Obligations légales d'un prestataire de signature en France

Choisir un prestataire de signature électronique, c'est lui confier des données sensibles : contrats, identités, flux juridiques. En France, ces prestataires sont soumis à un millefeuille réglementaire — eIDAS, RGPD, Code civil, doctrine ANSSI, normes AFNOR. Ce guide détaille les obligations essentielles, pour vous aider à évaluer un fournisseur ou comprendre ce que vous pouvez légitimement attendre de celui que vous utilisez déjà.

Conformité eIDAS : niveaux et exigences

Le règlement eIDAS (UE) n°910/2014 distingue les prestataires de services de confiance non qualifiés (qui peuvent émettre des signatures simples et avancées) et les prestataires qualifiés (QTSP) — seuls habilités à émettre des signatures qualifiées. Pour devenir QTSP, un prestataire doit passer un audit de conformité par un organisme accrédité (LSTI, BSI, TÜV) et être inscrit sur la Trusted List (TSL) publiée par l'ANSSI en France. Un prestataire non QTSP n'a pas cette obligation d'audit, mais doit néanmoins respecter les exigences fonctionnelles d'eIDAS pour les signatures AES.

Conformité RGPD : DPA et registre

En tant que sous-traitant au sens de l'article 28 du RGPD, le prestataire doit proposer un DPA (Data Processing Agreement) détaillé à ses clients, documenter son registre des activités de traitement (article 30), mettre en place des mesures techniques et organisationnelles appropriées (article 32), et notifier sous 72 heures toute violation de données (article 33). Les délais de conservation, les droits des signataires, les sous-traitants ultérieurs (hébergeurs, SMS gateway) doivent être explicitement listés.

Hébergement et souveraineté

Il n'existe pas d'obligation légale stricte d'héberger en France les données d'un service de signature, mais la doctrine ANSSI et les recommandations de la CNIL encouragent fortement un hébergement en UE pour limiter les risques d'accès extraterritoriaux (Cloud Act américain). Pour les secteurs réglementés — santé (HDS), défense (SecNumCloud), établissement bancaire — un hébergement certifié SecNumCloud ou HDS peut être exigé par votre propre régulateur. Certyneo héberge 100 % de ses données en France, chez un hébergeur OVHcloud.

Piste d'audit et intégrité

La valeur probante de la signature électronique repose largement sur la piste d'audit : chaque événement du cycle de vie de l'enveloppe (création, envoi, ouverture, signature, refus, expiration) doit être horodaté, lié à une adresse IP et un user agent, et scellé cryptographiquement pour garantir qu'il n'a pas été modifié a posteriori. Un prestataire sérieux fournit cette piste d'audit en PDF téléchargeable, attachée au document signé, avec un format normalisé (PAdES).

Sécurité : chiffrement et SecOps

Les standards attendus : TLS 1.2 minimum (idéalement 1.3) en transit, AES-256 au repos, séparation des environnements, supervision 24/7, tests d'intrusion annuels, plan de continuité d'activité (PCA/PRA). La certification ISO 27001 devient un standard de marché — non obligatoire, mais fortement attendue pour les contrats B2B significatifs. La certification SOC 2 est demandée par les clients américains et les start-up financées en dollars.

Transparence et reversibilité

Un prestataire digne de confiance publie ses conditions générales de service, son DPA standard, sa politique de confidentialité, éventuellement son rapport d'audit. Il permet une réversibilité simple : export des données au format standard (PDF + JSON pour les métadonnées), délai d'effacement garanti à la fin du contrat, pas de dépendance à un format propriétaire. Le verrouillage client est un signal rouge.

L'engagement de Certyneo

Certyneo est basé en France, héberge 100 % de ses données en UE (OVHcloud), fournit un DPA standard téléchargeable, publie une piste d'audit PAdES conforme, et permet l'export complet des données (PDF + piste d'audit + JSON) via son interface ou son API publique. Nos niveaux de signature sont SES et AES. Pour les cas d'usage QES, nous renvoyons vers nos partenaires QTSP (Certigna, Docaposte) et assurons l'intégration dans votre flux.