Blog
Signature électronique : vers une standardisation européenne
Ce référentiel fixe les règles que doivent respecter les autorités administratives et les prestataires de services contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l'authentification, la confidentialité ou encore l'horodatage.
Dans une dynamique de valorisation de l’interopérabilité entre les Etats du marché unique, l’Union européenne a lancé un vaste plan d’harmonisation des transactions numériques. La norme eIDAS est une des étapes de ce programme et vise à réglementer l’identification électronique et les services de confiance, au sein des Etats membres de la communauté européenne.
Avec l’arrivée du règlement européen, Mipise a entrepris un travail important de développement afin d’ajuster ses solutions techniques à la nouvelle API de Certeurope. Cet outil garantit l’usage de la signature électronique, conformément aux réglementations en vigueur.
RGS et eIDAS : vers une interopérabilité des usages numériques au sein de l’Union européenne
1- Le Référentiel Général de Sécurité (RGS) : la norme gouvernementale française
A l’initiative de la Direction générale de la Modernisation de l’Etat (DGME) et de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), le RGS est un recueil national de règles et bonnes pratiques en matière de sécurisation des échanges numériques, fixé par le décret n° 2010-112 du 2 février 2010.
La DGME et l’ANSSI assurent la qualification des sociétés prestataires de solutions et services de sécurité (Prestataires de Certification Electronique – PSCE). Une fois référencées, les sociétés sont aptes à délivrer les différents types de certificat RGS aux entreprises et administrations françaises, attestant de la sécurisation de leurs échanges.
La norme a instauré trois types de certificats RGS, le niveau du certificat correspondant au niveau de sécurité qu’il peut offrir au client.
Dans le cadre de la signature électronique, le certificat, délivré sous forme de document électronique, a pour but d’authentifier l’identité de la personne signataire et de garantir l’intégralité du document.
Le certificat est nominatif, il doit être délivré à une personne et non une société. En pratique il peut être stocké sur clé USB ou même carte à puce.
2- eiDAS : pour une harmonisation des usages numériques au sein de l’UE
Le règlement eIDAS (Electronic Identification Authentication and trust Services) a été publié au Journal Officiel de l'Union Européenne le 28 août 2014. Il est entré en vigueur le 17 septembre 2014. Il couvre l’identification électronique et les services de confiance au sein de l’UE.
Le règlement est devenu applicable :
- Le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens d'identification électronique par les Etats membres ;
- Le 1 er juillet 2016 pour les services de confiance et les documents électroniques ;
- Le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens d'identification électronique par les Etats membres.
Concernant la signature électronique, il remplace la directive 1999/93/CE et se transpose au droit national de chaque état membre, incluant le RGS pour la France.
Sur le principe d’un même texte de loi partout en Europe, eIDAS facilite la reconnaissance de la signature électronique qualifiée dans tous les états membres.
Autre mise à jour significative, il est désormais possible de créer des signatures électroniques sur le cloud, sans hardware et donc sans support physique de type clé USB ou carte à puce. Ce recours reste encore peu utilisé, au motif simple que peu de citoyens européens sont équipés d’un tel dispositif.
L’innovation principale consiste à pouvoir faire usage de la signature électronique à distance, activable depuis un smartphone par exemple.
Cette réglementation distingue deux grands types de signature électronique à valeur légale :
- La signature simple et la signature avancée : Concerne principalement des documents ayant un facteur risque dit entre faible et moyen. Il peut s’agir de contrat de travail par exemple ou de contrats commerciaux. En interne, cela touche les notes de frais, ordre de mission etc. Contrairement à la signature simple, la signature avancée requiert l’usage d’un certificat digital.
- La signature électronique qualifiée : Concerne les documents à fort taux de risque tels que les contrats de crédit ou assurances vie. Cela inclut également les transactions règlementées. Outre le certificat digital, la signature qualifiée requiert de vérifier au moins une fois l’identité du signataire en présentiel (la visioconférence est une option autorisée) ainsi qu’un système de signature certifié SSCD.
Le SSCD (dispositif sécurisé de création de signature) est une innovation de la réglementation européenne afin d’assurer la non falsification et d’éviter l’usurpation de la signature d’une personne par une tierce partie. Avec eIDAS, ce dispositif peut être géré à distance s’il est hébergé par un Prestataire de Service de Certification Electronique. La signature peut ainsi attester de son identité via une authentification sécurisée envoyée sur smartphone.
La réglementation européenne eIDAS est une véritable innovation juridique ayant pour objectifs de standardiser le cadre légal européen et d’ouvrir l’usage du numérique et son interopérabilité entre ses pays membres.
Mipise : de l’usage de la signature électronique à sa mise en conformité réglementaire
Fintech spécialisée dans la digitalisation des activités financières et l’économie collaborative, Mipise a développé un service de signature électronique afin de proposer à ses clients des solutions digitales complètes.
A l’été 2020, l’Autorité de Certification CertEurope Advanced CA V4, est arrivée à expiration. Les certificats de signatures ont une durée de validité de 3 ans selon le RGS.
Certeurope a alors revu ses outils de certifications et API afin de se conformer à la nouvelle réglementation européenne en vigueur. En tant qu’utilisateur de l’API, Mipise a engagé un nouvel effort de R&D afin de mettre en conformité sa solution et de pouvoir intégrer le nouveau dispositif d’API.
Mipise utilise l'API SIGNAPI CertEurope Bas Niveau de dernière génération liée à l'autorité de certification du groupe OOdrive pour les échanges cryptés entre les serveurs Mipise et le système de signature électronique utilisé (Certeurope).
SIGN API dispose des fonctions de signature suivantes :
- La signature simple de document par un signataire (avec/sans OTP)
- Le dépôt du nom/ prénom du signataire sur le document signé
- L'archivage des documents signés
- La récupération des documents signés
Le principe de signature avancée proposé aux clients Mipise bénéficie d’un protocole d’authentification forte, à la connexion de l’investisseur à son espace utilisateur et au moment de la signature.
Les solutions Mipise utilisant la signature électronique :
- Outil de digitalisation du workflow de souscription dans un fonds
Mipise accompagne le secteur du Private Equity dans la dématérialisation de leurs activités. La fintech propose aux Sociétés de Gestion de disposer d’un workflow dynamique permettant de fluidifier l’expérience utilisateur et d’accélérer le processus de souscription de manière sécurisée, standardisée et efficace, de l’onboarding à la signature du bulletin de souscription.
Mipise propose à ses clients Private Equity un dispositif de multi-signatures avancées.
La signature électronique peut être également utilisée dans le cadre des conventions partenaires signées entre le CGP et la SGP. La plateforme de souscription en ligne dispose en effet d’un espace sécurisé dédié aux partenaires conseillers et distributeurs leur permettant de gérer leur activité et de raccourcir le cycle de vente.
- Solution de plateforme de crowdfunding en marque blanche
Mipise permet de disposer d'une plateforme de crowdfunding clé en main, évolutive et personnalisable en marque blanche, qui automatise la gestion des flux financiers, quel que soit le modèle de collecte (dons, prêts, royalties, titres).
La solution s’adresse à tout type de projets et pour tout type d’acteur qui souhaite disposer d’une plateforme participative adressant une communauté qualifiée à animer et à fédérer.
Pour les plateformes Obligataires et d’Equity, la signature électronique est un dispositif obligatoire au moment de la validation du bulletin de souscription.
Pour souscrire, l’investisseur se connecte dans un premier temps à son espace utilisateur et rentre ses informations en suivant le questionnaire investisseur. Le processus de vérification du profil de l'investisseur et de ses pièces justificatives est complètement encapsulé dans le processus de qualification de l'investisseur.
Une fois l’investisseur qualifié, au moment de sa contribution, il sera amené à signer son contrat ou document par le biais d'un code SMS envoyé sur son téléphone mobile. Suite à cette validation, un tampon de certificat de signature électronique sera apposé sur le contrat en bas de première page.
Dans une dynamique d’accompagnement de ses clients au marché européen, Mipise met en application sur ses solutions, les évolutions réglementaires. La fintech est déjà en train de travailler, en concertation avec ses clients, à l’intégration technique de la réglementation européenne « European Crowdfunding Service Providers » dont l’entrée en vigueur du règlement est prévue pour le mois de novembre 2020, avec une mise en application du règlement prévue pour novembre 2021.