Levons d’abord une ambiguïté. La signature électronique n’est pas votre ” gribouillis “, scanné et ” collé ” au bas d’un écrit électronique. Facilement piratable et altérable, cette empreinte n’a pas la valeur légale d’une signature. La signature électronique sécurisée est celle que la loi du 13 mars 2000 assimile ?” juridiquement ?” à la signature manuscrite. Selon l’avocat Frédéric Mascre, elle serait même plus sûre que la griffe manuscrite. Comment l’utiliser ?
Qui peut signer par voie électronique ?
Tous ceux qui ont la capacité légale de signer : particuliers, entreprises, administrations, notaires (sauf pour les actes dits authentiques, qui doivent obligatoirement être signés en présence du notaire), avocats, huissiers, médecins…
Quels documents peut-on e-signer ?
La signature électronique est utilisable dès maintenant pour les commandes et les contrats des particuliers et des entreprises (sauf contrats de démarchage à domicile et de crédit à la consommation), pour les déclarations administratives et fiscales, les transferts financiers et le télépaiement de la TVA (pour les entreprises de plus de 100 millions de francs de chiffre d’affaires). Bientôt, la signature électronique servira aussi pour les déclarations et paiements fiscaux (impôt sur le revenu, TVA…) des entreprises et particuliers. En revanche, pour tous les actes ” authentiques “, il faudra attendre.
Qui peut certifier le paraphe électronique ?
Une personne qui veut signer par voie électronique doit joindre à la signature une pièce d’identité électronique, le certificat. Ce certificat est fourni par un prestataire de services de certification (PSC). Comme un notaire, il certifie, sous sa responsabilité, que la signature émane bien de son auteur. Il garantit également la non-falsification du document.
Entités publiques ou privées, agréées par l’État, les PSC sont encore peu nombreux. Les plus connus ? Cerplus, émanation de France Télécom, EADS, Banques populaires, Gemplus et VeriSign, ainsi que Certinomis, filiale de La Poste et de Sagem. Des start-up, comme vivaup.com et magicaxess.com, s’intéressent aussi au marché ainsi que des filiales de banques (comme click-and-trust.com pour les Banques populaires, ou http://certification.bnpparibas.com).
Les certificats fournis par la CCIP sont reconnus par tous les pays membres de l’Union européenne. Le greffe du tribunal de commerce de Paris propose des certificats délivrés gratuitement aux 300 000 entreprises inscrites. Toutes les formalités et procédures de la vie de l’entreprise ?” y compris la transformation de son capital en euros ?” pourront être effectuées dans un environnement sécurisé.
Comment obtient-on le droit de signer ?
La procédure est simple et rapide. Il suffit de se connecter au site d’un PSC et de s’y enregistrer en remplissant un formulaire en ligne. Les formules pour les entreprises sont différentes de celles pour les particuliers. La société Thawte, par exemple, demande au particulier qui a choisi l’option Freemail ses nom, prénom, nationalité, numéro de carte d’identité ou de Sécurité sociale, adresse… Ces informations sont obligatoires. Thawte en garantit la confidentialité. Elle délivre ensuite ” en quelques heures ” un certificat en donnant l’adresse web où l’on peut le télécharger. Pour délivrer le Certificat Personae, Certinomis demande, lui, des justificatifs papiers de ces informations.
Plus les renseignements à fournir sont nombreux et précis, plus le certificat a de fonctionnalités et un niveau élevé de fiabilité. Des exemples ? Le certificat Classe 1 de Certinomis, qui ne repose que sur l’adresse web du demandeur, n’est adapté ni la signature ni au paiement des transactions commerciales. Lorsqu’il vérifiera le certificat de l’émetteur, le destinataire saura qu’il présente un faible niveau de fiabilité. À l’inverse, les certificats Pack SociéPoste de Certinomis ou Chambersign de la Chambre de commerce sont dotés d’un ” haut niveau de sécurité “. Pour les obtenir, l’utilisateur doit fournir son Kbis et tous les éléments prouvant son appartenance à l’entreprise dont le nom figurera sur le certificat à côté du sien. Il doit adresser ces pièces par courrier postal ou se rendre chez le PSC. ” Le contrôle en face à face permet d’optimiser l’authenticité d’une identité “, précise Didier Arpin, directeur général de Certinomis.
Dernière étape : le PSC délivre à l’utilisateur une ” paire de clés ” : la clé ” privée “, que seul l’utilisateur peut activer grâce à un mot de passe, et la clé ” publique “, qui, à chaque envoi de message signé, est automatiquement adressée au récepteur.
Combien coûte une signature numérique ?
Le prix du certificat ?” qui permet de signer les documents ?” dépend de l’utilisateur (particulier ou entreprise) et de la procédure d’enregistrement choisie. Chez Certinomis, par exemple, les tarifs varient entre 150 et 400 francs par an. Le certificat est valable un an ou deux, selon les cas.
Comment l’installer sur son ordinateur ?
La signature est le plus souvent contenue dans un logiciel téléchargeable sur ordinateur. Le PSC communique par e-mail l’adresse de téléchargement du certificat, accompagné d’un mot de passe autorisant le retrait. Les ” clés ” peuvent aussi être livrées sous forme d’un support externe : carte à puce (à condition de posséder un lecteur de cartes à puce), clé USB (la plupart des PC possèdent aujourd’hui un port USB), etc. Cette formule garantit la protection de la clé privée et permet d’utiliser celle-ci sur tous les ordinateurs auxquels on a accès. L’usage est similaire à celui d’une carte bancaire (avec code confidentiel).
Quelle technique de sécurisation utilise-t-on ?
On emploie la cryptographie asymétrique. Le système utilise deux clés différentes, l’une dite publique, l’autre privée. Avec la clé privée, on signe électroniquement ; avec la clé publique, on vérifie la signature électronique de son correspondant. Ces deux clés sont indissociables. Un message qui n’a pas été chiffré avec la clé privée de l’émetteur ne pourra pas être déchiffré avec sa clé publique. Il est par ailleurs impossible de déduire ou d’extrapoler la clé privée d’un émetteur à partir de sa clé publique. Personne ne peut donc générer une signature au nom d’une autre personne, sauf s’il possède sa clé privée. ” Toute la confidentialité du système repose sur cette clé privée “, observe Alain Fruchet, directeur général de NTI, société de sécurisation de systèmes informatiques.
L’e-signature est-elle vraiment fiable ?
Légalement, le prestataire de services de certification est le seul à pouvoir authentifier la signature. Mais est-il fiable ? Vérifie-t-il avec le soin nécessaire les informations avant de délivrer un certificat ? ” C’est le principal danger de la signature numérique, prévient Alain Fruchet. Le secteur est laissé aux entreprises privées. Elles peuvent être tentées de négliger les procédures de vérification, coûteuses, pour réaliser un profit à court terme. Les certifications devraient être faites par des organismes gouvernementaux. “
En cas de fraude, qui est responsable ?
Ni la loi ni le décret ne le précisent. Cette question sera réglée par de futurs arrêtés ministériels. ” En cas de fraude, on pourra engager la responsabilité des PSC sur le fondement du droit commun, dit Garance Mathias, juriste spécialisée dans le commerce électronique. La Directive européenne sur la signature électronique établit une présomption de responsabilité des prestataires. “
* Laurence Moatti-Neuer est docteur en droit et rédactrice en chef de la revue Droit et Économie.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.