La crise sanitaire a hâté le processus de digitalisation des entreprises. Avec la généralisation du télétravail et la limitation des déplacements, la possibilité de signer des documents à distance a révélé tout son potentiel, et permis aux organisations de continuer à fonctionner en dépit des circonstances.
Ainsi, 70 % des entreprises ont accéléré l’adoption de la signature électronique en raison de la crise (source : Archimag).
Vous envisagez de vous lancer à votre tour ? Votre société a implémenté une solution de signature à distance, et vous souhaitez maîtriser parfaitement le sujet ?
Nous vous proposons un lexique des termes essentiels à connaître autour de la signature électronique.
Signature électronique
Commençons par le commencement : la signature électronique désigne un procédé de signature d’un document numérique par chiffrement.
Il ne s’agit donc pas d’une simple numérisation de la signature manuscrite.
Le règlement eIDAS définit ce type de signature comme « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique, et que le signataire utilise pour signer ».
Certificat électronique
Associé à l’utilisation de la signature à distance pour certains niveaux de sécurité, le certificat électronique est un fichier contenant les informations relatives à l’identité de son titulaire, ainsi que l’ensemble des données qui permettent de garantir l’authenticité et l’intégrité des signatures réalisées.
En somme, il fait le lien entre la signature électronique et le signataire.
Ce certificat, généralement remis à une personne physique qui agit pour le compte de l’entreprise, est délivré par un tiers de confiance – comme, une Autorité de Certification, elle-même supervisée en France par l’ANSSI.
Authentification
L’authentification renvoie au procédé par lequel un utilisateur prouve son identité afin d’accéder à un service.
Elle peut se faire de différentes manières : mot de passe, code unique reçu par SMS ou par email, système de reconnaissance faciale ou vocale, questions personnelles, etc.
Plus il existe de couches d’authentification, plus la signature électronique est sécurisée, et moins elle peut être contestée : c’est pourquoi on emploie l’authentification à double facteur (2FA) en lien avec les niveaux de signature les plus avancés.
Règlement eIDAS
Le règlement eIDAS est un texte de loi européen qui s’applique à l’identification électronique, aux services de confiance et aux documents numériques.
Il établit un cadre commun aux pays membres de l’Union européenne dans le but de favoriser l’émergence d’un « marché de la confiance numérique ».
Signature électronique sécurisée
Fluidifiez et facilitez vos échanges avec une signature électronique conforme et sécurisée.
C’est ce règlement qui prévoit, entre autres choses, les différents niveaux de signature électronique accessibles, ainsi que les moyens à mettre en œuvre pour les employer.
Niveaux de signature
Le règlement eIDAS reconnaît trois niveaux de signature électronique :
- La signature simple.
- La signature avancée.
- La signature qualifiée.
Ces niveaux font référence à des processus distincts de vérification de l’identité du signataire, plus poussés à mesure que le degré de sécurité augmente.
Ainsi, une signature électronique qualifiée nécessite d’obtenir au préalable un certificat numérique avec vérification en face-à-face de l’identité du demandeur.
Quant à la signature « simple », elle désigne en réalité tous les procédés de signature qui ne sont ni avancés, ni qualifiés.
Face-à-face
Dans certains cas (signature qualifiée ou avancée avec certificat qualifié), l’obtention d’un certificat préalable à la signature électronique nécessite une vérification d’identité poussée, dite « en face-à-face ».
Cette vérification peut se faire physiquement ou à distance, avec des conséquences sur les modalités de contrôle.
Lors d’une rencontre physique, le tiers de confiance remet au signataire un token à utiliser pour s’authentifier.
Lors d’une vérification à distance, le signataire doit réaliser une ou plusieurs vidéos pour présenter son visage ainsi que sa pièce d’identité.
SMS dialogué
Le SMS dialogué est un procédé permettant au signataire d’un document de confirmer son consentement.
Ce procédé s’appuie sur l’envoi de deux SMS : le premier pour demander l’approbation, le second à des fins d’authentification (via un code à six chiffres et à usage unique).
Chiffrement
Le chiffrement, ou cryptage, est le procédé qui vise à transformer une donnée en un cryptogramme, dans le but de la protéger en la rendant inintelligible aux personnes non autorisées.
Pour chiffrer une donnée, on utilise un algorithme asymétrique et deux codes de décryptage, qu’on appelle « clés », l’une étant publique (accessible à tous) et l’autre privée (détenue par le seul utilisateur).
La cryptographie permet de garantir l’intégrité, l’authenticité et la confidentialité d’un document.
Token
Un token est un dispositif matériel (clé USB, carte à puce…) servant à chiffrer ou à déchiffrer un contenu, respectivement via une clé publique ou une clé privée.
Employé dans le cadre d’une signature électronique qualifiée, ce dispositif est remis à une personne physique après vérification en face-à-face de son identité, et lui permet de s’authentifier lors de l’utilisation de l’outil de signature.
API
Une API de signature électronique permet de créer une passerelle entre l’outil de signature et les logiciels métiers, afin d’accéder aux services directement depuis ces derniers et de construire des workflows de validation adaptés à l’entreprise.
L’utilisation d’une API contribue à fluidifier le processus de signature électronique, à raccourcir le cycle de vente, et à améliorer l’expérience utilisateur – donc, aussi, la satisfaction client !