Signature électronique


Informations supplémentaires pour les entreprises et les utilisateurs de signatures électroniques


Ces informations ont été fournies par la sociéte StepOver et traduites gratuitement en français par Mondo Services. Traductrice: Anne-Sophie

 

Avant-propos

 

La directive européenne concernant les signatures électroniques (directive 1999/93/CE/de la Communauté européenne - dénommé ci-après directive européenne) définit trois formes de signature électronique :

  1. La signature électronique (simple)
  2. La signature électronique avancée
  3. La signature électronique avancée, qui est basée sur un certificat qualifié (et créée par un dispositif sécurisé de création de signature électronique) – dénommé ci-après signature électronique qualifiée ou QES.

Étant donné le fait que les signatures électroniques qualifiées exigent toujours l´attribution d´une clé de signature (par exemple, une clé privée) au signataire via un tiers de confiance (par exemple, prestataire de service de certification), ce type de signature électronique est inapproprié dans le « commerce de comptoir » ou dans tout endroit qui implique le commerce en face-à-face, car le signataire n´a en général pas de certificat qualifié.  Une autre difficulté rencontrée est la présomption légale de fiabilité de la QES qui a une charge de la preuve, ce qui est généralement au détriment de l´utilisateur. Pour cette raison, les signatures manuscrites numériques sont prédominantes dans plusieurs secteurs du marché puisqu´elles ne nécessitent pas de certificat qualifié. 

 

Une signature manuscrite électronique se sert des caractéristiques biométriques de la signature manuscrite enregistrée comme moyen d´identification du signataire. Chaque signataire peut utiliser cette caractéristique sans avoir besoin d´ un matériel particulier (par exemple, une carte à puce), d´enregistrement, de coûts supplémentaires ou sans désavantage de droit. Cependant, ces caractéristiques ne représentent pas une clé cryptographique asymétrique et par conséquent elles ne peuvent être utilisées en tant que certificat qualifié. En définitive, les signatures manuscrites électroniques peuvent être uniquement simples ou avancées selon la directive de l´Union européenne.

 

Bien que la formulation de la directive de l´Union européenne concernant les signatures électroniques avancées semble être de prime abord technologiquement neutre, on met en avant dans les définitions (Article 2) le fait qu´il n’y ait presque jamais d´algorithmes cryptographiques asymétriques dans le cas des signatures électroniques avancées. Cela est issu des énoncés suivants :

 

Article 2(3) : "Le signataire » est une personne, qui prend en charge le dispositif de création de signature…

 

Article 2(5) : "Le dispositif de création de signature" est un logiciel ou un système d´équipement qui est employé pour la mise en place des données de création de signatures...

 

Article 2(4): Les "données de création de signature" sont des données uniques tels que les codes ou les clés cryptographiques privées, qui sont utilisés par le signataire dans le but de créer une signature électronique…
Cela veut dire en pratique, selon l´Article 2(4) de la directive, que les "données uniques" doivent être utilisées dans le but de créer une signature électronique avancée. Bien que l´utilisation d´une clé privée soit seulement donné à titre d´exemple, l´unicité exclue l´utilisation des clés symétriques, car dans ce cas une clé d´identification est nécessaire à la création et à l´authentification. Par conséquent, l´unicité de la clé n´existera plus.

 

Les données biométriques d´une caractéristique biométrique dynamique (active), telles que les signatures manuscrites, ne sont jamais identiques, ils sont donc uniques et n´ont pas de copies, ainsi ils pourront être utilisés en tant que clé de validation unique. Néanmoins, au cas où une copie serait nécessaire, il faudrait se référer à l´article 2 (7) qui établit une clé séparée pour l´authentification de la façon suivante:

 

Article 2(7) Les "donnés de vérification de signature" sont des données telles que des codes ou des clés cryptographiques publiques, qui sont utilisés afin de vérifier les signatures électroniques…

 

Le fait que le signataire doit être en possession d´un dispositif sécurisé de création de signature (selon l´Article 2 (3)) ne signifie pas qu´il doit en être également le propriétaire. D´un point de vue juridique, le terme possession peut aussi signifier prêt temporaire. De cette façon, un dispositif de signature (machine, ordinateur, etc.), qui possède une clé privée unique et qui est donné à une personne afin d´effectuer une signature électronique, remplit la condition suivante: au moment de signer, le signataire doit être en possession du dispositif sécurisé de création de signature avec les données de création de signature unique. Au cas où un système serait cédé à plusieurs personnes sur le point de signer et si par conséquent les propriétaires changeaient, il serait tout à fait inutile de mentionner la véritable identité du signataire dans les données de création de signature, c´est-à-dire la clé privée. Toutefois, c´est également inutile en cas de signatures avancées. Cette condition nécessaire pour attribuer une clé privée à l´identité du signataire intervient seulement dans le cas de la signature électronique décrite précédemment. L´utilisation d´une caractéristique d´identification biométrique (par exemple, une signature manuscrite) en tant que signature électronique avancée est également possible, du moment que les données de création de signature uniques (par exemple, une clé privée unique) sont employées dans le dispositif sécurisé de création de signature (machine, logiciel, etc.)