Logo Digiformag
, Gestion électronique des documents, Réglementation

Comprendre la signature électronique pour les organismes de formation en 7 questions

Sommaire

— Article mis à jour le 12 septembre 2022 —

Quand on organise des formations, on passe son temps à imprimer et signer des documents. L’idéal serait de ne plus avoir besoin d’imprimer et que la signature soit réalisée directement dans un logiciel ! Bienvenue dans le monde de la signature électronique ! Un sujet qui nous intéresse particulièrement chez Digiforma, raison pour laquelle nous proposons maintenant cette fonctionnalité.

À ce propos, vous avez sûrement entendu tout et n’importe quoi au sujet de la signature électronique. Est-elle légale ? Les OPCO l’acceptent-ils ? Votre boîte email est sûrement remplie de spams de fournisseurs qui vantent les mérites de leur solution. C’est le moment de faire le point pour vous aider à y voir plus clair.

Voici un guide 2022 pour tout comprendre au sujet de la signature électronique ! Pas de panique, c’est bien plus simple qu’on ne le croit.

1. Une signature électronique, c’est quoi ?

Une signature électronique est un procédé qui attache à un document, un marquage encrypté qui authentifie de manière stricte l’identité d’une personne qui « accepte » ce document. Cette signature permet de se passer d’une signature manuscrite et réaliser une contractualisation purement dématérialisée.

La valeur de la signature électronique réside justement dans ce marquage encrypté. Autrement dit, une signature manuscrite insérée en bas d’un template World n’est PAS une signature électronique à proprement parler.

Ce marquage encrypté doit respecter certaines règles pour avoir une valeur probante légalement

  • Le marquage identifie le signataire et ne peut pas être dupliqué par un contrefacteur.
  • Le marquage contient une empreinte du document, ainsi une modification du document en changerait l’empreinte et rendrait la signature non valable.
  • Le document signé est conservé quelques années dans un système garantissant qu’il ne sera pas altéré.

Les fournisseurs de solutions de signature électronique proposent un système qui injecte dans un document PDF un tel marquage et parfois même, réalisent le stockage dans un coffre-fort numérique du document pour que vous n’ayez pas à le faire.

2. La signature électronique est-elle légale ?

Il y a un cadre français (le RGS) et un cadre européen (eIDAS) qui reconnaissent la valeur d’une signature numérique à certaines conditions strictes. Pour faire simple il y a trois types de signatures électroniques :

  • La signature qualifiée qui a la même valeur légale qu’une signature manuscrite. Vous signez avec un certificat numérique en votre possession, remis par une autorité accréditée. Sauf cas extrêmement rare, vous ne possédez pas de tel certificat.
  • La signature avancée qui n’a pas la même force qu’une signature manuscrite, mais qui sert d’élément de preuve fort dans un dossier si toutes les conditions sont remplies. Durant le processus de signature, vous devez charger une preuve d’identité, comme votre carte d’identité ou votre passeport.
  • La signature simple qui ne vaut vraiment pas grand chose. Vous l’avez sûrement déjà pratiquée, elle correspond à celle avec un SMS qui vous est envoyé avec un code à l’intérieur. Votre identité est liée uniquement à votre numéro de téléphone.
  • La signature qualifiée a une valeur légale totale et incontestable.
  • Les autres types de signatures sont acceptés mais contestables.

La signature qualifiée n’est possible qu’à condition de posséder un certificat numérique attestant de votre identité. Un tel certificat est un dispositif cryptographique, délivré à une personne physique par des tiers de confiance. Certains pays comme la Belgique ou l’Estonie ont intégré directement dans les cartes d’identité des citoyens un tel certificat et en France, les choses sont en train de changer. Autrement dit, la signature qualifiée est pour le moment quasiment impossible en France, même si vous faisiez faire des certificats pour vos employés, l’autre signataire du document (le client pour une convention de formation par exemple) n’aura certainement pas de tel certificat.

La signature avancée en revanche est faisable en France. Pour qu’elle ait une valeur sérieuse il faut respecter deux points qui en pratique ne sont pas si simples:

  • Il faut que la signature permette d’identifier le signataire, et qu’elle ne soit pas réalisable par un tiers.
  • Le document signé soit inaltérable, et conservé un certain nombre d’années de manière fiable.

L’identification forte du signataire est un sujet très délicat. En l’absence de certificat d’identité numérique, on ne peut que trouver des moyens détournés, donnant plus ou moins de force légale à la signature. Par exemple de nombreux systèmes de signature électronique utilisent un SMS avec un code, en associant ainsi un numéro de téléphone à une personne, ils créent un élément de preuve de l’identité (assez restreint, car le téléphone peut être manipulé par un autre). Le moyen employé pour identifier le signataire doit être d’autant plus sérieux que l’enjeu de la signature est fort. N’employez pas une identification par SMS pour un contrat cadre de formation de tous les salariés d’un client société du CAC 40 !

Le stockage durable et inaltérable du document signé se fait dans un coffre fort numérique, divers fournisseurs proposent des solutions en ligne à faible coût.

À noter : le cas particulier des cachets électroniques. Ceux-ci sont apposés à un document par un serveur en utilisant un certificat numérique identifiant l’organisme de formation (personne morale). Ces cachets permettent donc de signer unilatéralement un document (pensez aux attestations par exemple).

Il faut savoir que la plupart des fournisseurs de signature électronique font seulement de la signature simple mais se gardent bien de l’avouer, ils tentent de faire illusion avec termes inventés, comme « semi-avancé », mais ce ne sont pas de vraies signatures avancées et encore moins des signatures qualifiées. Pour toute signature autre que qualifiée, l’idée est d’accumuler un faisceau d’éléments tendant à prouver le mieux possible l’identité réelle du signataire. Ainsi en cas de litige, ce faisceau de preuves pourra compliquer l’accusation de contrefaçon.

C’est pourquoi les signatures simples utilisent souvent deux canaux de communication avec le signataire

  • La demande de signature est envoyée sur son adresse email.
  • Et le code unique de signature par SMS.

Ces deux canaux indépendants créent un argumentaire léger néanmoins existant pour prétendre que le signataire est bien la personne en question.

Ce système de signature électronique simple est en pratique suffisant quand le montant des contrats et conventions est peu élevé. C’est là toute la subtilité de la question de la légalité de la signature électronique.

Le degré de sécurisation de la signature doit être adapté au risque financier associé au document signé

En cas de contrat très significatif en revanche, il pourrait être plus pertinent d’utiliser un véritable système de signature avancée ou qualifiée. C’est par exemple ce que font les banques et les assurances lorsqu’elles vous font signer un contrat important comme une assurance vie.

3. Peut-on juste mettre une image d’une signature en bas des modèles de documents ?

Personne ne vous en empêche, ça donne une « impression » de signature à vos interlocuteurs. Un juge ou un contrôleur de la Dreets, lui, ne sera pas impressionné, cela n’a évidemment pas de valeur légale. Vos documents réalisés ainsi sont tout simplement non signés. Une signature électronique est un marquage cryptographique inséré dans le document, ce n’est pas un gribouillis fait à la souris en bas de la dernière page.

4. Comment signer électroniquement les documents de formation ? Une signature électronique peut-elle remplacer le cachet de mon organisme sur des attestations ou certificats ?

Il faut distinguer le cas des conventions et le cas des attestations. Certains documents n’ont pas vocation à avoir une valeur probante clé. Ils n’engagent pas de risques financiers ou juridiques forts. C’est typiquement le cas des attestations ou certificats. Par ailleurs, ces documents ne sont souvent pas signés par les deux parties, seul l’organisme y appose un cachet ou une signature.

  • Il existe pour cela un dispositif de cachet numérique qui appose une signature électronique automatiquement en utilisant un certificat numérique identifiant la personne morale de l’organisme de formation.
  • Ce type de mécanisme est pratique et bien moins coûteux mais ne doit pas être confondu avec une signature électronique normale qui engage une personne physique.

Signer numériquement les conventions

Le mieux, à défaut d’être simple, est d’utiliser les services en ligne spécialisés. Ceux-ci fonctionnent quasi systématiquement par une identification par SMS :

  • Vous chargez le document sur le site et vous signez de votre côté dans l’interface.
  • Une requête est envoyée à l’interlocuteur lui demandant de signer, avec un code SMS de vérification.
  • Le document final PDF est généré, avec les signatures intégrées (marquage cryptographique vérifiable), et parfois stocké durablement directement par le site de signature.
  • Si le stockage durable n’est pas réalisé par le site, vous devez charger le document PDF dans un service en ligne de coffre fort numérique.

Le coût de ce type de service est typiquement entre 1€ et 2€ par document.

Signer numériquement les attestations

Pour les attestations, les mêmes sites spécialisés proposent parfois un système de cachet serveur. Vous achetez le cachet auprès d’eux, et vous pouvez ensuite télécharger des documents pour y apposer le cachet, et réaliser le stockage durable.

Une autre manière de faire est d’acheter un certificat numérique auprès d’un tiers de confiance, l’installer sur votre ordinateur, puis signer les documents de votre côté avec un logiciel spécialisé qui utilisera le certificat. Pensez également ensuite à charger le document signé dans le coffre fort numérique.

Si vous faites la signature de votre côté le coût sera faible, une dizaine de centimes par document. Pour le coût d’achat du certificat numérique, comptez moins de 500€ par an.

5. Les émargements peuvent-ils aussi être signés numériquement ?

Bien sûr mais attention, aucun fournisseur réalise une signature électronique à forte valeur probante. Il s’agit se signatures simples au sens de la réglementation européenne eIDAS, généralement bien moins probantes que celles réalisées avec un envoi SMS dans le cadre d’un contrat. Le faisceau de preuves accumulé est encore plus faible, basé uniquement sur l’utilisation de la boîte email.

Si le système est finement intégré à la plateforme apprenant, le faisceau de preuves est un peu consolidé par les adresses IP de connexion, les activités e-learning réalisées… Pour le moment, ce type de processus simple est toléré par de nombreux OPCO, cette tolérance a été amplifiée par la nécessité due à la Covid-19 et à l’explosion des formations en classe virtuelle. Des signes avant-coureurs laissent penser que certains organismes de financeurs sont attentifs à ce souci et lancent des projets d’étude de faisabilité pour exiger davantage sur ce point. En revanche, cela posera des questions de coûts. Il est difficile d’imaginer imposer l’envoi d’un SMS à chaque apprenant à chaque émargement.

Ici aussi des fournisseurs spécialisés font des pirouettes commerciales pour faire illusion. Ils ne prouvent pas plus que les autres la réelle identité des signataires, qui est le seul sujet important. Par contre sur ce document collectant ces émargements non probants, ils apposent une signature électronique identifiant leur propre entreprise et utilisent cet argument pour dire que le document prouve les émargements. Ce mensonge est enrobé de nombreux acronymes type eIDAS et mentions de certificats RGS 2 qui les identifient comme un soi-disant « tiers de confiance ».

Attention encore une fois, le sujet est simple, il faut poser les bonnes questions :

  • Quelle est la nature de la signature réalisée par le stagiaire ?
  • Quelle preuve de son identité a été utilisée ?

6. Finalement, faut-il passer à la signature électronique ?

Sauf cas rares des signatures strictement avancées ou qualifiées, la signature électronique que vous pourriez naturellement employer, poussée par des fournisseurs, est une signature simple.

Cela dit, la simplification des processus administratifs entraînée par le zéro papier est très appréciable. Il est nécessaire de rester conscient des limites de ce dispositif et de l’employer sur des contrats aux montants raisonnables.

Sur les émargements, il faut encore davantage nuancer le discours. Les solutions d’émargement numérique apportent en réalité quasiment aucune garantie réelle sur l’identité du signataire.

Dans un secteur qui souffre du problème de la fraude aux émargements, il peut être bon de rester précautionneux et se méfier des commerciaux qui veulent à tout prix vous vendre leur solution.

7. Peut-on espérer un jour généraliser l’usage des signatures électroniques qualifiées ?

Ce type de signature réglerait complètement les soucis de valeur probante. Pour cela il faudrait que les signataires possèdent une identité numérique forte et certifiée. Un tel passeport numérique individuel existe dans certains pays, associé par exemple à leur carte d’identité comme l’Estonie. L’Europe travaille actuellement sur l’uniformisation d’un tel mécanisme à tous les États membres, ce qui permet d’espérer des avancées prochaines sur ce sujet. En France les nouvelles cartes d’identité possèdent depuis 2021 une puce numérique préparant le terrain pour cela.

Qu’est ce que eIDAS ?

Attention aux fournisseurs vous annonçant être aux « normes eIDAS ». Cela ne veut rien dire. eIDAS est une réglementation européenne qui reconnaît l’existence des trois types de signature. Les commerciaux des fournisseurs en solution de signature brandissent le terme eIDAS pour impressionner mais cela ne transforme par magiquement leur signature de type simple en signature qualifiée. En France une réglementation plus ancienne existe : le référentiel RGS. Entre autres points, le RGS reconnaît une valeur croissante aux certificats d’identité numérique avec une ou deux étoiles.

Participer à notre prochain webinaire

webinaire digiformag octobre financements

Digiforma Veille : outil automatisé de veille pour la formation professionnelle

Banniere Carré Digiforma Veille Gagner 4h par semaine sur votre veille Formation

Newsletter

Participez à notre enquête sur la veille professionnelle des OF

Enquête Comment s’informent les organismes de formation - Digiformag

Je participe à l’enquête !

Les plus lus

REPLAY Webinaire et résumé complet – Comment la V9 va-t-elle impacter les OF sur la sous-traitance ?

Réforme de la formation : ce qui va changer d’ici 2022

OF > Comment rendre vos formations éligibles au CPF ?

Créer sa première formation professionnelle

titre certifié au RNCP

Qu’est-ce qu’un titre certifié et comment l’enregistrer au RNCP ?

Créer son organisme de formation professionnelle

résumé des 7 critères Qualiopi

Les 7 critères de Qualiopi : ce qu’il faut savoir

© 2024 Digiformag – Le magazine / blog de la formation pour organismes et formateurs par Digiforma – Tous droits réservés | Mentions légales | Contact

×