Signature électronique eidas (certificat + validité long terme)

Bonjour,
l’offre en cours est effectivement un abonnement mensuel.

Sur l’offre proposée pas de report de « crédits » possible: vu les montants ça reviendrait à faire des calculs de centimes…

Normalement il y aura une offre à l’usage (genre 0.75€ ou 1€ la signature) mais ça demande encore pas mal de dev pour intercaler le paiement entre le moment où vous envoyez le PDF (et donc où on sait le nombre de signatures) et juste avant de demander aux participants de payer.

Et comme l’objectif principal du service est d’être accessible via une API ça complique encore un peu plus les choses à ce niveau !

Bonjour,
les nouvelles offres de uptosign.com sont en ligne, à priori il y en a pour tout le monde, avec abonnement et tarif réduit ou sans abonnement … c’est à vous de choisir !

Plus de détails sur UpToSign :: UpToSign webService

Bonjour

Pour toute entreprise envisageant d’intégrer un procédé de signature électronique à son processus de dématérialisation, il est indispensable de s’adresser à un prestataire de services de Confiance qualifié et agréé, seul capable d’apporter une solution de confiance dans le cadre d’une réglementation désormais bien définie. En France, la liste des prestataires de Confiance agréés capables de fournir des procédés de signature conformes aux exigences légales est établie et mise à jour par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et transmise à la Commission Européenne.

Pouvez-vous confirmer, de ce fait, être conforme à l’eIDAS et certifiée par l’ANSSI ?

Hello @Oarces-dev,
le sujet est vaste, l’extrait cité est … un extrait qu’il faudrait remettre dans le contexte pour bien le comprendre. Après une recherche sur le texte exact il semblerait que la source soit cet article des écho : Quelles sont les réglementations à respecter pour la signature électronique ?

À mon avis le plus synthétique et clair est de s’appuyer sur la doc suivante de l’ANSSI justement https://www.ssi.gouv.fr/uploads/2021/12/anssi-eidas-guide-niveau-signature.pdf

Nous y trouvons clairement expliqué les différents niveaux de signatures. Et comme indiqué dans les CGU de uptosign (Conditions Générales de Services UpToSign – UpToSign) le niveau visé par uptosign est « une signature électronique simple (renforcée) et non une signature électronique qualifiée au sens du règlement « eIDAS » »

Comme nous sommes prudents nous hésitons à revendiquer le niveau de signature avancée mais c’est limite car il faudrait mettre en place une manière formelle d’associer l’identité du signataire avec son numéro de téléphone mobile par exemple (demander une facture de téléphone). Et c’est encore une fois une limite avec le principe de réalité : comment faire pour ne pas « freiner » la signature par rapport à l’objectif visé. Donc soyons sûrs de nous: signature simple.

Retour sur ANSSI maintenant: eIDAS ne prévoit pas de lister tous les prestataires de services de signature électronique. Seuls ceux qui proposent les niveaux de signature électroniques les plus sécurisés le sont.

Maintenant pour en revenir à l’offre proposée par uptosign la certification par l’ANSSI ou autre organisme officiel est un objectif mais le budget nécessaire est pour l’instant hors de portée de la structure, raison pour laquelle seule la signature simple renforcée est actuellement active. Déjà avec ça nous voyons les freins par rapport aux usages passés de la signature. Le chemin à parcourir est encore long avant que les nouvelles contraintes de la signature électronique soient vraiment intégrés.

Un exemple ? j’ai voulu faire signer un mandat de prélèvement automatique il y a deux jours. La signature électronique ne peut-être faite que par une personne qui a le droit d’engager la signature de la société … blocage, le patron n’est pas disponible, pas joignable, n’a rien à faire de ce genre de broutilles peu importe, la comptable me demande le Mandat papier, elle gribouille une signature, tampone le document, scanne le tout et me le retourne par mail en pièce jointe … je vous laisse face au principe de réalité !

Merci pour ces précisions.

Je comprends tout à fait le principe de la réalité, mais l’objectif de la signature électronique est d’offrir une validité juridique au document signé et pas de transposer les usages négatifs de la version papier.

Dans votre exemple d’ailleurs, le document gribouillé n’a aucune valeur en cas de contestation d’ordre juridique.

À quoi sert la signature électronique si ce n’est justement de couvrir l’aspect juridique et a rendre l’accord incontestable ?

Autrement un simple mail est recevable comme accord de principe…

C’est exactement pour cette raison que uptosign est né ! Je ne fais que donner des exemples concrets qui m’arrivent pour illustrer l’absurdité du système et la difficulté de « remettre les choses en ordre » ou « rattraper les usages non conformes ».

Dans le cas précis de mon mandat de prélèvement, imaginons un monde sans électronique, j’envoie le mandat par la poste il revient par la poste, aucune idée de savoir si le gribouillis est bien celui de la personne qui a le droit de signer, pour résumer c’est potentiellement « un faux ». Combien avons-nous de « potentiels faux » dans nos GED respectives pour des « petits devis », des « petits avenants » des « bricoles » diverses (mandats, bons de livraison, bon de réception, conventions, fiches de présences) ? et pourtant le business avance …

Version numérique maintenant il est demandé au tiers de confiance de mettre en place des dispositifs permettant de garantir de l’identité du signataire … c’est un frein au business et ce qui freine les affaires est souvent mis au placard ou adopté très lentement le temps que les usages évoluent.

Je vois même des réponses à appels d’offres signés avec des certificats qualifiés sur clés usb physiques (donc le plus haut niveau de signature électronique possible) qui sont réalisés sur l’ordinateur d’une personne qui n’est pas le signataire … et qui n’a qu’un pouvoir délégataire qu’assez flou. Dans le meilleur des cas c’est pour une raison technique (votre bidule usb ça ne marche pas sur mon iPad, ou « je suis dans une zone blanche ») ou de génération (moi l’informatique c’est pas mon truc) ou d’organisation (le signataire officiel n’est pas la, sur un chantier, une urgence ou je ne sais quoi et il faut remettre le document avant midi).

Pour beaucoup de structures Il est « beaucoup plus facile » (pour des raisons humaines, d’organisation, d’habitudes etc.) de gérer le parapheur papier que son équivalent électronique : le parapheur est sur le bureau, le patron passe, signe tout d’un coup et passe à autre chose, il a confiance en la personne qui lui a mis les documents dans le parapheur. Éventuellement il regarde les documents avant de signer. J’en connais qui font ça en voiture dans les embouteillages.

Pour conclure cette réponse:

Car ça me conforte dans l’idée qu’il faut creuser encore et encore cet aspect pour offrir à Dolibarr des outils dans ce domaine ! Simple, efficaces, pas chers, fiables, conformes … belle aventure non ?

Nous sommes dans un métier ultra privilégié (informatique, entreprises « de la tech » ou du service) mais l’objet de ce projet est de permettre à des menuisiers, des plombiers, des installateurs de panneaux solaires, des vendeurs de cycles, des formateurs, des restaurateurs, des commerçants, des gens du BTP etc. de basculer d’une zone d’absence de validité des signatures qu’ils utilisent actuellement (email, scan, etc.) à une réelle solution de signature électronique…

La petite remarque d’une juriste…

Un simple email est une preuve valable tant qu’il n’est pas contesté…

Une signature manuscrite est une preuve valable tant qu’elle n’est pas contestée…

Et, pour une signature manuscrite, on a bien actuellement deux systèmes : la signature devant un notaire ou non. Et si vous signez un acte devant un notaire, la contestation de votre signature manuscrite sera beaucoup plus difficile. La force probante de la signature manuscrite dépend donc des circonstances de la signature.

C’est la même idée avec le réglement eIDAS. L’objectif n’est pas « de rendre l’accord incontestable ». C’est un objectif impossible. L’objectif est de mettre en place des niveaux plus ou moins sécurisés de signature électronique donnant au document signé une « force probante » plus ou moins forte. Plus la force probante est élevée, plus la contestation est difficile. Voilà le principe.

Pour ma part, en tant qu’avocat, j’ai eu l’occasion d’alerter plusieurs fois sur le forum sur ce point de la signature électronique. J’utilise la solution UpToSign qui est tout à fait adaptée à mes besoins.

Effectivement, ces questions sont complexes. Elles mêlent des aspects très techniques en informatique et en droit. La compréhension des enjeux n’est pas facile. Je vous invite à lire le document pdf cité ci-dessus comporte un chapitre « 4. COMMENT SAVOIR QUEL NIVEAU CHOISIR ? ». C’est très clair et didactique.

Isamuse, je rejoins ton analyse, qui va dans le sens déjà énoncé.

Concernant « la contestation », je n’emploie pas les bonnes formes. Certains contestent bien des flagrants délits, donc oui tout est contestable. Moi je suis de l’autre côté avec la volonté que si on me conteste, j’amène les éléments qui vont permettre de rendre un jugement en ma faveur.

Par exemple, on peut aussi signer de façon manuscrite devant témoin (autre que notaire), c’est ce que semble être une signature de niveau faible comme UptoSign, mais la c’est très facilement contestable…

Sur un contrat à plusieurs centaines de milliers d’Euros, je ne suis pas certain que UptoSign (ou autre acteur non référencé) soit prêt-à-engager sa responsabilité ou a l’inverse sur un contrat a 10€, l’intérêt pour le tiers certificateur de fournir un travail de fond pour prouver et défendre les intérêts de son client ?

Mon avocat me demande de faire signer des contrats ou des devis de façon à bloquer toute contestation et possiblement via une signature électronique pour ne pas trop gêner l’acte commercial.

Une société référencée et reconnue dans la signature électronique ne pourra être sérieusement contestée sauf à apporter la preuve d’une corruption interne, ce qui sera plus que difficile et sera plutôt un argument perçu comme étant de mauvaise foi pour celui qui conteste avoir signé.

Mon avis est surtout que si une signature électronique de faible niveau est juridiquement aussi (peu) fiable qu’une réponse a un e-mail, alors ce n’est pas la solution dont j’ai besoin. L’intérêt de payer un service qui a un équivalent gratuit dans un process traditionnel est aussi une question à se poser pour tous…

Ça fera toujours plus sérieux que de demander une réponse a un mail, je le conçois, mais ça ne trompera hélas pas les escrocs…

Je suis entièrement d’accord et je suis prêt à soutenir ce projet pour toutes ses raisons également.
Mais ça ne peut être viable que via une volonté de devenir un prestataire de confiance qualifié et agréé.

Car sans ça, ça restera de la poudre aux yeux et je dirai « warning », car cette solution ne réglera aucun problème et aucun besoin et je pèse mes mots ^^

Hmmmm je pense que ça manque encore de clarté. Il faut distinguer le prestataire de la signature.

Pour que la signature soit au niveau qualifié ALORS chaque partie doit disposer d’un certificat qualifié (sur clé usb dans la grande majorité des cas).

Dans le cas où vous auriez une clé usb avec votre certificat qualifié, que votre client en dispose aussi, alors aucun prestataire n’est nécessaire, vous signez le pdf, l’envoyez à votre correspondant qui le signe à son tour (ou dans l’autre ordre si vous préférez) et c’est tout. Pensez ensuite à retourner à votre client la version signée par les deux parties. Les deux certificats chaînés l’un à l’autre prouvent tout ce qui est nécessaire.

Le prestataire - dans ce cas précis - ne peut avoir qu’un côté « pratique » pour faire le suivi de la procédure et la transmissions aux parties des documents et offrir une plate forme pour afficher le pdf et signer le document.

Dans notre cas, l’objectif même de uptosign est d’imaginer le cas où uptosign n’existerait plus le jour où vous auriez besoin de prouver que la signature a été faite dans les règles. C’est ma manière de voir depuis que je baigne dans le libre: nos outils doivent nous survivre. C’est pour ça que lorsque vous passez par uptosign pour signer un document tout le dossier technique est transmis aux parties, ainsi uptosign ne sera pas nécessaire dans 1 an, 2 ans, ou x ans. Vous avez le document + le dossier technique complet.

Si j’en reviens maintenant au fait que le prestataire soit certifié, c’est plaisant du point de vue intellectuel mais coûteux (et on s’éloigne des valeurs du libre, pourquoi payer pour que des gens viennent certifier des « boites noires » et pour tout un système qu’on oblige à être de type « boite noire » alors qu’une blockchain publique serait tellement plus intéressante mais je m’éloigne un peu du sujet) … et surtout ça n’apporte au final rien de plus : ce qui compte c’est que le document scellé à l’aide du certificat électronique uptosign ne soit pas corrompu lorsque vous aurez besoin de prouver qu’il n’a pas été altéré.

Le fait d’être certifié ISO bidule ou NF truc n’y changera pas grand chose. Le document scellé est scellé, un clic sur les propriétés du document, voir la chaîne de certificats et la question est résolue. Si voulez vérifier vous avez aussi l’empreinte SHA512 du document qui est indiquée sur le dossier de preuves techniques, le reste est du domaine de la crypto (« probabilité que deux fichiers aient le même SHA512… »).

Maintenant si je « pousse » le bouchon un peu plus loin, imaginons que uptosign soit référencé ANSSI (comme le sont certains « gros acteurs » du marché). Ce n’est pas pour autant que les signatures seront qualifiées (si vos signataires ne disposent pas de clé USB avec leur certificat nominatif qui coûte plusieurs centaines d’euros par an).

J’ai récemment été amené à signer un contrat avec un gros fournisseur qui passe par une plate-forme de signature électronique bien connue. Je n’ai même pas reçu de SMS de double vérification, le PDF que j’ai reçu à l’issu du process de signature n’est que d’un niveau signature simple. Et pourtant ils sont sur le site de l’ANSSI, ce que je veux dire par la c’est que l’un n’est pas la conséquence de l’autre

Voilà voilà, je vais retourner à mon code mais si vous voulez tester et analyser d’un œil critique-bienveillant-libriste le système n’hésitez pas à m’envoyer un message privé et je vous fais un bac à sable de tests.

C’est mal comprendre les enjeux de la signature. Certes cette question de corruption interne peut se poser, mais en pratique, c’est surtout d’abord de déterminer si le signataire est bien celui que l’on croit et ensuite si le signataire a bien le pouvoir de signer l’acte qui lui est soumis.

On met dans la balance un rapport entre le coût de la mise en œuvre de la signature (et pas seulement électronique) de l’acte à signer et le coût de la remise en cause de l’existence des engagements prévus dans l’acte signé. S’y ajoute la perception de la situation par le chef d’entreprise. Il en résulte une réponse très subjective.

Et puisque votre avocat vous invite à mettre en place un système de signature électronique, parlez-en avec lui et définissez des règles qui vous mettront à l’aise : quel contrat / quelle modalité de signature / quel signataire (par exemple pour les plus grosses entreprises avec des délégations de signatures).

Le but de passer par un prestataire certifié, c’est que c’est a lui qu’incombe cette responsabilité.
Car oui, le prestataire doit authentifier et identifier la personne qui a signé numériquement. Si la personne habilitée a commis une faute en communicant un autre numéro de téléphone ou en transmettant des éléments qui ont permis de signer en son nom, faire invalider une signature sur cette base argumentaire est quelque peu… cavalier et plus que bancal… Et ça reste une faute commise par la personne en question !
Ce n’est donc pas a moi utilisateur de solution de me soucier de ce détail.
Heureusement, sinon la signature électronique n’a aucun intérêt…

Signer un document grâce à une solution de signature électronique équivaut à s’engager et à consentir à l’ensemble des modalités présentées. Cet accord numérique a une valeur juridique et doit être admis en cours de justice. L’article 1367 du code civil stipule : « La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État. »
src : => En quoi consiste vraiment la signature électronique ?

J’ai par ailleurs eu confirmation qu’un prestataire doit être référencé pour faire valoir sa crédibilité a pouvoir certifier des documents ou des signatures. Ce qui est parfaitement logique, sinon je pourrais créer mon service de signature électronique avec un conflit d’intérêts potentiel si je le détourne a mon profit.

Le règlement établit une distinction entre les services de confiance qualifiés et les services de confiance non qualifiés. Les services de confiance qualifiés satisfont à des exigences particulières et peuvent bénéficier d’effets juridiques spécifiques. Les services de confiance qualifiés sont assurés par des prestataires de services de confiance qualifiés.

Les prestataires de services de confiance qualifiés font l’objet d’audits réguliers effectués par des organismes d’évaluation de la conformité, accrédités conformément au du 9 juillet 2008. Le règlement eIDAS est applicable depuis le 1er juillet 2016 pour les services de confiance.
La liste des produits et services qualifiés par l’ANSSI est accessible dans l’onglet « Liste nationale de confiance ».
src : Le règlement "eIDAS" n°910/2014 | ANSSI

@Oarces-dev proposition de lecture des CGU des « grosses plates formes de signature » pour ce qui est de : « Car oui, le prestataire doit authentifier et identifier la personne qui a signé numériquement. » j’ai peur de vous faire découvrir que ça n’est pas le cas …

DocuSign:

« Client(s) » désigne toute personne physique ou morale autorisée en tant que client de DocuSign à utiliser le Service, qui remet un ou plusieurs Document(s) électronique(s) à faire signer par le Signataire via le Service. Le Client est lui-même AE ou est en relation contractuelle avec l’Autorité d’enregistrement (AE), et s’est vu déléguer la responsabilité de gérer la vérification d’identité d’un Signataire et celle du processus de signature du Document électronique par un Signataire. Le Client, tel que décrit ici, se distingue de Vous,Signataire.

YouSign:

4.2 Conditions d’utilisation des Services

Dans le cadre de l’utilisation des Services, l’Utilisateur s’engage à :

• vérifier par tout moyen l’identité des Tiers signataires ou tout autre tiers qui pourraient avoir accès aux Documents ou Formulaires publics, avant de leur permettre l’accès aux Services.

et pourtant ces deux la sont sur la liste de l’ANSSI je n’ai pas été en chercher d’autres car je n’ai pas trop de temps à y passer

J’en reviens au fait qu’à moins que chaque signataire utilise un certificat qualifié je ne vois pas comment il pourrait en être autrement par rapport au règlement eIDAS !-)

Votre argument est d’opposer (ou de mettre sur un pied d’égalité) des CGU avec des textes de loi ?
À la limite des CGV, on pourrait penser à une décharge de responsabilité probable, mais pas des CGU.

Les CGU c’est pour l’utilisateur, a ne pas confondre avec le client qui paye un service et doit avoir une contrepartie.
Donc ça revient à l’exemple que j’avais donné, si un tiers donne moyen à un autre de s’identifier a sa place, la plateforme ne pourra être responsable de cette utilisation non conforme.
Par contre, ça n’enlève en prime abord, rien à la valeur juridique du document signé ou certifié…

De même que si Madame Michu a signé en son nom à la place de Monsieur Popaul, effectivement c’est au client de se rendre compte que le nom n’est pas bon, lors de la relecture des signatures…

Il n’y a pas à tergiverser, si vous n’êtes pas certifié et référencé, vous n’êtes pas conforme eIDAS et la signature électronique proposée n’aura jamais aucune valeur, combien même vous avez un système révolutionnaire, infaillible ou divinatoire de certification…

Vos propos sont inexacts et manifestent une mauvaise compréhension du réglement eIDAS.
Comme indiqué ci-dessus, je vous recommande d’en parler à votre avocat qui pourra vous donner toutes explications utiles.

Je confirme et c’est sans appel.
Un service de confiance non qualifié n’a aucune valeur en cas de contestation juridique et donc aucun intérêt.

Ma relation de l’ANSSI me confirme par ailleurs, que tout opérateur de confiance doit pouvoir justifier de sa certification eIDAS si elle est réclamée.

Bon, je ne sais pas quel crédit accorder à votre affirmation si tranchée, je suis vraiment ouvert à la critique et j’aime les échanges permettant de faire avancer les choses mais là je vais avoir besoin de « biscuits » pour avancer.

Serait-il possible de me communiquer en privé les coordonnées de votre contact à l’ANSSI pour que je puisse éventuellement échanger avec elle/lui ?

Pour ma part je ne partage pas votre point de vue. Je n’ai plus le nez dans le texte du règlement mais je vais m’y replonger d’ici une semaine pour apporter des éléments plus construits (et éventuellement converger vers votre affirmation). Mais pour éclairer un peu mon point de vue actuel je prends par exemple la FAQ éditée par l’ANSSI: https://www.ssi.gouv.fr/uploads/2017/01/eidas_faq_anssi.pdf et je lis page 18 « Quels sont les différents niveaux de signature électronique »

Les deux premiers niveaux de signature électronique ne sont soumis à aucune obligation d’audit
par un tiers compétent et indépendant, et ne font pas l’objet d’une décision par l’organe de
contrôle.

Ainsi je ne converge pas - pour l’instant en tout cas - vers votre point de vue. Il me semble qu’il manque dans votre phrase « tout opérateur de confiance doit pouvoir justifier de sa certification eIDAS si elle est réclamée » les mots service et qualifié, ça serait alors « tout opérateur de service de confiance qualifié doit pouvoir justifier de sa certification eIDAS si elle est réclamée » ce que je comprends de ce passage de la (FAQ III.2)

Le règlement établit une distinction entre les services de confiance qualifiés et les services de
confiance non qualifiés. Les services de confiance qualifiés peuvent bénéficier d’effets juridiques
spécifiques précisés dans le règlement et sont assurés par des prestataires de services de
confiance qualifiés.
Le règlement accorde également des effets juridiques spécifiques aux signatures électroniques
qualifiées et aux cachets électroniques qualifiés.
Enfin, le règlement instaure, au niveau national, un régime de contrôle des prestataires de service
de confiance, passant en particulier par la désignation d’un organe de contrôle par chaque État
membre.

Mais encore une fois c’est intéressant de se remettre en question, je vais essayer de trouver le temps de me replonger dans mon gros dossier eidas avec mes notes et remarques pour vous donner les éléments précis qui m’ont amené à mon point de vue.

En échange j’aimerais donc bien avoir des éléments fiables de votre côté, non que je ne fasse pas confiance « à votre relation de l’ANSSI » mais puisque nous parlons d’un sujet sérieux sur la confiance numérique je peux aussi prendre un peu de recul sur ce forum et résumer à la grosse louche « un pseudo que je ne connais pas dit avoir une connaissance à l’anssi qui dit …/… » pardon mais ça fait un peu « l’homme qui a vu l’homme qui a vu l’ours »

Et d’ailleurs si ça se trouve on se connaît mais je ne sais pas qui est « oarces-dev » en fait

Nous semblons tous deux au moins d’accord sur cette citation, qui était l’objet de mon premier post.
Pour le reste, je ne crois pas exprimer un point de vue…

• Êtes-vous certifié oui/non ?
• Vos signatures sont-elles qualifiées oui/non ?
• le cachet est-il qualités oui/non ?
• Êtes-vous audité pour valider la véracité de vos déclarations technique oui/non ?

Dans la négative à l’une de ces questions, votre service n’amène aucune reconnaissance permettant de bénéficier d’effets juridiques reconnus.

Sauf erreur de ma part, votre système utilise une signature simple ou avancée et le guide officiel de l’ANSSI est très clair :

La signature électronique simple peut donc être utilisée, par exemple, lorsqu’il n’existe pas de risque
substantiel de litige ni d’obligation légale imposant un niveau particulier de signature électronique.

Une réponse de validation de devis par mail (par exemple) aura de ce fait plus de valeur qu’une signature simple…
Dans le cas d’une signature avancée, la force probante doit être prouvée pour être recevable par une juridiction, là encore un mail reste généralement une solution plus accessible et bien moins contestable.

Pour s’affranchir de toutes ces contraintes, il faut être certifié / référencée / audité. Ce n’est pas le même coût, c’est certain.

Pour la mise en contact, c’est difficile, mais l’ANSSI est un service public : Contacter l'ANSSI | ANSSI

Donc pas de sources et pas possible d’entrer en contact avec « votre contact à l’ANSSI » … ça fait pas grand chose pour m’aider à avancer et pour faire confiance à vos dires.

Puisque d’après moi vous n’avez pas compris l’ensemble du règlement eIDAS je vous invite à prendre le temps de lire L_2014257FR.01007301.xml c’est tout simplement le règlement eIDAS rien de plus que la source.

Vous y apprendrez par exemple qu’il n’est pas nécessaire d’être un prestataire de services de confiance QUALIFIÉ pour avoir le droit d’exister et que les prestataires de confiances NON QUALIFIÉS sont régulièrement mentionnés dans l’ensemble du texte. Par exemple CHAPITRE III > SECTION 1 > Article 13

Est-ce nécessaire d’aller plus loin ? à la simple lecture de cet article 13 vous devriez pouvoir remettre en question un certain nombre de vos affirmations.

Maintenant vous êtes libres d’aller chez le prestataire que vous voulez, je vous invite néanmoins à bien lire les CGV/CGU des différentes plates-formes et vous finirez peut-être par arriver à la conclusion que sans certificat qualifié détenu et utilisé par chaque signataire le document n’aura pas la valeur que vous souhaitez obtenir « irréfutable ». Et lorsque chaque signataire dispose d’un certificat qualifié aucun prestataire intermédiaire n’est nécessaire pour mettre en œuvre la signature du document (le prestataire qualifié n’est indispensable que pour l’acquisition initiale de chaque certificat).

Si vous voulez nous pouvons faire un test : j’utilise ma clé usb avec mon certificat nominatif qualifié eidas pour signer & sceller un pdf, vous faites de même avec votre certificat qualifié eidas et c’est tout. Le document est certifié authentique et tant qu’aucune modification (qui casserait donc le scellement) n’est apportée le document se suffit à lui-même pour certifier son authenticité.

Nul besoin de passer par une plate-forme pour ça, bon nombre de logiciels de manipulation de PDF permettent de signer un document.

Au sujet des CGU vous semblez ne pas avoir pris en compte les deux liens vers les CGU que j’ai indiqué et qui parlent bien de Clients.

Dans le fond à force de lire / relire vos messages je me demande si vous ne confondez pas la notion de prestataire qui délivre des certificats (sur clé usb généralement), certificats qui permettent de signer des documents tels que vous le souhaitez (identification irréfutable) avec les plates-formes (telles que uptosign) qui permettent de mettre en relation des signataires de documents qui signent donc (de niveau « simple & renforcée » au sens eidas), le document étant ensuite scellé à l’aide d’un certificat eidas qualifié.

Enfin, je parlais de « point de vue » mais comme vous dites que ça n’en est pas « je ne crois pas exprimer un point de vue… » en ce cas c’est quoi ? une affirmation ? … si c’est le cas, ça me semble assez délicat d’affirmer quoi que ce soit sans indiquer clairement vos sources.

Et histoire de terminer mon intervention sur le sujet par manque de temps à y consacrer et parce-que j’ai le sentiment que ça tourne en rond et que je n’apprends rien de plus, je vous invite à utiliser quelques services de signatures en ligne, comparez le résultat, vérifiez bien le contrat que vous signez avec le prestataire, exigez de lui qu’il mette en place tout le process de signature qualifiée et … retenez/utilisez celui qui vous convient tout simplement :^)

Et pour finir, un petit trait d’humour gastronomique qui me semble assez bien illustrer la situation: vous voulez mangez dans un resto gastronomique étoilé ? pas de problème mais ça n’est pas chez nous, nous ne sommes qu’une sympathique table d’hôtes voyez-vous et vous ne pouvez pas exiger de notre part que nous soyons pas non plus sur le guide Michelin, d’autres font ça très bien, allez chez eux

Je crois en effet que nous tournons en rond et que nous n’arrivons pas à nous comprendre.

Je vous rejoins totalement sur l’aspect technique que vous décrivez bien.

Mais ce que je dis depuis le début, c’est que l’intérêt (le mien et à mon avis celui de beaucoup d’utilisateurs) est uniquement juridique et pas technique.

Le moyen technique est sûrement correct, mais la finalité (juridique) ne permet pas de valider le besoin dans son ensemble.

Je vais effectivement me tourner vers une autre plateforme, si votre projet aboutit a un moment ou un autre à devenir prestataire qualifiée mon intérêt reviendra probablement sur votre solution.

NB : le terme « prestataires de confiances NON QUALIFIÉS » est présent (seulement) 11 fois dans le texte, a chaque fois pour rappeler les obligations de contrôle et de sécurité obligatoire…