Signature électronique et autres services de confiance

Comment se procurer une signature électronique qualifiée, ou tout autre service de confiance ?

Le 23 juillet 2014, l'Union européenne a adopté le règlement eIDASLien externe relatif à l'identification électronique et aux services de confiance qui remplace la directive 1999/93/CE sur la signature électronique et les prestataires de service de certification depuis le 1er juillet 2016

Les objectifs principaux du règlement eIDAS sont de trois types :

  • lever les obstacles au fonctionnement du marché intérieur, tant juridique que technique, en matière de formalités administratives transfrontières ;
  • susciter une confiance accrue dans les transactions électroniques ;
  • renforcer la sécurité juridique au profit des prestataires de services de confiance et de leurs utilisateurs.

En outre, derrière ces trois objectifs pointe la volonté de stimuler l’innovation et le développement de l’offre de services de confiance et d’identification électronique.

En Belgique, cette volonté s’est traduite par l’adoption de la loi du 21 juillet 2016Lien externe dite loi eIDAS et archivage électronique qui met en œuvre le règlement et le complète en consacrant des dispositions visant à créer un cadre juridique complet et cohérent pour l’archivage électronique. C’est ainsi que le rôle de contrôle a été confié au SPF Economie qui est chargé de la qualification et de la supervision des prestataires de confiance établis en Belgique.

En savoir plus sur les aspects juridiques et les enjeux de la signature électronique et autres services de confiance

Services de confiance

Outre la signature électronique, le règlement eIDAS et la loi eIDAS et archivage électronique couvrent d’autres services de confiance, tels que le cachet électronique, l’horodatage, le service d’envoi recommandé électronique, l’authentification de site internet ainsi que l’archivage électronique.

Un service de confiance est un service électronique normalement fourni contre rémunération qui consiste :

  • en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services ; ou
  • en la création, en la vérification et en la validation de certificats pour l’authentification de site internet ; ou
  • en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services.(art. 3 §16 du règlement eIDAS).

Signature électronique

Qu’est- ce qu’une signature électronique ?

Selon le règlement eIDAS, il s’agit de données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer. (art. 3 §10 du règlement).

Cette définition englobe tous les types de signatures électroniques, comme les signatures manuscrites scannées, les signatures biométriques (par exemple, la reconnaissance vocale, la reconnaissance de l’iris de l’œil, la reconnaissance des empreintes digitales) ou encore les simples codes des cartes bancaires.

Lorsqu’elle satisfait à certaines exigences, une signature électronique peut être « avancée » ou « qualifiée ».

Pour être avancée, elle doit

  • être liée au signataire de manière univoque ;
  • permettre l’identification du signataire ;
  • être créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif et
  • être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectée. (art. 26 du règlement eIDAS).

Elle sera qualifiée si en plus d’être avancée, elle est créée à l’aide d’un dispositif de création de signature électronique qualifié, et repose sur un certificat qualifié de signature électronique (art. 3 §12 du règlement eIDAS).

Le règlement stipule bien qu’une signature électronique (quels que soient la technologie employée et le niveau) ne peut être refusée comme preuve en justice au seul motif qu’elle est électronique ou qu’elle n’est pas qualifiée. Néanmoins, seule la signature dite qualifiée est assimilée à une signature manuscrite (art. 25 du règlement eIDAS).

Cachet électronique

Il existe trois types de cachet électronique :

  • Le cachet électronique « de base » : données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières. » (art. 3 §25 du règlement eIDAS).
  • Le cachet électronique « avancé » : il doit être lié au créateur du cachet de manière univoque ; permettre d’identifier le créateur du cachet; avoir été créé à l’aide de données de création de cachet électronique que le créateur du cachet peut, avec un niveau de confiance élevé, utiliser sous son contrôle pour créer un cachet électronique ; et être lié aux données auxquelles il est associé de telle sorte que toute modification ultérieure des données soit détectable. (art. 36 du règlement eIDAS).
  • Lecachet électronique « qualifié » : il s’agit d’un cachet électronique avancé qui est créé à l’aide d’un dispositif de création de cachet électronique qualifié et qui repose sur un certificat qualifié de cachet électronique (art. 3 §27 du règlement eIDAS).

Même si un cachet électronique ne peut être refusé comme preuve en justice sur le seul motif d’être électronique, seul le cachet électronique qualifié bénéficie d’une présomption d’intégrité des données et d’exactitude de l’origine des données auxquelles il est lié. (art. 35 du règlement eIDAS).

Horodatage

Par horodatage électronique on entend : « des données sous forme électronique qui associent d’autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant » (art. 3 §33 du règlement eIDAS).

L’horodatage électronique permet

  • de dater précisément un document ;
  • de certifier qu’à un moment précis une donnée existait ou qu’une opération a été réalisée par voie électronique (signature électronique, envoi recommandé électronique.

L’horodatage électronique est dit qualifié s’il satisfait aux exigences suivantes :

  • il lie la date et l’heure aux données de manière à raisonnablement exclure la possibilité de modification indétectable des données ;
  • il est fondé sur une horloge exacte liée au temps universel coordonné ; 
  • il est signé au moyen d’une signature électronique avancée ou cacheté au moyen d’un cachet électronique avancé du prestataire de services de confiance qualifié, ou par une méthode équivalente (art. 42 du règlement eIDAS).

Un horodatage électronique qualifié bénéficie d’une présomption d’exactitude de la date et de l’heure qu’il indique et d’intégrité des données auxquelles se rapportent cette date et cette heure (art. 41 du règlement eIDAS).

 

Service d’envoi recommandé électronique

« Un service d’envoi recommandé électronique est un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée » (art. 3 §36du règlement eIDAS).

Les données envoyées et reçues au moyen d’un service d’envoi recommandé électronique qualifié bénéficient d’une présomption quant à

  • l’intégrité des données ;
  • l’envoi de ces données par l’expéditeur identifié ;
  • leur réception par le destinataire identifié ; 
  • l’exactitude de la date et de l’heure de l’envoi et de la réception indiquées par le service d’envoi recommandé électronique qualifié (art. 43 du règlement eIDAS).

Pour bénéficier du statut qualifié, le service d’envoi recommandé électronique doit satisfaire aux exigences suivantes :

  • il est  fourni par un ou plusieurs prestataires de services de confiance qualifiés ;
  • il garantit l’identification de l’expéditeur et de destinataire avec un degré de confiance élevé ;
  • l’envoi et la réception de données sont sécurisés par une signature électronique avancée ou par un cachet électronique avancé d’un prestataire de services de confiance qualifié, de manière à exclure toute possibilité de modification indétectable des données ;
  • toute modification des données nécessaire pour l’envoi ou la réception de celles-ci est clairement signalée à l’expéditeur et au destinataire des données ;
  • la date et l’heure d’envoi, de réception et toute modification des données sont indiquées par un horodatage électronique qualifié. Les données envoyées et reçues au moyen d’un service d’envoi recommandé électronique qualifié bénéficient d’une présomption quant à
    • l’intégrité des données ;
    • l’envoi de ces données par l’expéditeur identifié ;
    • leur réception par le destinataire identifié ;
    • l’exactitude de la date et de l’heure de l’envoi et de la réception indiquées par le service d’envoi recommandé électronique qualifié (art. 44 du règlement eIDAS).

Authentification de site internet

Les services d’authentification de site internet sont un moyen permettant au visiteur d’un site internet de s’assurer que celui-ci est tenu par une entité véritable et légitime. Ces services contribuent à instaurer un climat de confiance pour la réalisation de transactions commerciales en ligne.

Afin que l’authentification de site internet s’affirme comme un moyen de renforcer la confiance, le règlement eIDAS définit le certificat d’authentification de site internet comme une attestation qui permet d’authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré. Pour obtenir le statut qualifié, le certificat devra satisfaire à toute une série d’exigences reprises dans le règlement eIDAS (art. 3 §38 et annexe IV du règlement eIDAS).

Archivage électronique

Contrairement aux autres services électroniques, l’archivage électronique n’est pas défini dans le règlement européen eIDAS. C’est dans la loi belge eIDAS et archivage électronique du 21 juillet 2016 mettant en œuvre le règlement eIDAS que l’on retrouve la définition de l’archivage électronique et la notion de service qualifié d’archivage électronique. Pour rappel, elle insère les nouvelles dispositions dans le Code de droit économique (CDE).

« Un service d’archivage électronique est un service de confiance supplémentaire à ceux visés par le règlement eIDAS, qui consiste en la conservation de données électroniques ou la numérisation de documents papiers, et qui est fourni par un prestataire de services de confiance au sens du règlement eIDAS ou qui est exploité pour son propre compte par un organisme du secteur public ou une personne physique ou morale. » (art. I.18, 17° du CDE).

La loi distingue donc deux types d’archivage électronique :

  • l’archivage réalisé par un prestataire de service et
  • l’archivage réalisé en « interne », c’est-à-dire une personne physique ou morale qui exploite pour son propre compte un service d'archivage électronique.

Les deux types d’archivage pourront obtenir le statut qualifié et de ce fait bénéficier d’une présomption d’intégrité et de conformité. Une copie numérique effectuée à partir d'un document sur support papier est présumée en être une copie fidèle et durable lorsqu'elle est réalisée et conservée au moyen d'un service d'archivage électronique qualifié (art. XII.25, §6 du CDE).

Sécurité et contrôle

Les prestataires délivrant des services de confiance sont tenus de mettre en place des moyens technologiques et organisationnels répondant à des exigences régulièrement revues à la hausse.

De plus, les prestataires de service de confiance bénéficiant du statut de qualifiés font l’objet d’un contrôle a priori mais également a posteriori dans le cadre d’un audit périodique (tous les deux ans) ou d’un éventuel audit extraordinaire sur demande de l’organe de contrôle.

La loi du 21 juillet 2016 a désigné officiellement comme organe de contrôle le SPF Economie afin de contrôler les prestataires de services de confiance établis en Belgique, y compris ceux de services d’archivage électronique. (art. I.18, 16° du CDE).

Pour plus d’informations sur les contrôles réalisés par le SPF Economie vous pouvez consulter la présentation relative à la session d’information du 27 janvier 2016Lien externe.

Comment se procurer une signature électronique qualifiée, ou tout autre service de confiance qualifié ?

Il vous suffit de contacter un prestataire qualifié.

Les prestataires de services de confiance établis en Belgique souhaitant offrir des services qualifiés sont légalement tenus de notifier leurs activités au SPF Economie, P.M.E., Classes moyennes et Energie.

Lorsque le statut qualifié est accordé au prestataire de service et aux services qu’il propose, celui-ci est repris sur une liste officielle (Trusted List) publiée tous les quatre mois.

Consultez la Trusted ListLien externe pour la Belgique.

Les prestataires de services de confiance qualifiés peuvent aussi utiliser et afficher sur leur site web le label de confiance de l’UE consacré par le règlement eIDAS (art. 23 du règlement eIDAS).

Prestataires qualifiés établis en Belgique ainsi que les service qualifiés qu’ils fournissent

délivrance de certificats pour signature électroniquedélivrance de certificats pour cachet électroniquedélivrance de certificats pour authentification de site internetenvoi recommandé électronique
CertipostLien externeX
SWIFTLien externe **
QuoVadis TrustlinkLien externeX
ZetesLien externeX
horodatage électroniquevalidation de signatures électroniquevalidation de cachets électroniqueconservation de signatures électroniques
CertipostLien externe
SWIFTLien externe **
QuoVadis TrustlinkLien externe
ZetesLien externe
conservation de cachets électroniquesarchivage électronique *
CertipostLien externe
SWIFTLien externe **
QuoVadis TrustlinkLien externe
ZetesLien externe

* Reconnaissance au niveau nationale
** Society for Worldwide Interbank Financial Telecommunication

Liens utiles

Réglementation

Service Certification Electronique

SPF Economie, P.M.E., Classes moyennes et Energie
Direction générale de la Qualité et de la Sécurité
Service Certification Electronique

North Gate
Boulevard du Roi Albert II 16
1000 Bruxelles

E-mail : BE.SIGN@economie.fgov.be