Tout savoir sur la légalité de la signature électronique

La signature électronique est réglementée dans l’Union européenne depuis déjà plus de 20 ans. Une décennie certes, cependant en comparaison avec l'usage de la signature manuscrite, cela peut paraître peu, notamment pour réussir à changer les mentalités et les habitudes ! Aujourd’hui, la signature électronique reste encore relativement peu connue du grand public, mais aussi des professionnels. Et les principales questions qui reviennent à ce sujet concernent la légalité de la signature électronique !

Pour répondre à tous vos doutes, nous avons décidé de rédiger ce blog afin de rappeler le cadre législatif de la signature électronique et partager avec vous les questions/réponses les plus fréquentes que nos clients nous posent.

Cet article se trouve également dans notre guide de signature électronique. Entrez et découvrez toutes nos ressources !

SOMMAIRE :

• Les questions fréquentes sur la légalité de la signature électronique :
• • Quelle est la valeur juridique de la signature avancée par rapport à la signature électronique qualifiée ?
  • Quels documents peuvent être signés avec la signature électronique ?
  • Certains documents doivent-ils être signés avec un type précis de signature électronique ?
  • Comment la signature électronique avancée de Signaturit est-elle conforme aux exigences de l'article 26 du Règlement eIDAS ?
  • En cas de contentieux, qui fournit la preuve de signature électronique ?
  • Si mon entreprise est située en France, doit-elle passer par un prestataire de services de confiance français (certifié ANSII) ?
  • Le prestataire de confiance doit-il stocker ses données en France pour respecter la RGPD ?
  • Combien de temps les documents envoyés avec Signaturit sont-ils conservés ?

Le Règlement eIDAS et la signature électronique

Le Règlement (UE) Nº 910/2014, aussi appelé eIDAS, sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, a pour objectif de renforcer la confiance dans les transactions électroniques dans l’UE. Il abroge la Directive 1999/93/CE du 13 décembre 1999 qui officialisait la reconnaissance de la signature électronique en Europe.

Le Règlement eIDAS, entré en vigueur le 1er juillet 2016, établit un cadre juridique clair et standardisé pour l’utilisation et la recevabilité des signatures électroniques dans l’UE. Il définit trois types de signature électronique : simple, avancée et qualifiée.

Le règlement eIDAS établit également le principe de non-discrimination dans l’Article 25.1. : « L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée. ».  Toute signature électronique dispose donc d’une valeur probante au sein de l’UE.

Application en France du Règlement eIDAS 

La France reconnaît également la légalité des signatures électroniques. En effet les règlements de l'Union Européenne sont directement applicables dans les pays membres. En ce sens, le règlement eIDAS est directement applicable en France. Par conséquent, les dispositions incluses dans le règlement eIDAS doivent être prises en compte lors de l'interprétation de l'utilisation de la signature électronique en France.

Au-delà de l'application directe du Règlement eIDAS, la France réglemente spécifiquement la validité de la signature électronique dans son Code Civil. En ce sens, il est important de noter que la liberté de forme régit en France : les parties d’un accord sont libres de déterminer comment elles refléteront cet accord, sauf lorsque la loi exige une formalité particulière qui doit nécessairement être remplie pour que l'accord soit valide.

Concernant la réglementation spécifique à la signature électronique contenue dans le Code Civil français, il est important de prendre en compte les articles 1366 et 1367 du Code Civil :

Article 1366 du Code Civil : « L'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. »

Article 1367 du Code civil : « la signature nécessaire à la perfection d’un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat. »

Par conséquent, en France, des accords peuvent être conclus en utilisant une signature électronique qui répond aux exigences de la loi. De même, les documents électroniques peuvent être présentés comme preuves dans les procédures judiciaires et administratives.

Les 3 types de signature électronique

L’eIDAS définit trois types de signature électronique : simple, avancée et qualifiée.

• Signature électronique simple : « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ».
• Signature électronique avancée : « une signature électronique qui satisfait aux exigences énoncées à l’article 26 : » Les exigences relatives à la signature électronique avancée établies à l'article 26 sont les suivantes :

1. « être liée au signataire de manière univoque ;
2. permettre d’identifier le signataire ;
3. avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
4. être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable. »

• Signature électronique qualifiée : « une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique ».

Pour en savoir plus sur la différence entre signature électronique simple, avancée et qualifiée, cliquez ici.

Les prestataires de services de confiance qualifiés

Un « prestataire de services de confiance qualifié », un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés, tel que la signature électronique, et a obtenu de l’organe de contrôle le statut qualifié.

L’Union européenne liste tous les prestataires de services de confiance par pays membre, certifiés en conformité avec l’eIDAS, reconnus sur l’ensemble du territoire européen.

Pour en savoir plus sur les prestataires de confiance, cliquez ici.

Les questions fréquentes sur la légalité de la signature électronique

1. Quelle est la valeur juridique de la signature avancée par rapport à la signature électronique qualifiée ?

La différence entre les types de signature n'est pas leur valeur juridique mais le degré d'identification du signataire et sa capacité probante. La signature électronique avancée est pleinement valide et admissible devant toute autorité. 

En ce qui concerne cette question, il est important de tenir compte des dispositions de l'article 25, paragraphe 1, du Règlement eIDAS : « L'effet juridique et la recevabilité d'une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu'elle ne satisfait pas aux exigences de la signature électronique qualifiée ». 

Par conséquent, conformément au Règlement eIDAS, la validité d'un document ne peut être rejetée parce qu'il contient une signature électronique ou parce que la signature électronique n'est pas une signature électronique qualifiée.

Étant donné que la signature électronique avancée de Signaturit répond aux exigences du règlement eIDAS et du Code Civil, elle peut être valablement utilisée pour conclure des contrats de toutes sortes et signer des documents tant que la loi ne prévoit pas expressément le contraire.

2. Quels documents peuvent être signés avec la signature électronique ?

Presque tous les documents peuvent être aujourd’hui signés via un procédé de signature électronique.

• Toutes sortes de contrats et documents commerciaux : devis, facture, bon de commande, contrat de prestation de services, contrat de licence, contrat de partenariat, contrat de bail, contrat de distribution, contrat d’agence, contrat de non-concurrence, accord de confidentialité, mandat SEPA, etc.
• Toutes sortes de contrats et documents RH : contrat de travail, avenant, accord de confidentialité, attestation de remise d'équipement, fiche de paie, feuille de temps, renouvellement de période d'essai, etc.

Attention, il existe cependant des restrictions précisées dans l’article 1175 du Code Civil. Elles concernent les actes sous seing privés suivants : 

• Les actes sous signature privée relatifs au droit de la famille et des successions.

Exemples : mandat de protection future, convention de Pacs, testament olographe...

• Les actes sous signature privée relatifs à des sûretés personnelles ou réelles, de nature civile ou commerciale, sauf s’ils sont passés par une personne pour les besoins de sa profession.

Exemples : acte de sûretés personnelles écrit (contrat de cautionnement), acte de sûretés réelles écrit (gage corporel et nantissement).

3. Certains documents doivent-ils être signés avec un type précis de signature électronique ?

Oui, il existe certaines réglementations imposant l’usage d’un certain type de signature électronique. 

• L’acte authentique électronique ⇒ la signature électronique qualifiée

L’acte notarié peut être établi et signé sur support électronique sous réserve du respect de la réglementation attachée à l’établissement, la conservation de l’acte et l’obtention d’une signature électronique qualifiée. 

À noter : L’acte authentique peut être signé électroniquement, cependant ce processus ne peut être effectué à distance de par la nature de l’acte. En effet un acte authentique notarié doit être signé par les deux parties devant un notaire. Face à la crise du Covid-19, un nouveau décret autorise la signature électronique des actes notariés à distance de manière provisoire (jusqu'à l'expiration d'un délai d'un mois à compter de la date de cessation de l'état d'urgence sanitaire).

• Marchés publics ⇒ Signature électronique avancée avec certificat qualifié ou signature électronique qualifiée

L’arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique fixe les règles relatives à l’usage de la signature électronique dans les marchés publics. Les signatures utilisées doivent être des signatures électroniques avancées reposant sur un certificat qualifié, tel que défini par le règlement eIDAS. Par définition (voir eIDAS), la signature électronique qualifiée peut également être utilisée. 

Pour tous les autres documents, bien que les trois types de signature soient valides, le choix du type de signature à utiliser dépendra de l’importance du document ou de l'accord que vous souhaitez signer. Dans tous les documents où il est nécessaire d'identifier les parties, il est important d'utiliser une signature permettant d'identifier correctement les signataires, comme une signature électronique avancée.

Dans le même sens, veuillez garder à l'esprit que l'article 1367 du Code civil établit que la signature électronique doit pouvoir identifier correctement le signataire. Par conséquent, une signature avancée ou qualifiée peut être utilisée pour signer tous les contrats qui ne sont pas soumis à des restrictions qu’indiquent le contraire. 

4. Comment la signature électronique avancée de Signaturit est-elle conforme aux exigences de l'article 26 du Règlement eIDAS ?

Concernant la signature électronique avancée, Signaturit satisfait toutes les exigences de l'article 26 du Règlement eIDAS comme suit :

1. Afin de garantir que la signature est associée à un seul signataire, le document est envoyé à l'adresse électronique ou au numéro de portable du signataire en question ;
2. Afin d'identifier le signataire, nous recueillons la géolocalisation au moment de la signature, les adresses IP d'origine et de destination de la demande, la date et heure de la signature, ainsi que les données biométriques du tracé du signataire (pression, vitesse et accélération). De même, un code OTP et un procédé d'identification électronique (technologie OCR) peuvent être intégrés au processus de signature ;
3. Le contrôle exclusif de la signature est garanti par la possibilité que nous offrons au signataire de signer le document en question à partir n'importe de quel appareil ayant accès à Internet (ordinateur, tablette, mobile) ; 
4. Nous empêchons toute modification ultérieure de la signature en garantissant l'intégrité du document. Pour garantir une intégrité absolue, nous chiffrons le document et incluons un horodatage qualifié qui garantit que les données du document n'ont pas été modifiées depuis le moment où il a été signé.

➡️ Pour en savoir plus sur notre solution de signature électronique avancée

5. En cas de contentieux, qui fournit la preuve de signature électronique ?

La preuve est fournie par l’outil de signature électronique.

Avec Signaturit un document probant est généré pour chaque processus de signature électronique, accessible et téléchargeable à tout moment. Il regroupe toutes les preuves électroniques du processus de signature pour garantir sa valeur juridique.

Il contient les éléments suivant :

1. Identifiant unique de la transaction
2. Nom du signataire, adresse e-mail, numéro de portable 
3. Chaîne de contrôle (ex : envoyé, signé, etc.)
4. Adresse IP
5. Géolocalisation
6. Historique d’authentification
7. Horodatage officiel
8. Statut complet

En ce qui concerne la valeur probante des documents électroniques, veuillez noter que « l'écrit électronique à la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. » (article 1366 du Code Civil). 

6. Si mon entreprise est située en France, doit-elle passer par un prestataire de services de confiance français (certifié ANSII) ?

Non, elle peut utiliser les services de n’importe quel prestataire de services de confiance qualifié européen. 

En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information), créée en 2009 est l’organe de contrôle chargé de qualifier les prestataires de services de confiance. Il est responsable de l'établissement, de la tenue à jour et de la publication de la liste de confiance.

Chaque pays membre dispose de son organisme de contrôle pour s’assurer que les prestataires de confiance nationaux sont conformes avec le Règlement eIDAS. En Espagne, pays dans lequel Signaturit est certifié, le Ministère de l'Économie et des Entreprises assume ce rôle. Dans la liste de confiance de l’UE, Signaturit apparaît donc dans la liste de l’Espagne.

Tous les prestataires de services de confiance autorisés par l'Union Européenne respectent les exigences légales et techniques pour fournir des services de signature électronique, sans obligation d'être certifié par l'ANSSI pour opérer en France.

Par conséquent, un prestataire certifié dans un pays donné de l’Union Européenne est reconnu dans tous les pays membres. Une entreprise française peut donc utiliser les services de n’importe quel prestataire de services de confiance qualifié européen. 

7. Le prestataire de confiance doit-il stocker ses données en France pour respecter la RGPD ?

Non, les serveurs peuvent être situés dans l’Union Européenne. 

Le RGPD n'est pas une réglementation française mais bien européenne et, par conséquent, il est directement applicable dans tous les pays membres de l’Union européenne. Les serveurs doivent donc être situés dans l’Union Européenne, mais pas forcément en France.

Signaturit stocke les données de ses clients en Irlande dans les serveurs de notre prestataire Amazon Web Service. Il assure la confidentialité maximum et la protection de l'information, en respectant la norme applicable en matière de confidentialité et protection des données personnelles en Europe. Amazon Web Services EMEA SARL possède les garanties suivantes : les certifications ISO 27001, 27017 y 27019 et les EU Standard Contractual Clauses. 

8. Combien de temps les documents envoyés avec Signaturit sont-ils conservés ?

Sur le plan légal, en tant que tiers de confiance selon la loi espagnole de services de la société de l’information nous sommes tenus de conserver les documents envoyés à travers Signaturit pendant un délai minimum de 5 ans. 

Dans tous les cas, nous conserverons les documents de nos clients pendant la durée de notre relation commerciale avec ces derniers (c'est-à-dire que si notre relation commerciale avec le client dure 15 ans, nous conserverons la documentation pendant 15 ans). La période de conservation minimale de 5 ans est applicable à tous nos clients (actuels et anciens).

Cet article se trouve également dans notre guide de signature électronique. Entrez et découvrez toutes nos ressources !

👇 TÉLÉCHARGEZ NOTRE LIVRE BLANC : La légalité de la signature électronique