Signature électronique : valeur légale, niveaux eIDAS et risques
Depuis mon arrivée à Polytech Services Nancy, nous avons signé des centaines de documents électroniquement : conventions d’études, notes de frais, bulletins d’adhésion, etc. Mais une question m’a rapidement taraudé : ces signatures ont-elles la même valeur juridique qu’une signature manuscrite sur une feuille de papier ?
La réponse est loin d’être triviale. Elle m’a conduit à creuser le sujet jusqu’à animer une formation sur les différentes signatures électroniques. Le respect du cadre légal et réglementaire est en effet une composante essentielle du Code déontologique qui régit les Junior-Entreprises membres de la CNJE — autant dire qu’on ne peut pas se permettre de signer n’importe quoi, n’importe comment.
Comme toujours, je précise à nouveau que je ne perçois aucune contrepartie pour la rédaction de cet article. Les opinions exprimées ici reposent uniquement sur mon expérience personnelle au sein de l’association.
Le disclaimer étant énoncé, revenons à nos moutons. Voici ce que j’en retiens.
Certificat électronique : définition et rôle dans la signature
Avant de parler de niveaux de signature, il faut comprendre le mécanisme sous-jacent. Une signature électronique repose sur de la cryptographie asymétrique : le signataire dispose d’une clé privée (secrète, connue de lui seul) et d’une clé publique (partageable). Lorsqu’il signe un document, il en calcule une empreinte numérique (un hash), qu’il chiffre avec sa clé privée. N’importe qui peut ensuite vérifier cette signature avec la clé publique : si les empreintes correspondent, le document n’a pas été altéré et le signataire est authentifié.
Mais comment savoir que la clé publique appartient bien à la personne qu’elle prétend représenter ? C’est là qu’intervient le certificat électronique : une attestation d’identité délivrée par une Autorité de Certification , qui garantit le lien entre une clé publique et l’identité de son titulaire — nom, pseudonyme, numéro d’immatriculation, etc.
Ce certificat peut être qualifié ou non. Un certificat qualifié est délivré par un prestataire soumis à des contrôles stricts, audité par un tiers compétent et indépendant, et inscrit dans une Trusted List (liste de confiance) publiée par chaque État membre de l’Union-Européenne. En France, c’est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui supervise cette liste.
Signature électronique vs. cachet électronique : ne pas confondre
Le règlement européen eIDAS (n°910/2014) distingue deux notions qu’on a tendance à amalgamer, et cette distinction est fondamentale en Junior-Entreprise.
La signature électronique est réalisée par une personne physique. Elle atteste du consentement du signataire, à l’image d’un paraphe manuscrit. C’est ce qu’utilise le président d’une Junior-Entreprise pour signer une convention d’étude.
Le cachet électronique est émis par une personne morale — une entreprise, une association. Il ne vaut pas consentement personnel ; il atteste que le document émane bien de l’organisation et garantit son intégrité. C’est l’équivalent numérique d’un tampon d’entreprise.
Cette distinction est cruciale en pratique. Beaucoup de solutions grand public apposent en réalité un cachet de l’éditeur sur le document, et non une signature de l’utilisateur. Pour le signataire réel, le niveau de signature effectif peut être bien inférieur à ce que laisse entendre l’interface de la plateforme. Nous y reviendrons.
Les quatre niveaux de signature eIDAS
Le règlement eIDAS définit quatre niveaux de signature électronique, du plus accessible au plus robuste.
Niveau 1 — La signature électronique simple (SES)
C’est la définition minimale : des données électroniques associées à d’autres données et utilisées par le signataire pour signer. Un code reçu par SMS, une case à cocher, une signature griffonnée sur tablette — tout cela peut constituer une SES.
Aucune exigence technique précise n’est formalisée et l’identité du signataire n’est pas garantie. En cas de litige, il faut constituer un dossier de preuves (horodatage, intégrité des données, identité supposée). Le juge ne peut pas refuser une SES au seul motif qu’elle est électronique, mais la charge de la preuve incombe entièrement au signataire.
Pour cet exemple, LiveConsent compense ce niveau par la production d’un certificat de réalisation — un dossier de preuves contextuelles (horodatage, adresse IP, validation par SMS ou email) qui peut être présenté en cas de litige. C’est la mécanique classique d’une SES bien documentée, mais ce n’est pas une signature cryptographique de l’utilisateur.
Niveau 2 — La signature électronique avancée (AdES)
La signature avancée répond à des exigences spécifiques formalisées dans le règlement : elle est liée au signataire de manière univoque, permet de l’identifier, est créée à partir de données sous son contrôle exclusif, et permet de détecter toute modification ultérieure du document. Elle doit être acceptée par les organismes publics des États membres qui utilisent ce niveau.
Niveau 3 — La signature avancée reposant sur un certificat qualifié (AdES/QC)
Ici, le certificat qualifié entre en jeu. En plus des propriétés de la signature avancée, l’identité du signataire est garantie par un prestataire audité et contrôlé par l’ANSSI. La vérification d’identité peut se faire en face-à-face physique avec un agent qualifié, à distance via un service certifié (référentiel PVID), ou via une identité électronique préalablement établie (comme France Identité). La preuve de fiabilité est considérablement simplifiée en cas de litige. Ce niveau est obligatoire pour les marchés publics (arrêté du 22 mars 2019).
Niveau 4 — La signature électronique qualifiée (QESig)
Le niveau le plus élevé. Il combine la signature avancée sur certificat qualifié avec un dispositif de création de signature électronique qualifié (QSCD) : une carte à puce certifiée, une clé d’authentification, ou un équipement cryptographique sécurisé hébergé chez le prestataire.
Ce niveau jouit en France d’une présomption de fiabilité : la charge de la preuve est inversée. Ce n’est plus au signataire de prouver la validité de sa signature, mais à celui qui la conteste de démontrer qu’elle est défaillante. Elle est juridiquement équivalente à une signature manuscrite (article 1367 du code civil) et reconnue dans tous les États membres de l’Union européenne.
Signature électronique : les pièges des solutions grand public
C’est le point qui m’a le plus surpris lors de mes recherches pour la formation CNJE. En utilisant l’outil de vérification DSS (Digital Signature Service) de la Commission Européenne — la référence pour analyser les signatures électroniques — on peut examiner précisément ce qu’un document contient réellement.
Avec LiveConsent, la solution que nous utilisions à Polytech Services Nancy, voici ce que l’on observe : la qualification retournée par DSS est AdESeal-QC (cachet avancé reposant sur un certificat qualifié), avec “LiveConsent” dans la chaîne de certification. Ce n’est pas la signature de l’utilisateur — c’est le cachet du prestataire. Pour la personne qui a cliqué sur “Je signe”, il s’agit donc d’une signature simple (SES), quel que soit le niveau affiché dans l’interface de la plateforme.
Même constat avec d’autres solutions populaires : le DSS retourne parfois un cachet qualifié de la société éditrice, pas une signature de l’utilisateur.
Ce n’est pas nécessairement un problème pour des documents internes à faible enjeu, pour lesquels une SES suffit. Mais il est essentiel de savoir ce qu’on utilise réellement, surtout quand on engage une Junior-Entreprise contractuellement.
Comment vérifier un document signé ?
Deux outils principaux permettent de vérifier la qualité d’une signature électronique.
Le validateur DSS de la Commission Européenne est l’outil de référence, gratuit et public. Il indique la qualification de chaque signature présente dans le document (QESig, AdES/QC, AdESeal-QC, etc.), l’horodatage, la chaîne de certification, et si le certificat figure sur une Trusted List nationale.
Adobe Acrobat Reader permet également de visualiser les signatures électroniques dans un PDF et d’en vérifier la validité, à condition que les certificats soient connus d’Adobe.
Pour un usage en Junior-Entreprise, je recommande de passer les documents importants par le validateur DSS. L’interface est claire et les informations retournées permettent de savoir exactement à quel niveau de signature on a affaire.
Notre passage à Goodflag Community (Lex Persona)
Suite à la formation et à cette prise de conscience, nous avons décidé à Polytech Services Nancy de faire évoluer notre pratique. Nous utilisons désormais la solution gratuite de Lex Persona pour nos documents nécessitant une signature avancée.
La différence est fondamentale : avec Goodflag Community, c’est bien le signataire qui appose une signature électronique avancée (AdES) sur le document — pas un cachet du prestataire. La chaîne de certification est celle de l’utilisateur, et le validateur DSS le confirme clairement.
Il est également possible de choisir une signature électronique qualifiée sur l’interface de ce prestataire. Toutefois, à l’heure actuelle, il est nécessaire que le signataire possède l’application gouvernementale France Identité pour signer avec ce niveau de qualification.
En résumé : comment choisir le bon niveau ?
La grille de lecture recommandée par l’ANSSI dans son guide de sélection repose sur une analyse de risques en cinq facteurs : la portée du document, les obligations réglementaires applicables, la vraisemblance d’un litige, la gravité de ce litige, et le type de document.
Pour une Junior-Entreprise, voici une grille pratique de mes recommandations :
| Document | Niveau minimal recommandé |
|---|---|
| Compte rendu de CA | SES |
| Convention d’étude client / intervenant | AdES |
| Document de trésorerie, attestation | AdES |
| PV d’Assemblée Générale | AdES |
| Appel d’offres (marché public) | QESig (obligation légale) |
| Document d’étude à fort enjeu financier | AdES/QC ou QESig |
Plus la vraisemblance et la gravité d’un litige sont importantes, plus il est recommandé de choisir un niveau offrant une forte valeur probante. Et pour les documents à portée européenne, la signature qualifiée s’impose — elle seule bénéficie d’une reconnaissance mutuelle dans tous les États membres de l’UE.
Une approche différente en Europe : le cas belge
Il est intéressant de noter que tous les États membres de l’Union européenne n’ont pas fait les mêmes choix en matière d’identité numérique et de signature électronique. Contrairement à la France, la Belgique fournit à l’ensemble de ses citoyens une carte d’identité électronique (eID) intégrant directement un certificat numérique qualifié. Concrètement, cela signifie que tout citoyen belge dispose, dès la délivrance de sa carte, d’un moyen de réaliser des signatures électroniques qualifiées et de s’authentifier en ligne de manière forte, simplement en utilisant un lecteur de carte à puce.
Cette approche repose sur une infrastructure décentralisée : la preuve d’identité et la capacité de signature sont portées par un support physique détenu par l’utilisateur. À l’inverse, pour l’authentification en ligne, la France a fait le choix de FranceConnect, une solution centralisée et pilotée par l’État, qui agrège plusieurs fournisseurs d’identité (impôts, Ameli, etc.). Ce modèle présente des avantages en termes de simplicité d’usage et d’intégration, mais aussi les limites classiques des systèmes centralisés (point de dépendance unique, gouvernance, surface d’attaque).
Côté signature électronique, la différence est encore plus marquée : à ce jour, la France ne propose pas de service universel et gratuit permettant à chaque citoyen d’exercer facilement son droit à la signature électronique qualifiée, contrairement à d’autres pays européens comme la Belgique où cette capacité est intégrée nativement dans l’identité nationale.
Conclusion
La signature électronique est un outil puissant, mais sa valeur juridique dépend entièrement du niveau auquel elle est réalisée. Beaucoup de solutions grand public ne rendent pas cette réalité transparente. En tant que membre d’une Junior-Entreprise engagée dans le respect du cadre légal et déontologique de la CNJE, comprendre ces distinctions est à mon sens indispensable — et souvent sous-estimé.
Le règlement eIDAS offre un cadre solide et harmonisé à l’échelle européenne. Les outils pour vérifier et choisir le bon niveau de signature existent et sont souvent gratuits. Il ne reste plus qu’à s’en emparer.
Envie d’en savoir plus sur mon parcours en Junior-Entreprise ? Consultez mon article sur mon expérience à Polytech Services Nancy.
Disclaimer
Cet article est publié à titre informatif et pédagogique uniquement. Je ne suis ni juriste, ni avocat, ni expert en droit du numérique.
Les informations présentées reflètent une analyse personnelle des textes réglementaires en vigueur au moment de la rédaction, notamment le règlement eIDAS (n° 910/2014), le Code civil français ainsi que l’arrêté du 22 mars 2019.
Elles ne constituent en aucun cas un conseil juridique et ne sauraient se substituer à l’avis d’un professionnel du droit qualifié. Pour toute question relative à la validité juridique d’un document signé électroniquement dans votre situation spécifique, il est recommandé de consulter un avocat ou un juriste spécialisé.
La réglementation en matière de signature électronique étant susceptible d’évoluer — notamment dans le cadre du déploiement d’eIDAS 2.0 et du développement de France Identité — je ne garantis pas l’exactitude, la complétude ou l’actualité des informations au-delà de la date de publication de cet article.
FAQ
Quelle est la différence entre une signature et un cachet électronique ?
La signature électronique est émise par une personne physique et atteste de son consentement. Le cachet électronique est émis par une personne morale (entreprise, association) et atteste de l’intégrité et de l’origine du document, comme un tampon numérique. Beaucoup de plateformes grand public appliquent en réalité un cachet de l’éditeur, et non une vraie signature de l’utilisateur.
Ma signature via LiveConsent a-t-elle valeur légale ?
Cela dépend du document et du contexte. Pour des documents internes à faible enjeu, la signature simple (SES) est généralement suffisante. Pour des engagements contractuels importants ou des marchés publics, un niveau supérieur (AdES/QC ou QESig) est requis. Utilisez l’validateur DSS de la Commission Européenne pour connaître le niveau réel d’un document signé.
Comment obtenir une vraie signature avancée ou qualifiée ?
Pour une signature avancée (AdES), des solutions comme Lex Persona proposent une offre gratuite. Pour la signature qualifiée (QESig), il faut passer par un prestataire inscrit dans la Trusted List nationale et obtenir un certificat qualifié, ce qui implique une vérification d’identité (face-à-face physique, service certifié à distance, ou via France Identité). La liste des prestataires qualifiés en France est disponible sur le site de l’ANSSI.
Quel niveau de signature est obligatoire pour un marché public ?
L’arrêté du 22 mars 2019 relatif à la signature électronique dans la commande publique impose une signature électronique qualifiée (QESig).
Comment vérifier une signature électronique sur un document PDF ?
Deux outils principaux : le validateur DSS de la Commission Européenne (gratuit, référence officielle) et Adobe Acrobat Reader (pour les PDF avec signatures intégrées reconnues par Adobe). Le validateur DSS est le plus complet : il indique la qualification exacte, la chaîne de certification et la présence dans les listes de confiance nationales.
