Tout savoir sur le certificat de signature électronique

Au centre de tout parcours de signature électronique, il y a le certificat de signature électronique. Méconnu, peu visible, ce petit fichier infalsifiable est pourtant le porteur de la plupart des garanties en opposabilité. Pour mieux connaître celui qui agit dans l’ombre pour une signature électronique reconnue au plan juridique, prenez les 3 minutes nécessaires à la lecture de cet article. 

Un certificat de signature électronique, pourquoi ?

Le certificat de signature électronique permet de garantir le contenu d’un document avec une clé cryptographique, utilisable uniquement par son porteur. Ce faisant, il n’est pas que pratique, il est votre meilleur allié juridiquement parlant.

Un certificat de signature électronique, c’est quoi ?

Le certificat de signature est un fichier numérique infalsifiable, généré par une Autorité de Certification (AC). Nominatif, il est délivré à une personne physique, le porteur, après la vérification plus ou moins approfondie de son identité par l’AC. Plus la vérification est approfondie, plus le niveau de signature électronique peut être élevé. Dans le cas d’un porteur agissant pour le compte de son entreprise, la vérification porte également sur l’identité de l’entreprise et son droit à agir pour le compte de celle-ci.

Une fois généré, ce certificat peut 

• soit être placé dans un support cryptographique (sécurisé) et stocké sur support physique (clé USB, carte à puces)
• soit être placé dans le support cryptographique de l’Autorité de Certification. On parle alors de certificat hébergé.

Quel que soit le mode de conservation du certificat, les exigences sont les mêmes : s’assurer que le porteur a le contrôle exclusif du certificat (sinon, cela n’apporterait pas de preuves !). Cela passe par un code pin pour les certificats sur support USB ou carte, et par des dispositifs électroniques pour les certificats hébergés.

Pas un, mais plusieurs certificats électroniques 

Les certificats de signature électronique sont évalués selon 2 référentiels :

• Le plus ancien, valable pour la France, est le Règlement Général de Sécurité. Il propose 3 niveaux d’exigence croissante renseignée par des étoiles : RGS*, RGS** et RGS***. Les 2 derniers nécessitent une vérification d’identité en face à face physique.
• A l’échelon européen, le règlement eIDAS, via des normes ETSI (319411-1 et -2 notamment), définit également différents niveaux, en fonction du degré de vérification d’identité. Du moins exigeant au plus exigeant, vous avez : LCP, NCP, QCP, QCP-n-QSCD. 

Dans les faits, la plupart des prestataires qui délivrent des certificats évaluent maintenant leur certificat selon les 2 référentiels.

Vous avez bien compris l’utilité et l’importance du certificat de signature électronique. Vous savez à quoi il ressemble et connaissez les différentes formes qu’il peut prendre. Quant à savoir lequel est fait pour vous, en regard de vos usages et de vos priorités en termes d’opposabilité : demandez conseil à votre prestataire de signature.