AVIS D’EXPERT – Philippe Delahaye, directeur général adjoint de la BU archivage numérique de Docaposte explique aux lecteur de Solutions-Numériques en quoi une validation de la signature (et non pas une simple vérification), lors de la signature ou de la réception d’un document signé permet des fins de conformité et/ou de protection juridique.
Dans notre ère numérique en constante évolution, l’usage des signatures électroniques, si simple et efficace, est devenu un moyen très utilisé pour signer des documents, souscrire à des services ou valider des transactions en ligne. Grâce à leur praticité et à leur sécurité accrue, elles sont maintenant largement adoptées tant par les entreprises que les particuliers.
Cependant, il est essentiel de comprendre que les signatures électroniques reposent sur l’utilisation de certificats faisant le lien entre la personne physique ou morale et l’acte/document signé. Or les délais de prescription peuvent être très longs et ces certificats ont, quant à eux, une durée de vie limitée.
Fonctionnement d’une signature électronique
Une signature électronique est un mécanisme cryptographique qui permet de garantir l’intégrité d’un document électronique et d’en authentifier l’auteur. Elle est générée à l’aide d’une clé privée qui est associée à un certificat numérique délivré par une autorité de certification (AC). Ce certificat garantit que la clé utilisée pour générer la signature appartient bien à la personne ou à l’entité prétendument signataire. Les certificats ont cependant une durée de vie limitée allant généralement de un à trois ans, selon les politiques de l’autorité de certification et les normes en vigueur.
Pourquoi limiter la durée de vie des certificats numériques ?
Cela permet tout d’abord de s’assurer que les clés privées associées aux certificats restent confidentielles. Au fil du temps, les risques de compromission augmentent, qu’il s’agisse de vols, de pertes ou de nouvelles avancées en matière de cryptanalyse.
Cela assure en outre, une meilleure conformité aux évolutions des normes et des réglementations. Les standards de sécurité évoluent constamment, et les autorités de certification actualisent leurs processus et leurs algorithmes en conséquence. En obligeant les utilisateurs et les entreprises à renouveler leurs certificats à intervalles réguliers, ces derniers peuvent bénéficier des ultimes améliorations en matière de vérification d’identité, de sécurité et réduisent le risque de compromission à long terme.
Pour compléter cela, les autorités de certification fournissent également des services de révocation, permettant, en cas de suspicion de compromission, de perte ou de vol de la clé privée associée, ou de problème non résolu dans la récupération du certificat, de révoquer ce dernier. Les révocations de certificats sont consultables en ligne et accessibles par les services de signature électronique au moment de son apposition sur un document.
Opposabilité de la signature électronique
Il est important de noter que la durée de vie des certificats ne doit pas être confondue avec la durée de vie ou de recevabilité juridique du document signé. Nous en arrivons donc au sujet primordial qui est celui de l’opposabilité de la signature électronique notamment en cas de contentieux (après 3, 5, 8 ans voire plus). Il faudra alors démontrer à la justice (administrative, judiciaire) ou à une autorité de tutelle, en cas de contrôle de conformité, que le certificat était bien valide et non révoqué au moment de l’apposition de la signature. Or, une fois la durée de validité du certificat atteinte, cette vérification n’est plus possible (comme l’indique par exemple, le message apparaissant dans le panneau de signature lors de l’ouverture d’un document signé avec la « visionneuse PDF »).
La solution consiste donc à réaliser une validation de la signature (et non pas une simple vérification), lors de la signature ou de la réception d’un document signé : certificat, autorité de certification qui l’a délivré, niveau de signature. Associés à un rapport de validation, ces éléments seront conservés aussi longtemps que le document signé, à des fins de conformité et/ou protection juridique (délais de prescription légale). Cela permet, en cas de contentieux, de démontrer qu’à un instant donné, la vérification a été réalisée – idéalement par un prestataire qualifié dans le cadre du règlement eIDAS, que tous les contrôles nécessaires ont été effectués (liste à l’appui), que le certificat était bien valide et du niveau nécessaire.
En conclusion, la validation des signatures électroniques repose sur des certificats numériques dont la durée de vie est limitée. Cette limitation offre des avantages en termes de sécurité et de conformité aux normes. Mais les délais de prescription légaux étant très longs, il est essentiel pour les utilisateurs et les entreprises, en particulier, de réaliser une validation des documents émis ou reçus afin d’être en mesure d’en assurer l’opposabilité en cas de contentieux dans le futur.
