… telle est la question.
La signature électronique a connu un essor sans précédent ces derniers mois, comme tous les services numériques.
Comme tous les services qui ont aidé à supporter le « télé-travail », forcé et contraint par la situation singulière et inédite pour l’humanité.
Par conséquent, déconcentration des forces vives, éparpillement et mise à distance des relations professionnelles. Un contexte anxiogène où le débat de la confiance redevient central. Alors, quelle confiance accorder à nos outils numériques ou aux usages numériques qui nous sont imposés?
Besoin de confiance
Le besoin en « Tiers de confiance » est évident. Noyés dans la matrice, nous nous sommes trouvés contraints d’avoir des outils « de confiance »: l’accès à internet, confiance à la sécurisation de l’accès aux ressources de l’entreprise, etc.
Mais aussi besoin confiance dans les outils de communication: visio, etc.
Aussi, professionnellement, conclure un accord se traduit par une signature sur un document. Or il a été impossible de se rencontrer et de signer « face-à-face ». Alors où et comment retrouver la confiance dans les outils numériques?
Autrement dit, sur quel prestataire (tiers) de confiance se reposer pour la signature numérique?
Enfin, ils sont si nombreux ! Pêle-mêle et dans le désordre, voici : DocuSign, Adobe Sign, Universign, Eversign, YouSign, SignaturIt, Maileva, SignEasy, Docage, Contralia, Sunnystamp, Connectiva, CertSign, LiveConsent, LuxTrust, etc.
Un diplôme ou un label pour les bons prestataires
La blague du bon et du mauvais chasseur, transposée aux prestataires de signature. Ça marche aussi!
Il y a donc des bons et des mauvais PSCo de signature. Le bon prestataire, il voit un document… Bah il le fait signer, hein… Et le mauvais presta, etc.
En bref, un bon prestataire ça se labellise, ça se fait « certifier ». Une telle entreprise va écrire sa politique de certification et de signature. Puis se faire auditer sur cette politique. Enfin faire vérifier que ladite politique respecte le cahier des charges d’un « référentiel » connu de tous.
Selon le périmètre, le référentiel change.
En France, l’ANSSI a décrit le sien, nommé RGS (Référentiel Général de Sécurité). Valable en France et c’est tout.
L’Europe a produit le règlement eIDAS. Valable dans tous les pays de l’UE, dont la France évidemment où il a force de loi. Les prestataires certifiés sont présents sur l’EUTL: European Union Trust List.
Le monde… il n’y a pas de cadre mondial. Aucun organisme, aucune ONG n’a réussi ou tenté. Pas l’ONU, ni l’OMC, l’EFF ou autre organe de régulation/normalisation. Par contre, le marché s’en est chargé.
Adobe a créé et entretenu un standard documentaire, le format PDF (« portable document format »). Quoi de plus normal de se positionner comme « acteur incontournable » de la confiance? Adobe a donc créé AATL: Adobe Approved Trust List, un club fermé.
Parmi ces membres, certains sont adhérents au CSC (consortium de signatures cloud) : ces fournisseurs de services approuvés s’engagent à fournir des services d’identification numérique conformes à la norme d’API ouverte du consortium de signatures cloud
Le cas DocuSign
J’aime bien DocuSign. C’est un poids lourd du marché, omniprésent à l’échelle mondiale, incontournable. Il participe à la « transition numérique », comme on dit.
Leurs outils sont exemplaires d’un point de vue « UX » (eXpérience Utilisateur). C’est facile, ultra-efficace, plutôt intuitif. Ma maman adorerait.
Et après ça, quelle confiance accorder aux services proposés par DocuSign à destination d’utilisateurs en Europe? Quelle valeur juridique opposable ont les documents passés par cette plateforme?
Commençons par distinguer DocuSign et DocuSign. Ou plus précisément « DocuSign, Inc. » (CA, USA) et « DocuSign France ».