mettre en place un processus de signature électronique dans un contexte b2c

2

TABLE DES MATIERES

1 A QUI S’ADRESSE CE DOCUMENT ? ...........................................................

2 INTRODUCTION .......................................................................................

3 LA SIGNATURE EN FACE-A-FACE .............................................................

3.1 Signature dans les points de vente ................................................................

3.2 Choix du terminal de signature (tablette mobile vs écran partagé) .............

3.3 La signature hors ligne en face-à-face .........................................................

4 LA VENTE A DISTANCE ............................................................................

4.1 Signature par des clients connus ou des prospects en vente à distance ......

5 SIGNATURE PAR DES CLIENTS CONNUS OU DES PROSPECTS EN VENTE

A DISTANCE ............................................................................................

6 CONCLUSION ..........................................................................................

3

3

5

5

9

9

11

11

14

16

3

1 A QUI S’ADRESSE CE DOCUMENT ?

Ce livre blanc s’adresse à toutes les sociétés qui ont des besoins de contractualisation pour : le domaine BtoC, c’est-à-dire pour la vente aux particuliers (dans le secteur des banques, assurances, gouvernements, fournisseurs Internet, telco, distributeurs automobile, etc.) ;permettre la signature de contrats ou de documents par des clients connus ou des prospects avec une forte valeur légale ;dématérialiser des processus métiers ou commerciaux au moyen de la signature électronique.

Ce livre blanc n’est pas un document qui traite de la dématérialisation de manière générale et ses bénéfices, il traite de façon plus précise des différents parcours utilisateurs en fonction du contexte de vente et de signature.

Si vous souhaitez avoir plus de détails sur le marché global de la signature électronique en Europe et avoir des notions de calcul de ROI sur la mise en œuvre de dématérialisation de processus de vente, nous vous conseillons de lire les livres blancs suivants :- « L’émergence de la signature électronique en Europe » par le cabinet Arthur D. Little qui donne une vue globale de la technologie et des acteurs présents sur le marché européen.- « Les contrats électroniques », par le cabinet SEALWeb, qui explique les avantages de la signature électronique et le retour sur investissement.

Les cinématiques de vente décrites dans ce document sont des parcours clients qui ont déjà été mis en œuvre, vous pouvez trouver des témoignages de certains de nos clients en vous connectant sur www.docusign.fr

2 INTRODUCTION

Ce document s’attache à décrire de façon précise les différentes cinématiques de contractualisation entre un établissement fournisseur de services et des consommateurs (BtoC). Ces cinématiques prennent en compte les aspects légaux tout en offrant une expérience utilisateur permettant d’être en phase avec la réalité business du marché.

L’ensemble de ces parcours sont interruptibles et en adéquation avec une stratégie multicanale des entreprises d’aujourd’hui grâce à la signature électronique DocuSign.

Rappel du contenu de la réglementation eIDAS : L’esprit de la réglementation eIDAS est avant tout de définir un cadre légal qui va permettre de fournir un socle commun pour les interactions électroniques sécurisées entre citoyens.

Ainsi l’Union Européenne a pour objectif d’ instaurer un climat de confiance dans l’environnement numérique qui est essentiel au développement économique et social des pays membres.

Ainsi la réglementation eIDAS prévoit 3 types de signature légales, adaptées à différents contextes de ventes et de risques :

• La Signature Simple ou E-Signature : Cette signature électronique ne nécessite pas d’enregistrement préalable du signataire.

4

• La Signature Avancée (AdES) : Cette signature électronique utilisée pour des contrats plus risqués comme par exemple l’ouverture de comptes bancaires, le crédit à la consommation ou des engagements clients relatifs à des montant importants.

• La Signature Qualifiée (QES) : C’est le plus haut niveau de signature électronique, équivalent à la signature papier. Il a en effet la particularité de renverser la charge de la preuve sur le signataire. Cela revient à dire qu’en cas de litige, c’est au signataire de démontrer l’invalidité de la signature électronique.

Nous nous attacherons dans ce Livre Blanc à décrire les cinématiques les plus complexes sur les niveaux de signature AdES et QES et à prendre en compte l’hétérogénéité des contextes de contractualisation. Pour ce faire nous vous proposons des cinématiques qui utilisent une offre Cloud de signature électronique avec génération de certificat à la volée.

L’offre Cloud avec génération de certificats à la volée peut être synthétisée en 3 points :

• Le certificat de signature n’a pas besoin d’être distribué sur un support durable comme des tokens USB ou Smartcard.

• Le principe est de délivrer un certificat de signature pour le signataire (personne physique) dans le Cloud de façon unitaire pour chaque transaction.

• Le certificat de signature est généré à la demande avec une durée de vie limitée à quelques minutes pour un usage unique.

Ce procédé permet au signataire de signer un document depuis n’importe quel appareil (PC, tablette ou smartphone) sans aucun prérequis technique et sans aucune adhérence avec le terminal. Cette offre est particulièrement adaptée aux exigences de la vente BtoC avec des terminaux grand public.

Il n’est pas envisageable dans ce contexte d’équiper les clients/prospects avec des certificats sur support durable (USB, Smartcard) pour des raisons de coûts, de fréquence de signature et de complexité pour des processus de vente qui doivent rester fluides et souples.

La signature électronique peut être mise en œuvre dans différents contextes de vente.

On distingue généralement deux types/contextes de vente :

1. La vente en face-à-face (réalisée en agence ou dans un point de vente) généralement réalisée via le terminal

du vendeur.2. La vente à distance (réalisée à travers un site e-commerce ou via un call center par exemple), où la signature

est réalisée sur le terminal du client/prospect.

La signature électronique, à travers ces deux types de vente, se doit d’être en adéquation avec des processus multicanaux. En effet, pour la signature d’un contrat nécessitant plusieurs signataires, la transaction peut être initiée en face-à-face par le signataire A et finalisée via Internet (vente à distance) par le signataire B.

Les paragraphes suivants décrivent quatre situations de vente différentes :

1. La signature en face-à-face dans un point de vente sur un terminal connecté à Internet (généralement des terminaux sous IOS, Android ou W10).

2. La vente nomade en face-à-face avec une connexion Internet faible ou inexistante.3. La vente à distance avec la signature d’un prospect.4. La vente à distance avec un signataire déjà client de l’entité distributrice.

5

3 LA SIGNATURE EN FACE-A-FACE

Cette partie traite les différentes cinématiques de vente en face-à-face avec un signataire unique. Les contextes de transactions en face-à-face sont multiples :

• Points de vente• Agences bancaires• Vente à travers des magasins• Vente nomade

Dans ces cas :

• Le signataire est un prospect et le processus est complété par un enrôlement permettant d’identifier le signataire via un justificatif d’identité.

• Le terminal utilisé pour présenter le contrat au signataire et capturer son approbation sur celui-ci peut être mobile (utilisation d’une tablette connectée en WIFI) ou fixe (utilisation d’un PC équipé d’un écran tactile ou d’une tablette de signature permettant la capture de l’image de la signature manuscrite).

• Il faut envisager le cas où le terminal utilisé n’a pas de connexion au moment de la signature, dans ce cas la solution doit permettre de capturer les éléments d’approbation du signataire en mode offline. Ce cas est particulièrement fréquent dans des situations de vente nomade, lorsque le vendeur réalise ses ventes sur le terrain (domicile du signataire par exemple). Le mode offline peut également être utilisé en solution de secours dans les agences bancaires par exemple en cas de défaillance momentanée de la liaison Internet.

3.1 Signature dans les points de vente Signatures éligibles : E-Signature/AdES/QES

Etape 1: Préparation du document

Le conseiller prépare la transaction (identification du signataire, personnalisation du contrat, etc.). Les écrans de vente du produit (formulaires, simulateurs) peuvent être intégrés au terminal mobile ou sur le PC du vendeur. A la fin de cette étape, les documents à signer (majoritairement au format PDF pour le contrat et les annexes) sont créés.

Etape 2: Vérification de l’identité du signataire

Si le signataire est un prospect, le conseiller vérifie l’identité du signataire en lui demandant de présenter des justificatifs d’identité en cours de validité (CIN, passeport, titre de séjour, etc.). Dans certains cas, le conseiller/vendeur peut scanner les pièces justificatives avec l’appareil photo de la tablette pour le soumettre au dossier signé. Généralement les pièces d’identités sont conservées pour une durée de 5 ans.

Etape 3 : Signature du document par l’organisme émetteur

La signature organisme permet de présenter au signataire un document déjà signé par l’organisme émetteur. Généralement il s’agit de la signature d’une personne morale qui certifie l’authenticité et l’intégrité du document.

6

Etape 4: Présentation du document

L’affichage du PDF sur le terminal mobile et le fait qu’il soit à la main du client est une nécessité juridique importante. Ainsi le document peut être présenté sur un terminal qui serait donné au signataire ou sur un écran partagé. La différence entre ces deux approches sera détaillée dans l’étape suivante.

Etape 5: Le protocole de consentement

Le protocole de consentement est le lien direct entre le Tiers de Confiance et le signataire

qui peut déclencher le processus de signature électronique. La finalisation de cette étape est de la responsabilité du Tiers de Confiance. En pratique, le protocole de consentement permet de recueillir l’ensemble des éléments de consentement du signataire. Il peut contenir les plusieurs étapes suivantes :Acceptation des mentions légales (cases à cocher) avec les mentions légales généralement liées au produit et décidées par le service juridique de l’émetteur du document.Authentification du signataire (SMS OTP, CAP EMV OTP, SAML protocole…). Il faut que le moyen d’authentification soit sous le contrôle exclusif du signataire pour respecter les exigences ETSI de la signature avancée ou qualifiée.NB : a ce jour l’utilisation du SMS pour la signature qualifi est obligatoireCapture de la signature manuscrite du signataire.

Ce processus d’authentification doit clairement indiquer que la capture de la signature manuscrite n’est pas la signature électronique à valeur probante. Généralement on utilise ce procédé pour des raisons ergonomiques et d’habitude de signature. Si la signature est capturé sur une tablette, le signataire pourra utilisée son doigt ou un stylet prévu à cet effet. Dans le cas d’un écran partagé avec le conseiller, un pas de signature sera connecté au PC.

L’ensemble des étapes du protocole de consentement seront archivées dans le fichier de preuve et pourront être rejouées en cas de litige plusieurs années plus trad.

Etape 6: La signature électronique

Dès que le protocole de consentement a été validé par le signataire, le tiers de confiance déclenche l’exécution des différentes étapes techniques de réalisation d’une signature électronique : Génération d’une bi-clés pour le compte du signataire (dans un HSM sécurisé équivalent SSCD pour la QES).Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes.Génération d’un jeton d’horodatage pour la signature.Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir la non réutilisation de la clé privée pour une autre opération.Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). Le PDF embarque la signature, le jeton d’horodatage associé et l’image de la signature manuscrite dans un champ de signature prévu à cet effet.Chargement de la page de confirmation.

7

Etape 7: Génération du fichier de preuve

Dès que l’étape de signature est réalisée, et si cette signature marque la fin de la transaction (un contrat peut avoir N signataires), dans ce cas la fin de la transaction se fait suite à la réalisation de la dernière signature.

Le fichier de preuve comprend les informations sur la transaction décrites ci-dessous :

• Les différentes versions du PDF (la version présentée, la version signée, etc.)• Le jeton d’horodatage• Le protocole de consentement ayant servi à recueillir le consentement du signataire • Les informations d’authentification du signataire• Le contexte de la vente

Des éléments additionnels : documents pré-contratctuels, trace de log des différentes acceptations, empreintes biométriques etc.

Le fichier de preuve est signé et horodaté par le Tiers de Confiance pour en garantir l’intégrité des éléments.

Etape 8 (optionnelle) : Période de rétractation

Une période de rétractation peut être définie pour chaque transaction. Cette période correspond à la période légale permettant au signataire de se rétracter des obligations du contrat qu’il a signé. Si une période de rétraction est configurée, le Tiers de Confiance va stocker le fichier de preuve dans un archivage temporaire et si la rétractation est demandée par le signataire, il détruira la preuve.

Etape 9 (optionnelle) : Archivage à valeur légale

Le Tiers de Confiance est directement relié à un tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7rs/7) via une interface web sécurisée proposée par le tiers archiveur.

8

CritèresTablette

(Android, iOS, W10)Ecrans partagés

+ Pad de signature

La qualité de l’expérience utilisateur

Une application mobile native offrira une fluidité et une expérience utilisateur accrue particulièrement pour le zoom sur le PDF et le scrolling du document.

Les écrans partagés offrent une expérience utilisateur faible pour visualiser le document avant de le signer. Certains pad de signature peuvent permettre la visualisation du PDF mais leur coût est souvent un frein.

Les contraintes du client

La signature électronique peut être réalisée en mode hors connexion. Pour répondre à des contraintes clients en point de vente ou en nomadisme.

Un risque de casse ou de vol réduit avec un pad de signature.

Le risqué de casse ou de vol du terminal mobile est à prendre en compte. La tablette peut être scellée sur un support prévu à cet effet.

L’action de signature doit être réalisée à côté du poste du vendeur, le signataire ne peut pas s’isoler pour lire le contrat dans l’agence ou le point de vente pendant la phase de signature.

Les contraintes techniques liées à l’IT

Capture de l’image de la pièce d’identité directement intégrée dans l’appareil mobile

Moindre impact de déploiement

Nécessité l’utilisation d’outil de déploiement et de gestion de parc (MDM) + nécessité de mise en place d’un réseau Wifi dans le point de vente si le terminal mobile ne permet pas une connexion réseau filaire (IOS par exemple).

Nécessite le déploiement d’outils de scan des pièces justificatives du signataire avec une intégration plus complexe à gérer liée aux différents périphériques connectés au poste du vendeur.

Le coût de la mise en place et de la maintenance

Le coût matériel dépend du choix des terminaux et des appareils déjà en place.Généralement le déploiement de terminaux mobiles est moins cher que d’équiper des postes de travail en pads de signature et en écrans dédiés. Cependant, le coût des logiciels de gestion de parc est à prendre en considération.

La stratégie de l’entreprise autour des terminaux mobiles et de leur sécurisation

Les appareils mobiles sont de véritables ordinateurs capables de faire fonctionner des applications métiers évoluées dans les points de vente. Une stratégie globale sur la mobilité doit plaider vers l’utilisation d’appareils mobile.Ainsi les applications de signatures peuvent être embarquées dans des outils nomades d’aide à la vente qui peuvent fonctionner dans tout types de contextes : vente en magasin, en nomadisme etc.

Les Pads de signature sont exclusivement dédiés à la signature, aucune autre application métier ne peut être utilisée sur ce type de périphérique. Certaines tablettes de signature haut de gamme peuvent servir à afficher un message publicitaire.

La mobilité ou non de l’équipement au sein d’une agence ou d’un magasin

Certaines situation de ventes demandent aux vendeur une mobilité totale au sein d’un espace de vente, dans certains cas le signataire peut être totalement autonome pour souscrire à un contrat via l’équipement du magasin, de l’agence ou de la concession. La sécurisation physique de ces appareils pour lutter contre le vol est un des éléments à prendre en compte

Les pads de signatures sont rattachés à un poste vendeur par un câble ce qui les rend moins propice aux déplacements mais sont également plus difficiles à dérober.

9

3.2 Choix du terminal de signature (tablette mobile vs écran partagé)

Le choix d’un terminal de signature dans un point de vente doit se faire selon différents critères tels que:

• La qualité de l’expérience utilisateur

• Les contraintes du client

• Les contraintes techniques liées à l’IT

• Le coût de la mise en place et de la maintenance

• La stratégie de l’entreprise autour des terminaux mobiles et de leur sécurisation

• La mobilité ou non de l’équipemet au sein d’une agence ou d’un magasin

• La sécurisation de cet équipement

3.3 La signature hors ligne en face-à-face Signatures éligibles : E-Signature/AdES/QES

Cette cinématique requiert une application spécifique préinstallée sur le mobile (tablette ou smartphone) sur laquelle la première étape de la transaction sera réalisée.

Etapes 1-2 et 4-5 :

Formulaire de recueil des données client pour constituer un PDF prêt à être signé puis présentation d’un protocole de consentement. Il s’agit des mêmes étapes 1, 2 et 4 décrites dans le chapitre précédent où le vendeur saisit les éléments de personnalisation du contrat, vérifie l’identité du signataire et présente le contrat au signataire pour qu’il en prenne connaissance avant de l’accepter à travers le protocole de consentement.

Etape 6 : Chiffrement de la requête

Dès que le signataire a validé le protocole de consentement, les éléments de la transaction sont scellés dans une enveloppe sécurisée par l’application mobile. Seul le tiers de confiance est en mesure de décrypter cette enveloppe pour en extraire les éléments. Dans le cas d’une connexion Internet de Type EDGE, l’application va invoquer le tiers de confiance pour obtenir un jeton d’horodatage qui sera ajouté dans l’enveloppe cryptée. Si aucune connexion Internet n’est détectée, l’application utilisera l’horloge de la tablette. La transaction est alors en attente de synchronisation pour obtenir la confirmation définitive du signataire (a posteriori). L’application mobile est capable d’enregistrer plusieurs transactions (correspondant aux ventes de la journée) et de les transmettre de façon séquentielle au moment de la synchronisation.

Etape 7 : Reconnexion de l’appareil mobile

Dès que l’appareil mobile retrouve une connexion Internet, les transactions (encryptées) commencent à être transmises au Tiers de confiance qui est le seul à être capable de les décrypter.

10

Etape 8 : Confirmation de la transaction

Le tiers de confiance transmet une notification au signataire (par email ou via un serveur vocal interactif). Le signataire suit la procédure et confirme la transaction.Dans le cas d’une notification par email, le signataire reçoit un message avec un lien sécurisé qui lui permet d’accéder à une page Web de confirmation de sa transaction, hébergée par le tiers de confiance.

Le protocole de confirmation permet de récapituler plusieurs informations sur la transaction :

• Présenter des informations telles que la référence du contrat, la date de signature, le montant, etc.

• La réauthentification du signataire à travers un OTP transmis par SMS (processus proche du protocole de consentement (étape 4)

• Acceptation ou refus de la signature. Pour être llégal un protocole de

consentement doit systématiquement proposer la possibilité d’annuler une transaction.

Etape 9 : Digital signature La signature électronique

A la confirmation du protocole de consentement le Tiers de confiance déclenche les opérations cryptographiques permettant la génération des certificats de signature comme pour la vente en face-à-face.

• Génération d’un bi-clés pour le compte du signataire (dans un HSM sécurisé).

• Génération d’une signature avec un certificat X509 qui embarque les

informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes.

• Génération d’un jeton d’horodatage pour la signature.

• Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir

la non réutilisation de la clé privée pour une autre opération.

• Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). Le PDF embarque la signature, le jeton d’horodatage associé et l’image de la signature manuscrite dans un champ de signature prévu à cet effet.

Etape 10 : Génération du fichier de preuve

Dès que la signature est réalisée, le tiers de confiance va produire un fichier de

preuve à valeur probante avec les différents éléments de preuve (cf. étape 7 de la signature électronique dans les points de vente).

La particularité du fichier de preuve d’une signature en mode offline est que celui-ci mentionnera que la signature électronique de la transaction a été réalisée en mode déconnecté et embarquera les éléments de preuve liés à ce mode de signature.

11


• Les différentes versions du PDF (la version présentée, la version signée, etc.)

• Le jeton d’horodatage

• Le protocole de consentement ayant servi à recueillir le consentement du

signataire

• Les informations d’authentification du signataire

• La mention explicite que la transaction a été initié en mode offline

• Le fichier de preuve est signé et horodaté par le Tiers de confiance pour en

garantir l’intégrité des éléments.

Etape 11 : (optionnelle) : Archivage à valeur probante

Le tiers de confiance est directement relié à un Tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7jrs/7) via une interface Web sécurisée proposée par le tiers archiveur.

4 LA VENTE A DISTANCE

Signatures éligibles : E-Signature/AdES/QES

Cette partie traite des cinématiques de vente en ligne de services avec la signature électronique d’une seule personne physique.

Cette vente en ligne peut-être réalisée depuis un site E-commerce, un espace client d’une banque, assurance, un abonnement à une chaine privée, un espace client de gestion de compte, etc.

Dans les contextes suivants :

• Le client est déjà connu par le fournisseur de service, auquel cas il s’identifie avec les moyens mis à sa disposition, ou il s’agit d’un prospect. Dans le cas d’un prospect, une procédure d’enrôlement préalable est nécessaire pour garantir l’identification du signataire.

• Le terminal utilisé pour la signature peut être un terminal grand public (PC, Mac, tablette, smartphone, …).

4.1 Signature par des clients connus ou des prospects en vente à distance Signatures éligibles : E-Signature/AdES

Etape 1 : Préparation du document

La société permet une contractualisation depuis son site Internet (classique ou mobile). La première étape est la complétude des formulaires (simulation, données clients, etc.). Cette complétude peut être réalisée par le client ou prospect directement sur le site Internet ou par un conseiller téléphonique qui assistera le

12

client/prospect dans cette démarche.

A la fin de cette étape le signataire est orienté vers une étape d’identification (cas d’un prospect), cette étape est interruptible, le client peut à tout moment reprendre sa transaction là où il l’avait quittée.

Etape 2 : Identification en ligne (pour les prospects uniquement)

La vérification de l’identité du signataire dépend de la complexité et du risque sur le produit vendu. En voici quelques cas d’usage (toutes ces étapes ne sont pas obligatoires) :

• Vérification à travers des moyens mis à disposition par le gouvernent, la banque ou le telco.

• Vérification de l’identité du signataire à travers la transmission de ses pièces justificatives (CIN, passeport) ou en utilisant la vidéo conférence (équivalent à un face-à-face).

• Vérification à travers la collecte de plusieurs pièces : justification d’identité, justificatif de domicile, justificatif bancaire, etc.

• Vérification à travers un OTP qui peut être transmis par SMS sur le numéro préalablement renseigné.

Quand la collecte des pièces justificatives n’est pas possible le temps de la session de l’internaute, le système prévoit l’interuptibilité du parcours pour permettre au signataire de compléter son dossier jusqu’à plusieurs jours après le début de sa souscription.

Etape 3 : Présentation du document

Le terminal personnel du signataire reçoit le contrat PDF à travers une page Web.Le signataire peut en prendre connaissance avant de donner son consentement à travers le protocole de consentement.

Etape 4 : Le protocole de consentement

Le protocole de consentement est le lien direct entre le Tiers de confiance et le signataire qui peut déclencher le processus de signature électronique. La finalisation de cette étape est de la responsabilité du Tiers de confiance.En pratique, le protocole de consentement permet de recueillir l’ensemble des éléments de consentement du signataire.

Il peut contenir les étapes suivantes :

• Acceptation des mentions légales (cases à cocher) avec les mentions légales généralement liées au produit et décidées par le service juridique de l’émetteur du document.

• Authentification du signataire (SMS OTP, CAP EMV OTP, SAML protocole, etc.).

Il faut que le moyen d’authentification soit sous le contrôle exclusif du signataire pour respecter les exigences ETSI de la signature avancée ou qualifiée.

• Deux boutons signer ou annuler la transaction. Le protocole de consentement

13

doit systématiquement permettre l’abandon d’une transaction.

• L’ensemble des étapes du protocole de consentement seront archivées dans le fichier de preuve et pourront être rejouées en cas de litige plusieurs années plus tard.

Etape 5 : Signature électronique

Dès que le protocole de consentement a été validé par le signataire, le tiers de confiance déclenche l’exécution des différentes étapes techniques de réalisation d’une signature électronique :


• Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes.




• Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES).

• Page de confirmation.


Dès que l’étape de signature est réalisée, et si cette signature marque la fin de la transaction (un contrat peut avoir N signataires, dans ce cas la fin de la transaction se fait suite à la réalisation de la dernière signature).


• Les différentes versions du PDF (la version présentée, la version signée etc.).

• Le jeton d’horodatage.


signataire.

• Les informations d’authentification du signataire.

• Le fichier de preuve est signé et horodaté par le tiers de confiance pour en



Le tiers de confiance est directement relié à un tiers archiveur pour permettre un archivage à long terme des fichiers de preuve.Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée.L’organisme émetteur du document pourra y accéder (24hrs/24 et 7jrs/7) via une interface Web sécurisée proposée par le tiers archiveur.

14

4.1 Signature par des clients connus ou des prospects en vente à distance Signatures éligibles : E-Signature/AdES

5 SIGNATURE PAR DES CLIENTS CONNUS OU DES PROSPECTS EN VENTE A DISTANCE

Signatures éligibles : QES

Etape 1 : Préparation du document

La société permet une contractualisation depuis son site Internet (classique ou mobile). La première étape est la complétude des formulaires (simulation, données clients, etc.). Cette complétude peut être réalisée par le client ou prospect directement sur le site Internet ou par un conseiller téléphonique qui assistera le client/prospect dans cette démarche.

A la fin de cette étape le signataire est orienté vers une étape d’identification (cas d’un prospect), cette étape est interruptible, le client peut à tout moment reprendre sa transaction là où il l’avait quittée.

Etape 2 : Identification en ligne (pour les prospects uniquement)

Il s’agit lors de cette étape de créer l’équivalent d’un face à face virtuel avec un conseiller habilité via une visio conférence

• L’internaute choisi le device qu’il va utiliser pour réaliser ce face à face

(Smartphone ou ordinateur équipé d’une webcam).

• L’intenaute est contacté par un opérateur directement via le site internet ou l’application mobile.

• L’opérateur lui demande de présenter sa pièce d’identité à la caméra du mobile

ou de l’ordinateur.

• Des que l’opérateur considère que la qualité est suffisante, il capture une

séquence + une image de la pièce d’identité qu’il pourra vérifier.

• Un système de vérification automatique des éléments de la pièce d’identité est actionné, ce système peut être complété par l’opérateur qui peut agir à tout moment.

• Dès que la pièce est vérifiée, l’opérateur active l’accès à la signature et

l’internaute voit s’afficher le contrat.

Etape 3 : Présentation du document

Le terminal personnel du signataire se rafraîchit et voit apparaître le contrat PDF à travers une page Web ou l’application mobile.En parallèle, DocuSign transmet un code OTP via SMS.

15

Etape 4 : Le protocole de consentement

Le protocole de consentement est le lien direct entre le Tiers de confiance et le signataire qui peut déclencher le processus de signature électronique. La finalisation de cette étape est de la responsabilité du tiers de confiance.En pratique, le protocole de consentement permet de recueillir l’ensemble des éléments de consentement du signataire.

Il peut contenir les étapes suivantes :

• Acceptation des mentions légales (cases à cocher) avec les mentions légales

généralement liées au produit et décidées par le service juridique de l’émetteur du document.

• Authentification du signataire (SMS OTP, CAP EMV OTP, SAML protocole, etc.).

Il faut que le moyen d’authentification soit sous le contrôle exclusif du signataire pour respecter les exigences ETSI de la signature avancée ou qualifiée.

• Deux boutons signer ou annuler la transaction. Le protocole de consentement

doit systématiquement permettre l’abandon d’une transaction.

• L’ensemble des étapes du protocole de consentement seront archivées dans le fichier de preuve et pourront être rejouées en cas de litige plusieurs années plus tard.

Etape 5 : Signature électronique

Dès que le protocole de consentement a été validé par le signataire, le tiers de confiance déclenche l’exécution des différentes étapes techniques de réalisation d’une signature électronique :


• Génération d’une signature avec un certificat X509 qui embarque les

informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes.




• Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES).

• Page de confirmation.


Dès que l’étape de signature est réalisée, et si cette signature marque la fin de la transaction (un contrat peut avoir N signataires, dans ce cas la fin de la transaction se fait suite à la réalisation de la dernière signature).


16

• Les différentes versions du PDF (la version présentée, la version signée etc.).

• Le jeton d’horodatage.


signataire.

• Les informations d’authentification du signataire.

• Le fichier de preuve est signé et horodaté par le Tiers de confiance pour en



Le tiers de confiance est directement relié à un tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7jrs/7) via une interface Web sécurisée proposée par le tiers archiveur.

6 CONCLUSION

La mise en place de la signature électronique dans un contexte BtoC est un sujet complexe. La complexité réside plus dans la mise en place de processus que dans la mise en œuvre technique. Ainsi, un projet de mise en place de signature électronique concernera plusieurs directions au sein d’une entreprise : le marketing, le service juridique, la conformité, le service informatique, etc. Il est très important de pouvoir choisir le bon type de signature en fonction du risque du contrat, en effet nous n’utiliserons pas une signature qualifiée pour un contrat à faible rique.

Comme décrit dans ce livre blanc, tous les type de signature n’ont pas les mêmes contraintes d’un point de vue expérience utilisateur et n’on pas le même poids juridique, il est donc important de calibrer le bon compromis entre l’expérience utilisateur, la fluidité du parcours, l’ouverture du service 24/7 et le risque contrat.

Il est donc important pour une entreprise de se faire accompagner dans sa démarche projet pour que celui-ci soit un succès, en tenant compte de trois points essentiels déterminant dans le choix de son prestataire de signature électronique :

La partie légale Les juristes d’entreprises se font généralement accompagner par des cabinets spécialisés dans la dématérialisation de contrats, afin d’éviter de mauvaises interprétations de la réglementation en vigueur. Ce point est d’autant plus important que l’idée est avant tout d’optimiser le retour sur investissement.

Définition des process métiers et des impacts au sein d’une organisation Il est important de très vite identifier les différents impacts afin d’anticiper les charges et de paralléliser les plannings de réalisation. Beaucoup de cabinets de conseil et d’assistance MOA se sont spécialisés dans le domaine de la transformation numérique, particulièrement dans la conduite du changement.

17

À propos de DocuSign

DocuSign® est le leader de la gestion de transactions avec signature électronique et s’impose comme la référence mondiale pour la signature électronique (eSignature). DocuSign accélère les transactions pour vous permettre d’atteindre vos objectifs plus vite, de réduire les coûts et de satisfaire vos clients. Son réseau mondial est le moyen le plus facile, le plus rapide et le plus sûr d’envoyer, de signer, de suivre et de conserver des documents dans le Cloud. DocuSign vous aide à travailler mieux et plus vite.

Pour obtenir des renseignements américains: numéro vert 866.219.4318 | docusign.comPour obtenir des renseignements EMEA: phone +33 (0) 975 181 331 | [email protected]

Suivez-nousCopyright © 2003-2016 DocuSign, Inc. Tous droits réservés. DocuSign, le logo DocuSign, « Close it in the Cloud », SecureFields, Stick-eTabs, PowerForms, « The fastest way to get a signature », le logo No-Paper, Smart Envelopes, SmartNav, « DocuSign It! », « The World Works Better with DocuSign » et ForceFields sont des marques de commerce ou des marques déposées de DocuSign, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce ou marques déposées sont la propriété de leurs détenteurs respectifs.

La Technologie De plus en plus de sociétés proposent des systèmes en mode Cloud (SAAS). Voici les points importants à respecter pour choisir le bon partenaire technologique :

• Sa capacité à opérer en tant que tiers de confiance et sa capacité à absorber des volumes de signatures industriels.

• Sa connaissance de votre secteur d’activité en se basant sur des cas clients et des références.

• Sa capacité à s’intégrer facilement dans vos systèmes informatiques existants.

• Sa connaissance des terminaux mobiles et sa capacité d’adaptation à ce marché très mouvant.

• Sa capacité à offrir à l’utilisateur une expérience enrichie simple et ergonomique, par exemple en ayant la capacité d’intégrer la signature dans les lecteurs PDF grâce à l’adhésion au programme CDS d’ADOBE.

A PROPOS DE l’AUTEUR

Michael Lakhal Product Manager

Après avoir acquis une solide expérience dans la vente de produits financiers en ligne dans différents organismes financiers, il développe depuis 8 ans une expertise dans la mise en place de signature électronique dans des processus métier.

Michael est diplômé d’un DESS de marketing direct et de vente à distance et a rejoint DocuSign pour gérer le développement des produits de signature électronique BtoC en Europe.

mettre en place un processus de signature électronique dans un contexte b2c

Business