Dans un contexte de fragmentation des réglementations autour de l’entrée en relation à distance, la signature électronique qualifiée (QES) est un puissant outil d’harmonisation en Europe. Réglementée à l’échelle de l’Union Européenne par l’Electronic IDentification Authentication and trust Services (eIDAS No 910/2014), la signature électronique qualifiée est passeportable d’un Etat membre à l’autre.

Découvrez comment les Fintechs, banques et services financiers peuvent profiter des avantages de la Signature Électronique Qualifiée.

 

I. Qu’est-ce qu’une Signature Électronique Qualifiée (QES) ? 

La signature électronique est un mécanisme cryptographique permettant de signer des documents en ligne.

Le niveau “qualifié” offre le plus haut degré de sécurité, en comparaison aux signatures électroniques dites “simples” ou “avancées”. Elle est juridiquement équivalente à une signature manuscrite. Elle est encadrée au niveau européen via le règlement eIDAS (electronic Identity Authentication and Signature).  Pour être qualifiée, une solution de signature électronique doit être validée par au moins un des 27 Etats membres de l’Union Européenne, la solution est alors référencée sur la “EU Trusted List” et cette qualification est reconnue par tous les autres États membres. Une qualification de signature électronique est donc passeportable dans toute l’Europe.

La signature électronique qualifiée est associée à l’émission d’un certificat électronique qualifié qui garantit l’intégrité de la signature (token). Ce certificat qualifié de signature électronique garantit que le signataire est bien celui qu’il prétend être, ce qui est indispensable lors de l’entrée en relation à distance.

Lorsque le certificat qualifié est émis, l’identité du signataire doit donc être vérifiée en amont. Pour émettre ce certificat, il faut faire appel à  un Prestataire de vérification d’identité à distance (PVID). En d’autres mots, la vérification d’identité à distance est une brique de la signature électronique qualifiée. Les signatures électroniques qualifiées (QES) prennent donc la forme d’un attelage de 2 solutions techniques différentes mais complémentaires :

II. En quoi la Signature Électronique Qualifiée (QES) concerne les Fintechs ? 

Les Fintechs sont soumises aux règles de Lutte Contre le Blanchiment et le Financement du Terrorisme (LCB-FT) et doivent vérifier l’identité de leurs prospects avant de leur fournir un service financier. C’est la fameuse procédure de KYC (Know Your Customer). Chaque Etat membre de l’Union Européenne a défini des règles qui lui sont propres pour le KYC à distance. Il en résulte une grande fragmentation réglementaire en Europe et une complexité importante pour les Fintechs qui cherchent à se conformer aux règles de plusieurs Etats Membres. 

Cette complexité ralentit le déploiement international des Fintechs européennes et crée peu de valeur pour les utilisateurs. 

Comme expliqué, la QES peut être passeportable d’un Etat membre à l’autre. Les Etats Membres se sont saisis de cette opportunité : de plus en plus d’entre eux reconnaissent la QES comme un moyen de réaliser un KYC valide, durablement conforme partout en Europe.

 

 III. Les solutions de Signature Électronique Qualifiée sont-elles toutes équivalentes ?

Comme expliqué plus haut, pour être qualifiée, une solution de signature électronique doit être validée par un Etat membre de l’Union Européenne, la solution est alors référencée sur la “EU Trusted List” et cette qualification est alors reconnue par tous les autres États membres. Pour permettre cette passeportabilité, les Etats doivent avoir confiance dans les qualifications de leurs voisins. Pendant longtemps, aucun standard technique n’était disponible pour la vérification d’identité à distance. Les Etats Membres avaient donc des pratiques très différentes et la valeur des signatures électroniques qualifiées était, elle aussi, très variable. Ces différentes pratiques ont donc généré une tendance du marché au nivellement par le bas et au dumping sécuritaire. 

⚠️ Cependant, dans un environnement réglementaire qui tend à se renforcer, ces stratégies sont très rarement gagnantes sur le long terme.

Visionnez notre webinaire (ENG) :

▶️ How to deploy financial services in Europe within a complex KYC regulatory ecosystem?

 

Pour pallier au dumping sécuritaire et à la demande de la Commission Européenne, un tout nouveau standard européen de l’ETSI a été publié en juin 2021 portant sur la vérification d’identité lors de l’émission d’un certificat électronique qualifié. L’ETSI vient notamment spécifier l’utilisation de la vidéo dans la vérification d’identité à distance pour garantir une équivalence au face-à-face.

En parallèle, l’ANSSI, en France a publié dès mars 2020, un standard français associé à une certification d’état, unique au monde, pour les Prestataires de vérification d’identité à distance (PVID). 

Les standards PVID et ETSI sont très complémentaires. La certification PVID donne une équivalence avec la conformité au standard ETSI (l’inverse n’est cependant pas vrai). 

💡Qu’est-ce que cela signifie concrètement ? 

Lorsqu’une solution de signature électronique souhaite se qualifier en France, l’ANSSI s’assure que son prestataire de vérification d’identité à distance est bien certifié PVID. Ainsi, lorsqu’un acteur de vérification d’identité à distance obtient sa certification PVID il est automatiquement déclaré conforme au standard ETSI.

Pour rappel, vous pouvez consulter nos ressources sur le standard PVID de l’ANSSI.

💡Quelques questions à se poser en tant que Fintech et service financier : 

• Mon partenaire est-il impliqué dans l’émission de la signature ? Est-il un simple intermédiaire ? Nous vous conseillons de bien comprendre qui détient la qualification, et de signer un contrat tripartite avec l’acteur qui détient la qualification.
• Mon partenaire de signature électronique est-il qualifié en France ? Sinon dans quel pays de l’Union Européenne ? 
• Le partenariat de signature électronique avec le prestataire de vérification d’identité à distance est-il solide ? Est-ce pour le long terme? 

⚠️ Si la vérification d’identité d’un certificat QES d’une Fintech, banque ou service financier n’est pas conforme au standard de l’ETSI, d’important risques pèsent sur la conformité à la directive LCB-FT. 

ubble, un des tous premiers candidats au Visa de sécurité de l’ANSSI, est partenaire de la plupart des acteurs de signature électronique en cours de qualification en France (Docusign, Yousign, Universign, Oodrive). Notre solution de vérification d’identité en cours de certification PVID par l’ANSSI est une garantie de conformité à ce nouveau standard technique ETSI. 

✅ Nos 3 piliers de vérification d’identité permettent une conformité maximale de votre  KYC : 

1. Un KYC vidéo pour la vérification d’identité à distance 
2. Une vérification d’identité en ligne basée sur un modèle hybride (IA et experts identité)
3. Un KYC sécurisé, adossé à un cloud certifié SecNumCloud

Choisir une QES certifiée PVID, grâce à un prestataire de vérification d’identité certifié, est une position stratégique pour être totalement conforme aux directives LCB-FT et au standard ETSI.

Opter pour une QES certifiée c’est s’assurer que votre prestataire sera conforme partout en Europe et pour longtemps. La solution PVID est une réelle passerelle vers la conformité européenne pour la signature électronique qualifiée.