Qu'est-ce qu'une signature électronique qualifiée (QES) ?
La signature électronique qualifiée présente le niveau de sécurité le plus élevé de toutes les signatures électroniques. Outre les exigences relatives à une signature électronique avancée, elle est créée par un dispositif de création de signature qualifiée et repose sur un certificat qualifié pour les signatures électroniques.
Différentes normes de signatures électroniques sont définies par les réglementations en Europe et au Royaume-Uni. Le niveau le plus élevé de signature électronique est la signature électronique qualifiée (QES - Qualified Electronic Signature en anglais), qui offre la plus grande sécurité. En dessous, on trouve la signature électronique avancée (AES), puis la signature électronique simple (SES).
Une QES doit permettre d'identifier de manière fiable le signataire et de le protéger contre la falsification ou l'altération, comme avec une AES. Elle va cependant plus loin en utilisant un certificat qualifié émis par un fournisseur fiable et certifié.
Grâce à ce niveau de sécurité accru, il offre la protection juridique la plus solide. En vertu de la législation européenne et britannique, la QES a le même pouvoir juridique qu'une signature traditionnelle. Le signataire est protégé, la charge de la preuve incombant au contestataire.
Avez-vous d'autres questions concernant les signatures électroniques qualifiées ?
Quelles sont les conditions requises pour une signature électronique qualifiée ?
La signature électronique qualifiée suit les mêmes protocoles que la signature numérique avancée (AES) mais va plus loin dans la protection et offre une sécurité supplémentaire. En tant que telle, elle doit identifier de manière fiable le signataire des documents et protéger contre la falsification ou les modifications apportées après la signature. Mais pour une sécurité supplémentaire, une QES doit être créée à l'aide d'un dispositif de création de signature qualifié et utiliser un certificat qualifié pour générer les signatures.
The qualified electronic signature follows the same protocols as the advanced digital signature (AES) but takes protection further and offers additional security. As such, it should reliably identify the signer of the documents and protect against forgery or changes made after signing.
But for extra security, a QES must be created using a Qualified Signature Creation Device (QSCD) and use a qualified certificate to generate signatures.
Comment mettre en place une signature électronique qualifiée ?
La création d'une signature électronique qualifiée utilise la même méthode que les signatures électroniques avancées. Une infrastructure à clé publique (PKI) est utilisée pour créer une clé privée et une clé publique. Le signataire conserve la clé privée, et la clé publique est utilisée pour vérifier que la signature est authentique et n'a pas été modifiée. Avec une QES, la principale différence est l'utilisation d'un certificat qualifié. Celui-ci doit être délivré par un fournisseur de services de confiance qualifié. Seuls certains prestataires de services sont enregistrés à cet effet, et la réglementation eIDAS en précise les critères.
La signature elle-même doit être créée à l'aide d'un dispositif de création de signature qualifié. Ce dispositif est généralement un dispositif logiciel et matériel spécifique dont le signataire a le contrôle (tel qu'un dispositif USB ou un lecteur de carte). Il peut également être mis en œuvre en tant que solution logicielle uniquement, comme chez IDnow.
En outre, un QES exige une vérification initiale du signataire avant qu'il puisse signer son premier document. Une réunion en face à face ou un appel vidéo est généralement utilisé à cette fin. Une authentification multifactorielle est ensuite effectuée à chaque signature.
The creation of a qualified electronic signature uses the same method as advanced electronic signatures. A Public Key Infrastructure (PKI) is used to create a private and public key. The signer keeps the private key, and the public key is used to verify the signature is genuine and not altered.
With a QES, the main difference is the use of a qualified certificate. This must be issued by a qualified trust service provider (QTSP). Only some service providers are registered to do this, and the eIDAS regulations specify the criteria.
The signature itself must be created using a Qualified Signature Creation Device (QSCD). This QSCD is usually a specific software and hardware device that the signer has control of (such as a USB device or card reader). It can also be implemented as a software-only solution, and this is how IDnow eSign works.
In addition, a QES requires initial verification of the signer before they can sign their first document. A face-to-face meeting or video call is usually used for this. Multi-factor authentication is then carried out each time they sign.
Comment devenir un prestataire de services de confiance qualifié ?
Le prestataire de services de confiance qualifié est essentiel à la mise en œuvre et à la sécurité d'une QES. Pour devenir un prestataire qualifié, un fournisseur de services doit répondre à des critères stricts définis par les autorités compétentes. Une fois approuvé, il sera inscrit sur une liste de confiance. Dans l'UE, la réglementation eIDAS prévoit les critères minimaux suivants :
- Le prestataire de services doit fournir une heure et une date valides pour les certificats créés.
- Les signatures dont les certificats ont expiré doivent être révoquées immédiatement.
- Le personnel employé par le prestataire de services de confiance qualifié doit être formé de manière appropriée.
- Les logiciels et le matériel utilisés par le fournisseur de services doivent être dignes de confiance et capables d'empêcher la falsification des certificats.
The qualified trust service provider (QTSP) is essential to the implementation and security of a QES. To become a QTSP, a service provider must meet strict criteria set out by governing authorities. Once approved, it will be included in a trusted list. In the EU, the eIDAS regulations include the following minimum criteria:
The service provider must provide a valid time and date for created certificates.
Signatures that have expired certificates must be revoked immediately.
Personnel employed by the qualified trust service provider must be appropriately trained.
Software and hardware used by the service provider must be trustworthy and capable of preventing certificate forgery.
Quelle protection offre une signature électronique qualifiée ?
En vertu de la législation européenne et britannique, la signature électronique qualifiée est le niveau le plus élevé de signature électronique. Les étapes supplémentaires par rapport à la signature électronique avancée - notamment l'utilisation d'un certificat qualifié et sa mise en place par un prestataire de services de confiance - lui confèrent un statut juridique renforcé.
Une QES ne peut se voir refuser la recevabilité en tant que preuve ou être rejetée sur le plan juridique uniquement en raison de sa nature électronique. Elle a la même autorité juridique qu'une signature écrite physique. Il n'existe pas de forme supérieure de signature numérique - la réglementation eIDAS interdit aux États membres de demander toute forme de signature de niveau supérieur. (spécifié dans l'article 27 d'eIDAS).
Under EU and UK law, QES is the highest level of electronic signature. The additional steps over AES – including using a qualified certificate and a trusted service provider – give it enhanced legal standing.
A QES may not be denied admissibility as evidence or dismissed legally solely due to its electronic nature. It carries the same legal authority as a physical written signature. There is no higher form of digital signature - eIDAS regulations prohibit member states from requesting any form of higher-level signature. (specified in eIDAS Article 27).
Quand faut-il utiliser une signature électronique qualifiée ?
La signature électronique qualifiée offre le plus haut niveau de protection de la signature et le plus haut degré d'applicabilité en droit. Elle est également la plus complexe techniquement et probablement la plus coûteuse à mettre en œuvre. La lourdeur de la validation du signataire et de l'authentification multifactorielle peut également la rendre trop complexe et inadaptée à des utilisations simples.
C'est pourquoi elle est généralement utilisée pour les documents et les contrats de grande valeur. Il peut s'agir de contrats commerciaux importants, de contrats de vente ou d'achats immobiliers.