Obligations du prestataire de signature électronique au Canada français

Introduction

Déployer une solution de signature électronique en France ne s'improvise pas. Derrière chaque signature qualifiée ou avancée se cachent des dizaines d'obligations légales qui incombent au prestataire de services de confiance (PSCo). Règlement eIDAS, RGPD, référentiel général de sécurité, normes ETSI… le cadre réglementaire est à la fois dense et évolutif. Pour les entreprises utilisatrices, comprendre ces obligations légales prestataire signature électronique France eIDAS RGPD est indispensable afin de choisir un partenaire conforme et d'éviter tout risque juridique. Cet article détaille, section par section, l'ensemble des exigences applicables aux PSCo opérant sur le territoire français.

---

Le statut de prestataire de services de confiance qualifié

Qu'est-ce qu'un PSCo au sens d'eIDAS ?

Le règlement eIDAS n° 910/2014 distingue deux catégories de prestataires : les prestataires de services de confiance non qualifiés et les prestataires qualifiés (PSCQ). Les premiers peuvent proposer des services de signature électronique simple ou avancée sans audit tiers obligatoire. Les seconds — seuls autorisés à délivrer des signatures qualifiées au sens de l'article 3(15) d'eIDAS — doivent satisfaire à des exigences considérablement plus strictes.

En France, c'est l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qui remplit le rôle d'autorité de supervision (« Supervisory Body ») prévu par l'article 17 d'eIDAS. Elle publie et maintient la liste de confiance française (TSL — Trust Service List), accessible sur son site officiel, recensant les prestataires qualifiés et leurs services.

La procédure de qualification : audit et conformité

Pour obtenir le statut qualifié, un PSCo doit obligatoirement :

• Faire auditer ses services par un organisme d'évaluation de la conformité (CAB — Conformity Assessment Body) accrédité par le COFRAC selon la norme EN ISO/IEC 17065.

• Soumettre le rapport d'audit à l'ANSSI, qui statue sur l'octroi du statut qualifié. Ce statut est réévalué au moins tous les 24 mois (article 20 §1 eIDAS).

• Notifier l'ANSSI de tout changement substantiel dans ses services dans un délai de 3 mois avant la modification prévue (article 21 eIDAS).

Le non-respect de ces étapes expose le prestataire à une radiation de la TSL et à la perte des présomptions juridiques attachées à la signature qualifiée. Pour les entreprises clientes, recourir à un PSCo non listé sur la TSL revient à ne bénéficier d'aucune présomption légale de fiabilité.

> Pour aller plus loin sur les différents niveaux de signature et leurs effets juridiques, consultez notre .

---

Obligations techniques et de sécurité imposées aux PSCo

Respect des normes ETSI

Les prestataires qualifiés doivent se conformer à un ensemble de normes européennes publiées par l'European Telecommunications Standards Institute (ETSI). Les principales sont :

• ETSI EN 319 401 : exigences générales de sécurité applicables à tous les PSCo.

• ETSI EN 319 411-1 et 411-2 : politiques et pratiques des autorités de certification délivrant des certificats de signature qualifiée.

• ETSI EN 319 132 : formats de signature électronique avancée (XAdES pour XML, PAdES pour PDF, CAdES pour CMS).

• ETSI EN 319 122 : format CAdES pour les signatures qualifiées.

• ETSI TS 119 431 : exigences pour les services de création de signature à distance (QSCD distant).

Ces normes ne sont pas optionnelles : le règlement eIDAS (Annexe II, III et IV) y renvoie explicitement pour définir les exigences minimales des certificats qualifiés et des dispositifs de création de signature.

Gestion des dispositifs sécurisés de création de signature (QSCD)

L'un des piliers de la signature qualifiée est l'utilisation d'un dispositif sécurisé de création de signature (QSCD — Qualified Signature Creation Device) conforme à l'Annexe II d'eIDAS. Le prestataire doit garantir que :

• La clé privée du signataire ne peut être générée, stockée ou copiée en dehors du QSCD.

• La génération de la clé se fait exclusivement dans un environnement certifié (certification Common Criteria EAL 4+ ou équivalent).

• L'authentification du signataire précédant tout acte de signature repose sur au moins deux facteurs d'authentification.

Dans un contexte de signature à distance — de plus en plus répandu dans les environnements SaaS — ces exigences s'appliquent au serveur HSM (Hardware Security Module) hébergeant les clés. L'ANSSI a publié des profils de protection spécifiques (PP-0075, PP-0076) définissant les critères de sécurité à atteindre.

Politique de continuité et de notification d'incidents

L'article 19 d'eIDAS impose à tout prestataire de services de confiance (qualifié ou non) de :

• Notifier l'autorité de supervision (ANSSI) et, le cas échéant, l'autorité de protection des données (CNIL), dans les 24 heures suivant la détection d'une violation de sécurité susceptible d'avoir un impact sur la fiabilité du service.

• Tenir un plan de continuité d'activité documenté et testé régulièrement.

• Disposer d'une politique de sécurité de l'information formalisée, couvrant notamment la gestion des risques, la gestion des incidents et la politique de sauvegarde.

Ces exigences se recoupent partiellement avec celles de la directive NIS2 (2022/2555/UE), transposée en droit français par la loi n° 2023-703 du 1er août 2023, qui classe les PSCo de taille significative parmi les entités importantes ou essentielles soumises à des obligations renforcées de cybersécurité.

> Découvrez comment la doit intégrer ces contraintes dans leurs workflows documentaires.

---

Obligations RGPD spécifiques aux PSCo

Le PSCo, responsable de traitement ou sous-traitant ?

La qualification RGPD du prestataire dépend de la nature du service rendu :

• Lorsque le PSCo délivre directement des certificats qualifiés au nom du signataire et détermine les finalités du traitement de données personnelles (identité, données biométriques d'authentification), il agit en tant que responsable de traitement au sens de l'article 4(7) RGPD.

• Lorsqu'il intègre son API dans la plateforme d'un client B2B et traite les données personnelles selon les seules instructions de ce client, il revêt la qualité de sous-traitant (article 4(8) RGPD) et doit obligatoirement conclure un DPA (Data Processing Agreement) conforme à l'article 28 RGPD.

En pratique, la plupart des PSCo SaaS cumulent les deux qualités : responsable pour la gestion de leur propre infrastructure de certification, sous-traitant pour le traitement des documents et métadonnées des signataires.

Obligations spécifiques liées aux données biométriques et d'identité

L'identification et authentification du signataire — étape obligatoire pour délivrer un certificat qualifié — implique souvent le traitement de données sensibles : scan de pièce d'identité, selfie vidéo, données biométriques de reconnaissance faciale. Ces données constituent des données à caractère personnel soumises au RGPD, voire des données biométriques relevant de l'article 9 RGPD (catégories particulières).

Les obligations du PSCo incluent :

• Base légale : le consentement explicite (article 9§2a) ou, dans certains cas, l'obligation légale (article 9§2b) pour le traitement des données biométriques.

• Durée de conservation limitée : selon les lignes directrices CNIL, les données d'identification doivent être conservées le temps strictement nécessaire, généralement aligné sur la durée de validité du certificat + durée légale de preuve (souvent 10 ans pour les actes sous seing privé, article 2224 du Code civil).

• Analyse d'impact (AIPD) obligatoire (article 35 RGPD) dès lors que le traitement est susceptible d'engendrer un risque élevé — ce qui est systématiquement le cas pour la biométrie.

• Registre des traitements (article 30 RGPD) tenu à jour et documentant chaque catégorie de traitement.

Transferts internationaux de données

Nombreux sont les PSCo qui hébergent tout ou partie de leur infrastructure en dehors de l'Espace Économique Européen (EEE). Dans ce cas, les garanties appropriées exigées par le chapitre V RGPD s'imposent : décision d'adéquation, clauses contractuelles types (SCCs) de la Commission européenne ou règles d'entreprise contraignantes (BCR). L'arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020) a rappelé que les transferts vers les États-Unis requièrent une analyse de risque pays préalable.

> Pour comprendre l'impact de ces règles sur votre organisation, consultez notre .

---

Obligations de transparence et d'information envers les utilisateurs

Politique de certification (PC) et déclaration des pratiques de certification (DPC)

Tout PSCo délivrant des certificats est tenu de publier une Politique de Certification (PC) et une Déclaration des Pratiques de Certification (DPC), conformément à la norme ETSI EN 319 411. Ces documents, librement accessibles, détaillent :

• Les procédures d'identification et d'enregistrement des signataires.

• Les mesures de sécurité physiques et logiques déployées.

• Les conditions de révocation des certificats et les délais associés.

• Les responsabilités et limitations de garantie du PSCo.

L'absence ou l'incomplétude de ces documents constitue une non-conformité susceptible d'être relevée lors de l'audit de requalification par l'organisme accrédité.

Information précontractuelle et contractuelle des clients

Au-delà des obligations purement techniques, l'article 13 RGPD impose au PSCo de fournir à chaque personne dont les données sont collectées une information claire et accessible sur :

• L'identité du responsable de traitement et les coordonnées du DPO (obligatoire pour les PSCo qui traitent à grande échelle des données sensibles, article 37 RGPD).

• Les finalités et bases légales de chaque traitement.

• Les droits des personnes (accès, rectification, effacement, portabilité, opposition).

• Les éventuels destinataires des données (sous-traitants, autorités).

Ces informations doivent figurer dans la politique de confidentialité du service, dans les CGU et, le cas échéant, dans le DPA conclu avec les clients professionnels.

Horodatage qualifié et piste d'audit

Pour garantir la valeur probante à long terme des signatures, les PSCo sérieux associent systématiquement un horodatage électronique qualifié (article 42 eIDAS) à chaque acte signé. Cet horodatage constitue une preuve légalement présumée de l'existence de la donnée à la date indiquée. La conservation de la piste d'audit (logs d'identification, empreinte du document, données de la signature) est une obligation de fait pour permettre toute vérification judiciaire ultérieure.

> Comparez les solutions du marché selon ces critères dans notre .

---

eIDAS 2.0 : les nouvelles obligations à l'horizon 2026-2027

Le règlement eIDAS 2.0 (UE) 2024/1183

Publié au Journal officiel de l'UE le 30 avril 2024, le règlement (UE) 2024/1183 dit « eIDAS 2.0 » renforce significativement les obligations des PSCo autour de trois axes :

• Le Portefeuille Européen d'Identité Numérique (EUDI Wallet) : les États membres doivent mettre à disposition un portefeuille d'identité numérique certifié d'ici le 2 novembre 2026. Les PSCo devront intégrer leur service avec ce portefeuille pour proposer des signatures qualifiées via l'identité eIDAS 2.0.

• La gestion des attestations d'attributs : eIDAS 2.0 introduit les attestations d'attributs qualifiées (QEAAs), délivrées par des prestataires qualifiés d'attestation. De nouvelles procédures d'audit et de qualification s'appliqueront.

• Le renforcement de la supervision : les autorités nationales de supervision (ANSSI pour la France) voient leurs pouvoirs élargis, notamment la capacité à diligenter des audits inopinés et à infliger des mesures correctives contraignantes dans des délais raccourcis.

Implications pratiques pour les prestataires actuels

Les PSCo déjà qualifiés sous eIDAS 1.0 devront procéder à une mise en conformité progressive avant les échéances fixées par les actes d'exécution de la Commission (publiés ou en cours de publication). Les principales adaptations concernent :

• La refonte de l'infrastructure d'identification pour supporter l'EUDI Wallet comme moyen d'authentification.

• La mise à jour des PC/DPC pour intégrer les nouvelles typologies de certificats et d'attestations.

• Le renforcement des exigences de sécurité des QSCD distants, avec de nouveaux profils de protection à venir.

Pour les entreprises clientes, cela signifie vérifier dès aujourd'hui que leur prestataire dispose d'une roadmap de conformité eIDAS 2.0 documentée et vérifiable.

Cadre légal applicable aux obligations des prestataires de signature électronique

La chaîne normative applicable aux prestataires de signature électronique opérant en France s'articule sur plusieurs niveaux hiérarchiques complémentaires.

Code civil français — Articles 1366 et 1367

L'article 1366 du Code civil reconnaît l'écrit électronique comme mode de preuve équivalent à l'écrit papier, à condition que « puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité ». L'article 1367 précise que la signature électronique « consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache ». La présomption de fiabilité bénéficie aux signatures qualifiées au sens d'eIDAS, renversant la charge de la preuve en faveur du signataire.

Règlement eIDAS n° 910/2014/UE

Ce règlement, d'application directe dans tous les États membres, établit le cadre juridique des services de confiance. Son article 26 définit les conditions de la signature électronique avancée ; son article 28 les exigences des certificats qualifiés ; son Annexe I détaille le contenu obligatoire de ces certificats. Les PSCo qualifiés bénéficient d'une présomption de conformité aux exigences techniques et juridiques du règlement (article 19§2), ce qui constitue un atout majeur en cas de litige.

Règlement eIDAS 2.0 — (UE) 2024/1183

Publié le 30 avril 2024, ce règlement modificatif introduit de nouvelles catégories de services de confiance (attestations d'attributs qualifiées, services d'archivage qualifiés) et renforce les obligations de supervision. Il abroge et remplace partiellement le règlement 910/2014, avec une applicabilité progressive selon les actes d'exécution de la Commission européenne.

RGPD — Règlement (UE) 2016/679

Le RGPD s'applique à tout traitement de données personnelles réalisé dans le cadre d'un service de signature électronique. Les articles 5 (principes de licéité), 6 (base légale), 9 (données sensibles), 13-14 (information), 28 (sous-traitance), 32 (sécurité), 33-34 (notification de violation), 35 (AIPD) et 37 (DPO) constituent les dispositions les plus fréquemment applicables. La CNIL est l'autorité de contrôle compétente en France et peut infliger des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel (article 83§5 RGPD).

Directive NIS2 — (UE) 2022/2555

Transposée en droit français par la loi n° 2023-703 du 1er août 2023, NIS2 classe les PSCo significatifs parmi les entités importantes ou essentielles soumises à des obligations de gestion des risques cyber et de notification d'incidents à l'ANSSI sous 24 heures (alerte précoce) puis 72 heures (notification complète).

Normes ETSI

L'ensemble des normes EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 et TS 119 431 constitue la référence technique obligatoire pour l'audit de qualification. Leur non-respect entraîne l'impossibilité d'obtenir ou de maintenir le statut qualifié.

Risques juridiques en cas de non-conformité

Un prestataire non conforme s'expose à : radiation de la TSL française, engagement de sa responsabilité contractuelle et extracontractuelle, sanctions administratives CNIL, amendes NIS2 pouvant atteindre 10 millions d'euros ou 2 % du CA mondial pour les entités importantes et 20 millions ou 4 % du CA pour les entités essentielles, ainsi qu'à des recours judiciaires des clients ayant subi un préjudice en raison de signatures non valides juridiquement.

Scénarios d'usage : comment les entreprises vérifient la conformité de leur PSCo

Scénario 1 — Un groupe industriel gérant 3 000 contrats fournisseurs par an

Un groupe industriel de taille intermédiaire (ETI), actif dans la fabrication d'équipements mécaniques, dématérialise l'ensemble de ses contrats fournisseurs via une plateforme SaaS de signature électronique. Lors d'un audit interne déclenché après une évolution réglementaire, la direction juridique constate que le prestataire retenu — initialement choisi sur critère de prix — n'est référencé ni sur la TSL française, ni sur aucune TSL européenne. Les signatures délivrées sont de type « simple » sans mécanisme d'identification robuste du signataire.

Face au risque juridique — l'ensemble des contrats signés pourrait voir leur valeur probante contestée en cas de litige — l'entreprise engage une migration vers un PSCo qualifié ANSSI. La nouvelle solution intègre une signature avancée avec certificat qualifié, un horodatage qualifié et une piste d'audit exportable. Le chantier de migration, réalisé en moins de 8 semaines, permet de sécuriser rétrospectivement les nouveaux actes et d'établir une politique documentaire conforme. Les équipes juridiques estiment que le risque contentieux lié aux anciens contrats reste marginal du fait de leur exécution sans contestation, mais toute nouvelle signature est désormais couverte.

Gains observés : réduction de 60 % des litiges potentiels liés à l'authenticité des signatures, et gain de 3,5 jours de délai moyen de signature sur les contrats complexes grâce à l'automatisation du workflow de validation.

Scénario 2 — Un cabinet d'avocats de 25 collaborateurs spécialisé en droit des affaires

Un cabinet d'avocats souhaitant digitaliser la signature des mandats, des consultations et des actes de procédure évalue plusieurs prestataires. Sa grille d'analyse intègre les critères suivants : présence sur la TSL, publication d'une PC/DPC accessible, existence d'un DPA conforme RGPD, disponibilité d'un DPO joignable et certification des QSCD distants.

Sur cinq prestataires évalués, deux seulement satisfont l'ensemble des critères. Le cabinet retient finalement un PSCo proposant nativement une signature qualifiée via QSCD distant, garantissant la présomption de fiabilité de l'article 1367 du Code civil. La mise en place prend 3 semaines, formation incluse. Résultat : 75 % des mandats sont désormais signés en moins de 24 heures contre 5 à 7 jours auparavant (envoi postal), et le cabinet peut justifier à ses clients le niveau de sécurité juridique offert par la solution — un argument différenciant dans ses propositions commerciales.

Scénario 3 — Un groupement hospitalier d'environ 1 200 lits

Un groupement hospitalier public souhaite dématérialiser les contrats de travail, les conventions de stage et les accords de partenariat avec des établissements de soins partenaires. La sensibilité des données traitées (données de santé des personnels soignants, données RH) impose une vigilance particulière sur les obligations RGPD du PSCo.

La DSI et le DPO de l'établissement exigent : hébergement des données en France chez un hébergeur de données de santé certifié HDS (Hébergeur de Données de Santé, certification prévue par l'article L.1111-8 du Code de la santé publique), absence de transfert hors EEE, AIPD documentée pour le traitement d'identification des signataires, et DPA signé avant toute mise en production.

Après sélection d'un PSCo répondant à ces critères, le déploiement couvre en priorité les contrats RH (environ 800 actes par an). Le délai moyen de signature des contrats à durée déterminée passe de 9 jours à moins de 48 heures, libérant une capacité significative pour les équipes des ressources humaines. L'établissement dispose en outre d'une traçabilité complète des consentements recueillis, auditée annuellement par son DPO.

Conclusion

Les obligations légales pesant sur les prestataires de signature électronique en France forment un corpus normatif exigeant : qualification eIDAS, conformité RGPD, respect des normes ETSI, obligations NIS2 et adaptation imminente à eIDAS 2.0. Pour les entreprises utilisatrices, s'assurer de la conformité de son PSCo n'est pas une démarche optionnelle — c'est une condition sine qua non de la valeur probante des actes signés et de la protection des données personnelles des signataires.

Certyneo est un prestataire de signature électronique conçu pour répondre à l'ensemble de ces exigences : conformité eIDAS, RGPD by design, hébergement souverain et roadmap eIDAS 2.0 documentée. Prêt à sécuriser vos signatures en toute conformité ? et bénéficiez d'un accompagnement personnalisé dès le premier jour.