Le règlement eIDAS en deux paragraphes
Le règlement européen eIDAS (Electronic IDentification, Authentication and trust Services, UE 910/2014, en vigueur depuis 2016) établit le cadre juridique de la signature électronique. Il définit trois niveaux, du plus simple au plus contraignant :
- Signature électronique simple (SES) : une case cochée, un nom tapé, un clic « j'accepte ». Valeur juridique réelle mais facilement contestable.
- Signature électronique avancée (SEA) : liée de manière unique au signataire, identifie le signataire, créée par des moyens sous son contrôle exclusif, détecte toute modification ultérieure. Plus difficile à contester.
- Signature électronique qualifiée (SEQ) : SEA + créée par un dispositif sécurisé certifié + basée sur un certificat qualifié émis par un prestataire de services de confiance qualifié (PSCo). Équivalent juridique de la signature manuscrite, présomption d'intégrité.
Quel niveau pour quel usage en PME ?
- Devis, conditions générales, accusés de réception : SES suffit. Une case cochée + horodatage est valable juridiquement.
- Contrats commerciaux, NDA, lettres de mission, conventions de stage : SEA recommandée. Identification du signataire par OTP SMS / email.
- Actes juridiques importants, baux commerciaux, cession de fonds : SEQ vivement conseillée. Sa valeur juridique est équivalente au manuscrit.
- Actes notariés électroniques (AAE) : SEQ obligatoire (cf. notre article Notaires : 5 obligations cyber).
- Marchés publics dématérialisés : SEQ obligatoire pour le soumissionnaire.
Les solutions du marché
Yousign (français)
Acteur français leader, certifié PSCo qualifié, propose les 3 niveaux. Tarifs accessibles aux TPE/PME (à partir de ~10 €/utilisateur/mois). Datacenters en France.
DocuSign (américain)
Leader mondial. Conforme eIDAS via filiale européenne. Adoption la plus large internationalement, intégrations nombreuses. À considérer si vous travaillez à l'international ou si vos clients vous l'imposent.
ChamberSign / Universign / Lex Persona
Acteurs français, prestataires PSCo qualifiés ANSSI. Solutions souvent intégrées dans les outils métier (notariat, expertise comptable, juridique).
Adobe Sign
Intégré à l'écosystème Adobe Acrobat. Pratique si vous êtes déjà utilisateur, conformité eIDAS via Adobe Sign EU.
RGPD et signature électronique : 3 points
- Données personnelles collectées par la signature : identité, IP, horodatage, parfois SMS / numéro de téléphone. Ces données sont des données personnelles soumises au RGPD.
- Hébergement : privilégier un prestataire avec hébergement UE (à valider explicitement). Si le prestataire est américain, vérifier la base légale (Standard Contractual Clauses ou décision d'adéquation Data Privacy Framework).
- Durée de conservation : les preuves de signature (certificat, horodatage, journal d'audit) sont à conserver pendant la durée de validité juridique du document signé. Pour un contrat commercial, typiquement 5-10 ans.
Les pièges courants
- Confondre signature scannée et signature électronique. Une image PNG d'une signature collée dans un PDF n'est PAS une signature électronique au sens eIDAS. C'est juste un visuel. Aucune valeur en cas de contestation.
- Choisir le mauvais niveau. SEQ pour un simple bon de commande, c'est de la sur-ingénierie. SES pour un acte authentique, c'est juridiquement insuffisant.
- Ne pas conserver les preuves. Le PDF signé seul ne suffit pas. Il faut conserver le certificat de signature et le journal d'audit fourni par le prestataire.
- Solution sans intégration. Choisir un outil qui n'est pas intégré à votre logiciel métier multiplie les ressaisies. Privilégier l'intégration native (ex : Yousign + Sage, DocuSign + Salesforce).
À retenir
Ce que Scryptoura fait pour vous
Notre offre Conformité & Réglementation couvre l'accompagnement au choix de votre solution de signature électronique selon votre profil et vos volumes. Le Diagnostic Découverte évalue les pratiques actuelles et identifie les écarts.