Si les premières traces de signature remontent à 3 000 ans avant Jésus-Christ, lorsque les scribes égyptiens signaient leurs travaux, la signature de la Magna Carta en 1215 illustre parfaitement certains aspects de la signature électronique. En 1215, les barons anglais ont forcé le roi Jean à accepter une charte des droits, consignée dans la Grande Charte, première version d'une constitution des libertés dans le monde occidental.
Cependant, le roi Jean n'a pas réellement "signé" la Magna Carta comme nous l'entendons communément aujourd'hui. Conformément aux coutumes du XIIIe siècle, il a apposé au bas de la Grande Charte son sceau royal de cire, qui l'identifiait comme roi d'Angleterre. La définition de "to sign" dans l'Oxford English Dictionary est "to put a seal upon (a letter or document) as a means of identification or authentication ; to stamp with a seal or signet ; to cover with a seal." Cette définition nous donne une idée de certains éléments clés de la signature.
L'utilisation d'un sceau ou d'une signature démontrait la nature contraignante du contrat. La Grande Charte garantissait certains droits. Après des années de guerres et de disputes sur le pouvoir royal, il était inconcevable pour les barons d'Angleterre de simplement croire le roi sur parole pour un accord aussi important. Ils avaient besoin d'un document signé sur lequel ils pouvaient s'appuyer ; il était trop risqué d'accepter un simple accord verbal. Ce concept fondamental de tolérance au risque est le même qui, des siècles plus tard, a conduit à l'application des exigences de "forme écrite" dans la législation du monde entier, renforçant ainsi la crédibilité des accords et jetant les bases de l'État de droit. La signature du contrat par le roi était également motivée par des raisons cérémonielles. Il y avait trop de témoins importants de la signature pour que la Magna Carta soit niée ou oubliée. Si l'aspect cérémoniel de la signature ne s'applique pas à la plupart d'entre nous, l'exigence de la "forme écrite" et le concept de tolérance au risque, eux, s'appliquent. Nous reviendrons plus en détail sur les types de signatures électroniques et les cadres juridiques dans un autre blog dédié.
L'utilisation du sceau unique du roi permettait de prouver que c'était bien le roi qui avait signé le document. Le sceau était reconnu par tous les habitants du royaume et, même s'il pouvait être falsifié, les conséquences en auraient été graves. Un autre exemple marquant de l'utilisation d'un sceau est l'"anneau du pêcheur", utilisé par le pape en tant que chef de l'Église catholique. Lorsqu'un pape meurt, son sceau est également détruit devant le haut clergé, ce qui a pour effet de révoquer son "mandat" de signature. Cet exemple montre comment le cycle de vie d'une identité numérique est lié à celui du pouvoir de signature.
Il en va de même dans le monde de la signature électronique. Nous rencontrons souvent une autorité de certification (dans notre exemple, le haut clergé) qui émet/révoque l'identité numérique d'une personne (l'anneau), et chaque fois que cette personne signe (appose son sceau), un certificat prouve que l'identité (l'anneau) a été utilisée pour signer (apposer son sceau). Dans un prochain blog, nous explorerons les mécanismes qui sous-tendent la certification fournie par une autorité de certification.
Un document de l'importance de la Magna Carta devait être conservé en toute sécurité. En effet, la Magna Carta a été si bien conservée que la plus préservée des quatre copies originales peut encore être vue aujourd'hui dans la cathédrale de Salisbury, au Royaume-Uni. L'objectif de l'exposition de la Magna Carta dans un lieu public est de permettre aux gens de continuer à voir et à inspecter le document signé et de conclure par eux-mêmes qu'il est authentique. Dans notre monde numérique, nous pouvons signer des documents pour garantir leur intégrité et, le cas échéant, leur confidentialité. Nous les protégeons ainsi de la falsification tout en permettant l'accès au document pour vérifier les signatures.
La première signature numérique primitive a été créée en 1977 par Ronald Rivest, Adi Shamir et Len Adleman, des informaticiens américains qui ont inventé un algorithme de cryptage appelé RSA, d'après leurs noms de famille. Ce n'est toutefois qu'en 1988, avec l'avènement de Lotus Notes 1.0, que l'utilisation des signatures numériques s'est généralisée, et ce n'est qu'en 1999 que les documents PDF ont pu intégrer une signature numérique. Une étape importante a été franchie en 2000 lorsque la loi ESIGN aux États-Unis a rendu la signature électronique juridiquement contraignante.
Aujourd'hui, malgré les nombreux avantages qu'elle présente par rapport aux signatures physiques traditionnelles (comme la possibilité d'éviter les signatures falsifiées ou la perte de documents), l'utilisation des signatures électroniques n'est pas aussi répandue qu'on pourrait le penser. Nous constatons des différences significatives dans le niveau d'adoption entre les pays et les régions et dans les niveaux de validation utilisés pour signer. Trois pays ou régions illustrent ces différences.
Bill Clinton a déclaré en 2000, après l'introduction de la signature électronique, que "si cela avait existé il y a 224 ans, les Pères fondateurs n'auraient pas eu à faire tout le chemin jusqu'à Philadelphie pour la Déclaration d'indépendance".
Aujourd'hui, les États-Unis sont un exemple de pays dont la législation sur la signature électronique est permissive, ce qui favorise une adoption relativement forte par rapport à d'autres pays. Ces lois reconnaissent le caractère exécutoire de la signature électronique sans spécifier d'exigences techniques. Si cela permet généralement de déployer rapidement des solutions plus simples, c'est au prix d'un degré d'assurance moindre, la vérification de l'identité numérique étant souvent un point sensible. Dans de nombreux cas que nous avons rencontrés, la signature électronique était perçue comme un moyen d'optimiser les coûts.
Quatre-vingt-dix-huit pour cent des Estoniens disposent d'une identité numérique délivrée par l'État qui offre une solution de signature électronique. Par définition, ces signatures ont un niveau d'assurance élevé puisqu'elles reposent sur une identité numérique solide. Une tendance similaire peut être observée dans les pays nordiques où l'adoption de l'identité numérique est très élevée, sous l'impulsion des fournisseurs de services financiers. Malgré des approches de mise en œuvre différentes, les quatre pays nordiques ont atteint des taux de pénétration similaires. "Le taux de pénétration du BankID norvégien est de 74 %, celui du BankID suédois de 78 %, celui du NemID danois de 85 % et celui du TUPAS finlandais de 87 %". Comme en Estonie, ces fournisseurs d'identité numérique proposent également une solution de signature électronique.
Bien que l'Union européenne (UE) fournisse certaines normes, la mise en œuvre et l'adoption varient considérablement d'un pays à l'autre au sein de l'UE et de la région de l'Espace économique européen (EEE). L'absence d'une identité numérique forte dans la plupart des pays a conduit à un paysage fragmenté. En outre, l'obtention d'une identité numérique forte nécessite souvent une vérification en personne de l'identité du signataire. Le coût de la mise en place d'une solution pour les entreprises et les particuliers est un obstacle à une adoption rapide.
Dans ce blog, nous avons couvert le " pourquoi " et le " comment " en faisant un retour en arrière et en établissant qu'avec le soutien de la réglementation et le développement de systèmes d'identification, l'adoption de la signature électronique va encore s'accélérer dans les années à venir. Si vous souhaitez en savoir plus sur ce que cette opportunité peut représenter pour votre organisation et comment Deloitte peut vous aider, n'hésitez pas à contacter nos contacts clés ci-dessous.