- La SES est juridiquement valable au sens d’eIDAS, mais sans chiffrement, sans vérification d’identité et sans protection contre la falsification.
- L’écart de prix entre SES et AES est minime. L’écart de sécurité est colossal.
- La SES convient pour des validations internes. Elle ne convient pas pour des contrats susceptibles d’être contestés.
- swipesign ne propose volontairement pas de SES, car elle crée des problèmes en aval pour les clients.
La signature électronique simple (SES) est le théâtre de la sécurité de l’ère numérique. Elle paraît officielle parce qu’elle est électronique et signée. Elle semble légitime parce que vous utilisez un outil de signature numérique. Mais techniquement, elle prouve seulement que quelqu’un a probablement cliqué quelque part, peut-être. C’est tout. Voilà toute la garantie.
Ce qu’est réellement la signature électronique simple
La SES, c’est le minimum absolu. Au sens du règlement eIDAS, elle a techniquement une valeur juridique. Mais valeur juridique et sécurité réelle ne sont pas la même chose.
Voici ce que vous obtenez : un nom, probablement. Un horodatage, peut-être. Une forme de preuve que le document existe dans un certain état à un moment donné. C’est tout le paquet.
- • Aucune vérification d’identité — le signataire pourrait être n’importe qui.
- • Aucun chiffrement — le document circule en clair.
- • Aucune protection contre la falsification — le contrat peut changer, la signature reste.
- • Aucune authentification sérieuse — le plus souvent un nom saisi ou un clic sur « J’accepte ».
Comparez cela à la signature électronique avancée (AES), qui exige des certificats qualifiés, du chiffrement, une vérification d’identité et une protection contre la falsification, ou à la signature électronique qualifiée (QES), qui requiert une vérification par pièce d’identité officielle et opère sous supervision réglementaire.
“La SES n’est pas une version allégée de la sécurité. C’est une absence de sécurité, habillée du langage de la signature numérique.”
Le problème du chiffrement
Soyons précis sur la raison pour laquelle la SES n’est, fondamentalement, qu’un e-mail.
Lorsque vous envoyez un contrat par e-mail, il transite par une infrastructure internet qui peut être inspectée, copiée ou altérée à plusieurs points. Le destinataire n’a aucun moyen de confirmer qu’il n’a pas été modifié en chemin. Il doit simplement faire confiance au fait qu’il est arrivé inchangé.
La SES offre la même garantie. C’est-à-dire aucune. Le document n’est pas chiffré. Il n’est pas lié cryptographiquement au signataire. Il est simplement là, et toute personne en mesure de l’intercepter peut le lire ou le modifier.
Le problème de la vérification d’identité
L’e-mail souffre du même problème d’identité. Vous recevez un message de quelquun@entreprise.fr. Mais l’avez-vous vraiment reçu de quelqu’un de cette entreprise ? Ou quelqu’un a-t-il usurpé l’adresse ?
La SES fonctionne de la même manière. Quelqu’un saisit un nom ou un e-mail. Est-ce vraiment la bonne personne ? Personne ne l’a vérifié. Aucun système n’a contrôlé quoi que ce soit.
Quand la SES est presque acceptable
Il existe des situations où la SES convient — parce que vous ne comptez pas réellement sur la signature pour la sécurité. Vous l’utilisez à des fins de workflow ou de documentation.
- 1Validations internes au sein de votre propre organisation
Tout le monde est salarié ou prestataire. La signature documente le fait que quelqu’un a cliqué sur « J’approuve ». Vous pouvez recouper avec les journaux du navigateur, l’IP, ou simplement les appeler.
- 2Validations administratives sans enjeu
Reconnaître une politique. Confirmer la réception d’un document. Changements de processus internes. Quand l’enjeu est nul, la SES suffit.
- 3Parties ayant une relation de confiance établie
Un fournisseur de longue date qui signe une reconduction de routine. Si la fraude est de toute façon improbable, la SES ajoute de la documentation sans réel risque.
Voilà. Tout le reste exige soit une AES, soit une signature physique avec témoins.
Le piège du coût
La plupart des fournisseurs de SES facturent à la signature. Pas rien, mais pas grand-chose. Quelques centimes, peut-être quelques euros au plus haut. Les éditeurs la présentent comme l’option budget.
Mais voici le calcul qu’on ignore : vous payez le même prix, ou presque, qu’une AES. L’AES peut être cinq à dix fois plus sûre, et ne coûte qu’environ dix à vingt pour cent de plus par signature. La différence se mesure en menue monnaie.
“Vous payez du théâtre de sécurité au lieu de sécurité réelle — pour quasiment le même prix. Ce n’est pas optimiser son budget. C’est acheter le mauvais produit.”
Pourquoi swipesign écarte volontairement la SES
Nous écartons délibérément la SES, totalement. Nous ne la vendons pas. Nous ne la proposons pas comme option. Nous ne la positionnons pas comme « l’offre budget ».
Parce que la SES crée des problèmes en aval. Quelqu’un signe quelque chose en SES en pensant disposer d’une signature juridiquement contraignante. Ce n’est pas le cas. Il a la documentation que quelqu’un a probablement cliqué quelque part. S’il doit un jour la faire valoir, il aura des ennuis.
L’évaluation honnête
Si vous payez pour des signatures numériques et qu’on vous propose de la SES, on vous vend quelque chose conçu pour avoir l’air sécurisé tout en n’apportant quasiment aucune sécurité réelle. C’est comme payer un système d’alarme qui n’allume une lumière que lorsque vous appuyez sur le bouton. Techniquement un signal, fonctionnellement inutile.
La plupart des contrats professionnels nécessitent au minimum l’AES. Certains exigent la QES. Personne n’a réellement besoin de SES, sauf dans les cas où une signature physique ou un simple e-mail suffirait tout aussi bien.
Ne soyez pas l’entreprise poursuivie pour un contrat signé en SES, qui découvre que la signature qu’elle pensait juridiquement contraignante ne prouve, en substance, que la réception d’un e-mail. Optez au moins pour l’AES. Optez pour une vraie sécurité. La différence de coût est négligeable. La différence d’issue, quand les choses tournent mal, est énorme.
Fini le théâtre. Passez à l’AES ou la QES dès le premier jour.
swipesign vous offre une vraie vérification d’identité, des signatures chiffrées et des journaux d’audit infalsifiables — à un prix qui rend la SES ridicule.