La validité à long terme des signatures électroniques a fait couler beaucoup d’encre. Un document signé en 2021 sera-t-il toujours valable dans 10 ou dans 50 ans ?
Nous abordons ci-après l’aspect juridique de la signature électronique, le temps de validité de cette dernière et le rôle crucial de la technologie en la matière.
Combien de temps une signature électronique doit-elle être valable ?
L’une des toutes premières questions à se poser est de savoir combien de temps une signature électronique doit être valable. Après tout, il est inutile de préserver sa validité si cette dernière n’est nécessaire que pendant quelques années.
En gardant cela à l’esprit, il est important de se pencher sur les types de documents signés, les délais de conservation étant amenés à varier en conséquence. Il convient également d’être conscient des lois (inter)nationales, régionales et locales en matière de conservation des documents. Donc, s’il s’agit d’un contrat de travail, d’un contrat de service, de documents bancaires ou médicaux, n’omettez pas de vous renseigner sur la règlementation en vigueur. De plus, prenez en compte toute politique spécifique au sein de votre organisation en matière de litige, de prescription, de taxes et de rapport financier.
Qu’est-ce qui rend la signature électronique juridiquement contraignante ?
La signature électronique est reconnue comme juridiquement contraignante dans la majeure partie du monde, bien que divers pays fonctionnent selon leurs propres règlementations. Par exemple, aux États-Unis, les signatures électroniques sont régies par le ESIGN Act et le UETA. Au Royaume-Uni, elles sont soumises au Electronic Communications Act 2000 et au Electronic Signatures Regulations 2002. En Europe, c’est le règlement eIDAS qui régit le statut juridique des signatures électroniques.
Cependant, alors que la signature électronique est considérée comme juridiquement contraignante, sa validité est limitée par le certificat de signature électronique qui l‘accompagne. Son appellation peut varier (certificat de signature ou certificat numérique, par exemple), mais il est en tout cas délivré par une autorité de certification (AC), laquelle joue le rôle de gardienne, garantissant authenticité et intégrité. En d’autres termes, un certificat émis par une AC de confiance implique que la personne qui signe électroniquement le document concerné est bien la personne qu’elle prétend être.
Que se passe-t-il si le certificat arrive à expiration ou si l’Authorité de certification (AC) cesse d’exister ?
Les certificats numériques émis par une authorité de certification (AC) ne sont valables qu’un certain temps, généralement entre un et trois ans. Que se passe-t-il s’il s’avère que, de votre côté, un document doit rester valable pendant cinq ans, mais que le certificat expire avant cela ? Dans la même optique, que se passe-t-il si l’authorité de certification qui a émis le certificat devient tout à coup inactive ?
Pour que votre signature électronique reste valable indépendamment de l’expiration du certificat qui l’accompagne et d’une éventuelle décision de l’AC de cesser ses activités, elle devra comprendre deux composants : un horodatage officiel émis par une autorité d’horodatage et une vérification de la validité du certificat numérique au moment de la signature. Pourquoi ces composants sont-ils cruciaux ? On vous l’explique.
Horodater votre signature électronique
Les signatures électroniques à long terme comprennent un horodatage apportant la preuve du moment de la signature. Si l’horodatage démontre que le document a été signé alors que le certificat numérique émis par l’AC était toujours valable, la signature électronique conserve sa validité. Si l’AC a cessé ses activités, la signature reste valable pour autant que le document ait été signé lorsque l’AC opérait toujours.
L’horodatage en lui-même est délivré par un tiers indépendant de confiance appelé autorité d’horodatage. Cela permet de conserver l’intégrité de la signature électronique et d’éviter manipulation et antidatage du document.
Vérification de la validité au moment de la signature
En plus de l’horodatage, une signature électronique à long terme comprend des données qui permettent de vérifier la validité du certificat numérique au moment de la signature. Cela se fait habituellement via une liste de révocation de certificats (certificate revocation list ou CRL, en anglais) ou d’un protocole de vérification de certificat en ligne (online certificate status protocol ou OCSP, en anglais). Lorsque c’est possible, l’on préfère la méthode de l’OCSP pour effectuer la vérification, principalement parce que cette méthode demande moins de données et limite l’impact général sur le stockage.
Fondamentalement, si le certificat était valable au moment de la signature (également vérifié via l’horodatage en lui-même), la signature conservera sa validité.
Validité de la signature électronique à long terme : quel type de document préférer ?
Les formats qui renferment des données, comme les PDF/A. Les PDF/A renferment non seulement des données, mais ils fournissent aussi un format standardisé et sont ISO 19005. En outre, ils fonctionnent selon un format ouvert (ODF) téléchargeable et accessible sur de nombreux logiciels.
En bref, les documents PDF/A sont autonomes et auto-documentés, et proposent une indépendance logicielle et matérielle. Ils se prêtent donc parfaitement à une accessibilité à long terme.
Que se passe-t-il si le logiciel est piraté ?
L’avantage d’un logiciel de signature électronique réside dans l’utilisation d’algorithmes sécurisés pour crypter les données, ce qui, en théorie, empêche le piratage dans un premier temps. Cependant, les signatures électroniques sont basées sur la technologie, ce qui signifie que le logiciel et l’algorithme peuvent, à un moment donné, succomber à l’obsolescence technologique.
Pour atténuer ce risque, de nouvelles normes de cryptage doivent être utilisées afin de garder une longueur d’avance. Un exemple : un horodatage périodique et un algorithme mis à jour, avant que ces derniers ne deviennent technologiquement faibles et vulnérables (piratage).
La signature électronique : à jamais valable ?
Au bout du compte, la validité de la signature électronique dépendra de sa réalisation. Pour être valable indéfiniment, elle devra avoir été horodatée et présenter un certificat numérique de vérification actif. Elle devra également être protégée par des horodatages périodiques qui préservent la complexité algorithmique et préviennent l’obsolescence.
Chez Connective, permettre la sécurité à long terme fait partie intégrante de nos objectifs. Notre solution de signatures électroniques vous permettra de vous garantir sécurité, protection et validité pour vos documents les plus importants.
