Vous avez reçu un contrat par e-mail, vous cliquez sur un lien, vous apposez votre prénom d’un glissement de souris, et c’est signé. En quelques secondes, sans stylo, sans imprimante, sans témoin. Ce moment suscite souvent un léger vertige : est-ce que ça tient vraiment ? Est-ce qu’on peut contester ça ? Est-ce que quelqu’un pourrait signer à votre place sans que vous le sachiez ?
Ces questions sont légitimes. Et la réponse, qui ne plaira pas aux impatients, c’est : ça dépend. Pas de la technologie en elle-même, mais du niveau de signature utilisé, du prestataire choisi, et de ce que vous avez signé. Et si cette signature valait en fait plus que la vôtre sur papier ?
Ce que votre signature électronique contient vraiment
Derrière ce simple clic se cache une mécanique cryptographique que peu de gens imaginent. Concrètement, au moment où vous signez un document électronique, le système génère une empreinte numérique du fichier, appelée hash. Ce hash est une sorte d’identifiant unique du document : si on modifie ne serait-ce qu’un espace dans le texte, l’empreinte change entièrement.
Ce hash est ensuite chiffré avec votre clé privée, un identifiant cryptographique qui vous est propre et que vous seul détenez. N’importe qui peut ensuite vérifier l’authenticité de la signature en utilisant votre clé publique, accessible librement. Si les deux correspondent, le document est intact et la signature authentifiée. C’est le principe de la cryptographie asymétrique, utilisée notamment par l’algorithme RSA. Ce n’est pas une image de votre signature scannée, c’est une preuve mathématique d’intégrité. Mais tous les niveaux de signature ne se valent pas, et ça change tout.
Les trois niveaux de sécurité : lequel vous protège vraiment ?
Le règlement européen eIDAS (Electronic Identification, Authentication and Trust Services), en vigueur depuis 2016, définit trois niveaux de signature électronique. Ils ne sont pas interchangeables, et choisir le mauvais niveau peut avoir des conséquences concrètes en cas de litige.
| Critère | Simple (SES) | Avancée (AES) | Qualifiée (QES) |
|---|---|---|---|
| Vérification d’identité | E-mail ou SMS | Vérification d’identité | Certificat qualifié (PSCO) |
| Valeur juridique | Faible, contestable | Présumée fiable (réfutable) | Équivalente à la signature manuscrite |
| Non-répudiation | Non | Limitée | Totale |
| Acceptation par l’administration | Généralement refusée | Variable selon le contexte | Obligatoire |
Pour des actes du quotidien comme accepter des conditions générales ou valider une commande, la signature simple suffit. En revanche, pour un contrat commercial, un bail, ou tout document susceptible d’être contesté, recourir à une signature électronique avancée n’est pas une précaution excessive, c’est une nécessité. Utiliser une signature simple pour ce type de document, c’est s’exposer à un risque juridique que beaucoup sous-estiment. La loi a tranché, mais est-ce que ça suffit vraiment à vous protéger ?
Ce que dit vraiment la loi française
En France, la signature électronique est reconnue depuis la loi n°2000-230 du 13 mars 2000, qui a introduit l’équivalence juridique entre la signature numérique et la signature manuscrite. Les articles 1366 et 1367 du Code civil précisent aujourd’hui que la signature électronique est valable à condition de permettre l’identification du signataire et de garantir l’intégrité de l’acte. Le Décret n°2017-1416 est venu renforcer ce cadre en fixant des conditions techniques précises, notamment pour les signatures qualifiées.
Le point souvent ignoré, et pourtant décisif, c’est la notion de présomption de fiabilité. Une signature électronique qualifiée n’a pas besoin d’être prouvée en justice : elle est présumée authentique. C’est au contestataire de démontrer qu’elle ne l’est pas. À l’inverse, avec une signature simple ou avancée, c’est au signataire de prouver la validité de l’acte en cas de litige. Ce renversement de la charge de la preuve est une protection concrète que peu d’utilisateurs connaissent. Mais si la loi protège, les usages, eux, laissent encore des portes ouvertes.
Les vraies failles : ce que les prestataires ne mettent pas en avant
La technologie derrière la signature électronique est robuste. Ce qui l’est moins, c’est ce qui se passe avant la signature. La majorité des fraudes ne vise pas l’algorithme cryptographique, mais le maillon humain. L’usurpation d’identité en amont est le risque le plus fréquent : si la vérification d’identité se limite à une confirmation par e-mail ou un code SMS, un attaquant ayant compromis la boîte mail de la victime peut signer à sa place, légalement, sans laisser de trace évidente.
Les attaques de phishing ciblant les processus de signature sont en hausse. Un faux e-mail imitant la plateforme d’un prestataire connu redirige la victime vers un formulaire frauduleux. Mais le risque ne vient pas uniquement de l’extérieur. La conservation des certificats côté plateforme pose aussi question : si le prestataire est compromis, vos certificats le sont potentiellement aussi. Enfin, la dépendance à la fiabilité du prestataire est une variable que l’on oublie trop souvent. Une signature n’est solide que si l’infrastructure qui la délivre l’est aussi. Alors comment choisir une solution vraiment fiable, et pas juste rassurante ?
Les bons réflexes pour signer en toute confiance
Choisir un outil de signature électronique ne se résume pas à comparer les tarifs ou l’interface. Avant de vous engager avec un prestataire, voici les critères concrets à vérifier systématiquement :
- Présence sur la Trust List eIDAS : la liste de confiance européenne recense les prestataires de services de confiance qualifiés. Si votre prestataire n’y figure pas, sa signature qualifiée n’a aucune valeur légale garantie.
- Niveau de vérification d’identité proposé : privilégiez les solutions intégrant FranceConnect+, une vérification vidéo en direct, ou un processus KYC (Know Your Customer) rigoureux pour les signatures avancées et qualifiées.
- Certification et conformité eIDAS : demandez explicitement si le prestataire est accrédité par un organisme de supervision national (en France, l’ANSSI supervise les prestataires qualifiés).
- Politique de conservation des certificats : vérifiez où sont stockés vos certificats, selon quelles conditions de sécurité, et ce qu’il advient d’eux en cas de fermeture de la plateforme.
- Traçabilité et journal d’audit : un bon prestataire fournit un journal d’audit horodaté et inaltérable, qui retrace chaque étape du processus de signature. C’est votre filet de sécurité en cas de litige.
Une signature électronique n’est pas plus sûre que la confiance que vous accordez à celui qui l’a émise.
