Guide sur la légalité des signatures électroniques

Perspective de OneSpan

Les renseignements fournis dans cette section sont préparés par OneSpan. Ils résument les pratiques exemplaires permettant de se conformer aux exigences juridiques lors de la mise en œuvre des signatures électroniques et expliquent comment OneSpan Sign permet de répondre aux exigences liées aux signatures électroniques dans les pays qui ont adopté des lois à cet effet.

OneSpan consulte activement plusieurs instances dirigeantes dans le but de faire progresser l’adoption des signatures électroniques dans le monde. OneSpan participe également à des activités de sensibilisation, notamment des ateliers et des conférences, afin d’aider les organisations qui s’adaptent aux lois et règlements internationaux en matière de signatures électroniques.

Conformité des signatures électroniques

La capacité de conclure en ligne des accords exécutoires présente des avantages indéniables : un service à la clientèle de meilleure qualité, une position plus robuste en termes de loi et de conformité, une productivité accrue du personnel, et une efficacité opérationnelle plus importante. Même s’il a été démontré que les signatures électroniques sont supérieures aux signatures à l’encre à bien des points de vue, il existe toujours des questions sur la conformité des signatures électroniques.

On reconnaît habituellement trois formes de signatures électroniques dans le monde : les signatures simples, les signatures avancées et les signatures qualifiées.

 

Signature électronique simple (SÉS)

Signature électronique avancée (SÉA)

Signature électronique qualifiée (SÉQ)

Les SÉS peuvent être toute forme de message électronique associé à une personne physique (par exemple, des signatures écrites à l’ordinateur, des blocs de signature courriel, etc.)

Une SÉA est une signature électronique associée de manière unique à un individu et liée à des données, de sorte que tout changement subséquent dans ces données est facilement identifiable.

Une SÉQ est générée par un appareil qualifié de création de signatures électroniques (appuyé par un certificat émis par un fournisseur de services de confiance), et elle a la même validité qu’une signature faite à la main.

Les signatures électroniques simples présentent le moins d’exigences de preuve d’identité du signataire, alors que les signatures électroniques qualifiées en présentent le plus, et sont l’équivalent légal d’une signature faite à la main. Des types différents de cas d’utilisation et de transactions nécessitent des types de signatures électroniques différentes, comme le stipulent les règlements locaux. 

OneSpan Sign est conçu pour répondre aux exigences associées aux trois formes de signatures électroniques et convient à une vaste gamme de cas d’utilisation en entreprise, qu’il s’agisse de processus internes simples de signature C3E ou de transactions plus complexes mettant en jeu la clientèle.

OneSpan Sign:

  • Consigne un acte ou un processus et conserve des renseignements sous forme de bloc de données de signature électronique et une piste de vérification dans le fichier du document signé;
  • Utilise une signature numérique pour associer de façon sécurisée le bloc/ses données de signature électronique au document signé électroniquement. Cette association ne peut être rompue ou copiée vers un autre document;
  • Fournit plusieurs approches d’authentification qui permettent d’identifier le signataire et de lui attribuer la signature électronique; 
  • Enregistre une signature en demandant au signataire de cliquer pour signer ou de dessiner sa signature sur un appareil. Ces deux méthodes sont activées lorsque le signataire clique sur un bouton situé dans le document à l’endroit où la signature doit normalement apparaître. Ce procédé garantit que l’intention de signer du signataire est établie comme ce serait le cas s’il signait à l’encre.

Fournisseurs de services de confiance (FSC) 

OneSpan Sign offre un choix de services tiers et de services d’origine de gestion de l’identité grâce à des intégrations avec des fournisseurs de services de confiance (FSC) de partout dans le monde. Les FSC se spécialisent en services d’identification et de confiance électroniques qui permettent d’offrir à la fois des signatures électroniques avancées et qualifiées par l’entremise de OneSpan Sign. Comme nos FSC partenaires sont inscrits à la liste de l’UE (EU Trusted List), OneSpan Sign permet de reconnaître les signatures électroniques de façon transfrontalière dans tous les États membres de l’UE.

Nos FSC partenaires comprennent :

Asseco Firmaprofesional aruba it
TrustPro Itsme Logo Swisscom logo

 

Des certificats numériques matériels et serveurs

Un certificat électronique est un document électronique émis par un fournisseur de services de confiance (FSC) ou une autorité de certification (AC), Il contient la clé publique d’une signature numérique et précise l’identité associée à la clé, par exemple le nom d’un individu ou d’une organisation. Le certificat est utilisé pour confirmer que la clé publique appartient à cet individu ou organisation.

OneSpan Sign est compatible avec un vaste éventail de certificats numériques de côté matériel et de côté serveur qui respectent les normes internationales. Cette compatibilité comprend notamment une interopérabilité instantanée avec X.509 PKI (technologie de certificats et de signatures numériques) émise par les FSC et les AC, et des certificats numériques stockés sur les cartes d’accès commun (CAC) des États-Unis et les cartes de vérification d’identité personnelle (VIP). Il en résulte un PDF sécurisé et inviolable signé électroniquement, auquel une piste de vérification détaillée est directement intégrée.

Certificats numériques matériels

E-Signing with local signing certificates can be completed by following these easy steps:

  • Insérez votre carte à puce matérielle dans votre ordinateur portable, votre appareil mobile ou votre lecteur de carte à puce.
  • Ouvrez le document que vous devez signer électroniquement.
  • Lorsque le document est affiché et prêt à être signé, cliquez sur le bloc de signature, puis confirmez votre signature.
  • Choisissez le certificat approprié dans la liste. Si l’ordinateur vous le demande, entrez le NIP associé au certificat choisi. Une fois que le NIP a été confirmé, OneSpan Sign crée un condensé numérique de vos renseignements au moment de la signature (p. ex. : nom, date, heure, adresse IP et certificat utilisé pour signer le document), ainsi qu’un condensé numérique unique du document proprement dit. 

Visionnez cette vidéo pour obtenir plus d’information sur la façon de signer électroniquement des documents à l’aide d’un certificat de signature matériel.

Certificats numériques serveur

Pour signer un document électroniquement à l’aide d’un certificat émis par nos partenaires FSC et stocké sur le nuage, il suffit de suivre ces étapes simples :

  • Créez une transaction de signature électronique dans OneSpan Sign et sélectionnez « TSP » (fournisseur de services de confiance) comme méthode de signature.
  • Le signataire peut accéder au document par l’entremise d’une expérience Web ou mobile intégrée ou à l’aide d’un lien envoyé dans un courriel.
  • Lorsque le signataire a été identifié avec succès, le système affiche un consentement de signature et OneSpan Sign envoie un mot de passe à usage unique (MPUI) au signataire par messagerie texte.
  • Une fois que le document a été signé, OneSpan Sign crée un condensé numérique des renseignements du signataire au moment de la signature (p. ex. : nom, date, heure, adresse IP et certificat utilisé pour signer le document), ainsi qu’un condensé numérique unique du document proprement dit. 

Voici un exemple de flux de travail pour un signataire connu (p. ex. : client existant auxquels votre organisation a déjà remis des identifiants) et pour un signataire inconnu (p. ex. : nouveau demandeur dont l’identité n’a pas été vérifiée et qui n’a pas encore d’identifiants) dans OneSpan Sign :

Sample workflow

Horodatage qualifié

Les documents signés électroniquement comprennent des détails comme le certificat numérique du signataire (c.-à-d. un certificat de signature de côté matériel ou de côté serveur), une estampille temporelle, et les renseignements sur le signataire (p. ex. : adresse courriel et adresse IP). Alors que la plupart des solutions de signature électronique appliquent une estampille temporelle standard pour indiquer la date et l’heure associées au processus de signature, dans certains cas (p. ex. : transactions à risque et à valeur élevée), les organisations souhaiteront peut-être opter pour une « estampille temporelle qualifiée » — une estampille temporelle produite par un tiers de confiance pour chaque signature. 

OneSpan Sign permet l’horodatage en se connectant à un serveur d’horodatage qualifié — cette estampille donne force exécutoire aux données de la signature électronique afin de démontrer de façon indépendante à quel moment une transaction donnée a eu lieu. L’estampille temporelle qui en résulte renforce l’intégrité de la signature électronique.

Assurance identité

L’assurance identité est une mesure de certitude (ou un degré de confiance) selon laquelle une personne est celle qu’elle prétend être. L’assurance identité est utilisée pour répondre à la question suivante : « Comment pouvez-vous vous assurer que la personne qui signe un document électroniquement est la bonne? » Divers niveaux d’assurance identité permettent aux entreprises et aux services gouvernementaux d’effectuer des transactions en fonction de leur niveau de risque. Pour certains services, le niveau de risque est faible (p. ex. : LoA1 ou niveau d’assurance 1); pour d’autres, il est plus élevé (LoA4, ou niveau d’assurance 4). 

Le NIST a mis en place un cadre qui définit les directives permettant d’atteindre ces niveaux d’assurance identité. Veuillez consulter les directives du NIST en matière d’identité numérique pour plus de renseignements. 

L’une des composantes cruciales d’une transaction de signature électronique est la façon dont les entreprises identifient les signataires. OneSpan Sign offre plusieurs méthodes de vérification de l’identité et d’authentification qui permettent de confirmer l’identité du signataire — que ce signataire soit connu ou non de l’entreprise. Nous ne dictons pas l’option à utiliser; nous adaptons le modèle qui fonctionne le mieux pour nos clients et leurs cas d’utilisation. 

Voici quelques-unes des options offertes :

  • Les fonctionnalités de vérification de l’identité de OneSpan Sign permettent aux entreprises de vérifier automatiquement l’authenticité d’une pièce d’identité du signataire délivrée par le gouvernement. Lorsque ces données sont combinées à une comparaison faciale biométrique et à la détection de la vivacité, les entreprises peuvent confirmer avec un degré élevé d’assurance que le signataire est la personne qu’elle prétend être. Jetez un coup d’œil à notre carte de compatibilité de vérification de l’identité pour voir les types de documents d’identification que nous acceptons dans chaque pays.
  • Certifcats de signature de côté matériel et de côté serveur (voir ci-dessus)
  • Mots de passe à usage unique (SMS)
  • Clé secrète partagée (question et réponse)
  • Authentification fondée sur les connaissances (KBA)
  • Cartes d’accès commun (CAC) et cartes de vérification d’identité personnelle (VIP) délivrées par le gouvernement des États-Unis
  • Pièces jointes du signataire : le signataire doit téléverser une pièce officielle d’identité à des fins de vérification avant la signature (p. ex. : permis de conduite ou passeport)
  • Interface de protocole d’application (API) de OneSpan Sign, qui permet une intégration personnalisée de la vérification d’identité

Conservation et validité

Avec OneSpan Sign, les documents PDF signés électroniquement sont rendus accessibles à des fins de téléchargement à tous les participants de la transaction de signature électronique. Les entreprises n’ont pas à stocker le document signature électroniquement dans OneSpan Sign. Ce document peut être déplacé en toute sécurité par courriel, par stockage ou par l’entremise d’un système d’archivage (p. ex. : SharePoint, eOriginal, CDC Arkhineo, Box, Laserfiche, etc.) sans être compromis ni nécessiter de programmation supplémentaire. Les documents signés électroniquement peuvent être indexés, stockés et récupérés dans le système d’enregistrement choisi. Nos clients déterminent les politiques de conservation de leur compte, y compris l’option d’éliminer toutes les transactions de signature électronique. Cette particularité offre à nos clients le niveau de souplesse dont ils ont besoin pour gérer les documents signés électroniquement d’une manière qui respecte leurs politiques de conservation des dossiers à long terme. 

La validité des documents PDF signés électroniquement est garantie par l’application d’une signature numérique sur le document, et ce, pour chaque signature électronique. Les signatures numériques sont une technologie de cryptage qui garantit l’intégrité des données stockées dans le fichier du document, de sorte que tout changement apporté aux données du document annule la validité de la ou des signature(s) électronique(s). Les données propres à la signature électronique et à la signature numérique sont toutes stockées dans le fichier du document PDF; ainsi, l’exactitude du document peut toujours être vérifiée, de partout et en tout temps.

Afin de vérifier l’intégrité d’un document, OneSpan Sign offre la signature et la vérification du document en un seul clic. Si le processus de vérification est trop fastidieux, les participants pourraient présumer par erreur que le document et les signatures sont valables, sans vérification appropriée à cet effet. Lorsqu’ils vérifient un document qui a été signé électroniquement avec OneSpan Sign, les participants cliquent sur le bloc de signature. Cette action ouvre la piste de vérification et vérifie automatiquement l’authentification du signataire et la validité du document. Si un document signé à l’aide de OneSpan Sign est modifié ou altéré de quelque façon que ce soit, la technologie sous-jacente de signature numérique détectera cette modification ou altération et le lecteur PDF rendra de manière visible le document non valide. Le PDF signé électroniquement affichera un « X » rouge, ce qui signifie qu’il ne faut pas ce fier au document. Des pistes de vérification détaillées accompagnent chaque transaction de signature électronique.

OneSpan eSignature

Un processus en un clic comme celui-ci simplifie l’expérience utilisateur, ce qui améliore la confiance envers le processus de signature électronique et l’assurance que tout erreur ou geste frauduleux seront détectés.

Pistes de vérification

Les pistes de vérification des signatures électroniques sont des enregistrements numériques qui indiquent à quel moment le document a été envoyé, ouvert, puis signé, en plus de consigner les noms, courriels, adresses IP et identifiants uniques de signature des signataires. Les pistes de vérification se sont avérées très efficaces pour authentifier un document électronique dans le but de démontrer que la signature électronique est celle du signataire.

Les pistes de vérification permettent de répondre à plusieurs questions, notamment :

  • Le signataire a-t-il réussi les étapes requises de vérification de l’identité et/ou d’authentification?
  • Les divulgations nécessaires ont-elles été présentées au signataire? 
  • Le signataire a-t-il signé à tous les endroits requis sur le ou les document(s) pour indiquer son intention de façon appropriée?
  • Les procédures adéquates ont-elles été suivies lors de chaque étape du processus?

OneSpan Sign offre une piste unique de vérification pour l’ensemble du processus d’entente qui consigne toutes les actions liées à la signature électronique (c.-à-d. ce que le signataire a signé, quand et où), ainsi qu’aux événements de vérification de l’identité et d’authentification qui démontrent comment le signataire a été identifié. La piste de vérification est intégrée au document signé électroniquement et accessible dans un rapport détaillé de synthèse sur les preuves. Le rapport de synthèse sur les preuves peut être téléchargé et consulté en tout temps. Il est accessible à tous les participants d’une transaction, à la fois au moyen d’un téléchargement individuel ou dans le cadre de la transaction conclue.

Résidence des données

Dans un contexte où les technologies infonuagiques sont de plus en plus adoptées, il est nécessaire de s’assurer que les données sont protégées et qu’elles sont conformes aux lois locales sur la résidence des données et sur la protection des données qui s’appliquent à une organisation. Les secteurs réglementés et axés sur la conformité, comme les services bancaires, les assurances, la fonction publique et les soins de santé, exigent souvent une transparence et un contrôle en matière de résidence des données personnelles.

À l’heure actuelle, OneSpan gère quatre instances de son service de signature électronique : une aux États-Unis, une au Canada, une dans l’Union européenne (Irlande, Allemagne) et une en Australie. Lorsque OnSpan attribue un compte à un client, ce client peut choisir la région qui lui convient. Ce choix détermine à quel endroit les documents signés électroniquement de ce client seront traités et conservés. 

En tirant parti des réseaux internationaux de centres de données de nos partenaires technologiques (Amazon Web Services, IBM Cloud et Microsoft Azure), OneSpan Sign peut être déployé comme logiciel en tant que service (SaaS) ou déployé sur un nuage privé. La capacité de OneSpan Sign à répondre aux exigences en matière de résidence des données s’étend aux applications tierces auxquelles notre outil est intégré. Par exemple, OneSpan Sign for Salesforce offre aux organisations la souplesse nécessaire pour se connecter à toute instance mondiale de OneSpan Sign. 

OneSpan Sign est également devenu la première solution de signature électronique autorisée à fonctionner (ATO) en vertu du Programme fédéral américain de gestion des risques et des autorisations (U.S. Federal Risk and Authorization Management Program [FedRAMP]) en 2016. Les organisations gouvernementales américaines qui cherchent à mettre en place les signatures électroniques ont maintenant un accès immédiat à une infrastructure infonuagique sécurisée, conforme au FedRAMP, hébergée sur le nuage de calibre international Microsoft Azure.

Visitez le centre de confiance OneSpan Sign pour plus de renseignements sur les mesures de protection que nous avons mises en place pour répondre aux exigences en matière de contrôles de sécurité et de conformité de nos clients de partout dans le monde et même surpasser ces exigences.

Pour les entreprises qui cherchent à avoir un contrôle maximal, OneSpan Sign peut être déployé et géré sur site, derrière le propre pare-feu et les propres infrastructures de l’organisation.

Introduction aux signatures électroniques

Essayez notre brève démo pour voir à quoi ressemble une expérience de signature électronique.