Les fournisseurs de services de certification reconnus selon la SCSE cités ci-après proposent tous les trois des services de signature à distance. Le Signing Service de Swisscom est actuellement utilisé par des fournisseurs tiers qui développent des produits fondés dessus.
Les trois fournisseurs privés proposent, outre des solutions pour les particuliers, les PME, les avocats et les notaires, des solutions d’intégration pour les grandes entreprises.
- Swisscom Schweiz SA
Signing Service – Swisscom Trust Services SA [https://trustservices.swisscom.com/signing-service/]
L’utilisation des autres offres reposant sur Signing Service pour des signatures qualifiées nécessite une validation à deux facteurs, approuvée par Swisscom, comme l’utilisation combinée d’un mot de passe et d’un code SMS à usage unique, de l’application mobile ID ou d’une autre procédure. Attention, ces fournisseurs proposent aussi des signatures valables dans l’espace européen (conformes au règlement eIDAS), il faut donc choisir le bon type de signature :
- Skribble [https://www.skribble.com/de-ch/] – application web pour signature juridiquement valable selon la SCSE et le règlement eIDAS Skribble AG
- DeepSign ://www.deepsign.swiss] – application web pour signature juridiquement valable selon la SCSE et eIDAS, DeepCloud SA
- eSignR [https://esignr.ch] – logiciel local pour signature juridiquement valable de documents confidentiels selon la SCSE et le règlement eIDAS Glue Software Engineering AG
- PrivaSphere Sign & Send [https://www.privasphere.com/h/index.php?id=111&L=1] – logiciel local pour signature juridiquement valable de documents confidentiels selon la SCSE et le règlement eIDAS PrivaSphereSA
- Blink [https://www.ajila.com] – solution de signature prévue principalement pour une intégration dans les applications d’entreprises et d’organisation, Ajila AG
- {esignature} [https://www.glauxgroup.ch/elektronische-signatur] – solution de signature prévue principalement pour une utilisation dans les entreprises et les organisations, Glaux AG
- actaSIGN [www.actasign.swiss]
- Subsign [www.subsign.ch]
Il est préférable de se renseigner auprès des fournisseurs privés ci-dessous pour savoir si leurs produits permettent des signatures conformes au règlement eIDAS, le cas échéant.
- QuoVadis Trustlink Suisse SA
Digicert+QuoVadis (quovadisglobal.com) [https://www.quovadisglobal.com/ch/signing-solutions/] - SwissSign AG
Signature électronique | SwissID Sign [https://www.swissid.ch/fr/geschaeftskunden/sign-business.html]
* Si vous constatez qu’il manque certains fournisseurs reconnus selon la SCSE et leurs fournisseurs tiers dans la liste, nous vous prions de nous le signaler par courriel (signaturdienste@bk.admin.ch).
Signatures proposées par le secteur privé (SES, SEA, SEQ)
Les fournisseurs dont les applications reposent sur le Signing Service de Swisscom proposent en général trois types de signatures :
- SES – la signature électronique simple (prix le plus bas)
- SEA – la signature électronique avancée (prix moyen)
- SEQ – la signature électronique qualifiée (prix le plus élevé)
Les offres Internet peuvent donner l’impression que la SCSE règle aussi les SES et les SEA, ce qui n’est pas le cas.
La SCSE règle uniquement la SEQ (fondée sur un certificat établi au nom d’une personne physique) et le cachet électronique réglementé (fondé sur un certificat établi au nom d’une organisation). Les signatures réglementées et leurs certificats reposent sur des normes techniques qui garantissent la sécurité au moment de la signature et sur des normes qui visent à identifier de manière sûre et fiable la personne ou l’organisation titulaire du certificat. La législation sur la signature électronique prend en compte les normes européennes (normes ETSI) pour les signatures réglementées au moyen de l’art. 4 de l’ordonnance du 23 novembre 2016 sur les signatures électroniques (OSCSE, RS 943.032) [https://www.fedlex.admin.ch/eli/cc/2016/753/fr] et de l’ordonnance de l’OFCOM du 23 novembre 2016 sur les services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques (PAT, RS 943.032.1). Il est alors garanti que la personne titulaire du certificat est aussi toujours celle qui signe pour déclarer et confirmer sa volonté (imputabilité).
Le destinataire d’un document signé électroniquement peut avoir toute confiance dans l’origine et dans les déclarations de volonté que contient le document, dès lors que celui-ci contient une SEQ ou un cachet électronique réglementé. La SEQ répond en effet à l’exigence de la forme écrite et est assimilée à une signature manuscrite (art. 14 à 16 CO). Pour le destinataire du document, SEQ et cachet réglementé font donc foi. D’une manière générale, il est toujours judicieux de les utiliser, même lorsque la forme écrite n’est pas requise par la loi.
L’art. 2 SCSE [https://www.fedlex.admin.ch/eli/cc/2016/752/de] donne bien une définition de la SES et de la SEA, mais elle ne les réglemente pas. La définition légale de la SEA précise toutefois que le certificat utilisé est établi au nom de son titulaire, c’est-à-dire de la personne qui déclare sa volonté (signature personnelle) ou de l’organisation qui atteste l’origine du document (cachet d’une organisation). Dans tous les cas, le destinataire d’un document signé au moyen d’une SEA doit analyser la signature par ses propres moyens et combiner plusieurs facteurs pour déterminer si elle est digne de confiance. La valeur probante d’une SEA est bien moindre que celle d’une SEQ, justement parce qu’elle n’est pas réglementée légalement et qu’elle ne bénéficie pas d’un label de qualité reconnu sur le plan national. En cas de litige, le tribunal doit demander une expertise afin d’estimer la valeur et l’imputabilité d’une SEA. Étant donné qu’il n’existe pas d’accord entre la Suisse et d’autres États pour la reconnaissance mutuelle des SEQ et des cachets électroniques réglementés, les SEQ étrangères sont considérées en Suisse comme des SEA.
Une SES n’est pas fiable, il peut s’agir de n’importe quel type de signature, même d’une signature dont le certificat est établi au nom d’une personne ou d’une organisation tierce. Elle ne se prête donc pas à la signature d’un contrat. Même si la SES est munie d’un horodatage externe, cet horodatage peut tout au plus être un indice indiquant que le document a pu avoir un certain contenu à un moment donné. La plupart des applications de signature web mentionnées plus haut proposent une SES qui repose sur un certificat établi au nom du fournisseur de l’application et non à celui du signataire.