Guide de sélection du niveau des signatures et des cachets électroniques

Les entités dématérialisant des services doivent désormais choisir le niveau de signature électronique approprié, en fonction des contraintes réglementaires applicables et des risques de litiges identifiés.

Publié le 18 Août 2022 Mis à jour le 20 Février 2023

Le règlement européen n°910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS », a pour objectif de mettre en place un cadre juridique propre à susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur.

Ce règlement formalise notamment des exigences relatives à la délivrance de certificats de signature et de cachet électroniques, ainsi qu’à la sécurité des dispositifs permettant de créer ces signatures et cachets électroniques. Il prévoit quatre niveaux distincts de signature et cachet électroniques, ayant chacun des caractéristiques, usages différents, ce qui nécessite un décryptage afin d’aiguiller lors de la sélection du niveau le plus adapté. C’est tout l’enjeu de ce guide, qui vous apportera des clés de compréhension à travers des tableaux récapitulatifs des caractéristiques de chaque niveau de signature électronique, des schémas explicatifs et des exemples.

PDF
Guide de sélection du niveau des signatures et des cachets électroniques

Notions du règlement eIDAS

La signature électronique est un mécanisme cryptographique permettant de garantir l’identité du signataire d’un document électronique et l’intégrité de celui-ci. Elle s’effectue via, notamment, l’usage d’un procédé fiable d’identification garantissant le lien entre la signature et le document électronique auquel elle se rattache.La signature électronique concerne les personnes physiques, et permet d’attester de leur consentement.Retrouvez les caractéristiques détaillées d’une signature électronique et ses usages à la page 6 du guide.

Le cachet électronique est un mécanisme cryptographique permettant d’attester que le créateur de celui-ci est bien à l’origine du document sur lequel il est apposé et d’en garantir l’intégrité.et l’intégrité du document sur lequel il est apposé. Il repose notamment sur l’usage d’un procédé fiable d’identification garantissant le lien entre le créateur du cachet électronique et le document électronique auquel il se rattache.Le cachet électronique concerne les personnes morales.Retrouvez les caractéristiques détaillées d’un cachet électronique et ses usages à la page 6 du guide.

En France, deux textes s’appliquent aux signatures et cachets électroniques :

  • Le règlement n°910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS », est un règlement européen adopté le 23 juillet 2014 par le Parlement européen et le Conseil de l’Union Européenne. Celui-ci s’applique à l’identification électronique et aux services de confiance, dont la délivrance de certificats de signature et de cachet électroniques. Ainsi, il concerne tout autant les citoyens que les entreprises, les organismes du secteur public et les prestataires de service de confiance établis dans l’Union européenne. Toutefois, le règlement ne s’applique pas aux services de confiance utilisés dans un système fermé n’ayant aucun impact direct sur des tiers.
  • Le RGS, publié dans sa première version en 2010, est un référentiel français s’adressant aux administrations. Il impose l’usage de signatures électroniques conformes à ses prescriptions par les administrations pour leurs échanges entre elles ou avec les usagers. Vous pouvez retrouver plus d’informations sur le RGS sur notre site internet.

Il existe quatre niveaux de signature et cachet électroniques :

  • le niveau « simple » ;
  • le niveau avancé ;
  • le niveau avancé reposant sur un certificat qualifié ;
  • le niveau qualifié.

Plus d’informations sur les caractéristiques des niveaux de signature et de cachet électroniques et leurs usages aux pages 8 à 21 du guide.

Il n’existe pas d’équivalence parfaite entre les niveaux prévus par le règlement eIDAS et ceux prévus par le RGS, les critères de distinction des niveaux n’étant pas équivalents.Plus d’informations sur les équivalences entre RGS et eIDAS aux pages 26 du guide.

Mise en œuvre technique du règlement eIDAS

Afin de connaître le niveau de signature ou cachet électronique qui s’adapte le mieux à vos besoins, il est recommandé de réaliser une analyse de risque prenant en compte différents éléments tels que la vraisemblance et la gravité d’un litige la portée du document, le type de document et les obligations règlementaires existantes. En effet, des textes peuvent prévoir un niveau minimal de signature ou cachet électronique devant être utilisé dans certains cas d’usage.Réalisez votre analyse de risque étape par étape et retrouvez les critères à prendre en compte aux pages 22-23 du guide.Retrouvez des cas hypothétiques aux pages 23-24 pour vous guider dans le choix du bon niveau de signature ou de cachet électronique.

La durée de validité d’une signature ou d’un cachet électronique peut être prolongée via deux procédés : l’archivage électronique à valeur probatoire et la sur-signature.Plus de détails sur ces procédés à la page 24 du guide.

Vous pouvez retrouver tous les prestataires de signature et cachet électroniques qualifiés dans notre liste nationale de confiance.

Pour aller plus loin

Vous pouvez retrouver les documents publiés par l’ANSSI sur le règlement eIDAS sur notre site web.

Si des questions subsistent après la lecture de cette FAQ et du guide de sélection du niveau des signatures et cachets électroniques, vous pouvez nous contacter à cette adresse : supervision-eidas [at] ssi.gouv.fr

Sur le même sujet :
Réglementation