Qu'est-ce qu'une piste d'audit et pourquoi est-elle essentielle ?
La piste d'audit est le pilier de la valeur probante d'une signature électronique. Qu'enregistre-t-elle ? Pourquoi est-elle si importante ?
Dans la signature électronique, la piste d'audit (ou audit trail) est ce qui distingue une véritable signature légalement opposable d'un simple clic sur un bouton. C'est le registre horodaté qui prouve ce qui s'est passé, quand, par qui et dans quelles conditions.
Définition
La piste d'audit est un enregistrement chronologique, infalsifiable et horodaté de toutes les actions réalisées sur une enveloppe de signature. Elle commence au moment de la création du document et s'étend jusqu'à son archivage final. Chaque événement est signé cryptographiquement pour garantir son intégrité.
Que contient-elle ?
Une piste d'audit complète enregistre : la création de l'enveloppe (qui, quand), l'envoi (date, heure, destinataires), l'ouverture de l'email par chaque signataire, la première consultation du document (avec IP, navigateur, OS, géolocalisation approximative), les différentes pages consultées, le nombre de fois que le document a été ouvert, la validation d'identité (réception OTP, saisie du code), la signature effective, et enfin l'archivage du document final.
Pourquoi est-elle essentielle ?
La piste d'audit est la preuve tangible de la signature. En cas de contentieux, c'est elle qui permet de répondre aux questions cruciales : le signataire a-t-il bien reçu le document ? L'a-t-il consulté ? A-t-il signé volontairement ? Depuis quel appareil ? Le document a-t-il été modifié après signature ? Sans piste d'audit, une signature électronique n'a pas beaucoup plus de valeur qu'une signature scannée.
Intégrité cryptographique
Chaque entrée de la piste d'audit est scellée par un horodatage certifié et lié aux entrées précédentes (principe de chaînage). Modifier un événement en amont invaliderait toute la chaîne suivante. De plus, chaque événement est signé avec la clé privée du serveur de signature, ce qui permet de vérifier qu'il n'a pas été créé ou modifié par un tiers.
Vérifier une piste d'audit
Sur Certyneo, la piste d'audit est disponible pour chaque enveloppe au format PDF et JSON. Elle peut être vérifiée indépendamment grâce à notre API de vérification. Le footer d'audit intégré au PDF signé contient un QR code qui renvoie directement à la piste d'audit en ligne. Vos signataires et leurs conseils juridiques peuvent ainsi la consulter à tout moment.
Conservation
La piste d'audit est conservée pendant toute la durée de vie du document signé, soit au minimum 10 ans (correspondant à la prescription légale la plus longue en matière contractuelle). Chez Certyneo, elle est archivée sur notre système à valeur probante, accessible à tout moment via votre tableau de bord ou votre API.
L'exemple Certyneo
La piste d'audit de Certyneo enregistre plus de 40 types d'événements différents. Elle est générée en temps réel, horodatée avec une source de temps certifiée NTP, et scellée cryptographiquement avec SHA-256. Cette robustesse fait partie des raisons pour lesquelles nos signatures sont reconnues en cas de contentieux par les tribunaux français et européens.
Essayez Certyneo gratuitement
Envoyez votre première enveloppe de signature en moins de 5 minutes. 5 enveloppes gratuites par mois, sans carte bancaire.
Continuez votre lecture sur Sécurité
Approfondissez vos connaissances avec ces articles en lien avec le sujet.
