Tribune de Faten Zerelli d’Universign, plate-forme de signature électronique en ligne de la société Cryptolog, leader des logiciels de signature électronique et d’horodatage.
La dématérialisation des processus métiers est une révolution technologique de long terme que les législateurs nationaux et européens s’efforcent de faciliter, sans toujours parvenir à suivre le rythme. L’entrée en vigueur au 1er juillet 2016 du règlement eiDAS* de l’UE pourrait marquer le début d’une nouvelle ère, celle de la confiance numérique et d’un marché en ligne harmonisé à l’échelle européenne.
Concrètement que change ce règlement à la vie des entreprises ?
Dès 1999, le Parlement européen s’est intéressé à la sécurisation et l’harmonisation du marché électronique. C’est à ce moment qu’a été publiée une directive enjoignant les Etats membres à légiférer. Chaque Etat a alors transposé les objectifs de la directive dans sa propre réglementation, avec pour principal résultat de créer les bases d’une hétérogénéité complète de la manière « de faire de la signature électronique », et donc de la valeur conférée. L’absence de valeur juridique des nouveaux outils tels que l’horodatage, la signature électronique et les certifications de serveurs ont dès lors commencé à poser des problèmes de sécurité, d’opposabilité des actes dématérialisés ou encore de reconnaissance mutuelle des autres états membres.
Dans le cadre de transactions transfrontières, la valeur accordée à la signature électronique et à l’horodatage était déterminée de façon contractuelle, sur les bases d’une application complètement desharmonisée. Bien souvent, chaque contractant y défend la réglementation propre à son territoire, ou celle jugeant la plus pratique, la plus avantageuse financièrement ou la plus sécurisée, tout en s’appliquant à réaliser des conventions de preuves et des clauses d’application en l’absence d’une réglementation homogène. Autant de risques juridiques qui pouvaient peser lourd dans la balance : en cas de contentieux, si la valeur d’une signature électronique n’est pas reconnue dans l’un des deux pays concernés, l’impact financier peut être extrêmement important. Pour éviter les négociations et supprimer le risque juridique, beaucoup de contrats se font encore sur papier, avec toutes les contraintes que cela suppose : stockage, gestion, risque de pertes, perte de productivité, moindre engagement des clients en B2C, etc.
Face à cette nécessité d’harmoniser les marchés européens, le règlement eiDAS définit clairement le statut des services de confiance et instaure des normes précises et opposables tant sur le plan technique qu’organisationnel. Chaque prestataire de services de confiance fait ainsi l’objet de contrôles a priori pour être reconnu à l’échelle européenne. Le règlement définit également 3 niveaux de signatures : signatures simples, avancées et qualifiées. Chaque niveau répond à des exigences normatives spécifiques, l’initiateur de la signature électronique utilisant l’un ou l’autre niveau de signature en fonction de la nature du contrat et de la réglementation applicable
Derrière ces trois niveaux de signature, l’un des enjeux principaux est celui de l’identification du signataire. Le règlement eiDAS détermine les spécifications techniques et les procédures qui permettent de garantir un schéma d’identification valable et d’atteindre la dématérialisation complète de ces processus d’identification électronique. Le texte rend également possible la gestion à distance ou dans le Cloud par le PSCo des clés cryptographiques nécessaires à l’identification de chacun, activables au travers par exemple l’envoi de codes d’authentification par téléphone (activation des clés par code SMS à usage unique). La gestion de ces clés étant une tâche particulièrement sensible, des services de confiance doivent être définis et certifiés en fonction des critères prévus par le règlement (mise en place d’un label de confiance).
L’autre changement majeur induit par ce règlement est la reconnaissance du cachet électronique. Cet outil est une forme de signature pour les personnes morales, à l’instar des tampons encreurs utilisés depuis toujours dans les entreprises. Un cachet serveur qui n’avait jusqu’à maintenant aucune validité, et dont la valeur est déjà reconnue pour la dématérialisation des factures.
En harmonisant et en sécurisant les échanges électroniques dans l’union, le règlement eiDAS accélère leur usage, permet ainsi aux entreprises européennes de gagner en compétitivité et instaure une avancée majeure par l’introduction de la gestion à distance des dispositifs de création de signatures qualifiées. Pour les particuliers, cette évolution se traduit par une amélioration de l’expérience client et un pas de plus vers la dématérialisation complète des processus d’identification et des documents.
* eiDAS : electronic IDentification, Authentication and trust Services
Comprendre l'économie durable pour s'y investir