ETSI, ANSSI , LSTI … Comment vérifier la validité d’un PDF avec signature électronique en France et en Europe?

Comment avoir une signature électronique certifiée ?
ETSI, ANSSI , LSTI … Comment vérifier la validité d’un PDF avec signature électronique en France et en Europe?
5 (100%) 5 votes

ETSI, ANSI ou encore LSTI, sont des termes dont entend parler de plus en plus souvent mais dont on ne connaît pas forcément la signification…

Cet article vous aidera à mieux maîtriser ce vocabulaire mais il va également vous apprendre à vérifier la validité et la valeur juridique d’une signature électronique en France et en Europe !

Qu’est ce que L’ETSI ?

L’ETSI (institut européen des normes de télécommunications) est l’organisme de normalisation européen du domaine des TIC reconnu par la commission européenne.

Basé en France, cet organisme est officiellement responsable de la normalisation des technologies de l’information et de la communication pour l’Europe.

Qu’est ce que L’ANSSI ?

L’ANSSI (Agence nationale pour la sécurité des systèmes d’information), comme son nom l’indique, est un service français à compétence nationale, rattaché au secrétaire général de la défense et de la sécurité nationale.

L’ANSSI apporte son expertise et son assistance technique aux administrations et aux entreprises. Son action auprès de ces différents publics comprend la veille et la réaction, le développement de produits pour la société civile, l’information et le conseil, la formation ainsi que la labellisation de produits et de prestataires de confiance.

Dans le cadre d’échanges électroniques, tout prestataire de services de confiance doit demander à être agréé par l’ANSSI afin que la signature électronique soit juridiquement valable en France.

Pour ce faire, l’ANSSI a habilité l’organisme LSTI à procéder à la qualification des prestataires de services de confiance.

Qu’est ce que LTSI ?

LTSI est une société privée dans le domaine de la sécurité et de la certification électronique. Agréé par l’ANSSI, il apporte un label de sécurité basé sur les normes françaises, européennes et internationales.

LSTI est le seul organisme habilité par l’état français pour délivrer des certificats de conformité pour les prestataires de services de confiance (RGS).

LTSI est accrédité pour effectuer des audits RGS (Référentiel général de sécurité) pour qualifier ou pas un organisme

Comment vérifier que votre prestataire est juridiquement reconnu et que votre signature électronique est juridiquement valable ?

Par exemple, si nous souhaitions vérifier que la signature électronique de SELL&SIGN est bien valable juridiquement et que notre Tiers de confiance dispose d’un certificat légal, il suffit de réaliser une opération très simple en deux étapes :

Etape 1 : Ouvrir un contrat signé avec Adobe Reader

Comme nous remarquons, au delà de la reconnaissance d’Adobe Reader, la mention ci-dessous spécifie bien que le document est certifié par DOCAPOST BPO et que le certificat est émis par Certinomis.

Le bandeau bleu signifie que le prestataire est enregistré sur la liste d’Adobe Reader, mais il ne suffit pas à déterminer la validité juridique de la signature. Pour cela, il faut vérifier que l’organisme certificateur soit agréé par l’ANSSI, et donc qu’il figure sur la liste officielle de LTSI.

ETSI, ANSSI , LSTI

Etape 2: Vérifier que le certificat est reconnu par le LTSI

Vérifions alors que Certinomis est bien recensé par le LTSI et qu’il dispose bien d’un certificat légal et valable auprès de cet organisme, pour cela nous consultons cette liste et nous constations que celui-ci est bien présent sur la liste.

ETSI, ANSSI , LSTI

Vous pouvez donc signer vos documents avec SELL&SIGN les yeux fermés !

Prenons un autre exemple …

Et si on prenait l’exemple d’un prestataire américain ? Vérifions ensemble s’il dispose bien d’un certificat reconnu et juridiquement fiable ?

La photo ci-dessous nous indique qu’il est bien reconnu par Adobe Reader mais qu’aucun tiers de confiance n’a certifié, horodaté et scellé le document, d’où l’absence du symbole « certificat » sur Adobe Reader ! En effet, il ne contient que la signature du signataire mais pas de certificat de scellement.

ETSI, ANSSI , LSTI

Intéressons-nous à présent de plus près à la signature du signataire. En cliquant sur « Détails de la signature », puis sur « Détails du certificat », nous pouvons accéder au certificat qu’elle contient.

Certificat DocuSign non valable juridiquement ANSSI

Nous y retrouvons l’organisme de certification : « Entrust ». Celui-ci figure sur la liste de confiance d’Adobe, d’où l’apparition du bandeau bleu sur Adobe Reader, mais est-il agréé par l’ANSSI pour être valable en France et en Europe ? Pour cela, nous vérifions à nouveau sur la liste de LSTI. Surprise ! Celle-ci ne fait aucune référence à Entrust comme autorité de certification agréée. Cette signature n’est donc pas conforme aux exigences de l’ANSSI, et donc du décret d’application de l’article 1416 du code civil !

Et qu’en est-il du règlement eIDAS?

Savez vous que dans moins d’un mois, soit au 1er Juillet, le nouveau règlement européen eIDAS va entrer en vigueur ? Cela signifie que le statut juridique de la signature électronique équivaut à celui de la signature manuscrite dans l’ensemble de l’Union Européenne, selon des règles similaires à celles de l’ANSSI !

Les échanges seront désormais facilitées non pas seulement pour les entreprises françaises mais également à l’international ! A vous seulement de savoir choisir l’acteur de confiance qui répondra à vos besoins en toute sécurité.

Nous vous offrons l’opportunité de tenter l’aventure : 7 jours d’essai gratuit de SELL&SIGN ! Créez votre compte d’essai et signez tous vos contrats en un seul clic !

 

Livre blanc Calinda

The following two tabs change content below.
Soraya Chraibi

Soraya Chraibi

Responsable comptes clés chez Calinda Software

2 commentaires

  1. Ping : Cıvata

  2. Olivier Répondre

    bonjour, ce n’est pas le nom du prestataire qu’il faut vérifier pour voir s’il apparaît dans la liste de ceux audités par LSTI. C’est le n° OID indiqué dans le certificat. Celui-ci doit apparaître soit comme ayant été audité par le LSTI soit par TUVIT second organisme européen agréé pour faire ces audits.
    A savoir Docusign n’utilise plus son partenariat CDS avec un certificat tiré de la racine d’adobe mais à présent un certificat lié au programme AATL. Or ce dernier intègre maintenant uniquement la liste des tiers répondant au règlement eIDAS. Donc d’ici peu si une certification n’a pas reçu l’agrément eIDAS, celle ci n’apparaîtra plus dans la TrustList est par conséquent bye bye le bandeau bleu.
    En conclusion, disons à compter de fin 2017, si le bandeau bleu apparaît c’est qu’obligatoirement la signature a été faite par un prestataire répondant au réglement eIDAS.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *