SIGNEUROPAEUROPEAN ELECTRONIC SIGNATURES
Comprendre la signature électronique
18 juillet 20263 minRedaction

Choisir un prestataire de signature électronique : questionnaire d’audit

Un questionnaire de due diligence couvrant niveau de signature, preuve, sécurité, RGPD, réversibilité et exploitation — avec preuves à demander.

Les appels d’offres comparent souvent prix par enveloppe, certifications et nombre d’intégrations. Ces critères ne disent pas si un dossier contesté sera exploitable, si les données peuvent être exportées ou si une panne d’horodatage est visible.

Un bon questionnaire demande une affirmation, son périmètre et une preuve. Il distingue capacité actuelle, option payante, partenaire externe et feuille de route.

Réglementation et preuve

Demandez les niveaux réellement disponibles, la politique de signature, l’identité du service qualifié lorsqu’il existe et son entrée dans les listes de confiance. Pour l’AES, exigez une cartographie des quatre exigences de l’article 26 et des limites.

Obtenez un dossier de preuve complet pour plusieurs scénarios et validez le PDF avec un outil indépendant. Vérifiez le format, l’horodatage, les certificats et l’autonomie de l’archive.

Sécurité, données et exploitation

Examinez isolation multitenant, chiffrement, gestion des clés, MFA administrateur, journal d’accès, pentest, gestion des vulnérabilités et réponse aux incidents. Une certification a un périmètre : demandez le certificat et la déclaration d’applicabilité pertinente.

Cartographiez hébergement, e-mail, SMS, KYC, stockage, support et sauvegardes. Le DPA doit refléter ces flux, les localisations, les durées et l’assistance aux droits.

Réversibilité et résilience

Testez un export de masse limité : documents, preuves, métadonnées, statuts et journaux. Mesurez le temps, le coût et les limites. Vérifiez qu’un export peut être validé hors de la plateforme.

Demandez RPO, RTO, historique de disponibilité, procédure de restauration et comportement en cas de panne d’un sous-traitant. Le SLA doit définir mesure, exclusions et conséquences, pas seulement un pourcentage.

Grille de décision

DomaineQuestionPreuve demandée
NiveauComment l’AES est-elle démontrée ?Politique et cartographie article 26
PDFQuel profil PAdES ?Fichier et rapport indépendant
DonnéesQuels sous-traitants ?Liste, rôles et localisations
SécuritéQui accède au contenu ?Matrice de droits et logs
SortieComment tout exporter ?Test de réversibilité chronométré

Plan d’action

  1. Définir les critères éliminatoires
  2. Exiger les preuves documentaires
  3. Tester un parcours complet
  4. Valider un PDF indépendamment
  5. Tester un export
  6. Contractualiser les écarts et la feuille de route

Questions fréquentes

Le prix par signature suffit-il pour comparer ?

Non. Ajoutez SMS, KYC, stockage, API, support, réversibilité et coût des échecs.

Une certification ISO 27001 garantit-elle le produit ?

Elle apporte une information utile dans son périmètre, mais ne remplace pas les contrôles techniques et probatoires spécifiques.

Comment vérifier un prestataire qualifié ?

Consultez les listes de confiance officielles et le service précis, pas seulement le nom de l’entreprise.

Sources officielles et techniques

Important

Ce contenu fournit une information générale et ne remplace pas un avis juridique ou un audit de conformité. Le niveau de signature adapté dépend du contexte, de l’identification, de l’authentification et des preuves effectivement produites.