Depuis l’entrée en vigueur du règlement eIDAS (UE 910/2014), les signatures électroniques qualifiées bénéficient d’une présomption de validité équivalente à la signature manuscrite au sein de l’Union européenne. Avant de lancer un essai ou d’engager un achat, il est indispensable d’évaluer trois axes complémentaires : conformité juridique, intégration technique et coût total de possession. Cet article détaille les preuves à demander, les tests à exiger, et les critères pratiques pour valider un POC et négocier un contrat.
1. Conformité juridique : preuves et documents à obtenir
Demandez explicitement la documentation prouvant le niveau eIDAS supporté (signature simple, signature électronique avancée – AES, signature électronique qualifiée – QES). Pour une QES, exigez la liste et les certificats des Prestataires de Services de Confiance qualifiés (QTSP) utilisés, ainsi que les politiques de certification. Vérifiez également la compatibilité avec les formats standards (PAdES, XAdES, CAdES) et la capacité à produire des preuves LTV (Long Term Validation) et des horodatages qualifiés.
Exigez, en annexe du POC ou du contrat :
- Exemples de documents signés (PDF, XML) avec la chaîne de certification complète et les horodatages RFC 3161 intégrés.
- Une exportation de l’audit trail au format JSON ou CSV montrant tous les événements (envoi, consultation, authentification, signature, horodatage) avec horodatage et identifiants.
- Le Data Processing Agreement (DPA), la politique de confidentialité et la localisation des données (UE/EEE ou autre) avec clauses GDPR explicites.
- Procédures de conservation des preuves, durée de rétention, modalités de récupération et plan de continuité d’activité.
2. Traçabilité et sécurité technique
La traçabilité complète est essentielle : chaque étape du flux doit être horodatée et historisée. Vérifiez que le fournisseur chiffre les données en transit (TLS 1.2/1.3) et au repos (AES-256 ou équivalent), et qu’il propose des mécanismes de vérification indépendants pour prouver l’intégrité d’un document signé. Examinez la gestion des clés : utilisation de HSM certifiés FIPS 140-2/3, politique de rotation des clefs, stockage séparé des clés qualifiées et non qualifiées.
Demandez les rapports d’audits indépendants et certifications disponibles (ISO 27001, SOC 2 type II, PCI DSS si applicable). Contrôlez les procédures de gestion des incidents, le temps de notification en cas de compromission, et la capacité à fournir des preuves judiciaires en cas de litige.
3. Capacité d’intégration : API, SDK, webhooks et connecteurs
Un bon fournisseur doit proposer une API REST bien documentée, SDKs pour vos langages principaux (Java, .NET, Node.js, Python), et un sandbox opérationnel. Testez les éléments suivants pendant le POC :
- Envoi automatisé de lots (bulk signing), gestion d’erreurs et codes HTTP clairement définis.
- Webhooks fiables avec gestion de retry, signature des webhooks et possibilités de relecture (delivery logs).
- Mécanismes d’authentification des signataires : OTP SMS, email, identification forte (KYC/ID check), eIDAS eID si nécessaire.
- Connecteurs natifs pour CRM/ERP/SIRH (Salesforce, SAP, Workday) et possibilité d’intégrer via iPaaS pour limiter les développements.
Mesurez le temps d’intégration estimé, identifiez les dépendances (par ex. envoi de SMS via un tiers), et demandez un plan d’accompagnement technique pour la montée en charge.
4. Critères commerciaux et modèle tarifaire
Demandez un test gratuit et un devis détaillé incluant : coûts par transaction, paliers volume, coûts des OTP SMS, horodatages qualifiés, stockage et extraction des preuves. Attention aux coûts cachés : appels API facturés, stockage à long terme, export des logs, maintenance des connecteurs. Négociez une grille tarifaire claire avec remises volume et plafonds, ainsi que des conditions de montée en charge.
Incluez dans la négociation l’onboarding (formations, ateliers d’intégration), un support technique dédié pendant le POC, et un SLA formalisé pour la disponibilité et le temps de réponse support.
5. Organisation du POC et critères d’acceptation
Structurez le POC avec des objectifs mesurables et un calendrier précis. Définissez les cas d’usage prioritaires (ex : contrats commerciaux, fiches de paie, documents RH) et simulez des volumes réalistes. Les tests à exiger :
- Envoi et signature de documents multi-signataires avec workflows conditionnels.
- Vérification de la conservation des preuves, export et revalidation hors plate-forme.
- Mesure de la latence API, taux d’échec, et comportement des webhooks en cas d’instabilité réseau.
Critères d’acceptation minimal : obtention des certificats et preuves eIDAS, intégration réussie des webhooks et récupération automatique des documents signés, conformité GDPR attestée, et SLA répondant aux exigences métiers.
6. Références, support et gouvernance
Demandez des références clients dans votre secteur et des cas d’usage similaires. Vérifiez le niveau de support (SLA, heures couvertes, interlocuteur dédié), la capacité d escalade vers les équipes produit et sécurité, et les modalités d’audit et de gouvernance post-déploiement. Prévoyez des indicateurs à suivre : taux de réussite des signatures, temps moyen de signature, incident security, coûts mensuels réels.
En conclusion, lancez un POC uniquement si le fournisseur fournit des échantillons signés avec chaîne complète, accès au sandbox et à l’audit trail exportable, documentation API exhaustive, et conditions commerciales claires. Exigez un cahier des charges précis, des critères d’acceptation mesurables, et un chiffrage du coût total de possession incluant intégration, opérations et conservation à long terme. Enfin, consultez la CNIL et les recommandations de l’ANSSI pour vérifier les exigences locales et assurer une mise en œuvre conforme et robuste.
