La différence entre les signatures électroniques et les signatures numériques

OneSpan Team,

Dans un contexte où la société s’appuie de plus en plus sur des processus numériques, les méthodes traditionnelles selon lesquelles nous menons des affaires sont devenues plus automatisées, et plusieurs secteurs d’activités cherchent à rejoindre une clientèle de plus en plus à l’aise avec les technologies. Alors que les dix dernières années ont été marquées par le lancement de toute une panoplie d’appareils de communication électroniques, il a aussi été démontré que les entreprises doivent remplacer leurs processus papier par des modèles plus efficaces, et les signatures électroniques  fondées sur la technologie de signature numérique ouvrent la voie à cette transformation.

Bien que les signatures électroniques soient devenues monnaie courante pendant les processus numériques, la façon dont la technologie de signature numérique s’inscrit dans ces processus est toujours incomprise. Les signatures électroniques ont été reconnues comme concept juridique par la loi fédérale des États-Unis depuis l’an 2000, mais pour monsieur et madame Tout-le-Monde, une signature numérique, c’est la même chose qu’une signature électronique. Cependant, les concepts de signature électronique et de signature numérique sont clairement distincts, comme en témoignent leurs fonctions de base.

Signature électronique

Une signature électronique est, comme son équivalent papier, un concept juridique. Selon la loi américaine intitulée U.S Electronic Signatures in Global and National Commerce Act, une signature électronique est un «on, symbole ou processus électroniques liés à un contrat ou un autre document et adoptés par une personne qui a l’intention de signer ce document. »

Signature numérique

La signature numérique, en revanche, est la technologie de cryptage/décryptage qui sert de fondement à une solution de signature électronique. Une signature numérique n’est pas, en elle-même, un type de signature électronique. Le cryptage qu’offre la signature numérique a plutôt pour but de sécuriser les données associées à un document signé et d’aider à vérifier l’authenticité de ce document. Utilisée seule, une signature numérique ne peut pas consigner l’intention qu’a une personne de signer le document ou d’être juridiquement liée par une entente ou un contrat.

Les solutions qui ont pour seule fonctionnalité de signer des documents de façon numérique n’ont souvent aucun des ensembles de fonctionnalités que l’on trouve couramment dans les solutions de signature électronique de premier ordre, comme une interface utilisateur (IU) prête à l’emploi et les fonctionnalités de gestion des transactions et de personnalisation avancée des flux de travail utilisés dans les transactions plus complexes qui touchent le client.

Au final, lorsque vous cherchez une solution qui vous permettra de gérer vos processus de signature, il est important que vous vous assuriez que la solution s’appuie sur une technologie de signature numérique, qui garantira l’intégrité du document et des signatures qui y sont liées. Sans les signatures numériques, vos transactions fondées sur des documents pourraient ne pas avoir force exécutoire, ce qui pourrait entraîner des risques pour vous et votre organisation en cas de problème de conformité ou de poursuite judiciaire.

Qu’est-ce qu’un certificat numérique?

Les signatures numériques utilisent une infrastructure à clé publique (ICP) et font appel à des clés publiques et privées pour garantir que les transactions numériques sous-jacentes sont sécurisées. Par exemple, lorsque vous signez un document de façon électronique, vous devez avoir l’assurance que tous les participants de la transaction de signature utilisent des clés valables. 

C’est là qu’entre en jeu le rôle du certificat numérique. Un certificat numérique est un document électronique émis à un signataire par une autorité de certification (AC) ou un prestataire de services de confiance (PSC); ce certificat lie une clé publique à l’identité du signataire. La définition légale d’une signature électronique comprend toujours une formulation liée à l’identité du signataire, ce qui explique que les meilleures solutions de signature électronique utilisent des certificats numériques dans le cadre du processus de signature électronique afin d’authentifier le signataire

Le certificat a pour but de confirmer et certifier qu’une signature électronique donnée correspond au signataire, puisque ce certificat contient des données relatives à l’identité du signataire (p. ex. : nom, identifiant, clés de signature, émetteur du certificat, etc.) Souvent, les certificats sont conservés sur des dispositifs de création de signatures comme des cartes à puce et des jetons sécurisés, en plus d’être hébergés de manière centrale dans un module de sécurité matériel (MSM) sur le nuage, et ils sont obligatoires pour créer une signature numérique. Pendant le processus de signature, le certificat du signataire est lié de façon cryptographie au document à l’aide de la clé privée du signataire. 

Types de certificats numériques

Selon des facteurs comme la région géographique, le secteur d’activités et le profil de risque de la transaction, les organisations pourraient avoir diverses exigences en ce qui a trait aux certificats numériques et à leur gestion. Il existe plusieurs façons d’effectuer la signature, et ces façons dépendent largement de l’endroit où les certificats sont hébergés : 

  • Certificat de signature serveur : Le signataire est authentifié de façon sécurisée et le document est signé numériquement au moyen du certificat de confiance dans le nuage (ou sur place pour les applications déployées à l’interne). 
  • Certificat de signature local : L’identité du signataire est associée à un certificat personnel (hébergé localement sur une carte à puce, un jeton USB ou un ordinateur protégés par un NIP) qui signe le document de façon numérique. 

Selon Forrester, « les États-Unis optent principalement pour une authentification simple des signatures électroniques » et ont adopté des signatures électroniques avancées (SÉA) qui utilisent plusieurs formes d’authentification et un certificat de signature serveur commun hébergé sur le service infonuagique du fournisseur. En revanche, les entreprises de l’UE « accordent une priorité accrue à l’authentification » et peuvent exiger une SÉA et des méthodes robustes d’authentification, ou encore une signature électronique qualifiée (SÉQ), qui s’appuie sur des certificats numériques de tiers. Par exemple, en Belgique, tous les citoyens ont une carte d’identité électronique (eID) qui comprend un certificat numérique unique; cette carte est utilisée pour des processus comme la signature de contrats et d’ententes. Cette méthode crée une SÉQ, conformément aux exigences du règlement eIDAS de l’UE. 

L’importance des signatures numériques 

L’envoi de documents à des fins de signature électronique est un processus simple et rapide. Une fois que toutes les signatures électroniques ont été saisies, assurez-vous que votre solution de signature électronique « paquette » et sécurise le document final avec sa signature électronique au moyen d’une signature numérique. La solution de signature électronique doit appliquer la signature numérique à deux niveaux : 

  1. au niveau de la signature pour éviter que la signature elle-même ne soit modifiée 
  2. au niveau du document pour éviter que le contenu du document ne soit modifié 

Cette double couche de sécurité garantit l’intégrité du document. Grâce à des contrôles d’inviolabilité comme celui-ci, toutes les parties qui prennent part à une transaction ont la certitude que le document signé est intègre. Comme l’efficacité des signatures électroniques dépend directement de la sécurité qui les protège, il est important que toute tentative de trafiquage d’une partie du document, par exemple l’ajout ou la suppression de mots ou le remplacement de pages, soit visible. 

Protégez l’entente numérique à trois moments clés  

Les signatures numériques font partie des composantes les plus importantes du programme de signature électronique, et elles peuvent favoriser l’efficacité en matière de sécurité, de validité juridique et de gestion des dossiers lors de l’utilisation d’une méthode de signature électronique. En conséquence, la création d’une signature électronique ne devrait pas survenir en contexte officiel sans l’aide d’une signature numérique. Voici trois des grandes raisons pour lesquelles les signatures numériques sont si importantes : 

1. Protection de la signature au moment de la signature

Une signature numérique est un fichier crypté qui accompagne en tout temps le document électronique qui doit être signé et qui revient avec le document une fois la transaction terminée. Le fichier contient et consigne des métadonnées sur l’endroit où le document électronique a été envoyé, avec quels comptes il a été ouvert, les adresses IP des appareils qui l’ont signé, le moment exact de l’interaction, et d’autres renseignements clés. Toutes ces données protègent la validité de la signature.

Dans le cas des signatures manuscrites, l’identification de la calligraphie est le point d’identification de base. La signature manuscrite permet également à toutes les parties qui signent un document commun de voir la procédure. Pour les documents particulièrement importants, on peut demander la présence d’un notaire et exiger que toutes les parties impliquées fournissent une pièce d’identité. Ces particularités protègent la signature manuscrite. De la même manière, une signature numérique enregistre des renseignements comme l’appareil sur lequel un document électronique est signé, les identifiants du signataire et le chemin d’accès que les données ont empruntés entre les destinations. Ces renseignements fournissent plusieurs couches de vérification de la signature et protègent ainsi le processus de signature dans son ensemble. 

2. Protection de la signature une fois stockée

Un dossier électronique doit être conservé pendant une longue période, dont la durée varie en fonction des lois propres au secteur d’activité. Il est souvent essentiel d’être en mesure de vérifier que la signature n’a pas été modifiée au fil du temps. Une signature électronique qui est liée à la signature électronique est axée sur une technologie sous-jacente qui montre si le formulaire a été trafiqué. Il s’agit essentiellement d’un filigrane numérique associé à la signature électronique qui vérifie que la transaction a été terminée et qui scelle le fichier. Tout ce qui brise ce sceau est enregistré dans la signature numérique, ce qui rend la violation du fichier électronique extrêmement difficile. 

À cet égard, les signatures électroniques ne sont pas toutes les mêmes, et bon nombre d’entre elles n’offrent aucune fonctionnalité de validation à long terme (VLT). Assurez-vous que la solution que vous choisissez répond aux exigences de signature numérique suivantes :

  • Une entrée distincte de signature numérique devrait être intégrée au document PDF signé de façon électronique pour chacun des signataires de la transaction. 
  • Chaque entrée doit fournir des détails comme le certificat numérique du signataire (p. ex. : en indiquant si le certificat de signature est local ou du côté serveur), un horodatage, et des renseignements sur le signataire (p. ex. : courriel et adresse IP). 
  • Les documents signés devraient pouvoir être vérifiés hors ligne (de façon indépendante de la solution de signature électronique) au moyen d’un processus de vérification à un clic qui confirme l’intégrité du document signé. Vérifiez que le PDF signé de façon électronique porte la mention « VLT de la signature activée » (ou un message de la même teneur) dans le volet de signature. 

3. Protection de la signature sur les appareils mobiles

Les téléphones intelligents et les tablettes sont des outils technologiques largement répandus, et en ce qui a trait à leur commodité, ils sont parfaits pour signer un document de façon électronique. Toutefois, ils pourraient ne pas disposer des fonctionnalités de sécurité et de protection des données nécessaires pour sécuriser la transaction. La signature numérique résout ce problème en recueillant des métadonnées critiques en un format personnalisable. Si vous avez besoin d’une signature numérique pour obtenir plus de données d’authentification de l’utilisation afin de vérifier l’identité d’une personne qui utilise un téléphone intelligent, la signature numérique peut être configurée de manière à ce qu’elle accomplisse cette tâche. Le résultat : un environnement de fonctionnement dans lequel vous pouvez demander aux utilisateurs de signer en toute sécurité des formulaires électroniques sur un appareil mobile, sans que cette signature crée de risque.

Conformité aux exigences réglementaires

Les organisations de secteurs comme les gouvernements, les soins de santé et les services financiers ont toujours des préoccupations de nature réglementaire à prendre en compte, ce qui les force à adapter leurs activités en fonction des directives juridiques qui touchent le secteur. Les organismes gouvernementaux, les hôpitaux et les banques se perfectionnent constamment et passent à des processus électroniques à une vitesse vertigineuse. Devoir mettre en pause cet élan et cette innovation pour imprimer des documents, les poster, les faire signer, s’assurer qu’ils sont conformes et les entreposer peut avoir des répercussions défavorables immenses sur ces organisations. Bon nombre d’entre elles souhaitent délaisser ces anciens processus de gestion de documents, mais tout effort en ce sens doit respecter des exigences réglementaires. 

Les projets de réglementation deviennent délicats, étant donné que la plupart des règlements n’indiquent pas comment l’organisation doit se conformer; ils précisent seulement le résultat qu’elle doit obtenir. Par conséquent, les organisations des secteurs aux prises avec des exigences rigoureuses doivent trouver des technologies qui leur permettent d’atteindre les résultats nécessaires. En ce qui a trait à la protection des données en transit, le cryptage est un thème récurrent. Les autorisations efficaces sont également essentielles. Les signatures numériques offrent ces fonctionnalités et servent de catalyseurs qui font des logiciels de signature électronique une solution idéale qui répond parfaitement aux exigences de nombreux cadres réglementaires. 

e-signature-250px_241

Signature électronique OneSpan Sign

Automatisez vos flux de travail grâce à une signature électronique qui améliore l’expérience client, renforce la conformité et élimine les coûts liés aux processus papier.

En savoir plus

Mettre ensemble toutes les pièces du casse-tête : consigner et sécuriser les preuves grâce aux signatures numériques

Une fois combinées, les signatures électroniques et les signatures numériques forment une solution complète pour documenter les ententes et garantir que le fichier source qui conserve le dossier est sécuritaire, sécurisé et vérifiable. Le résultat de cette combinaison est une façon pour les utilisateurs de signer des documents de la manière la plus simple et la plus pratique possible, sans nuire à la qualité juridique de la signature. 

Afin de vous assurer que vos contrats numériques ont force exécutoire, veillez à adopter une solution de signature électronique qui conserve une piste de vérification complète et utilise une signature numérique pour protéger vos contrats et les rendre inviolables.

La collecte de preuves électroniques robustes est possible en enregistrant le processus complet de signature électronique que le signataire accomplit. Les éléments de ce processus comprennent l’apparence et l’ordre exacts de tous les écrans Web, documents et avis juridiques qui ont été présentés, ainsi que le temps que chaque personne a consacré à la consultation de chacune des pages et tous les gestes qu’elle a posés pendant le processus de révision et de signature, notamment le fait de cliquer sur des boutons pour accepter, signer, apposer ses initiales et confirmer.

Plus une organisation recueille de preuves sur le processus utilisé, meilleures sont les chances que le document signé ait force exécutoire devant un tribunal. Et il s’agit là d’un aspect auquel la plupart des organisations qui envisagent d’adopter des signatures électroniques peuvent se rallier. Même si de nombreuses solutions de signature électronique sur le marché répondent aux exigences définies dans la loi ESIGN, les organisations qui cherchent à minimiser les risques liés aux dossiers ayant force exécutoire devraient placer la barre plus haut en choisissant une solution de signature électronique qui s’appuie sur une technologie de signature numérique. 

Nous avons également un résumé graphique pratique qui décrit les différences entre une signature électronique et une signature numérique et la façon dont elles fonctionnent ensemble. 

Télécharger >

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.