SIGNEUROPAEUROPEAN ELECTRONIC SIGNATURES
Comprendre la signature électronique
18 juillet 20264 minRedaction

Signature électronique simple, avancée ou qualifiée : comment choisir le bon niveau ?

Une méthode de décision fondée sur le risque, l’identité, le parcours de signature et les preuves réellement produites — sans confondre SES, AES et QES.

La question « quel niveau de signature faut-il ? » reçoit souvent une réponse trop rapide : faible enjeu égale SES, fort enjeu égale AES ou QES. Cette règle est insuffisante. Deux contrats de même montant peuvent présenter des risques très différents selon l’identité des parties, la durée d’engagement, la possibilité de fraude, la réglementation sectorielle et la qualité des preuves disponibles.

Une décision défendable relie quatre éléments : le risque métier, le niveau d’assurance sur l’identité, le contrôle exercé lors de la création de la signature et la capacité à démontrer l’intégrité du document. Elle distingue aussi ce que le produit fournit aujourd’hui de ce qui relève d’une feuille de route.

Partir du scénario de contestation

Décrivez d’abord la contestation plausible : « je n’ai jamais reçu le document », « ce n’est pas moi qui ai validé », « le PDF a été modifié », « je n’avais pas le pouvoir d’engager la société ». Chaque scénario appelle une preuve différente. Une adresse IP ne prouve pas une identité ; une OTP prouve l’accès ponctuel à un canal ; un certificat et une validation cryptographique répondent à d’autres questions.

La matrice doit donc noter la valeur engagée, l’irréversibilité, le délai de prescription, la vulnérabilité du signataire, le risque d’usurpation et les exigences légales ou contractuelles. Le résultat n’est pas une vérité juridique automatique : c’est une justification documentée du niveau retenu.

Ce que distinguent réellement SES, AES et QES

La SES est une catégorie large. Elle peut aller d’un consentement électronique élémentaire à un parcours renforcé avec lien unique, OTP, empreinte documentaire et journal détaillé. Sa qualité probatoire dépend fortement de la conception du parcours et de la conservation des éléments.

L’AES doit satisfaire les exigences de l’article 26 : liaison univoque, identification, contrôle exclusif des données de création et détection des modifications. La QES ajoute un certificat qualifié et un dispositif qualifié ; le règlement lui attribue l’effet juridique équivalent à une signature manuscrite. Il faut vérifier le prestataire et le service dans les listes de confiance européennes, pas seulement lire une brochure commerciale.

Construire une politique de signature exploitable

Une politique opérationnelle associe chaque famille d’actes à un parcours autorisé : identité déclarative ou vérifiée, canal d’authentification, nombre de signataires, ordre, durée du lien, contrôles de pouvoir, format de signature, horodatage, conservation et procédure d’exception.

Elle prévoit une revue périodique. Un acte initialement peu risqué peut devenir sensible après un changement réglementaire ou une augmentation des montants. À l’inverse, ajouter des frictions à tous les parcours peut réduire le taux de complétion sans améliorer utilement la preuve.

Grille de décision

CritèreSES renforcéeAESQES
IdentificationDéclarative ou canal vérifiéDoit permettre d’identifier le signataireAdossée à un certificat qualifié
Contrôle de créationDépend du parcoursContrôle exclusif à démontrerDispositif qualifié
Effet automatique équivalent au manuscritNonNonOui, selon l’article 25
Usage typeActes courants à risque maîtriséActes sensibles avec identité renforcéeExigence maximale ou texte imposant ce niveau

Plan d’action

  1. Documenter la valeur et les contestations plausibles
  2. Vérifier les textes sectoriels applicables
  3. Définir le niveau d’identité attendu
  4. Cartographier chaque preuve produite
  5. Tester la validation et l’export
  6. Faire approuver la politique par juridique, sécurité et métier

Questions fréquentes

Une OTP e-mail suffit-elle pour une AES ?

Pas automatiquement. Elle établit surtout l’accès à une boîte e-mail. Les quatre exigences de l’article 26 doivent être défendues par l’ensemble du parcours et de l’architecture.

Faut-il utiliser la QES pour tous les contrats importants ?

Non par principe. Elle peut être pertinente ou requise, mais le choix dépend du droit applicable, du risque, de l’expérience utilisateur et des preuves nécessaires.

Le nom commercial d’une offre prouve-t-il son niveau ?

Non. Demandez la politique de signature, les certificats, le statut du prestataire et un exemple de validation indépendante.

Sources officielles et techniques

Important

Ce contenu fournit une information générale et ne remplace pas un avis juridique ou un audit de conformité. Le niveau de signature adapté dépend du contexte, de l’identification, de l’authentification et des preuves effectivement produites.