Prestataires eIDAS qualifiés : la liste officielle 2026

Pourquoi le statut « qualifié » eIDAS est-il décisif pour votre entreprise ?

Depuis l'entrée en vigueur du règlement eIDAS (n° 910/2014), le marché européen de la signature électronique s'est profondément restructuré autour d'une hiérarchie à trois niveaux : la signature électronique simple (SES), la signature électronique avancée (AES) et la signature électronique qualifiée (QES). Cette dernière est la seule à bénéficier d'une présomption légale d'équivalence avec la signature manuscrite dans l'ensemble des États membres de l'Union européenne.

Pour qu'une entreprise puisse proposer des signatures qualifiées, elle doit impérativement avoir été auditée et inscrite sur la liste de confiance (Trust List) de son État membre. En France, c'est l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qui tient ce registre officiel, republié à son tour dans la liste européenne centralisée gérée par la Commission européenne.

Comprendre cette architecture est fondamental avant de signer le moindre contrat commercial sensible. Pour aller plus loin sur les bases réglementaires, notre guide complet sur le règlement eIDAS 2.0 détaille l'ensemble des obligations et des évolutions introduites par le règlement révisé eIDAS 2.0 (Règlement UE 2024/1183).

---

Comment sont certifiés les prestataires de services de confiance qualifiés ?

Le chemin vers le statut de Prestataire de Services de Confiance Qualifié (PSCQ) est exigeant. Il implique un audit réalisé par un organisme d'évaluation de la conformité (CAB, Conformity Assessment Body) accrédité, selon les normes ETSI EN 319 401 (exigences générales) et ETSI EN 319 411-2 pour les certificats qualifiés.

Les étapes de qualification ANSSI

1. Dépôt du dossier de qualification : le prestataire soumet sa documentation technique, sécuritaire et organisationnelle à l'ANSSI.
2. Audit par un CAB accrédité : un organisme tiers — tel que Bureau Veritas, LSTI ou Apave Certification — vérifie la conformité sur place et sur pièces.
3. Décision de qualification : l'ANSSI prononce la qualification et inscrit le prestataire sur la liste de confiance française (TL-FR).
4. Renouvellement périodique : la qualification est réévaluée, en général tous les deux ans, pour garantir le maintien des exigences.

Que vérifie concrètement l'audit ?

L'auditeur examine notamment :

• La sécurité physique des centres de données hébergeant les clés cryptographiques (modules HSM certifiés CC EAL 4+ ou FIPS 140-2 Level 3 minimum) ;
• Les politiques de certification (CP) et les déclarations des pratiques de certification (CPS) publiées par le prestataire ;
• Les procédures de vérification d'identité des signataires (face-à-face ou vérification d'identité à distance conforme à la norme EN 419 241-1) ;
• La gestion des révocations et la disponibilité des services OCSP/CRL.

Ces critères expliquent pourquoi seule une poignée d'acteurs atteignent et maintiennent ce niveau de certification en France.

---

Les prestataires eIDAS qualifiés référencés en France en 2026

La liste officielle des prestataires qualifiés est consultable à tout moment sur le portail officiel de la Commission européenne (eidas.ec.europa.eu/efts), en filtrant sur « France » et le service « QCertESig » (Qualified Certificate for Electronic Signature). Voici les acteurs qui figuraient au registre au moment de la rédaction de cet article (juin 2026) :

Acteurs français inscrits sur la Trust List

| Prestataire | Type de service qualifié | Particularité | |---|---|---| | Certigna (Dhimyotis) | Certificats qualifiés, horodatage qualifié | Groupe La Poste, certifié eIDAS depuis 2016 | | Certinomis | Certificats qualifiés | Filiale La Poste, orientée secteur public | | ChamberSign France | Certificats qualifiés | Réseau des CCI, fort ancrage PME/TPE | | Keynectis / DocuSign France | Certificats qualifiés | Acquis par DocuSign, maintien du label ANSSI | | Universign (Tessi) | Certificats qualifiés, horodatage | Pionnier du marché, intégré dans Tessi group | | Entrust (ex-Datacard) | Certificats qualifiés | Acteur international, Trust List multi-États membres | | Oodrive Sign | Certificats qualifiés | Éditeur souverain français, qualifié SecNumCloud |

> Avertissement : cette liste est fournie à titre indicatif et informatif. Seule la Trust List officielle de la Commission européenne fait foi. Vérifiez toujours le statut actuel sur le portail ETSI avant tout engagement contractuel.

Prestataires étrangers reconnus en France via la Trust List européenne

En vertu du principe de reconnaissance mutuelle posé par l'article 25 du règlement eIDAS, une signature qualifiée émise par un PSCQ inscrit sur la liste de confiance d'un autre État membre produit les mêmes effets juridiques en France. Parmi les acteurs non-français fréquemment utilisés :

• Namirial (Italie) : fort en signature qualifiée à distance (QES remote signing) ;
• SwissSign (Suisse) : attention, la Suisse n'est pas membre de l'UE ; la reconnaissance est partielle ;
• Qualified.one / Asseco Data Systems (Pologne) : acteur public européen, fréquent dans les marchés transfrontaliers.

Pour comparer ces solutions selon vos besoins métier, consultez notre comparatif des solutions de signature électronique qui analyse les critères prix, conformité et intégration API.

---

Comment choisir le bon prestataire eIDAS qualifié pour votre organisation ?

Figurer sur la Trust List est une condition nécessaire, mais pas suffisante. Le choix d'un PSCQ doit s'appuyer sur plusieurs critères complémentaires.

Critères techniques et d'intégration

• API REST ou SDK disponible : indispensable pour automatiser la signature dans vos workflows métier (ERP, SIRH, CRM) ;
• Formats de signature supportés : PAdES pour les PDF, XAdES pour les XML, CAdES pour les fichiers binaires — tous normalisés par ETSI EN 319 100 ;
• Disponibilité du service : SLA supérieur à 99,9 % garanti contractuellement, avec des plages de maintenance prévues hors heures ouvrées ;
• Hébergement des données : préférez un hébergement en France ou dans l'UE, idéalement qualifié SecNumCloud pour les données sensibles.

Critères juridiques et de conformité

• Vérifiez que le prestataire fournit un rapport de qualification à jour (moins de 24 mois) ;
• Exigez une politique de certification publiée (CP) accessible publiquement et auditée ;
• Assurez-vous que les conditions générales prévoient explicitement la délivrance de certificats qualifiés au sens de l'Annexe I du règlement eIDAS.

Critères opérationnels et support

• Procédure d'enrôlement des signataires : face-à-face en agence, vidéo-identification conforme eIDAS ou NFC depuis un titre d'identité électronique ;
• Support en français avec des délais de réponse contractuels ;
• Formation et documentation disponibles pour vos équipes juridiques et IT.

Si votre organisation gère des flux documentaires RH importants, notre page dédiée à la signature électronique pour les équipes RH détaille les cas d'usage spécifiques (contrats de travail, avenants, onboarding) et les niveaux de signature recommandés par type de document.

---

eIDAS 2.0 : quels changements pour les prestataires qualifiés en 2026 ?

Le règlement eIDAS 2.0 (Règlement UE 2024/1183, entré en application progressive depuis mai 2024) introduit plusieurs évolutions structurelles qui impactent directement les PSCQ et leurs clients.

Le Portefeuille Européen d'Identité Numérique (EUDI Wallet)

L'article 6a du règlement révisé impose aux États membres de proposer, d'ici septembre 2026, un portefeuille d'identité numérique (EUDI Wallet) reconnu dans toute l'UE. Pour les prestataires qualifiés, cela signifie :

• L'obligation de accepter les attributs d'identité issus du wallet comme preuve d'identité pour l'enrôlement des signataires ;
• L'émergence d'un nouveau service qualifié : la délivrance d'attestations d'attributs qualifiés (Qualified Electronic Attestation of Attributes, QEAA).

Nouveaux services qualifiés et extension du périmètre

eIDAS 2.0 élargit la liste des services de confiance qualifiés pour inclure :

• Les services d'archivage électronique qualifié (QPDS, article 45f) ;
• Les services de gestion de dispositifs de création de signature à distance (QRCD).

Ces évolutions représentent à la fois une contrainte de mise en conformité (délais serrés pour les prestataires existants) et une opportunité de différenciation pour les nouveaux entrants capables d'intégrer rapidement les spécifications techniques publiées par l'ENISA et l'ETSI.

Pour les entreprises qui envisagent une migration depuis une plateforme existante vers une solution plus conforme, notre guide de migration depuis DocuSign ou YouSign vers Certyneo présente les étapes concrètes et les points de vigilance réglementaires.

Cadre légal applicable aux prestataires eIDAS qualifiés

Règlement eIDAS et droit européen

Le socle juridique est le Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (dit « règlement eIDAS »), tel que modifié par le Règlement (UE) 2024/1183 (eIDAS 2.0). Ce règlement est directement applicable dans tous les États membres sans transposition nationale.

Ses dispositions clés pour les prestataires qualifiés :

• Article 17 : obligation pour chaque État membre de désigner un organe de contrôle (en France, l'ANSSI) ;
• Article 20 : procédure de supervision, d'audit et d'inscription sur la liste de confiance ;
• Article 25 : présomption d'équivalence entre QES et signature manuscrite, avec effet juridique garanti dans toute l'UE ;
• Annexe I : exigences relatives aux certificats qualifiés pour signature électronique ;
• Annexe II : exigences relatives aux dispositifs de création de signature qualifiée (QSCD).

Droit français

En droit interne, la signature électronique est encadrée par :

• Code civil, articles 1366 et 1367 : l'article 1366 reconnaît la valeur probante de l'écrit électronique à condition de garantir l'identité de l'auteur et l'intégrité du document. L'article 1367 précise que la signature électronique consistant en un procédé fiable d'identification bénéficie d'une présomption de fiabilité lorsqu'elle est créée conformément au décret d'application ;
• Décret n° 2017-1416 du 28 septembre 2017 : définit les conditions dans lesquelles la signature électronique qualifiée est présumée fiable en France, en renvoyant explicitement au règlement eIDAS ;
• Ordonnance n° 2005-674 du 16 juin 2005 relative à l'accomplissement de certaines formalités contractuelles par voie électronique.

Protection des données personnelles

Les processus d'enrôlement et de signature impliquent le traitement de données à caractère personnel (données d'identité, biométrie pour la vidéo-identification). Le prestataire qualifié est soumis au Règlement (UE) 2016/679 (RGPD) et doit notamment :

• Désigner un DPO si le traitement est à grande échelle ;
• Documenter les traitements dans le registre CNIL ;
• Encadrer les transferts hors UE par des garanties appropriées (clauses contractuelles types, décision d'adéquation).

Cybersécurité et résilience

Depuis octobre 2024, la Directive NIS2 (2022/2555/UE) s'applique aux prestataires de services de confiance qualifiés, classés comme entités essentielles. Ils doivent mettre en place des mesures de gestion des risques cyber, notifier les incidents significatifs à l'ANSSI sous 24 heures, et se soumettre à des audits réguliers. Le non-respect expose à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel.

Normes techniques de référence

• ETSI EN 319 401 : exigences générales pour les prestataires de services de confiance ;
• ETSI EN 319 411-2 : profil de politique pour les certificats qualifiés ;
• ETSI EN 319 132 : formats de signature XAdES ;
• ETSI EN 319 122 : formats de signature CAdES ;
• ETSI EN 319 162 : formats de signature PAdES (PDF).

Scénarios d'usage : quand la signature qualifiée eIDAS est-elle indispensable ?

Scénario 1 — Un cabinet d'avocats gérant des actes sous seing privé à haute valeur probante

Un cabinet d'avocats d'affaires d'une vingtaine de collaborateurs traite chaque mois plusieurs dizaines de cessions de parts sociales, de protocoles d'accord et de conventions de garantie d'actif et de passif (GAP). Ces actes engagent des sommes souvent supérieures à plusieurs centaines de milliers d'euros et sont susceptibles d'être contestés en justice.

Avant de migrer vers un prestataire eIDAS qualifié, le cabinet utilisait une solution de signature avancée (AES), ce qui suffisait pour la majorité des actes courants. Après un incident où la partie adverse a contesté l'authenticité d'une signature lors d'un litige, le cabinet a fait le choix de la QES pour tous les actes à enjeu élevé. Résultat : réduction de 90 % du temps passé à produire des preuves de signature lors des procédures contentieuses, grâce à la présomption légale irréfragable attachée à la QES. Le surcoût unitaire par signature (environ 2 à 5 € selon les volumes) a été intégralement absorbé par la baisse des frais de contentieux.

Scénario 2 — Une ETI industrielle gérant des contrats fournisseurs transfrontaliers

Une entreprise de taille intermédiaire (ETI) du secteur de l'équipement industriel, avec des fournisseurs établis en France, en Allemagne, en Italie et en Pologne, devait jusqu'alors envoyer ses contrats cadres par courrier postal ou organiser des rendez-vous de signature en présentiel, générant des délais de 10 à 21 jours ouvrés par contrat.

En déployant une solution connectée à un PSCQ européen inscrit sur la Trust List, l'entreprise a ramené le cycle de signature à moins de 48 heures en moyenne. La reconnaissance mutuelle entre États membres garantit la valeur juridique sans besoin de légalisation supplémentaire. Sur un portefeuille de 350 contrats fournisseurs annuels, le gain estimé en coûts administratifs et logistiques dépasse 40 000 € par an, selon des fourchettes cohérentes avec les études sectorielles publiées par l'ACFE et l'APQC.

Scénario 3 — Un groupement hospitalier soumis aux exigences du secteur de la santé

Un groupement hospitalier d'environ 1 200 lits doit signer électroniquement des marchés publics, des conventions de recherche clinique et des contrats de praticiens hospitaliers. Ces documents sont soumis au Code de la commande publique, qui exige une signature électronique conforme au RGS (Référentiel Général de Sécurité) de niveau ** ou, depuis la dématérialisation des marchés publics, à un niveau équivalent eIDAS.

En s'appuyant sur un PSCQ inscrit sur la Trust List française, le groupement garantit la conformité avec l'article R. 2132-7 du Code de la commande publique tout en réduisant les délais de signature des marchés de 15 jours à moins de 72 heures. L'intégration API avec le système d'information hospitalier (SIH) a permis d'automatiser l'envoi et le suivi des documents, libérant environ 0,4 ETP sur les tâches administratives liées aux contrats.

Conclusion

Choisir un prestataire eIDAS qualifié n'est pas un simple achat logiciel : c'est une décision stratégique qui engage la valeur probante de vos actes, la conformité réglementaire de votre organisation et la confiance de vos partenaires commerciaux et institutionnels. En 2026, avec l'entrée en vigueur progressive d'eIDAS 2.0 et les nouvelles obligations NIS2, le niveau d'exigence ne fait qu'augmenter.

Les points essentiels à retenir : vérifiez systématiquement l'inscription sur la Trust List officielle, exigez une politique de certification publiée, et adaptez le niveau de signature (QES, AES, SES) à l'enjeu juridique de chaque document.

Certyneo vous accompagne dans cette démarche en vous donnant accès à des certificats qualifiés via des PSCQ référencés, une API d'intégration robuste et un support juridique dédié. Prêt à passer à la signature qualifiée ? Demandez une démonstration ou créez votre compte sur Certyneo et mettez votre organisation en conformité dès aujourd'hui.