Sceaux et signatures électroniques: aperçu
8 min

Comment échanger des documents de manière juridiquement valable par voie numérique?

L’authenticité d’un document peut être prouvée de manière numérique. De même, les documents peuvent être signés par voie numérique. Mais comment cela fonctionne-t-il, et quelles sont les différences entre les sceaux électroniques et les signatures électroniques? Voici un aperçu des différents procédés.

Télécharger un formulaire, l’imprimer, le signer, le scanner et l’envoyer au format PDF. Combien de fois avez-vous été ennuyé par ces procédures qui prennent du temps? Lorsque l’on travaille en ligne, les ruptures de support dues aux documents qui doivent être valablement signés sont sources de tracas.

Il n’est donc pas étonnant que les entreprises, les autorités publiques et les particuliers aient de plus en plus besoin de processus purement numériques. Contrats, formulaires de demande, ordonnances médicales, factures – les interactions entre les entreprises et leurs clients et partenaires commerciaux sont de plus en plus traitées par voie numérique. Cela réduit la charge administrative tout en rendant la coopération plus efficace et plus simple pour toutes les parties. En même temps, dans le cadre des processus numériques, il est important de protéger les documents contre les manipulations et donc aussi les clients, contre les tentatives de fraude.

La problématique de la sécurité dans l’exemple de la facture QR

Imaginez que votre client reçoive par voie numérique une facture QR qui, à première vue, semble provenir de votre entreprise. Mais qui peut garantir qu’il ne s’agit pas d’une fausse facture provenant d’un expéditeur criminel?

Les entreprises et leurs clients de tous les secteurs et de toutes les tailles sont régulièrement confrontés à de tels scénarios. Comme le code QR contient tous les détails du paiement, ceux-ci peuvent être manipulés pour rediriger l’argent vers le compte d’un autre destinataire et modifier le montant. Pour les entreprises et leurs clients, cela se traduit par une charge de travail supplémentaire importante, voire une grave atteinte à leur réputation. L’utilisation de documents numériques, comme peuvent l’être les factures QR, nécessite donc une bonne protection contre les abus. Pour assurer cette protection, les parties doivent pouvoir vérifier l’expéditeur et l’intégrité du contenu des documents.

Exemple d’une facture QR. L’authenticité du code QR ne peut être vérifiée que lorsque celui-ci est scanné.

Cet article présente cinq approches permettant non seulement aux entreprises de signer des documents numériques de manière juridiquement valable, mais aussi à leurs clients et partenaires commerciaux de vérifier l’authenticité et l’intégrité des documents qu’ils reçoivent.

Le sceau électronique comme signature électronique

Les entreprises ont la possibilité de pourvoir des fichiers d’un sceau électronique. Il s’agit en quelque sorte d’un cachet d’entreprise numérique, qui correspond à la signature électronique avancée ou qualifiée pour les personnes physiques (pour plus d’informations, voir ci-dessous). Les sceaux électroniques servent à prouver que le document (un contrat, une facture, une photo, etc.) a été émis par une organisation spécifique, tout en prouvant son intégrité et son origine. Le ou la destinataire a la garantie que le document a été émis par l’expéditeur escompté et qu’il est authentique (authenticité). En outre, le sceau prouve que le contenu réel n’a pas été modifié (intégrité).

Comme toute signature électronique, le sceau électronique est basé sur le cryptage asymétrique. Cette méthode à clé publique utilise une clé publique et une clé privée (secrète). La clé privée est utilisée pour générer la signature électronique, tandis que la clé publique sert à vérifier l’authenticité de la signature.

Le sceau électronique basé sur la blockchain

Le sceau électronique basé sur la blockchain est un perfectionnement de cette technologie qui prouve également l’intégrité et l’origine du document. La valeur de hachage («empreinte numérique» ou chiffre de contrôle) du document est stockée dans la blockchain de manière inviolable. Ce sceau peut être utilisé pour certifier des fichiers ou des transactions individuels, mais également pour le traitement en masse.

Les destinataires peuvent désormais vérifier si la valeur de hachage d’un document correspond à celle stockée sur la blockchain. «Comme la technologie blockchain est utilisée dans ce cas, l’enregistrement stocké suffit aux clients pour vérifier l’authenticité. Car c’est précisément le but de la blockchain de prouver l’intégrité», explique Nicole Sigrist, Head Customer Success & Projects chez Swisscom Blockchain. Revenons à l’exemple de la facture QR: dans ce cas, le sceau est enregistré dans la blockchain immédiatement après la création de la facture. Le ou la destinataire peut ensuite vérifier l’authenticité.

Electronic Seal de Swisscom Blockchain

Swisscom Electronic Seal Blockchain

Electronic Seal de Swisscom Blockchain stocke l’empreinte numérique unique de votre document certifié sur la Swiss Trust Chain, l’infrastructure de blockchains hautement sécurisée de Swisscom et de la Poste. Cette solution peu coûteuse permet de stocker 1 000 sceaux par seconde et est évolutive en fonction du volume requis. Non seulement vous pouvez faire signer des PDF, mais vous pouvez également échanger tout type de fichier avec vos clients de manière certifiée. La révocation (invalidation) d’un sceau est également possible sans aucun problème. Vos clients peuvent valider l’empreinte numérique en quelques clics.

La signature électronique simple

Selon la loi fédérale sur la signature électronique, les signatures électroniques simples sont des données «qui sont jointes ou liées logiquement à d’autres données électroniques et qui servent à vérifier leur authenticité». Cela inclut les signatures qui sont apposées sur un document PDF dans Adobe Reader, par exemple. Le certificat qui est créé en arrière-plan ne fait que garantir l’intégrité du document: s’il est présenté comme valide, le certificat confirme seulement que le document n’a pas été modifié entre le moment de la signature et celui de l’ouverture.

La signature électronique simple ne permet donc pas d’identifier une personne. Elle offre donc le moins de sécurité juridique et convient surtout pour les signatures internes à l’entreprise. Ou pour prouver qu’un document n’a pas été modifié.

La signature électronique avancée

Contrairement à la signature électronique simple, la signature électronique avancée est utilisée pour l’identification des personnes: le certificat établi lors de la signature associe la signature à son ou sa titulaire. Cela signifie que cette personne a le contrôle exclusif des moyens par lesquels la signature est apposée. Il peut s’agir d’une carte SIM ou d’une carte à puce: une telle carte contient un certificat pour l’identification de l’utilisateur et un autre pour la signature électronique, et est insérée dans un lecteur de cartes ou une clé USB. Il est également possible de saisir toutes les données nécessaires sur son téléphone portable et de recevoir un code d’authentification par SMS. Les méthodes doivent également permettre de visualiser les modifications ultérieures des données.

La signature électronique qualifiée

La signature électronique qualifiée a en principe les mêmes caractéristiques que la signature électronique avancée, mais elle est basée sur un certificat qualifié délivré par un fournisseur reconnu. Avec le Signing Service de Swisscom, par exemple, le certificat et la clé de signature sont générés à nouveau dans le cloud lors de chaque processus de signature, et l’authentification s’effectue au moyen d’une carte SIM compatible avec Mobile ID sur le téléphone portable.

En Suisse, KPMG vérifie si les certificats des fournisseurs de signature répondent aux exigences non seulement des signatures électroniques avancées mais aussi des signatures électroniques qualifiées. Un certificat qualifié doit être identifié comme tel. En outre, contrairement au certificat de signature avancée, il n’est délivré qu’à une personne physique et ne peut être utilisé que pour les signatures électroniques. Seule la signature qualifiée est prévue par le droit suisse (art. 14 2bis CO). Ainsi, seule la signature électronique qualifiée est équivalente à la signature manuscrite sur le plan juridique.

Il n’existe pas d’exigences de forme pour la plupart des contrats en Suisse. La signature sert de garantie pour les parties contractantes et c’est pourquoi la signature électronique qualifiée est souvent utilisée, car elle offre le plus haut niveau de sécurité. Pour certains types de contrats, elle même obligatoire, par exemple pour un contrat de crédit à la consommation, une cession de créances ou une clause de non-concurrence post-contractuelle.

Aussi, cela reste parfois une question d’appréciation, les facteurs économiques faisant généralement de la signature électronique qualifiée la solution de facilité. «Contrairement à autrefois, l’effort nécessaire à l’identification n’est plus guère un critère avec la signature qualifiée», explique Benoit Strölin, Product & Innovation Management chez Swisscom Trust Services. Enfin, une chose est sûre: avec la signature électronique qualifiée, vous pouvez conclure des contrats par voie numérique en toute sécurité.

Lisez maintenant