6 meilleures pratiques pour les utilisateurs de signature électronique (I)
Après avoir examiné six comportements fondamentaux pour protéger votre identité électronique et utiliser des services et des dispositifs de confiance, nous allons maintenant nous concentrer sur les meilleures pratiques en matière d’adoption et d’utilisation de la technologie relative à la signature électronique.
Dans cet article et dans le suivant, nous allons passer en revue six recommandations ainsi que des conseils pratiques qui garantiront la validité de votre signature électronique et vous fourniront la garantie juridique appropriée pendant une période prolongée.
1. Utilisez uniquement une technologie reposant sur des normes
Sur un marché émergent tel que celui de la signature électronique, les vendeurs ou les prestataires vont et viennent. Certains d’entre eux prospèrent, d’autres, après un certain temps, décident de modifier leurs services ou de cesser complètement leurs activités. Alors, que faites-vous dans l’une de ces situations ? Comment pouvez-vous être sûr que votre signature électronique reste valide et accessible ?
Les normes technologiques sont extrêmement importantes, car elles créent un environnement stable qui favorise la neutralité technologique. En utilisant une technologie basée et développée sur des normes publiées et communément reconnues, vous pourrez accéder à vos documents signés par voie électronique et les vérifier à tout moment ultérieurement en utilisant n’importe quel logiciel disponible, même dans le plus malheureux des scénarios.
Optez dès le début pour une technologie de signature électronique basée sur des normes. Vous pourrez changer facilement de prestataire si un jour vous le décidez. Cela permettra également une migration en douceur des systèmes, ce qui se traduira par des coûts de transition moindres et moins de problèmes imprévus à gérer.
De plus, nous devons garder à l’esprit que les normes reposent généralement sur des exigences réglementaires ou sont même imposées par les autorités. Ainsi, les documents signés électroniquement conformément aux normes applicables dans le secteur sont également conformes à la réglementation en vigueur, du moins à un degré plus élevé que les moyens de signature électronique non normalisés. En outre, les signatures électroniques créées conformément aux normes internationales sont dotées d’un ensemble de fonctionnalités offrant une protection accrue contre les menaces sécuritaires et en cas de litige.
Dans le domaine de la création de signature électronique ou dans les domaines qui y sont étroitement liés, un large éventail de normes a déjà été publié. Vous trouverez ci-dessous une liste non exhaustive des normes et des certifications les plus courantes à demander à votre prestataire de services de confiance, ce qui nous amène également au deuxième point.
- Normes de signature électronique ETSI
- Normes ISO (ISO 90012008, ISO 270012013, ISO 200002011, ISO 145332017…)
- Les normes du Comité européen de normalisation (CEN) (TS 419 261: 2015…)
- Les normes IETF (Internet Engineering Task Force) (IETF RFC 5280, ETF RFC 6960…)
- Exigences de base du forum des autorités de certification (Certification Authority Browser Forum ou CA/Browser Forum)
2. Collaborez uniquement avec des prestataires dignes de confiance et certifiés
Si les normes ci-dessus font principalement référence à la technologie requise pour produire des signatures électroniques, elles vont également de pair avec les certifications ou la reconnaissance formelle des prestataires eux-mêmes.
Tout homme d’affaires connaît la valeur du devoir de diligence, sait qu’il faut demander des références et vérifier le portefeuille de futurs prestataires, c’est pourquoi nous n’insisterons pas sur ce point. Nous voudrions souligner le fait que les prestataires de services de confiance certifiés, contrairement à tous les autres prestataires, doivent répondre à des ensembles spécifiques d’exigences légales strictes afin d’obtenir et de conserver leurs statuts.
Ils font régulièrement l’objet d’audits et sont contrôlés par des organismes de réglementation indépendants qui évaluent et attestent de la qualité de leurs services. Par conséquent, ils présentent un niveau plus élevé de fiabilité, de loyauté et d’engagement envers l’excellence prônée dans le secteur.
Nous avons détaillé ici le rôle des prestataires de services de confiance qualifiés dans la création de la signature électronique eIDAS avec le plus haut niveau de garantie et la manière dont nous pouvons les reconnaître sur le marché. Il est désormais temps d’être plus concret.
Nous vous montrerons comment vous assurer que la signature électronique que vous avez créée ou vue est fournie par des prestataires de services de confiance agréés en Europe.
Pour cela, ouvrez au moyen d’Adobe Reader ou d’Acrobat tout document pdf que vous souhaitez signer. Allez dans Édition–>Préférences. Dans la nouvelle fenêtre ouverte, choisissez à gauche la sous-section Gestionnaire des approbations. Ensuite, assurez-vous que, dans les sections Automatic Adobe Approved Trust List (AATL) updates [Mises à jour automatiques de la Liste de confiance approuvée par Adobe (AATL)] et Automatic European Union Trusted List (EUTL) updates [Mises à jour automatiques de la liste de confiance de l’Union européenne (EUTL)], la case « Load trusted certificates from an Adobe AATL/EUTL server » (Charger les certificats autorisés à partir d’un serveur Adobe AATL/EUTL) est cochée, comme indiqué ci-dessous.
Pourquoi est-ce important ?
Afin de garantir la sécurité, l’authenticité et l’intégrité d’une signature électronique, Adobe a créé l’Adobe Authorized Trust List (AATL). Il s’agit d’un ensemble de certificats autorisés émis par des autorités de certification, des entreprises ou des gouvernements du monde entier. Pour être publiées sur la liste, ces entités doivent soumettre une demande vérifiée et approuvée par Adobe.
La liste est régulièrement mise à jour et le logiciel est programmé pour la télécharger périodiquement. Si la signature électronique créée est liée à un certificat numérique figurant sur l’AATL, Adobe vous confirme que la signature est valide et peut être autorisée.
De plus, Adobe a également créé l’Adobe European Union Trust List (EUTL). Cette liste comprend les prestataires de services de confiance qualifiés européens (PSCQ) publiés sur la liste de confiance de l’UE. Il s’agit bien entendu d’une liste plus restreinte, car elle se limite aux QTSP et à leurs services de confiance qualifiés reconnus par les États membres de l’UE comme étant conformes au règlement eIDAS.
Il est très probable que certains (voire la totalité) des QTSP figurent également sur la liste AATL, mais pour un niveau de garantie accru, veuillez sélectionner également la liste EUTL. Vous obtiendrez la garantie que la signature électronique que vous avez produite ou que vous avez reçue est valide et appartient à un prestataire reconnu par des organes indépendants de l’UE.
Travailler avec des prestataires de services de confiance certifiés qui proposent des services basés sur des normes technologiques communément reconnues est une condition sine qua non. Ils vous permettent de franchir le pas de l’innovation sans compromettre la sécurité et le développement à long terme de votre entreprise.
Dans le prochain article, nous nous concentrerons sur quatre meilleures pratiques supplémentaires en matière d’utilisation de la technologie de signature électronique.