La typologie des signatures électroniques

La signature électronique simple correspond à « des données sous forme électronique, qui sont jointes ou associées logiquement à d'autres données sous forme électronique et que le signataire utilise pour signer » PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, art. 3, 10. . Elle n'est pas soumise à un processus particulier de vérification d'identité ou de consentement. Le niveau de garantie associé est faible, c'est-à-dire que l'objectif est simplement de réduire le risque d'utilisation abusive ou d'altération de l'identité. Ce type de signature est fréquemment utilisé pour l'acceptation d'un contrat d'adhésion.

Ce niveau de signature offre de sérieuses garanties de son authenticité, ce qui a pour conséquence de réduire substantiellement le risque d'utilisation abusive ou d'altération de l'identité du signataire.

La signature électronique avancée satisfait aux exigences énoncées à l'article 26 du règlement eIDAS PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, art. 3, 11. , à savoir :

La signature électronique qualifiée est « créée à l'aide d'un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique » PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, art. 3, 12. . Le certificat de signature électronique est « une attestation électronique qui associe les données de validation d'une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne » PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, art. 3, 14. . Le certificat qualifié de signature électronique est « un certificat de signature électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l'annexe I » PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, art. 3, 15. .

Ainsi la signature électronique qualifiée repose sur la délivrance d'un certificat par un service de confiance qualifié D. n^o 2017-1416, 28 sept. 2017, relatif à la signature électronique, art. 1. . Il existe également des services de confiance non qualifiés, lesquels ne peuvent assurer qu'un service de signature électronique simple ou avancée Ces services de confiance engagent leur responsabilité dans les conditions fixées par l'art. 13 du règlement eIDAS. .

L'encadrement des services de confiance est assuré en France par l'ANSSI Agence nationale de la sécurité des systèmes d'information. , laquelle est « responsable de l'établissement du référentiel des exigences applicables à chaque niveau ainsi que de l'évaluation du niveau de garantie des moyens d'identification électronique » www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/ . L'ANSSI agrée les services de confiance et leur donne ou non la qualification leur permettant ensuite de délivrer des certificats de confiance qualifiés en matière de signature électronique, mais aussi de cachet, d'horodatage et de lettre recommandée électroniques. Ces services qualifiés font l'objet d'un contrôle biannuel obligatoire et sont répertoriés sur une « liste de confiance » Conformément aux articles 20 et 22 du règlement eIDAS. disponible sur le site de l'ANSSI www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/liste-nationale-de-confiance/ . Ils assurent également la conservation des signatures et cachets électroniques qualifiés de manière à étendre leur fiabilité au-delà de la durée de vie de la technologie utilisée. Il s'agit d'un point important pour lutter contre les effets néfastes des évolutions rendant obsolètes et donc inaccessibles certaines technologies.

? Les services de confiance qualifiés utilisent la cryptologie et le système des clés asymétriques Sur le sujet de la cryptologie asymétrique et la délivrance des certificats, V. supra, note ss n^o et supra, n^o . . ? Le tiers certificateur vérifie l'identité de l'émetteur de la clé publique avant sa diffusion et émet un certificat signé au moyen de sa propre clé privée attestant l'identité du propriétaire de la clé publique et son système de hachage garantissant l'intégrité du message ou de la signature. Cela permet ensuite au destinataire de cette clé publique de s'assurer de l'identité de son émetteur et de déchiffrer sa signature au moyen du procédé de hachage contenu dans le certificat. La confiance accordée à la signature électronique, comme au cachet électronique, à l'horodatage ou au courrier recommandé électronique repose sur ce certificat garantissant l'identité du signataire ou de l'émetteur et son lien avec le document signé ou émis Sur les conditions de fiabilité de la signature électronique, V. : L. Grynbaum, C. Le Goffic et L. Morlet-Haïdara, Droit des activités numériques, Précis Dalloz, 1^re éd., 2014, n^os 52 et s. .

L'article 25 du règlement eIDAS établit deux principes quant à la recevabilité de la signature électronique comme mode de preuve :

Conformément au règlement eIDAS, le législateur français reconnaît certaines qualités à la signature électronique, et d'autant plus à la signature qualifiée.

Cela signifie que les États doivent reconnaître la validité de la signature électronique, qu'elle soit simple, avancée ou qualifiée. Le règlement accorde toutefois une place prépondérante à la signature qualifiée en lui conférant la même force que la signature manuscrite PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, art. 25, 2. . Par ailleurs, au niveau européen, une signature reposant sur un certificat qualifié délivré dans un État membre est valable en tant que tel dans chaque État membre.