Les signatures numériques, pourquoi est-ce plus sécuritaire que le stylo!

Dans beaucoup d’entreprises, la gestion des signatures manuscrites est le processus qui empêche encore d’être totalement sans papier.   On imprime pour faire signer puis on scanne le document et on le classe. Souvent, on classe même à la fois le document original signé, et sa copie numérisée, par crainte d’avoir besoin de la signature originale.  Tout ça parce qu’on a l’impression qu’une signature signée est plus forte que tout au niveau de la loi. Et bien j’ai le plaisir de vous annoncer que c’est faux!

En premier lieu, il est bon de définir ce qu’on appelle une signature numérique.  

Il y a une certaine confusion au niveau de la définition.  On fait habituellement une distinction entre une signature électronique, qui peut être simplement une calligraphie scannée ou dessinée sur l’écran, et une signature numérique.   Le niveau de fiabilité de la signature électronique est comparable à celle d’une signature manuscrite.

Pour la signature manuscrite, l’authentification se base sur la correspondance de la calligraphie.  Pour les documents importants, c’est le notaire qui certifie l’authenticité d’un document en étant témoin de la signature et en gardant une copie.   Le notaire s’assure donc de confirmer l’identité du signataire, et s’assure que le document n’est pas modifié.

La signature numérique est quant à elle une emprunte numérique utilisant la technologie pour remplir les mêmes objectifs que le notaire, c’est-à-dire de démontrer l’identité du signataire, et

s’assurer que le document n’a pas été modifié ensuite.  Comme l’identité n’est pas vérifiée en personne, ce n’est bien sûr pas aussi fiable qu’un notaire, mais l’objectif est similaire.

Pour une signature numérique, l’authentification passe par un serveur d’horodatage et un processus d’authentification auprès d’une autorité de certification.  Une fois le document signé numériquement, ce document contient une emprunte avec les informations sur le signataire, l’autorité de certification, mais peut contenir aussi tout le processus qui a mené à la signature.  On peut par exemple savoir qui a demandé la signature, à quelle adresse courriel la demande de signature a été envoyée, l’adresse IP de l’ordinateur ayant été utilisé, la date et une heure précise, et savoir que pour signer, cette personne a dû entrer un NIP qui a été envoyé par texto sur son numéro de téléphone cellulaire.   Si plusieurs personnes signent, on détient ces informations pour chacun des signataires. L’identité des signataires est donc démontrée par les différentes traces qui permettent de faire le lien avec l’individu.

On ajoute aussi l’assurance que le document n’a pas été modifié suite à cette signature, car si le document est modifié, la signature devient invalide.

Est-ce possible de falsifier une signature numérique?  Oui, mais pour signer à la place de quelqu’un d’autre, il faut avoir accès à son courriel, à son cellulaire et à son ordinateur.  C’est significativement plus compliqué que de reproduire une signature manuscrite, et ça laisse des traces.

Pour revenir sur le cas des notaires, ils utilisent maintenant aussi un système de signatures numériques, mais ce système contient une certification de l’identité du signataire et son appartenance à son ordre.  Il faut se présenter avec une preuve d’identité avec photo et faire partie de l’ordre des notaires pour avoir droit à ce sceau numérique. (1)

Il est important de préciser qu’un document signé numériquement n’est pas crypté.  Le but n’est pas de rendre le document illisible, mais d’en confirmer l’intégrité. Un certificat numérique est attaché au fichier, et les concepts de cryptographies sont utilisés pour s’assurer que si on essaie de modifier les données du certificat ou le fichier, la signature devient invalide.  

L’autorité de certification a aussi un rôle important dans le processus.   Il est tout à fait possible d’apposer soi-même une signature numérique sur un document PDF en créant un certificat local.  Le document contiendra une signature numérique, mais avec un certificat qui ne provient pas d’une autorité de certification fiable, et donc cette signature ne vaudra pas grand-chose.   Ce type de signature pourrait tout de même être utilisé pour des autorisations internes dans une entreprise, mais ça ne serait pas très solide devant un juge. Il faut donc s’assurer de passer par une autorité de certification reconnue pour les documents importants.  Les logiciels de signatures sont nombreux, et chacun fait office d’autorité de certification : DocuSign, Notarius, eSignLive, Adobe Sign, GlobalSign, etc.

Certains de ces logiciels ont des versions régionales, pour s’assurer que les données sont hébergées et sécurisées selon les normes applicables dans notre pays.   Si vous êtes particulièrement sensible à la confidentialité de vos documents, il est préférable de choisir un service qui héberge ses données au Canada.

Au niveau de la loi, de nombreux pays ont des législations qui assurent qu’une signature numérique est aussi valable qu’une signature manuscrite.  Pour le Québec, la « loi concernant le cadre juridique des technologies de l’information » atteste qu’un document numérique est aussi valable qu’un document papier, tant que l’intégrité du document peut être démontrée.  (2)

Certaines règlementations vont plus loin, par exemple l’eIDAS pour l’Union européenne, qui donne plus de valeur à une signature numérique (appelée « signature électronique qualifiée ») par rapport à une signature électronique (appelée « signature électronique simple »).  (3) C’est le début de la fin pour la signature calligraphique, bien jolie, mais finalement pas très fiable.

Maintenant, plus rien ne vous empêche d’être « 100% sans papier »!   Ce n’est pas seulement plus écologique, c’est aussi beaucoup plus efficace, et maintenant vous savez que c’est même plus sécuritaire.

1 : Notarius, logiciel fondé par l’ordre des Notaires et utilisé par de nombreux ordres professionnels : https://notarius.com

2 : Loi concernant le cadre juridique des technologies de l’information

https://www.tresor.gouv.qc.ca/ressources-informationnelles/cadre-normatif-de-gestion-des-ressources-informationnelles/loi-concernant-le-cadre-juridique-des-technologies-de-linformation/

3 : https://www.globalsign.fr/fr/blog/difference-entre-signature-electronique-avancee-et-qualifiee-eidas