ses échanges, protéger son identité et garantir l’authenticité des informations échangées sur internet devient incontournable. La signature électronique et l’horodatage qualifiés permettent de donner une valeur juridique à tous vos documents numériques et de dématérialiser en toute conformité vos bulletins de paie, factures ou tout autre document important. Pour que les gains de la digitalisation soient pérennes, il faut générer de la confiance face à l’augmentation massive des fraudes. Donner une valeur juridique à vos documents digitalisés et en garantir l’authenticité et l’intégrité, c’est dire stop à la fraude et à la contrefaçon de documents ! Un double cadre réglementaire amène une clarté bienvenue. Les usages de la signature électronique sont ainsi couverts en France depuis 2010 par le référentiel général de sécurité (RGS) et par le règlement européen eIDAS depuis 2014.

Toutes les signatures électroniques sont-elles équivalentes ?

Béatrice Piquer. On distingue trois niveaux différents d’usages qui ont chacun leur intérêt pour répondre à diverses préoccupations pour les entreprises en fonction du niveau de sécurité attendu. Ceux-ci se retrouvent au niveau RGS et au niveau eIDAS. Pour choisir la bonne signature électronique, l’entreprise doit décider en fonction du niveau de risque auquel elle est exposée pour chacun de ses échanges dématérialisés. De plus en plus, le deuxième niveau, la signature avancée, s’impose et est plébiscité par les entreprises qui ont bien compris que la dématérialisation ne peut pas se faire à n’importe quel prix et encore moins au détriment de la valeur juridique d’un contrat signé. Le troisième niveau, dit « qualifié », impose quant à lui des contraintes plus fortes pour les entreprises qui doivent lors de la signature d’un document obtenir la preuve irrévocable de l’identité de la personne en « face à face ». Ce « face à face » peut être considéré comme une rupture du parcours digital et n’est en général utilisé que pour des contrats fortement critiques. A l’inverse, dans une relation client BtoC, la mise en place d’une signature simple ou avancée évite au maximum de rompre un parcours digitalisé, étant donné que les preuves d’identité apportées sont assez simples à établir en ligne par le particulier concerné. Pour des contrats bancaires ou immobiliers, ou encore des contrats avec un fournisseur, la signature électronique avancée est par contre plus appropriée car plus sécurisée.

Sont-elles toutes fiables ?

Béatrice Piquer. Un décret du 28 septembre 2017, dernier prévoit qu’une signature électronique est fiable jusqu’à preuve du contraire à partir du moment où l’identité du signataire est assurée et l’intégrité de l’acte garantie. L’article 1^er du décret dispose que « la fiabilité d’un procédé de signature électronique est présumée fiable lorsque ce procédé met en œuvre une signature électronique qualifiée ».

Techniquement, les différents niveaux sont-ils difficiles à mettre en place ?

Béatrice Piquer. La mise en œuvre d’une signature électronique est relativement simple mais elle peut remettre en question certains processus métiers et nécessite donc au préalable une bonne analyse en interne des besoins et des changements organisationnels potentiels. Techniquement une signature avancée est plus facile à mettre en œuvre qu’une signature simple qui demande plusieurs éléments et étapes aux signataires pour construire « l’enveloppe de preuve ». Pour la signature avancée, reposant sur un certificat numérique à la volée pour une utilisation « one-shot » ou hébergé dans le cloud pour des usages multiples, le processus est simplifié.

L’entreprise doit-elle toujours définir en amont les signataires concernés ?

Béatrice Piquer. La signature électronique peut être pour des personnes physiques, à travers une identité numérique normée, ou pour personnes morales, à travers du cachet serveurs. Ainsi, elle peut permettre d’engager des personnes précises au sein de l’entreprise, qui ont le pouvoir de signature sur certains documents ou contrats spécifiques, à la DRH ou aux achats par exemple. Elle permet aussi de généraliser le processus de signature et/ou d’horodatage de documents en masse pour un principe de « copie-fiable ». Il s’agit en effet de signer et d’horodater tous les documents ou un certain type de documents digitalisés, bulletins de paie, factures, documents fiscaux, contrats fournisseurs et clients… afin de leur donner une valeur légale. Il faut pour cela utiliser une signature électronique qualifiée. L’entreprise peut alors garantir l’intégrité et l’authenticité de ses documents et digitaliser en toute conformité. Il est à noter que toutes les entreprises qui envoient leurs factures en simple PDF ne sont pas en règle car elles ne peuvent garantir ni l’identité de l’émetteur ni l’intégrité de son contenu. Cette preuve d’intégrité, techniquement simple à mettre en place, devient extrêmement utile dans un contexte RGPD, alors que la frontière des responsabilités entre responsables de traitement de la donnée et sous-traitants est souvent floue, ce qui conduit à des conflits juridiques.

Que doit changer une entreprise qui met en place la signature électronique dans son organisation ?

Béatrice Piquer. La priorité est son intégration fluide dans le parcours client ou le parcours fournisseur. Il faut impérativement prendre en compte trois étapes essentielles qui vont au-delà de la signature électronique pour offrir une parcours complet de souscription à ses clients, fournisseurs ou collaborateurs : l’enrôlement et la vérification d’identité pour collecter et vérifier les pièces, la signature électronique simple ou avancée, et enfin l’archivage électronique des documents signés et des enveloppes de preuves. Cela implique de remettre en question des processus existants. Plusieurs questions doivent permettre d’affiner cette évolution : Quels types de documents ? Pourquoi passer à la digitalisation ? Quels bénéfices recherchés et pour qui ? Qui doit signer, co-signer ? Qui engage sa responsabilité de part et d’autre ? Pendant combien de temps dois-je archiver mes documents et comment ?

Il existe des bonnes pratiques connues des experts sur ces sujets, par exemple pour un bulletin de salaire. Le décret concernant la dématérialisation du bulletin de paie et sa mise à disposition des salariés via un coffre-fort électronique offre deux possibilités aux entreprises : les conserver pendant une durée de 50 ans ou jusqu’à ce que le salarié ait atteint l’âge maximal de mise à la retraite mentionné à l’article L.1237-5 du code du travail, augmenté de 6 ans, soit 75 ans [l’article fait en effet référence à la procédure selon laquelle l’employeur doit, à partir de 65 ans et jusqu’au 69e anniversaire du salarié, l’interroger par écrit sur son intention de quitter ou non l’entreprise]. Par ailleurs, Le salarié pourra aussi consulter tous ses bulletins de paie émis sous forme électronique via le coffre-fort intégré au compte personnel d’activité (CPA).

Peut-on s’attendre à d’autres changements dans la façon d’apporter les garanties ?

Béatrice Piquer. Nous testons déjà la vidéo et les selfies comme moyen de justifier la preuve de vie et l’identité d’une personne en lieu et place d’une vérification en « face à face » pour ne pas avoir de rupture dans un parcours digital tout en fournissant des garanties maximales d’identité de personnes physiques et morales. Ces usages vont se démocratiser fortement dans les mois à venir et l’Etat planche d’ores et déjà sur une identité numérique citoyenne sécurisée comme ce qui existe par exemple en Belgique avec une identité numérique directement intégrée à la carte d’identité. Le plus grand problème en la matière est moins technique que réglementaire. En France par exemple, l’agence nationale de la sécurité des systèmes d’information (Anssi) ne valide pas ces pratiques pour l’instant alors qu’elles sont utilisées dans d’autres pays d’Europe. Elles sont déjà utilisées en Italie par exemple. Pour aider les entreprises qui se développent dans un contexte européen, cette fragmentation devra à terme disparaître.

> Cet article est extrait du hors-série « Le Numérique en Pratique », la data, téléchargez-le !

Lire aussi : RGS et eIDAS : Différents niveaux de signatures électroniques