Ces dernières années, l’Europe s’est intéressée de près à la sécurité et à l’authenticité des documents signés électroniquement. Comment prouver l’identité du signataire ? Est-il possible d’attester l’authenticité d’un document ? Une fois signés, les documents peuvent-ils, en passant les frontières, conserver la même intégrité que dans leur pays d’origine ? En liant les signatures numériques à des identités individuelles et organisationnelles, et en appliquant un sceau d’horodatage, les certificats numériques ont, dans une certaine mesure, permis de répondre à ce besoin. L’usage de ces certificats s’est ainsi généralisé aux particuliers, pour l’ouverture d’un compte bancaire en ligne ou la souscription d’une police d’assurance, mais aussi aux grandes banques pour la validation et la protection de leurs documents. Chaque pays a cependant toujours appliqué ses propres règles et réglementations.
Sur le marché européen, une prise de conscience s’est opérée sur la nécessité de pouvoir échanger en toute sécurité des informations ou des services, et garantir l’identité de l’utilisateur de façon sûre. Le règlement sur les services électroniques d’identification et d’authentification (eIDAS) a été adopté à ces fins par l’UE sur un marché numérique en pleine mutation. L’eIDAS établit une norme d’identification électronique visant à simplifier et sécuriser les transactions en ligne effectuées en Europe. La réglementation s’appuie pour cela sur les services de confiance électroniques.
Avec l’eIDAS, le règlement de l’UE garantit la validité de tout certificat numérique sur l’ensemble de son territoire, quel que soit le pays d’origine — l’objectif affiché étant d’abolir les frontières pour les transactions électroniques au sein de l’UE. Ce règlement s’étend à tous les secteurs.
Les questions suivantes ont été adressées à Dawn Illing, Regional Product Manager, EMEA chez GlobalSign :
Qu’est-ce qu’un prestataire de services de confiance qualifié (PSCQ) ?
Le prestataire de services de confiance qualifié (PSCQ) joue un rôle important dans le processus de signature électronique qualifiée qui désigne le niveau de fiabilité maximum d’une signature numérique, tel que défini dans l’eIDAS. Les prestataires de services de confiance doivent obtenir un statut qualifié et l’autorisation d’un organisme de contrôle public pour fournir des certificats numériques qualifiés. Ces certificats numériques qualifiés peuvent être utilisés pour créer des signatures électroniques qualifiées conformément à des directives strictes. L’eIDAS exige que l’UE maintienne une liste de confiance européenne des prestataires et des services « qualifiés ». Un prestataire de services de confiance n’est pas habilité à fournir des services de confiance qualifiés s’il ne figure pas sur la liste de confiance de l’UE.
Comment GlobalSign perçoit-il les changements sur le marché, notamment en termes d’avantage concurrentiel ?
Certaines signatures électroniques, comme les signatures sur tablette ou smartphone, ne sont pas reconnues devant un tribunal. L’eIDAS reconnait cependant la validité juridique en Europe des signatures numériques utilisées sur ces terminaux mobiles ; c’est d’ailleurs l’une des nouveautés les plus importantes du règlement. Considérée comme une signature électronique qualifiée à distance, la signature est valable pour les contrats et les applications qui, en vertu de la loi, doivent faire l’objet d’un écrit. La vérification fastidieuse de l’identité du signataire par un tiers disparaît de facto – le certificat numérique lie en effet cette identité à la signature numérique. Ce n’est qu’un exemple de la transformation qui s’opère dans certains secteurs du fait des nouvelles normes définies par le règlement.
Les innovations techniques et l’économie numérique font évoluer un nombre croissant d’entreprises, notamment dans la finance. Ce secteur a ainsi vu émerger des acteurs qui proposent de nouveaux services et une expérience client améliorée. Parallèlement à la version révisée de la directive sur les services de paiement (DSP2) qui vise à améliorer la sécurité et la prévention des fraudes — ainsi que l’expérience client —, les anciens acteurs se retrouvent sur un pied d’égalité avec les nouveaux. On assiste au bout du compte à la transformation du marché unique européen en un marché unique européen du numérique.
Jamais l’expérience client n’avait autant compté pour créer un réel avantage pour les clients, surtout dans le domaine de la finance. Plus nous pourrons apporter notre pierre à l’économie numérique et à la sécurisation des processus, plus nous améliorerons l’expérience utilisateur et générerons de nouveaux vecteurs de croissance. Ces perspectives nous réjouissent, d’autant que l’eIDAS stimule l’innovation et offre des gages de sécurité pour l’ensemble du workflow numérique. C’est ce qui motive GlobalSign à devenir QTSP.
Pourquoi GlobalSign cherche-t-il à obtenir le statut de QTSP ?
En tant qu’autorité de certification mondiale leader et fournisseur d’une solution de PKI dans le cloud, cela fait déjà plusieurs années que nous offrons à nos clients la possibilité de signer numériquement leurs documents. Avec son récent service de signature numérique, GlobalSign a lancé une solution révolutionnaire. Ce service de signature numérique s’intègre à n’importe quelle solution de workflow numérique pour permettre aux utilisateurs de signer numériquement leurs documents. Si cette solution nous confère un véritable avantage concurrentiel, le statut de QTSP et la certification eIDAS boosteront nos chances de devenir le prestataire de signatures numériques no 1 en Europe.
Quel est votre atout par rapport aux autres QTSP ?
Le service de signature numérique de GlobalSign est un service cloud, très évolutif qui utilise les API pour s’intégrer en toute transparence à n’importe quelle solution de workflow documentaire. Contrairement aux autres solutions de signature numérique traditionnelles, l’offre est vraiment novatrice : elle permet de signer des documents de manière sécurisée et conforme, sans dispositif de sécurité matérielle coûteux sur site (comme les tokens ou autres modules HSM [Hardware Security Module]) ni prestations spécialisées chronophages.
Nous faisons de l’ajout de fonctions de signature numérique un jeu d’enfant. En effet, nous gérons tous les composants cryptographiques indispensables à l’obtention de signatures numériques fiables et conformes — y compris la signature, l’émission de certificats, la gestion des clés et l’horodatage. Nous utilisons également des interfaces API pour assurer l’intégration transparente de notre offre avec des services externes de vérification d’identité. Aujourd’hui, aucune autre solution sur le marché n’en est capable.
Comment s’est passée la procédure d’accréditation ?
Le processus n’a pas été simple... mais il n’a pas vocation à l’être ! Si c’était le cas, trop d’entreprises se lanceraient dans l’aventure sans en avoir les compétences, avec le risque d’accroître la confusion sur le marché.
Dans le prolongement des procédures d’audit auxquelles GlobalSign s’est soumis courant 2017, nous abordons la dernière ligne droite et espérons obtenir le statut de QTSP d’ici le troisième trimestre 2018.
Certes, le processus d’accréditation fut long, mais cela nous a permis d’évaluer le marché, de mener une réflexion en interne et de définir une stratégie autour de notre service de signature numérique et de la législation à venir. Nous avons ainsi pu affiner notre stratégie de commercialisation et notre communication. De ce fait, nous avons pu anticiper les événements et prendre en compte des besoins de nos clients. Nous sommes aujourd’hui convaincus qu’une fois que nous serons accrédités en tant que prestataire QTSP, notre service de signature numérique saura prouver son utilité aux établissements engagés dans l’accélération numérique de leur activité.