Signature électronique simple, avancée ou qualifiée : comment choisir le bon niveau ?
Une méthode de décision fondée sur le risque, l’identité, le parcours de signature et les preuves réellement produites — sans confondre SES, AES et QES.
La question « quel niveau de signature faut-il ? » reçoit souvent une réponse trop rapide : faible enjeu égale SES, fort enjeu égale AES ou QES. Cette règle est insuffisante. Deux contrats de même montant peuvent présenter des risques très différents selon l’identité des parties, la durée d’engagement, la possibilité de fraude, la réglementation sectorielle et la qualité des preuves disponibles.
Une décision défendable relie quatre éléments : le risque métier, le niveau d’assurance sur l’identité, le contrôle exercé lors de la création de la signature et la capacité à démontrer l’intégrité du document. Elle distingue aussi ce que le produit fournit aujourd’hui de ce qui relève d’une feuille de route.
Partir du scénario de contestation
Décrivez d’abord la contestation plausible : « je n’ai jamais reçu le document », « ce n’est pas moi qui ai validé », « le PDF a été modifié », « je n’avais pas le pouvoir d’engager la société ». Chaque scénario appelle une preuve différente. Une adresse IP ne prouve pas une identité ; une OTP prouve l’accès ponctuel à un canal ; un certificat et une validation cryptographique répondent à d’autres questions.
La matrice doit donc noter la valeur engagée, l’irréversibilité, le délai de prescription, la vulnérabilité du signataire, le risque d’usurpation et les exigences légales ou contractuelles. Le résultat n’est pas une vérité juridique automatique : c’est une justification documentée du niveau retenu.
Ce que distinguent réellement SES, AES et QES
La SES est une catégorie large. Elle peut aller d’un consentement électronique élémentaire à un parcours renforcé avec lien unique, OTP, empreinte documentaire et journal détaillé. Sa qualité probatoire dépend fortement de la conception du parcours et de la conservation des éléments.
L’AES doit satisfaire les exigences de l’article 26 : liaison univoque, identification, contrôle exclusif des données de création et détection des modifications. La QES ajoute un certificat qualifié et un dispositif qualifié ; le règlement lui attribue l’effet juridique équivalent à une signature manuscrite. Il faut vérifier le prestataire et le service dans les listes de confiance européennes, pas seulement lire une brochure commerciale.
Construire une politique de signature exploitable
Une politique opérationnelle associe chaque famille d’actes à un parcours autorisé : identité déclarative ou vérifiée, canal d’authentification, nombre de signataires, ordre, durée du lien, contrôles de pouvoir, format de signature, horodatage, conservation et procédure d’exception.
Elle prévoit une revue périodique. Un acte initialement peu risqué peut devenir sensible après un changement réglementaire ou une augmentation des montants. À l’inverse, ajouter des frictions à tous les parcours peut réduire le taux de complétion sans améliorer utilement la preuve.
Grille de décision
| Critère | SES renforcée | AES | QES |
|---|---|---|---|
| Identification | Déclarative ou canal vérifié | Doit permettre d’identifier le signataire | Adossée à un certificat qualifié |
| Contrôle de création | Dépend du parcours | Contrôle exclusif à démontrer | Dispositif qualifié |
| Effet automatique équivalent au manuscrit | Non | Non | Oui, selon l’article 25 |
| Usage type | Actes courants à risque maîtrisé | Actes sensibles avec identité renforcée | Exigence maximale ou texte imposant ce niveau |
Plan d’action
- Documenter la valeur et les contestations plausibles
- Vérifier les textes sectoriels applicables
- Définir le niveau d’identité attendu
- Cartographier chaque preuve produite
- Tester la validation et l’export
- Faire approuver la politique par juridique, sécurité et métier
Questions fréquentes
Une OTP e-mail suffit-elle pour une AES ?
Pas automatiquement. Elle établit surtout l’accès à une boîte e-mail. Les quatre exigences de l’article 26 doivent être défendues par l’ensemble du parcours et de l’architecture.
Faut-il utiliser la QES pour tous les contrats importants ?
Non par principe. Elle peut être pertinente ou requise, mais le choix dépend du droit applicable, du risque, de l’expérience utilisateur et des preuves nécessaires.
Le nom commercial d’une offre prouve-t-il son niveau ?
Non. Demandez la politique de signature, les certificats, le statut du prestataire et un exemple de validation indépendante.
Sources officielles et techniques
Important
Ce contenu fournit une information générale et ne remplace pas un avis juridique ou un audit de conformité. Le niveau de signature adapté dépend du contexte, de l’identification, de l’authentification et des preuves effectivement produites.