Conformité eIDAS pour PME : la checklist complète 2026
Comment s'assurer qu'une PME est conforme au règlement eIDAS en 2026 ? Checklist en 12 points : niveaux de signature, prestataire, archivage, RGPD.
Le règlement européen eIDAS (UE n°910/2014, bientôt amendé par eIDAS 2.0) encadre la signature électronique dans toute l'Union européenne. Pour une PME, être en conformité n'est pas juste une case à cocher : c'est la garantie que ses contrats sont opposables, que ses données de signature sont protégées, et qu'elle se prémunit contre des risques juridiques pouvant coûter cher. Voici la checklist 2026 en 12 points concrets pour vérifier que votre PME est parfaitement conforme eIDAS.
Point 1 : choisir le bon niveau de signature
Premier réflexe : cartographiez vos types de contrats et associez un niveau cible. Contrats commerciaux standards (devis, bons de commande, NDA simples) : SES suffit. Contrats de travail, baux, NDA sensibles, accords stratégiques : AES minimum, de préférence avec OTP SMS. Actes réglementés (avocat, notaire, marchés publics au-dessus d'un seuil) : QES obligatoire. Sans cette cartographie, vous risquez le sous-dimensionnement (contrat refusé) ou le sur-dimensionnement (coût excessif).
Point 2 : vérifier la qualification du prestataire
Votre prestataire doit être un prestataire de services de confiance (QTSP) ou s'appuyer sur un QTSP pour les niveaux AES/QES. Consultez la Trust Services List publiée par l'ANSSI (eidas.ssi.gouv.fr) et la Trusted List européenne (webgate.ec.europa.eu/tl-browser). Les QTSP français de référence : Certigna, Docaposte, Certinomis, Universign. Pour SES/AES via plateforme (Certyneo, Yousign, etc.), vérifiez leur conformité eIDAS explicitement documentée.
Point 3 : tester la piste d'audit
Signez une enveloppe de test et récupérez la piste d'audit (généralement un PDF séparé). Elle doit contenir : identité et email du signataire, horodatage de chaque étape (envoi, ouverture, validation, signature), adresse IP, user agent, hash du document, validation OTP si AES. Si un de ces éléments manque, la valeur de preuve est fragilisée. Certyneo fournit la piste d'audit complète même en plan gratuit.
Point 4 : contrôler l'horodatage
L'horodatage doit être émis par une Time Stamp Authority (TSA) conforme RFC 3161. Un horodatage simplement issu d'un serveur NTP de l'entreprise ne suffit pas. Ouvrez le PDF signé dans Adobe Reader : onglet Signatures → Détails → Horodatage. Vous devez y voir un certificat TSA valide et une horloge certifiée. Si le PDF n'a pas d'horodatage certifié, reculez sur le choix du prestataire.
Point 5 : archiver 10 ans minimum
Le Code de commerce (article L. 123-22) impose une conservation de 10 ans pour les documents commerciaux. Le Code du travail impose 5 ans pour les contrats de travail post-rupture. L'archivage doit préserver l'intégrité (hash, scellement) et l'accès. Idéal : format PDF/A (ISO 19005), stockage double (primaire + sauvegarde hors site), coffre-fort électronique qualifié (CFE) pour le maximum de preuve. Certyneo archive 10 ans par défaut et offre un export vers CFE partenaires.
Point 6 : vérifier la localisation des données
Où sont hébergées vos données de signature ? Pour une PME française traitant des contrats sensibles, privilégiez un hébergement France ou UE. Demandez à votre prestataire la liste des sous-traitants et leur localisation (article 28 RGPD). Évitez les solutions soumises au Cloud Act américain pour les contrats stratégiques. Certyneo est hébergé en France, sans dépendance Cloud Act. Voir notre article sur /blog/cloud-act-signature-electronique.
Point 7 : articuler avec le RGPD
Signature et RGPD sont étroitement liés : chaque enveloppe contient des données personnelles (nom, email, IP, téléphone). Assurez-vous que votre registre des traitements (art. 30 RGPD) inclut la signature électronique, que les durées de conservation sont cohérentes (10 ans), et que les droits des personnes sont implémentables (accès, rectification, portabilité). Si vous demandez beaucoup de signatures, un DPO est recommandé. Voir notre article /blog/signature-electronique-rgpd.
Point 8 : identifier les signataires en amont
Pour une AES solide, l'identification ne commence pas à la signature : elle commence à la collecte des données. Vérifiez les emails (pas d'alias, pas de mailing list), les numéros de téléphone (pas de ligne partagée), et gardez trace de la source d'identification (pièce d'identité pour contrats lourds, KYC client existant pour contrats en continu). Cette due diligence fait la solidité de la preuve en cas de litige.
Point 9 : former les équipes
Vos équipes commerciales, RH, juridiques doivent comprendre les règles : ne jamais forcer un signataire à passer par un appareil tiers, ne jamais renvoyer un PDF signé modifié, ne jamais coller une image de signature scannée à la place d'une vraie signature. Une heure de formation par équipe suffit pour ancrer les bons réflexes. Certyneo fournit un guide complet à partager en interne (/ressources).
Point 10 : vérifier les contrats des prestataires
Les CGU/CGV du prestataire de signature doivent : engager la conformité eIDAS, préciser les durées d'archivage, inclure un accord de sous-traitance RGPD (art. 28), documenter les sous-traitants, prévoir un plan de réversibilité en cas de cessation. Demandez également le SOC 2 Type II ou équivalent si vous traitez des volumes importants. Pour Certyneo, ces documents sont disponibles sur /legal et /security.
Point 11 : préparer eIDAS 2.0 et l'EUDI Wallet
Le règlement eIDAS 2.0 (UE 2024/1183) entre en vigueur progressivement et impose aux États membres de déployer un EUDI Wallet avant fin 2026. Ce portefeuille d'identité numérique permettra notamment d'accéder à la QES à distance sans bureau d'enregistrement physique. Préparez votre PME : vérifiez que votre prestataire a une roadmap EUDI Wallet, suivez les communications de l'ANSSI et de la Commission européenne. Voir /blog/eidas-2-nouveau-reglement-2026.
Point 12 : auditer annuellement
La conformité n'est pas un statut acquis : c'est une démarche continue. Programmez un audit annuel (interne ou externe) pour vérifier : changements réglementaires, évolutions du prestataire, cartographie à jour des types de contrats, conservation effective, formation des nouvelles recrues. Un audit léger prend une demi-journée pour une PME et évite bien des surprises. Commencez par créer un compte Certyneo gratuit sur certyneo.com/signup pour tester la conformité concrète, puis consultez notre guide eIDAS pour approfondir (/guide/eidas).
Essayez Certyneo gratuitement
Envoyez votre première enveloppe de signature en moins de 5 minutes. 5 enveloppes gratuites par mois, sans carte bancaire.
Continuez votre lecture sur Réglementation
Approfondissez vos connaissances avec ces articles en lien avec le sujet.
Signature électronique et RGPD : ce qu'il faut savoir
La signature électronique implique le traitement de données personnelles. Quelles sont les obligations RGPD à respecter ? Notre guide complet.
eIDAS 2.0 : ce qui change pour la signature électronique en 2026
Le règlement eIDAS 2.0 entre en vigueur en 2026. Découvrez les changements majeurs et leur impact sur votre utilisation de la signature électronique.
Obligations légales d'un prestataire de signature en France
Quelles sont les obligations d'un prestataire de signature électronique en France ? eIDAS, RGPD, ANSSI, hébergement : le panorama complet.