Novembre 2021. Namirial rachète Netheos, une legaltech montpelliéraine spécialisée dans la signature électronique. Deux ans plus tard, l’éditeur italien conclut l’exercice 2023 avec plus de 850 millions de signatures électroniques générées par sa solution. Expert solutions chez Namirial, Hamid Lakaf livre à Décideurs son analyse de cet écosystème ô combien réglementé.

Décideurs. Quelles étapes les acteurs de la signature électronique doivent-ils suivre pour obtenir la certification émise parle règlement eIDAS ?

Hamid Lakaf. La mise en conformité d’une solution de signature électronique au regard de la réglementation eIDAS repose sur plusieurs mécanismes. L’outil de signature à proprement parler, utilisé par les signataires pour visualiser le document et réaliser la signature, n’est que la partie émergée de l’iceberg. Derrière cet outil, de nombreux mécanismes sont mis en branle pour répondre à différentes exigences, telles que l’identification du signataire, le recueil de son acceptation des conditions générales d’utilisation (CGU) ou encore sa volonté de signer le document après sa lecture. Toutes ces opérations sont tracées pour constituer le dossier de preuves de la cérémonie de signature. Un ensemble ­d’informations opposables en cas de litige.

Le processus de qualification repose en premier lieu sur une étape de certification qui ne concernera que les niveaux de signature avancée et qualifiée. Ce processus doit être réalisé par un organisme de certification agréé. Une fois notre solution conforme à ces prérequis techniques, nous déposons un dossier auprès d’une autorité responsable de ces sujets dans l’UE. En France, il s’agit de l’Agence nationale de la sécurité des systèmes d’information (Anssi). De nombreux critères guident son évaluation, comme la robustesse de l’infrastructure pour le traitement et l’hébergement des données ou la pérennité financière de la structure. Les processus de formation et de sensibilisation des collaborateurs aux sujets de sécurité sont également passés en revue. Si tous ces aspects respectent les exigences du régulateur, l’Anssi délivre une qualification d’une durée de deux ans renouvelables.

Quels sont les nouveaux impératifs introduits par la révision 2024 de cette réglementation ?

La révision du règlement de 2014 dessine un nouveau cadre réglementaire qui concerne plusieurs services, tels que l’identité numérique à travers le e-wallet, la délivrance d’attributs, ou l’archivage. Avec eiDAS 2.0, le régulateur aspire à toujours plus d’uniformité et d’interopérabilité entre les systèmes des États membres. L’entrée en vigueur de cette seconde mouture au printemps dernier entérine de nouveaux critères globaux et unifiés pour affiner la définition des services de confiances. Tous les décrets d’application seront publiés à l’horizon 2026. 

Pour les acteurs de la signature électronique, plusieurs objectifs se profilent avec eiDAS 2.0. Le premier est de maintenir un niveau de conformité suffisant en matière d’archivage électronique des dossiers de preuves. En France, il est d’ores et déjà encadré par la norme NF-Z 42013. Le second de déployer un nouveau service d’attestation d’attributs qualifiés eiDAS sur le plan européen. Diplôme, permis de conduire, mandats… Autant d’attributs délivrés au citoyen pour lui permettre de faire valoir ses droits dans la réalisation de certaines tâches partout dans l’UE, telles que justifier d’un diplôme pour un emploi, d’un permis pour un véhicule ou encore pour signer un document au nom d’une personne physique ou morale. Enfin, dernier objectif, se préparer à l’apparition du e-wallet prévue en 2030. Un portefeuille numérique qui va permettre aux citoyens européens de télécharger une ou plusieurs identités numériques autorisées dans les pays de l’UE. Les applications du e-wallet seront nombreuses. Parmi elles, la possibilité de signer électroniquement et utiliser ses attributs en toute confiance. Une question se pose déjà pour les acteurs de la place : l’État français va-t-il développer sa propre solution gratuite de signature électronique qui sera mise à disposition dans le e-wallet ou faire appel à des ­prestataires privés ?

La signature électronique se décline en trois états : simple, avancée et qualifiée. Pour quels usages vos clients ont-ils recours à ces trois niveaux de sécurité ?

En premier lieu, la signature simple. Elle concerne des usages avec une "portée moindre" en termes de risque financier et d’image. Elle ne nécessite pas de vérification poussée de l’identité du signataire. Nos clients l’utilisent souvent pour les processus de signature au sein des départements des ressources humaines (contrats de travail, avenants…), de la logistique (bons de commande, avis de livraison…) ou des régies immobilières pour les contrats de location.

Second cas de figure, la signature avancée. Elle permet de garantir une vérification de l’identité du signataire de manière univoque en amont de la signature. Nous proposons à cet effet tout un éventail de méthodes de contrôle de l’identité avant la signature. Soit par un scan de la pièce d’identité avec un traitement en temps réel par notre moteur d’intelligence artificielle (IA) afin d’en établir l’authenticité. De l’autre, un face match avec détection du vivant qui consiste à capturer une vidéo de la pièce d’identité du signataire puis de son visage. Nous vérifions alors que le signataire est bien derrière son écran, que la pièce d’identité est authentique et que les deux visages concordent. En termes d’usage, le niveau avancé est souvent privilégié en cas de signature de documents avec une "portée importante". C’est le cas des promesses de vente dans l’immobilier, des demandes de financement dans le secteur bancaire ou de la souscription à des contrats d’assurance dans des secteurs d’activité à forts enjeux.

Enfin, la signature qualifiée eiDAS. À la différence du niveau avancé, elle implique que la signature soit générée par un périphérique lui-même qualifié. Nos clients y ont recours pour se conformer à des obligations légales. Exemple avec les banques et les établissements financiers qui sont assujettis aux obligations réglementaires relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) comprenant, par exemple, le Know Your Customer (KYC). Un principe renforcé par l’article R561-5-2 du Code monétaire et financier au sein duquel la signature qualifiée figure comme l’une des mesures dites "de vigilance". Autre usage : la dématérialisation de la transmission des documents relatifs aux marchés publics dont le montant est supérieur ou égal à 25 000 euros. Documents de consultation, candidatures et offres des participants, échanges avec les acheteurs, notifications des décisions… La transmission de ces documents ne peut plus se faire sous forme papier, en vertu de l’arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique.

Il est à noter qu’il est toujours primordial de disposer de traces irréfutables qui attestent des mécanismes mis en œuvre lors d’une cérémonie de signature, et ce, quel que soit le niveau (simple, avancé ou qualifié). Sans ce "dossier de preuves", il n’est pas possible de démontrer que celle-ci a été réalisée en respectant la réglementation en vigueur et les normes de l’usage attendu.

 

Propos recueillis par Jonathan Banuelos