Signature électronique qualifiée (QES) : le niveau eIDAS le plus fort

La signature électronique qualifiée, souvent abrégée QES (Qualified Electronic Signature), est le niveau le plus élevé défini par le règlement européen eIDAS. C'est la seule signature électronique qui bénéficie en France d'une présomption légale de fiabilité, ce qui lui confère exactement la même valeur juridique qu'une signature manuscrite. Elle repose sur un certificat qualifié délivré par un prestataire de services de confiance qualifié (QTSP) reconnu par l'ANSSI.

Qu'est-ce qu'une signature qualifiée ?

Selon l'article 3, point 12 du règlement eIDAS (UE) n°910/2014, une signature qualifiée est une signature électronique avancée créée à l'aide d'un dispositif qualifié de création de signature électronique (QSCD) et basée sur un certificat qualifié. Elle est définie juridiquement par trois propriétés cumulatives : l'identité du signataire est vérifiée en face-à-face ou par un moyen équivalent, la clé privée est stockée sur un dispositif certifié, et le certificat est émis par un QTSP audité.

Le cadre légal : présomption de fiabilité

En France, le décret n°2017-1416 du 28 septembre 2017 (pris pour l'application de l'article 1367 du Code civil) précise que la signature qualifiée bénéficie d'une présomption de fiabilité. Concrètement, en cas de litige, c'est à celui qui conteste la signature de prouver qu'elle n'est pas valide — et non au demandeur de prouver sa validité. Pour les niveaux simple (SES) et avancé (AES), la charge de la preuve est inversée : c'est à celui qui s'en prévaut de démontrer la fiabilité du procédé.

Comment obtenir un certificat qualifié ?

Un certificat qualifié ne se délivre pas en ligne en quelques clics. Le signataire doit vérifier son identité en personne auprès d'un bureau d'enregistrement accrédité, ou par visio-identification conforme au référentiel PVID de l'ANSSI. La liste des QTSP français est publiée sur le site de l'ANSSI (rubrique Trust Services List). Parmi eux : Certigna (groupe Dhimyotis), Docaposte (La Poste), Certinomis, Universign.

QES ou AES : comment choisir ?

La QES est obligatoire pour certains actes : actes authentiques numériques chez le notaire, actes d'avocats soumis à l'article 66-3-3 de la loi du 31 décembre 1971, certaines déclarations fiscales et sociales dématérialisées, marchés publics au-dessus de certains seuils. Pour la grande majorité des contrats commerciaux (CDI, CDD, NDA, devis, bons de commande, prestations de service), une signature avancée (AES) avec OTP email/SMS est juridiquement suffisante et bien plus pratique à mettre en œuvre.

Le rôle de Certyneo

Certyneo propose aujourd'hui les niveaux simple (SES) et avancé (AES) avec OTP email et SMS, qui couvrent 95 % des cas d'usage d'une PME ou ETI. Pour les cas où la QES est obligatoire, nous recommandons une intégration via un QTSP partenaire : vos documents restent dans Certyneo, le signataire est redirigé vers le flux qualifié du QTSP le temps de la signature, puis le PDF signé revient horodaté et archivé dans votre compte.

eIDAS 2.0 et l'EUDI Wallet

Le règlement eIDAS 2.0 (UE 2024/1183) va simplifier l'accès à la QES via l'EUDI Wallet, le portefeuille d'identité numérique européen que chaque État membre doit proposer avant fin 2026. Un citoyen équipé de son wallet pourra générer une signature qualifiée à distance, sans passer par un bureau d'enregistrement physique, tout en gardant le même niveau de garantie. C'est une avancée majeure pour les cas d'usage B2C et administratifs.