En France, c’est le règlement eIDas n° 910/2014 du 23 juillet 2014 qui fixe les règles et les critères à respecter pour qu’une signature électronique ait une reconnaissance légale.
Trois types de signature numérique sont prévus par le règlement eIDas. Ils dépendent du niveau de sécurité des différentes étapes de validation de l’identité du signataire :
La signature électronique simple :
Elle convient aux actes courants ou comportant de faibles conséquences juridiques ou financières pour le signataire.
La signature électronique avancée :
Plus sécuritaire, elle implique notamment l’usage d’un certificat numérique associé au signataire, un système poussé de vérification de son identité, et permet de prouver que le document n’a pas été modifié depuis la signature. Son utilisation est conseillée pour la signature de documents juridiques ou pour des transactions financières conséquentes.
La signature électronique qualifiée :
Ses critères de sécurité sont comparables à ceux de la signature numérique avancée, mais sa procédure ne peut être entièrement réalisée à distance : une autorité de certification approuvée par le gouvernement qui doit vérifier et valider, en amont et en face à face, l’identité du signataire.
Une clé cryptographique (« token ») lui est alors remise (clé USB, badge, carte à puce, etc.) et c’est elle qui lui permettra de signer les documents. L’article 25-2 du règlement eIDas précise que « l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite ».
N.B. : L’entrée en vigueur du Référentiel général sur la protection des données (RGPD) en 2018 impose désormais à toute entreprise dont l’activité implique la collecte, le traitement et le stockage de données personnelles de pouvoir prouver à tout moment la traçabilité des consentements et le traitement des données personnelles.