Qu’est-ce que la signature électronique qualifiée ?
Définition de la signature qualifiée
La signature électronique qualifiée (ou QES pour Qualified Electronic Signature en anglais) représente la forme la plus aboutie et la plus sécurisée de signature numérique disponible à ce jour.
Conformément au règlement européen eIDAS (electronic IDentification, Authentication and trust Services), elle est définie comme étant de niveau 4 et correspond à une signature électronique avancée agrémentée d’un certificat qualifié. Seuls les prestataires de services de confiance (ou Trust Service Provider – TSP – en anglais) ayant reçu le statut « qualifié » par les autorités compétentes (i.e. l’ANSSI en France) peuvent délivrer ce certificat.
La signature électronique qualifiée se distingue des 3 autres niveaux de signature électronique sur 2 points :
- La vérification d’identité est antérieure à la délivrance du certificat
- Sa création requiert l’utilisation d’un dispositif de création de signature qualifié (QSCD).
Ces 2 spécificités garantissent l’authentification irréfutable de l’identité du signataire ainsi que l’intégrité et la non-répudiation de la signature. Une fois apposée, il est pratiquement impossible de la contester ou de l’altérer sans laisser de traces évidentes. Sa fiabilité est telle qu’elle jouit du même statut légal qu’une signature manuscrite. Cela signifie qu’en cas de litige, votre signature électronique qualifiée aura la même force probante devant les tribunaux qu’une signature traditionnelle tracée au stylo.
Enjeux et avantages de la signature qualifiée
La signature électronique qualifiée répond avant tout aux besoins des entreprises très réglementées telles que les banques ou les assurances : accélérer les transactions, fluidifier les processus d’onboarding client et garantir une sécurité maximale. À cet égard, les coûts opérationnels, la rapidité des transactions, les garanties de sécurité et l’implémentation légale sont des aspects cruciaux où la signature électronique qualifiée (QES) joue un rôle transformationnel. Voici une exploration plus détaillée des bénéfices apportés par la QES:
- Amélioration de la rapidité des processus : Les banques sont souvent confrontées à la nécessité de traiter rapidement des volumes importants de transactions et de documents. La QES permet une gestion dématérialisée des signatures, supprimant les contraintes du papier et les délais postaux ou de déplacement, ce qui accélère significativement l’ensemble des processus.
- Sécurité renforcée : Dans un domaine aussi sensible que le secteur bancaire, la sécurité des transactions est primordiale. La QES offre une protection accrue grâce à des technologies avancées de cryptographie. Chaque signature est unique, vérifiable et infalsifiable, ce qui minimise le risque de fraude et renforce la confiance des clients.
- Conformité et reconnaissance légale : La QES est pleinement reconnue par les législations de nombreux pays, notamment ceux de l’Union européenne sous le règlement eIDAS, garantissant que les signatures électroniques qualifiées ont une valeur juridique équivalente à celle d’une signature manuscrite. Pour les banques, cela signifie que les documents signés électroniquement sont juridiquement solides et peuvent être utilisés en toute confiance dans les opérations nationales et internationales.
- Interconnexion et interopérabilité : La nature numérique de la QES facilite l’intégration à divers systèmes informatiques utilisés par la banque, ses partenaires et clients, rendant les interactions plus fluides et moins susceptibles aux erreurs. Cela est particulièrement bénéfique dans un contexte où les échanges transfrontaliers et entre institutions sont fréquents.
Contactez l’un de nos experts solutions pour découvrir comment nos 4 types de signature électronique conformes eIDAS vous permettent de signer l’ensemble de vos documents facilement, en toute conformité et sans perdre en conversion.
Valeur juridique de la signature électronique qualifiée
Signature qualifiée : seule équivalent juridique de la signature manuscrite
En matière de valeur juridique, la signature électronique qualifiée se distingue de manière significative des autres formes de signature électronique. En vertu du règlement européen eIDAS, la signature qualifiée est explicitement reconnue comme l’équivalent juridique de la signature manuscrite dans tous les États membres de l’Union européenne.
Voici pourquoi son statut juridique la rend si particulière :
- Reconnaissance légale : Conformément à l’article 25 du règlement eIDAS, la signature électronique qualifiée a la même valeur juridique qu’une signature manuscrite. Cela signifie que dans le cadre d’une procédure judiciaire, une signature qualifiée ne peut pas être refusée en tant que preuve uniquement du fait qu’elle est sous une forme électronique.
- Authenticité et intégrité : La QES assure l’authenticité de l’identité du signataire grâce à des procédures de vérification rigoureuses établies par les Autorités de Certification. De même, elle assure l’intégrité du document, car toute modification du contenu après la signature est détectable techniquement, rendant la signature invalide en cas de litige.
- Acceptation européenne : Le règlement eIDAS définit le cadre légal relatif à l’utilisation et à la reconnaissance des 3 types de signature électronique dont la QES fait partie pour l’ensemble des États Membres de l’Union Européenne, dont la France fait évidemment partie. Seuls les Prestataires de Services de Confiance Qualifiés (QTSP) reconnus et certifiés par l’eIDAS sont habilités à délivrer des certificats qualifiés.
Validité de la signature électronique qualifiée en cas de litige et renversement de la charge de la preuve
En cas de litige, votre signature électronique qualifiée détient la même valeur juridique qu’une signature manuscrite traditionnelle. Concrètement, cela signifie qu’elle est reconnue devant les tribunaux au même titre que les preuves écrites. Ce niveau de reconnaissance est rendu possible grâce à la conformité stricte aux réglementations qui obligent les Prestataires de Services de Confiance Qualifiés (QTSP) à suivre des procédures rigoureuses pour la vérification d’identité et pour émettre le certificat qualifié associé.
Le règlement eIDAS stipule qu’elle a une présomption de validité, ce qui signifie que le document signé avec une signature électronique qualifiée est automatiquement considéré comme authentique et ayant une intégrité garantie, sauf preuve du contraire. Ainsi, si un acteur conteste la validité de votre signature qualifiée devant une juridiction, c’est à lui de fournir la preuve que celle-ci n’est pas valide : c’est ce qu’on appelle le principe de renversement de la charge de la preuve. Autrement dit, le fardeau de la preuve est inversé par rapport à une signature électronique de niveau inférieur, où c’est au signataire de démontrer sa fiabilité.
La solution de Signature Electronique Qualifiée (QES) de Namirial
Namirial, leader des services de confiance qualifiés et de la gestion des transactions numériques
Namirial est une société multinationale spécialisée dans les services de confiance qualifiés et les solutions technologiques qui aident les entreprises, les professionnels, les administrations publiques et les citoyens à gérer les transactions numériques.
Le groupe est détenu par le fonds d’investissement Ambienta Sgr, emploie environ 900 personnes dans ses 30 bureaux en Europe, en Amérique latine et en Asie et est actif dans plus de 85 pays, avec un réseau de plus de 150 partenaires commerciaux dans le monde. En tant que prestataire de services de confiance qualifié QTSP, Namirial figure sur la liste de confiance de l’UE , conformément aux exigences eIDAS et eIDAS 2.
🏆 En 2024, pour la huitième année consécutive, Aragon Research Globe™ place Namirial dans la catégorie Leader parmi les 20 premiers fournisseurs mondiaux de Digital Transaction Management (DTM) sur la base de la performance des solutions que nous proposons et de l’efficacité de notre stratégie.
Namirial Onboarding, l'orchestrateur de confiance pour la gestion des flux d'acquisition clients
Namirial Onboarding est un agrégateur de solutions propriétaires pour un onboarding client 100% digital et conforme. Ces dernières vous permettent de vérifier l’identité de vos clients, de les authentifier et de signer électroniquement vos contrats. Grâce à la combinaison de technologies innovantes basées sur l’intelligence artificielle et l’intervention humaine, l’ensemble de ces solutions garantissent une protection complète contre les menaces de contrefaçon et d’usurpation d’identité, vous assurant un niveau élevé de sécurité et une conformité totale aux réglementations, tout en augmentant vos taux de conversion.
En fonction de vos besoins spécifiques, la vérification d’identité peut être effectuée de différentes manières, en intégrant, au sein de Namirial Onboarding, une ou plusieurs de nos solutions :
- ID Hub : Connecteur d’applications de vérification d’identité de l’utilisateur (solutions Namirial + Identité Numérique EU)
- ID Doc Check : Solution de vérification des pièces justificatives et de remédiation KYC
- ID Self : Solution de vérification des documents d’identité à distance, sans reconnaissance faciale
- ID Self+ : Solution de vérification d’identité avancée avec reconnaissance faciale active des utilisateurs
- ID Self Fast : Solution de vérification d’identité avancée et fluide avec reconnaissance faciale passive des utilisateurs
- ID Self Max : Solution de vérification d’identité la plus sécurisée, avec parcours PVID : reconnaissance faciale active et passive des utilisateurs par l’IA + double vérification par nos experts anti-fraude
Namirial ID Self Fast, la vérification d'identité la plus rapide pour votre parcours QES
Namirial ID Self Fast est la solution de vérification d’identité vidéo avec la meilleure expérience utilisateur du marché : grâce à notre technologie de reconnaissance faciale passive (l’utilisateur n’a rien à faire, notre IA détecte automatiquement s’il s’agit de la bonne personne), le processus de vérification d’identité s’effectue en moins de 40 secondes !
L’identité vérifiée par l’IA est alors validée par nos experts anti-fraude en moins de 5 minutes. C’est ce haut niveau de contrôle de l’identité du signataire qui permet à la signature qualifiée d’atteindre le niveau substantiel selon le règlement eIDAS (équivalent au face-à-face) et de délivrer un certificat électronique qualifié.
Une fois la vérification de l’identité de l’utilisateur validée, ce dernier est invité à signer le document à l’aide d’un OTP SMS (One-Time-Password).
La solution de signature électronique de Namirial Onboarding est alors conforme à l’article R561-5-2 de la 5ème directive LCB-FT concernant les mesures de vigilance complémentaires en répondant aux mesures 1 et 6, c’est-à-dire la nécessité de recueillir un document d’identité et d’utiliser une signature et cachet sur la base d’un certificat qualifié.
Notre parcours de signature électronique qualifiée offre l’avantage d’être modulable et de proposer un parcours intuitif et fluide, évitant les “challenges” en se basant sur la preuve de vie passive. L’utilisateur est accompagné en temps réel dans son parcours, ce qui accélère et simplifie le processus, réduisant au maximum les abandons ou erreurs.
Contactez l’un de nos experts solutions pour découvrir comment nos 4 types de signature électronique conformes eIDAS vous permettent de signer l’ensemble de vos documents facilement, en toute conformité et sans perdre en conversion.
Les spécificités techniques de la signature qualifiée
La signature de niveau 4 est la plus sécurisée du règlement eIDAS car elle présente 2 spécificités distinctives :
- Le certificat de signature électronique qualifié ne peut être émis qu’après avoir vérifié l’identité du signataire.
- La signature ne peut être créée qu’à l’aide d’un QSCD, validé par l’ANSSI, dans lequel se trouve le certificat qualifié.
Qu’est-ce qu’un certificat de signature électronique qualifiée ?
Un certificat de signature électronique qualifiée est, pour reprendre une métaphore, le sceau numérique qui solidarise irrévocablement votre identité à vos signatures électroniques. Ce certificat, délivré par une Autorité de Certification (AC) qualifiée, établit un lien indubitable entre vos données d’identification personnelle et la signature électronique que vous apposez sur les documents numériques. Son intégrité repose sur la non-ambiguïté de votre identité, attestée de manière indiscutable par cet acte de certification. Le certificat électronique qualifié est en quelque sorte la carte d’identité numérique du signataire, qui atteste de la véracité de ses informations personnelles.
Ce document certificatif est le fruit d’un processus rigoureux. Votre présence, physique ou à distance, est requise pour sa délivrance, assurant ainsi un lien direct et vérifiable avec vous-même, garantissant ainsi un niveau de sécurité maximal.
Certificat électronique qualifiée physique ou à distance ?
Historiquement, la phase préalable de vérification d’identité était effectuée lors d’une rencontre physique entre le signataire et l’autorité de certification. Cette étape permettait au QTSP de valider son identité et de lui remettre le « token » matériel dans laquelle se trouve sa clé cryptographique privée. Le signataire pouvait alors signer ses documents après l’avoir déverrouillé grâce à la saisie d’un code PIN.
Avec l’avènement des technologies cloud, vous avez désormais l’option d’un certificat électronique à distance. Ici, au lieu d’avoir un objet physique, votre clé cryptographique est sécurisée sur un serveur cloud par le biais d’un Hardware Security Module (HSM) à distance. Ce système cloud, géré par un fournisseur de services de confiance (TSP) offre plus de flexibilité qu’un dispositif physique car il vous permet d’accéder à votre signature électronique où que vous soyez, pourvu que vous ayez une connexion Internet. Cela simplifie le processus de signature en éliminant le besoin de matériel spécifique à transporter et à maintenir. Cette facilité d’accès ne compromet toutefois pas la sécurité, car les fournisseurs de services de confiance qui gèrent ces systèmes doivent satisfaire à des exigences de sécurité extrêmement strictes établies par le règlement eIDAS.
Le QSCD : l'outil de création de la signature de niveau 4
Le QSCD, ou Qualified Signature Creation Device, est le matériel ou logiciel sécurisé approuvé une autorité européenne de sécurité et de défense des systèmes d’information (i.e. l’ANSSI en France) qui crée et protège la clé cryptographique privée utilisée pour générer la signature de niveau 4. Ils sont fournis par des Prestataires de Services de Confiance Qualifié (QTSP) lors de l’étape de vérification de l’identité du signataire. Les QSCD sont incarnés physiquement par des “tokens” : clés USB, de cartes à puce ou de badges. Aujourd’hui, l’ANSSI autorise certains QTSP comme Netheos à les utiliser à distance, dans le Cloud.
Leur rôle est de stocker de manière sécurisée la clé cryptographique privée de l’utilisateur et de s’assurer que celle-ci ne quitte jamais le token. Ils sont conçus pour être robustes contre toute tentative de piratage ou d’extraction forcée des données.
Les QSCD sont donc vitaux car ils s’assurent que votre signature est valide et juridiquement équivalente à une signature en face à face. Il protège également votre identité en garantissant que la signature ne peut être falsifiée ou réutilisée.
La clé cryptographique
Techniquement, toutes les signatures électroniques sont crées à partir de clés cryptographiques. Leur création est en effet basée sur le chiffrement RSA, un algorithme de cryptographie asymétrique très utilisé dans l’échange de données confidentielles sur internet. Mais kesako me direz-vous ! Ce terme mathématique signifie que 2 clés différentes sont utilisées pour créer puis lire une signature digitale : une clé publique pour chiffrer des données confidentielles et une clé privée associée pour les déchiffrer. Pour la signature électronique, l’utilisation est inversée : seul le signataire peut chiffrer sa signature avec sa clé privée et toutes les personnes qui possèdent la clé publique associée pourra la déchiffrer.
Les étapes techniques de création d'une signature électronique qualifiée
- Préparation et protection du document à signer : Lorsqu’un utilisateur souhaite signer un document numériquement, il va tout d’abord créer une empreinte, aussi appelée condensat, du document à signer par fonction de hachage. L’empreinte est une suite alphanumérique unique (chiffres + lettres) permettant de condenser et de codifier les données textuelles du document. Même un changement minime dans le document initial entraînera la production d’une empreinte complètement différente.
- Chiffrage de l’empreinte avec la clé privée : La clé privée du signataire générée par le QSCD et validé par le prestaire de confiance va alors être utilisée afin de « chiffrer » l’empreinte, créant ainsi une signature numérique (au format alphanumérique). Cette technique permet d’attester que la signature a bien été crée par le signataire vérifié, étant le seul détenteur de la clé privée.
- Signature qualifiée : En parallèle, le certificat qualifié du signataire va être associé à la signature électronique afin de générer le document signé numériquement, répondant aux exigences du règlement eIDAS (QES = certificat qualifié + signature avancée). Pour rappel, le certificat lie votre clé publique, également crée par le QSCD, à votre identité. Cela permet à quiconque détenant cette clé de confirmer que l’empreinte a été chiffrée (signée) avec votre clé privée.
- Vérification de l’empreinte : L’expéditeur va à son tour créer une empreinte du document signé reçu avec la même fonction de hachage. Puis il utilisera la clé publique préalablement reçue pour déchiffrer la signature et retrouver l’empreinte initiale. Si ces 2 empreintes générées sont identiques, alors la signature est valide : le document n’a jamais été altéré après la signature.
Ce système permet de protéger le document contre toute altération et de prouver que le signataire est celui ou celle qui possède la clé privée associée à la clé publique.
Contactez l’un de nos experts solutions pour découvrir comment nos 4 types de signature électronique conformes eIDAS vous permettent de signer l’ensemble de vos documents facilement, en toute conformité et sans perdre en conversion.
Comment obtenir une signature électronique qualifiée ?
Obtenir une signature électronique qualifiée en France
Pour obtenir votre propre Signature Électronique Qualifiée en France, vous devez suivre une procédure bien définie qui respecte les exigences strictes établies par le règlement eIDAS :
- Choisir un Prestataire de Services de Confiance Qualifié (QTSP) : Vous devez vous adresser à un QTSP reconnu, c’est-à-dire une entité qui a été évaluée et qui détient la certification nécessaire à la délivrance de services de création de signatures électroniques qualifiées. La liste des prestataires qualifiés est disponible sur le site de l’eIDAS.
- Vérifier votre identité : Le règlement eIDAS exige une vérification d’identité approfondie pour assurer l’authenticité de la signature. Cette étape est opérée le QTSP que vous avez choisit et inclut l’utilisation d’une solution de vérification d’identité à distance sécurisée telle que Netheos ID FAST. En plus de présenter une preuve d’identité valide, les outils de reconnaissance faciale par IA comparera votre photo d’identité avec votre visage, s’assurant ainsi que vous êtes bien la personne détentrice de la CNI.
- Obtenir le Certificat Qualifié : Une fois votre identité confirmée, le prestataire vous remettra un certificat qualifié de signature électronique, qu’il déposera dans un QSCD : le dispositif de création de la QES. Ce document numérique lie vos données d’identification à vos données de création de signature et confirme l’origine et l’intégrité des documents signés.
- Signer : Vous pourrez alors signer votre contrat. Cette étape varie selon les prestataires mais fonctionne généralement grâce à un code à 6 chiffres appelé OTP (One Time Password) reçu par SMS ou email.
En 2023, le groupe Namirial est nommé leader dans la catégorie fournisseurs de logiciels de signature électronique dans le rapport IDC MarketScape Worldwide 2023, à côté d’Adobe et de Docusign.
Obtenir une signature électronique qualifiée pour les formalités INPI
L’Institut National de la Propriété Industrielle (INPI), qui est l’organisme officiel français chargé de l’enregistrement des propriétés intellectuelles telles que les brevets, les marques, les dessins et modèles, permet aujourd’hui la réalisation de nombreuses formalités en ligne. Pour garantir la sécurité et la véracité de ces démarches, la Signature Électronique Qualifiée s’avère être un outil précieux et parfois nécessaire.
L’usage de la QES répond à un double enjeu lors de vos formalités auprès de l’INPI : assurer l’intégrité du document transmis et garantir l’identification certaine du signataire, qui peut être l’inventeur, le créateur ou tout mandataire agissant en son nom.
La mise en œuvre de la QES pour les formalités de l’INPI suit le cadre légal imposé par le règlement eIDAS et nécessite de passer par les étapes suivantes :
- Obtenir un certificat qualifié : Comme précisé précédemment, vous devez acquérir un certificat qualifié auprès d’un Prestataire de Services de Confiance Qualifié (QTSP) certifié par l’ANSSI qui vérifiera votre identité.
- Préparer votre formalité : Préparez le document relatif à votre formalité INPI (demande de dépôt, opposition, renouvellement, etc.) en suivant les directives fournies par l’INPI pour le respect des formats et des conditions de dépôt.
- Apposer la signature : Signez électroniquement votre document grâce au QSCD (physique ou à distance) fourni par le Prestataire de Confiance de votre choix.
- Transmission au format électronique : Une fois le document signé, transmettez-le électroniquement via la plateforme en ligne de l’INPI.
Namirial ne propose pas de signature électronique qualifiée à l’unité comme il vous est demandé pour les formalités INPI. Notre solution, basée sur une plateforme API, permet de traiter d’importants volumes de signatures qualifiées, convenant davantage aux entreprises très réglementées qu’aux particuliers.
Obtenir une signature électronique qualifiée gratuite
Il n’existe pas de solution gratuite pour la signature électronique qualifiée. Si la plupart des acteurs français et internationaux (Yousign, Docusign, Universign, Eversign ou encore PandaDoc) proposent plusieurs jours d’essais gratuits, cela ne concerne que la signature électronique simple, c’est-à-dire le premier niveau de sécurité et de reconnaissance légal du règlement eIDAS. Pour autant, cette procédure reste la plus utilisée dans le monde aujourd’hui, et de loin !
La raison est logique : la signature simple n’est pas contrainte légalement ou techniquement. Ainsi, vous pouvez signer sans avoir à vérifier votre identité et aucun certificat n’est délivré. En cas de litige, le signataire peut donc tout à fait nier avoir signé.
À contrario, la version qualifiée correspond au niveau eIDAS le plus réglementé et contraint techniquement, nécessitant l’utilisation de solutions technologiques poussées et ultra sécurisées. Les coûts supplémentaires engrangés pour les prestataires de services de confiance ne leur permettent alors pas de proposer des solutions gratuites.
Remplissez le formulaire pour être recontacter par l’un de nos experts solutions.
Cette prise de contact sera pour vous l’occasion de :
- Découvrir comment nous pouvons répondre à vos attentes, votre problématique et vos besoins spécifiques
- Découvrir les avantages de nos solutions et les avantages que vous gagneriez selon votre cas d’usage
- Obtenir des retours clients et des cas d’entreprises similaires qui ont intégré nos solutions
- Organiser une démo personnalisée, vous permettant d’apprécier comment nos solutions allient fluidité, sécurité et conformité.
Si vous recherchez une assistance pour l’un de nos produits, veuillez contacter votre représentant commercial ou consulter nos pages d’Assistance Technique