La signature électronique : Principes

Toute personne nouvelle dans ce domaine peut facilement se méprendre sur ce qui constitue une signature électronique ou digitale et sur la façon dont différents types de signatures électroniques se comparent en termes d’éléments de preuve et de légalité.

De manière générale, un simple email ou une approbation par simple clic sur un document électronique peut être utilisé pour signifier l’intention du signataire d’approuver ou d’accepter le contenu de ce document. La forme de l’acceptation n’a pas de réelle importance. L’importance est de prouver QUI a signé et que le document n’a pas été modifié par la suite.

Il existe trois types de signature ayant une signification différente au regard des règlementations en vigueur :

Signature Basique, Avancée et Qualifiée

Signature électronique basique

Certaines applications métier exigent des utilisateurs qu’ils signent des documents immédiatement sans être obligés de s’enregistrer et de faire vérifier leur identité avec le système SignMit. Les cas d’utilisation incluent généralement un client potentiel se rendant dans une banque, un bureau ou un magasin en personne et devant signer un document initial.

Les documents signés avec une signature électronique de base montrent que le sceau électronique numérique (techniquement une signature numérique) a été appliqué par l’organisation.

Signature électronique avancée (AES)

• uniquement liée au signataire;
• capable d’identifier le signataire;
• créé en utilisant des moyens que le signataire peut maintenir sous son contrôle exclusif; et
• liée aux données auxquelles elle se rapporte de manière à pouvoir détecter toute modification ultérieure des données.

Signatys implémente de telles signatures en utilisant la cryptographie PKI standard. Chaque utilisateur possède une clé de signature PKI unique et un certificat numérique associé. Le certificat agit en tant qu’ « identité numérique » de la personne et est intégré à chaque signature créée, liant ainsi de manière sécurisée l’identité du signataire aux documents signés. La clé de signature utilisée pour créer la signature est privée et reste sous le contrôle exclusif du propriétaire. Elle est accessible uniquement après des contrôles d’authentification et d’autorisation appropriés.

Signature électronique qualifiée (QES)

• construite sur le format de la signature avancée (AES) à la différence que :
• le certificat numérique de l’utilisateur est émis par une autorité de certification qualifiée approuvée
• la clé de signature de l’utilisateur est gérée au sein d’un dispositif de création de signature qualifié (QSCD) de confiance.

La QES est une version plus fiable d’AES. Les signatures qualifiées (QES), reconnues au-delà des frontières, requièrent les plus hauts niveaux de sécurité pour la protection de la clé de signature de l’utilisateur, ainsi qu’un processus d’enregistrement formel permettant à l’utilisateur de vérifier leur identité par une autorité de certification qualifiée. D’un point de vue juridique, la QES peut être considérée comme encore plus solide que les signatures manuscrites, car le fardeau de la preuve incombe au signataire pour prouver qu’il n’a pas signé!

Règlementation Zertes et eIDAS

Règlementation Zertes

ZertES est une loi fédérale suisse régissant les conditions dans lesquelles les prestataires de services de confiance (TSP) peuvent utiliser des services de certification avec signatures électroniques et numériques. En outre, cette loi fournit un cadre décrivant les obligations et les droits du fournisseur s’appliquant à la fourniture de services de certification. Agissant à proximité de la Communauté européenne, ZertES est conçue de la même manière que eIDAS, notamment en ce qui concerne la structure à plusieurs niveaux et la valeur juridique. ZertES comporte plusieurs niveaux d’assurance, le plus élevé étant le niveau QES équivalent à un niveau manuscrit et obligatoire pour de nombreux documents officiels.

Règlementation eIDAS

Le règlement eIDAS est applicable dans l’Union Européenne depuis le 1er juillet 2016. eIDAS classe deux types de normes de signatures électroniques et sécurisées;

1) la signature avancée et

2) la signature qualifiée.

Sous eIDAS, les citoyens et les entreprises peuvent utiliser leur eIDS d’origine pour accéder aux services publics d’autres États membres de l’UE utilisant l’eIDS. Ce règlement définit les conditions dans lesquelles les États membres reconnaîtront l’identification électronique par les utilisateurs. En outre, ce règlement met en œuvre des normes pour les signatures numériques, les horodatages, les cachets électroniques et autres preuves d’authentification, y compris les services de certification numérique et de livraison enregistrée qui confèrent à ces transactions électroniques le même statut juridique que si elles étaient effectuées sur papier. Signatys fournit des solutions de signature les deux types de signature.

Directive MiFID II

La directive MiFID II (Directive sur les marchés d’instruments financiers), mise en œuvre le 3 janvier 2018, a pour objectif d’accroître l’efficacité et la transparence des marchés financiers européens et de renforcer la protection des investisseurs (clients). Pour de nombreux acteurs du marché, et en particulier les banques, la mise en œuvre des évaluations obligatoires de MiFID II, qui sont un élément de pertinence et d’adéquation, dans les processus de leur entreprise de manière efficace et centrée sur le client, constitue un défi majeur.

Toutes les institutions financières sont concernées par MiFID II. En conséquence, chaque entreprise d’investissement fera des choix stratégiques quant à la manière de rester pertinente pour ses clients de manière durable (et rentable). Pour mettre en œuvre la directive MiFID II, il est nécessaire de trouver un juste équilibre entre ce qui est requis par la législation et ce qui est réalisable à long terme. Des exigences juridiques et des implications opérationnelles équilibrées pourraient se traduire par des avantages concurrentiels.

L’obtention, l’interprétation, le traitement et l’enregistrement des informations sont des éléments essentiels à la mise en conformité. L’entreprise d’investissement a l’obligation légale d’obtenir du client les informations nécessaires dans le cadre du principe «Know Your Customer».

Si, en cas de conseil en investissement ou de gestion de portefeuille, l’entreprise d’investissement n’obtient pas les informations requises, elle ne sera pas en mesure de fournir des services d’investissement ou de recommander des instruments financiers à ses clients.

Comment Signatys peut aider à se conformer à la directive MiFID II?

La solution Signatys favorise la conformité à MIFID II selon deux éléments essentiels : collecter des informations fiables et répondre aux exigences en matière de conservation des documents. Les cas d’utilisation suivants répondent à ces exigences et peuvent être mis en œuvre au sein de sociétés d’investissement et des banques :
 

• Documentation MiFid II : questionnaire de profil de risques, résultat de l’adéquation à une classification (profil de risque), rapport d’aptitude préalable à la négociation, documentation relative à l’activation / désactivation du changement de classification client, modification du recapage, etc.
• Conseil / Alerte : informer les clients de l’insuffisance des informations fournies à l’entreprise d’investissement liée à une transaction, alerter sur un investissement inadéquat selon la classification de l’investisseur…