Article 26 eIDAS : cartographier les quatre exigences de la signature avancée
Une grille technique et probatoire pour relier identité, contrôle exclusif, document et mécanisme de signature aux quatre exigences de l’AES.
Qualifier une signature d’avancée exige davantage qu’un parcours fluide et un PDF haché. L’article 26 fixe quatre propriétés. Pour les rendre auditables, il faut construire une table reliant chaque propriété au mécanisme, à la preuve exportée, aux hypothèses et aux limites.
Cette approche force les équipes produit, sécurité et juridique à parler le même langage. Elle révèle les raccourcis, par exemple lorsqu’un seul événement OTP est censé démontrer à la fois identité, contrôle exclusif et consentement.
Liaison univoque et identification
La liaison univoque suppose que l’opération soit rattachée sans ambiguïté au signataire dans le système. Utilisez des identifiants non séquentiels, une session dédiée, une invitation individuelle et une opération cryptographique spécifique au document. Évitez les liens partageables ou les comptes collectifs.
L’identification demande de documenter l’origine de l’identité : déclaration, relation contractuelle préalable, contrôle de pièce, identité numérique ou certificat. Le niveau d’assurance doit être explicite. Une adresse e-mail vérifiée n’établit pas à elle seule l’identité civile.
Contrôle exclusif des données de création
Ce critère doit être défendu par l’architecture. Si la plateforme peut déclencher seule l’opération avec une clé serveur, l’OTP ne résout pas nécessairement la question. Un module d’activation peut lier une autorisation unique au signataire, à l’empreinte du document et à une fenêtre temporelle courte.
Documentez les acteurs capables d’activer la signature, les clés, les contrôles d’accès, les journaux HSM ou KMS et les procédures administratives. Une séparation des responsabilités et l’impossibilité pour un administrateur de signer à la place d’un utilisateur sont essentielles.
Détection des modifications
La signature doit être liée aux données de manière à rendre détectable une modification ultérieure. Cela suppose un format et une validation cryptographiques, pas seulement la comparaison visuelle de deux PDF. Les transformations postérieures doivent être contrôlées et documentées.
Testez un document final modifié d’un octet, une annotation ajoutée et une version remplacée. Le système de validation doit signaler l’altération et expliquer le résultat, y compris après expiration ou révocation d’un certificat.
Grille de décision
| Exigence article 26 | Mécanisme possible | Limite à documenter |
|---|---|---|
| Liaison univoque | Session et opération uniques | Partage du canal ou du compte |
| Identification | Identité vérifiée selon une politique | Qualité de la source initiale |
| Contrôle exclusif | Activation liée au document et HSM/KMS | Pouvoir résiduel de la plateforme |
| Détection des modifications | Signature PAdES et validation | Conservation des données de validation |
Plan d’action
- Rédiger une politique AES versionnée
- Nommer les mécanismes par exigence
- Tracer l’autorisation exacte du signataire
- Auditer les privilèges administrateurs
- Tester la modification du document
- Faire relire la cartographie par un tiers indépendant
Questions fréquentes
Un hash SHA-256 suffit-il pour l’intégrité ?
Il détecte une différence si l’on dispose d’une référence fiable, mais ne constitue pas à lui seul tout le mécanisme d’une AES.
Le contrôle exclusif impose-t-il une clé dans le navigateur ?
Pas nécessairement. Une architecture distante peut être envisagée, mais elle doit démontrer une activation sous le contrôle du signataire.
Peut-on auto-certifier une AES ?
Une qualification commerciale ne remplace pas l’analyse juridique et technique. Un audit indépendant réduit le risque d’interprétation complaisante.
Sources officielles et techniques
Important
Ce contenu fournit une information générale et ne remplace pas un avis juridique ou un audit de conformité. Le niveau de signature adapté dépend du contexte, de l’identification, de l’authentification et des preuves effectivement produites.