Cybersecurity

Signature électronique eIDAS : niveaux, valeur juridique et PSCo en 2026

Signature électronique eIDAS : simple, avancée, qualifiée — comparatif de valeur juridique, rôle des PSCo et liste de confiance ANSSI en 2026.

En une phrase. Le règlement eIDAS (UE) n° 910/2014, applicable depuis le 1er juillet 2016, distingue trois niveaux de signature électronique — simple, avancée, qualifiée — dont seule la signature qualifiée bénéficie d’un effet juridique équivalent à la signature manuscrite (article 25§2) et suppose obligatoirement un prestataire de services de confiance qualifié inscrit sur la liste de confiance tenue sous l’égide de l’ANSSI.

Choisir le mauvais niveau de signature électronique expose à un risque simple : que la signature soit valable techniquement mais fragile juridiquement en cas de contestation. Le règlement eIDAS pose un principe de non-discrimination très large (une signature électronique ne peut être écartée au seul motif qu’elle est électronique), mais ce principe ne dit rien de la force probatoire réelle en cas de litige — c’est précisément l’objet de la hiérarchie à trois niveaux. Cet article complète notre guide complet eIDAS en se concentrant sur ce qui compte au moment de choisir un prestataire : le niveau de signature adapté à l’acte, et la fiabilité du PSCo qui la délivre.

Points clés

  • Trois niveaux : simple (SES), avancée (AdES, article 26), qualifiée (QES, article 3.12).
  • Seule la signature qualifiée a un effet juridique équivalent à la signature manuscrite (article 25§2 eIDAS).
  • La signature avancée doit être liée de façon univoque au signataire et détecter toute modification ultérieure du document.
  • Un PSCo qualifié doit figurer sur la liste de confiance (Trusted List) tenue sous l’égide de l’ANSSI en France.
  • Le décret n° 2017-1416 renvoie à la signature qualifiée eIDAS pour la présomption de fiabilité de l’article 1367 du Code civil.
  • eIDAS 2 (règlement UE 2024/1183) introduit le portefeuille européen d’identité numérique (EUDI Wallet).

1. Les trois niveaux de signature électronique

Signature électronique simple (SES)

C’est le niveau le plus basique : une case à cocher, un clic sur « j’accepte », une signature scannée. Le règlement eIDAS ne lui impose aucune exigence technique particulière — elle bénéficie néanmoins du principe de non-discrimination de l’article 25§1 : un juge ne peut pas la rejeter au seul motif qu’elle est électronique. Mais en pratique, sa force probatoire reste faible car elle n’apporte aucune garantie technique d’identification du signataire ni d’intégrité du document. En cas de contestation, la charge de la preuve pèse lourdement sur celui qui s’en prévaut.

Signature électronique avancée (AdES)

L’article 26 du règlement pose quatre exigences cumulatives pour qu’une signature soit qualifiée d’« avancée » : elle doit être liée au signataire de manière univoque, permettre de l’identifier, être créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif, et être liée aux données associées de telle sorte que toute modification ultérieure des données soit détectable. Concrètement, cela suppose une authentification robuste du signataire (souvent par un lien envoyé à une adresse vérifiée ou une vérification d’identité) et un scellement cryptographique du document. C’est le niveau le plus utilisé en pratique commerciale (contrats B2B, RH) car il offre un bon compromis entre robustesse et simplicité d’usage.

Signature électronique qualifiée (QES)

L’article 3, point 12 du règlement définit la signature qualifiée comme une signature électronique avancée qui est en plus créée par un dispositif de création de signature électronique qualifié et qui repose sur un certificat qualifié de signature électronique. C’est le niveau le plus exigeant : il suppose une vérification d’identité forte du signataire (souvent en face à face ou par un moyen équivalent), un dispositif de création sécurisé (le plus souvent une clé cryptographique protégée matériellement), et un certificat délivré par un prestataire qualifié. C’est le seul niveau auquel le règlement attache un effet juridique automatique équivalent à la signature manuscrite.

2. La valeur juridique : ce que dit précisément eIDAS

Le principe de non-discrimination (article 25§1)

Ce principe protège toutes les signatures électroniques, y compris simples : un effet juridique et une recevabilité comme preuve en justice ne peuvent pas être refusés à une signature au seul motif qu’elle se présente sous forme électronique. Cela ne veut pas dire que toute signature électronique a la même force probante — cela veut dire qu’aucune n’est disqualifiée d’office.

L’équivalence avec la signature manuscrite (article 25§2)

Seule la signature qualifiée bénéficie de cette équivalence automatique avec la signature manuscrite dans tous les États membres. C’est une différence fondamentale : avec une signature avancée ou simple, il faudra le cas échéant démontrer devant un juge la fiabilité du procédé utilisé ; avec une signature qualifiée, cette démonstration est présumée acquise.

L’article 1367 du Code civil et le décret du 28 septembre 2017

En droit français, l’article 1367 du Code civil pose une présomption de fiabilité du procédé de signature électronique lorsqu’il répond à des exigences fixées par décret. Le décret n° 2017-1416 du 28 septembre 2017 a précisément aligné cette présomption sur la signature qualifiée au sens d’eIDAS. Autrement dit : en dessous du niveau qualifié, la fiabilité du procédé doit être démontrée au cas par cas ; au niveau qualifié, elle est présumée.

3. Comparatif des trois niveaux

Niveau Exigences techniques Valeur juridique Cas d’usage typique
Simple (SES) Aucune exigence spécifique (clic, case à cocher) Non-discrimination (art. 25§1), preuve faible en cas de litige Acceptation de CGV, formulaires à faible enjeu
Avancée (AdES) Identification univoque, contrôle exclusif, détection de modification (art. 26) Force probatoire renforcée, à démontrer au cas par cas Contrats commerciaux, documents RH, devis engageants
Qualifiée (QES) AdES + dispositif de création qualifié + certificat qualifié (art. 3.12) Équivalence légale à la signature manuscrite (art. 25§2), présomption de fiabilité (art. 1367 Code civil) Actes authentiques à distance, actes notariés, marchés publics sensibles

4. Le rôle central des PSCo et de la liste de confiance

Qu’est-ce qu’un PSCo ?

Un prestataire de services de confiance (PSCo) est l’entité qui délivre les certificats et dispositifs nécessaires à la signature électronique. Tous les PSCo ne sont pas équivalents : seuls les PSCo qualifiés peuvent délivrer des certificats permettant d’atteindre le niveau QES. Un prestataire non qualifié peut très bien fournir une solution de signature avancée robuste, mais ne pourra jamais, par construction, produire une signature qualifiée au sens du règlement.

La liste de confiance (Trusted List)

Chaque État membre tient une liste de confiance recensant les PSCo qualifiés opérant sur son territoire. En France, cette liste est publiée sous l’égide de l’ANSSI. Avant de s’engager avec un prestataire pour des actes à enjeu juridique fort, il est indispensable de vérifier son inscription effective sur cette liste — un logo « eIDAS » ou une communication commerciale ne suffisent pas à garantir la qualification réelle.

Certains actes exigent obligatoirement une QES

Pour certains actes à distance — notamment certains actes authentiques ou notariés réalisés sans présence physique du signataire — le droit français impose explicitement le recours à une signature qualifiée. Utiliser un niveau inférieur pour ce type d’acte n’est pas une simple prise de risque commerciale : l’acte peut être frappé de nullité ou d’inopposabilité.

5. eIDAS 2 et l’évolution du cadre

Le règlement (UE) 2024/1183, dit « eIDAS 2 », fait évoluer le cadre en créant le portefeuille européen d’identité numérique (EUDI Wallet), qui permettra à chaque citoyen européen de disposer d’une identité numérique reconnue dans tous les États membres et de signer électroniquement depuis cette identité unique. Cette évolution ne remplace pas la hiérarchie des trois niveaux de signature — elle en facilite l’accès en simplifiant l’identification préalable du signataire, en particulier pour atteindre le niveau qualifié sans démarche physique lourde.

6. Signature, archivage et sécurité : une chaîne à ne pas rompre

Signer électroniquement un document n’a de sens que si le document signé est ensuite conservé dans des conditions qui préservent son intégrité. Une signature qualifiée sur un document mal archivé perd une partie de son utilité en cas de litige des années plus tard. Voir notre article sur l’archivage électronique à valeur probante et, pour la remise sécurisée de documents signés aux destinataires, sur le coffre-fort numérique. Ces deux briques s’articulent aussi avec les exigences générales de sécurité des données de l’article 32 du RGPD, et pour le secteur bancaire, avec les obligations spécifiques issues de la DSP2 en matière d’authentification forte. Legiscope permet de documenter dans un même registre le niveau de signature retenu par type de document et les garanties du PSCo choisi.

FAQ

Une signature électronique simple est-elle valable pour un contrat commercial ?

Oui, elle bénéficie du principe de non-discrimination et peut être recevable en justice. Mais sa force probatoire est faible : en cas de contestation, il faudra démontrer par d’autres moyens (échanges d’e-mails, logs, comportement des parties) que le contrat a bien été conclu par la personne identifiée. Pour un contrat à enjeu réel, une signature avancée est généralement préférable.

Comment vérifier qu’un prestataire de signature électronique est réellement qualifié ?

Il faut consulter la liste de confiance (Trusted List) publiée pour la France sous l’égide de l’ANSSI, qui recense les prestataires de services de confiance effectivement qualifiés. Une simple mention commerciale « conforme eIDAS » ne garantit pas le niveau qualifié : seule l’inscription sur cette liste officielle fait foi.

Faut-il toujours utiliser le niveau de signature le plus élevé possible ?

Non. Le niveau qualifié impose des contraintes d’usage (vérification d’identité renforcée, dispositif de création qualifié) qui ralentissent le parcours de signature et ont un coût. Le bon réflexe est de calibrer le niveau à l’enjeu juridique réel de l’acte : simple pour l’acceptation de conditions à faible enjeu, avancée pour l’essentiel des contrats commerciaux et RH, qualifiée uniquement lorsque la loi l’impose ou que l’enjeu contentieux le justifie.

Conclusion

La hiérarchie eIDAS à trois niveaux n’est pas une nuance théorique : elle détermine directement la force probatoire d’un contrat signé électroniquement. Simple pour les usages à faible enjeu, avancée pour la majorité des contrats commerciaux, qualifiée — avec un PSCo vérifié sur la liste de confiance — pour les actes où la loi l’exige ou où le risque contentieux est réel. Vérifier la qualification effective du prestataire, pas seulement sa communication marketing, reste le réflexe qui évite les mauvaises surprises le jour où la validité d’une signature est contestée.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →