SlideShare ist ein Scribd-Unternehmen logo

Mettre en place un processus de signature électronique dans un contexte B2C

Michael Lakhal
Michael Lakhal

Quelle Signature pour quel type de vente ?

Business
1 von 17
Downloaden Sie, um offline zu lesen
1
2 TABLE DES MATIERES 1 A QUI S’ADRESSE CE DOCUMENT ? ........................................................... 2 INTRODUCTION ....................................................................................... 3 LA SIGNATURE EN FACE-A-FACE ............................................................. 3.1 Signature dans les points de vente ................................................................ 3.2 Choix du terminal de signature (tablette mobile vs écran partagé) ............. 3.3 La signature hors ligne en face-à-face ......................................................... 4 LA VENTE A DISTANCE ............................................................................ 4.1 Signature par des clients connus ou des prospects en vente à distance ...... 5 SIGNATURE PAR DES CLIENTS CONNUS OU DES PROSPECTS EN VENTE A DISTANCE ............................................................................................ 6 CONCLUSION .......................................................................................... 3 3 5 5 9 9 11 11 14 16
3 1 A QUI S’ADRESSE CE DOCUMENT ? Ce livre blanc s’adresse à toutes les sociétés qui ont des besoins de contractualisation pour : le domaine BtoC, c’est-à-dire pour la vente aux particuliers (dans le secteur des banques, assurances, gouvernements, fournisseurs Internet, telco, distributeurs automobile, etc.) ; permettre la signature de contrats ou de documents par des clients connus ou des prospects avec une forte valeur légale ; dématérialiser des processus métiers ou commerciaux au moyen de la signature électronique. Ce livre blanc n’est pas un document qui traite de la dématérialisation de manière générale et ses bénéfices, il traite de façon plus précise des différents parcours utilisateurs en fonction du contexte de vente et de signature. Si vous souhaitez avoir plus de détails sur le marché global de la signature électronique en Europe et avoir des notions de calcul de ROI sur la mise en œuvre de dématérialisation de processus de vente, nous vous conseillons de lire les livres blancs suivants : - « L’émergence de la signature électronique en Europe » par le cabinet Arthur D. Little qui donne une vue globale de la technologie et des acteurs présents sur le marché européen. - « Les contrats électroniques », par le cabinet SEALWeb, qui explique les avantages de la signature électronique et le retour sur investissement. Les cinématiques de vente décrites dans ce document sont des parcours clients qui ont déjà été mis en œuvre, vous pouvez trouver des témoignages de certains de nos clients en vous connectant sur www.docusign.fr 2 INTRODUCTION Ce document s’attache à décrire de façon précise les différentes cinématiques de contractualisation entre un établissement fournisseur de services et des consommateurs (BtoC). Ces cinématiques prennent en compte les aspects légaux tout en offrant une expérience utilisateur permettant d’être en phase avec la réalité business du marché. L’ensemble de ces parcours sont interruptibles et en adéquation avec une stratégie multicanale des entreprises d’aujourd’hui grâce à la signature électronique DocuSign. Rappel du contenu de la réglementation eIDAS : L’esprit de la réglementation eIDAS est avant tout de définir un cadre légal qui va permettre de fournir un socle commun pour les interactions électroniques sécurisées entre citoyens. Ainsi l’Union Européenne a pour objectif d’ instaurer un climat de confiance dans l’environnement numérique qui est essentiel au développement économique et social des pays membres. Ainsi la réglementation eIDAS prévoit 3 types de signature légales, adaptées à différents contextes de ventes et de risques : • La Signature Simple ou E-Signature : Cette signature électronique ne nécessite pas d’enregistrement préalable du signataire.
4 • La Signature Avancée (AdES) : Cette signature électronique utilisée pour des contrats plus risqués comme par exemple l’ouverture de comptes bancaires, le crédit à la consommation ou des engagements clients relatifs à des montant importants. • La Signature Qualifiée (QES) : C’est le plus haut niveau de signature électronique, équivalent à la signature papier. Il a en effet la particularité de renverser la charge de la preuve sur le signataire. Cela revient à dire qu’en cas de litige, c’est au signataire de démontrer l’invalidité de la signature électronique. Nous nous attacherons dans ce Livre Blanc à décrire les cinématiques les plus complexes sur les niveaux de signature AdES et QES et à prendre en compte l’hétérogénéité des contextes de contractualisation. Pour ce faire nous vous proposons des cinématiques qui utilisent une offre Cloud de signature électronique avec génération de certificat à la volée. L’offre Cloud avec génération de certificats à la volée peut être synthétisée en 3 points : • Le certificat de signature n’a pas besoin d’être distribué sur un support durable comme des tokens USB ou Smartcard. • Le principe est de délivrer un certificat de signature pour le signataire (personne physique) dans le Cloud de façon unitaire pour chaque transaction. • Le certificat de signature est généré à la demande avec une durée de vie limitée à quelques minutes pour un usage unique. Ce procédé permet au signataire de signer un document depuis n’importe quel appareil (PC, tablette ou smartphone) sans aucun prérequis technique et sans aucune adhérence avec le terminal. Cette offre est particulièrement adaptée aux exigences de la vente BtoC avec des terminaux grand public. Il n’est pas envisageable dans ce contexte d’équiper les clients/prospects avec des certificats sur support durable (USB, Smartcard) pour des raisons de coûts, de fréquence de signature et de complexité pour des processus de vente qui doivent rester fluides et souples. La signature électronique peut être mise en œuvre dans différents contextes de vente. On distingue généralement deux types/contextes de vente : 1. La vente en face-à-face (réalisée en agence ou dans un point de vente) généralement réalisée via le terminal du vendeur. 2. La vente à distance (réalisée à travers un site e-commerce ou via un call center par exemple), où la signature est réalisée sur le terminal du client/prospect. La signature électronique, à travers ces deux types de vente, se doit d’être en adéquation avec des processus multicanaux. En effet, pour la signature d’un contrat nécessitant plusieurs signataires, la transaction peut être initiée en face-à-face par le signataire A et finalisée via Internet (vente à distance) par le signataire B. Les paragraphes suivants décrivent quatre situations de vente différentes : 1. La signature en face-à-face dans un point de vente sur un terminal connecté à Internet (généralement des terminaux sous IOS, Android ou W10). 2. La vente nomade en face-à-face avec une connexion Internet faible ou inexistante. 3. La vente à distance avec la signature d’un prospect. 4. La vente à distance avec un signataire déjà client de l’entité distributrice.
5 3 LA SIGNATURE EN FACE-A-FACE Cette partie traite les différentes cinématiques de vente en face-à-face avec un signataire unique. Les contextes de transactions en face-à-face sont multiples : • Points de vente • Agences bancaires • Vente à travers des magasins • Vente nomade Dans ces cas : • Le signataire est un prospect et le processus est complété par un enrôlement permettant d’identifier le signataire via un justificatif d’identité. • Le terminal utilisé pour présenter le contrat au signataire et capturer son approbation sur celui-ci peut être mobile (utilisation d’une tablette connectée en WIFI) ou fixe (utilisation d’un PC équipé d’un écran tactile ou d’une tablette de signature permettant la capture de l’image de la signature manuscrite). • Il faut envisager le cas où le terminal utilisé n’a pas de connexion au moment de la signature, dans ce cas la solution doit permettre de capturer les éléments d’approbation du signataire en mode offline. Ce cas est particulièrement fréquent dans des situations de vente nomade, lorsque le vendeur réalise ses ventes sur le terrain (domicile du signataire par exemple). Le mode offline peut également être utilisé en solution de secours dans les agences bancaires par exemple en cas de défaillance momentanée de la liaison Internet. 3.1 Signature dans les points de vente Signatures éligibles : E-Signature/AdES/QES Etape 1: Préparation du document Le conseiller prépare la transaction (identification du signataire, personnalisation du contrat, etc.). Les écrans de vente du produit (formulaires, simulateurs) peuvent être intégrés au terminal mobile ou sur le PC du vendeur. A la fin de cette étape, les documents à signer (majoritairement au format PDF pour le contrat et les annexes) sont créés. Etape 2: Vérification de l’identité du signataire Si le signataire est un prospect, le conseiller vérifie l’identité du signataire en lui demandant de présenter des justificatifs d’identité en cours de validité (CIN, passeport, titre de séjour, etc.). Dans certains cas, le conseiller/vendeur peut scanner les pièces justificatives avec l’appareil photo de la tablette pour le soumettre au dossier signé. Généralement les pièces d’identités sont conservées pour une durée de 5 ans. Etape 3 : Signature du document par l’organisme émetteur La signature organisme permet de présenter au signataire un document déjà signé par l’organisme émetteur. Généralement il s’agit de la signature d’une personne morale qui certifie l’authenticité et l’intégrité du document.
6 Etape 4: Présentation du document L’affichage du PDF sur le terminal mobile et le fait qu’il soit à la main du client est une nécessité juridique importante. Ainsi le document peut être présenté sur un terminal qui serait donné au signataire ou sur un écran partagé. La différence entre ces deux approches sera détaillée dans l’étape suivante. Etape 5: Le protocole de consentement Le protocole de consentement est le lien direct entre le Tiers de Confiance et le signataire qui peut déclencher le processus de signature électronique. La finalisation de cette étape est de la responsabilité du Tiers de Confiance. En pratique, le protocole de consentement permet de recueillir l’ensemble des éléments de consentement du signataire. Il peut contenir les plusieurs étapes suivantes : Acceptation des mentions légales (cases à cocher) avec les mentions légales généralement liées au produit et décidées par le service juridique de l’émetteur du document. Authentification du signataire (SMS OTP, CAP EMV OTP, SAML protocole…). Il faut que le moyen d’authentification soit sous le contrôle exclusif du signataire pour respecter les exigences ETSI de la signature avancée ou qualifiée. NB : a ce jour l’utilisation du SMS pour la signature qualifi est obligatoire Capture de la signature manuscrite du signataire. Ce processus d’authentification doit clairement indiquer que la capture de la signature manuscrite n’est pas la signature électronique à valeur probante. Généralement on utilise ce procédé pour des raisons ergonomiques et d’habitude de signature. Si la signature est capturé sur une tablette, le signataire pourra utilisée son doigt ou un stylet prévu à cet effet. Dans le cas d’un écran partagé avec le conseiller, un pas de signature sera connecté au PC. L’ensemble des étapes du protocole de consentement seront archivées dans le fichier de preuve et pourront être rejouées en cas de litige plusieurs années plus trad. Etape 6: La signature électronique Dès que le protocole de consentement a été validé par le signataire, le tiers de confiance déclenche l’exécution des différentes étapes techniques de réalisation d’une signature électronique : Génération d’une bi-clés pour le compte du signataire (dans un HSM sécurisé équivalent SSCD pour la QES). Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes. Génération d’un jeton d’horodatage pour la signature. Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir la non réutilisation de la clé privée pour une autre opération. Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). Le PDF embarque la signature, le jeton d’horodatage associé et l’image de la signature manuscrite dans un champ de signature prévu à cet effet. Chargement de la page de confirmation.
7 Etape 7: Génération du fichier de preuve Dès que l’étape de signature est réalisée, et si cette signature marque la fin de la transaction (un contrat peut avoir N signataires), dans ce cas la fin de la transaction se fait suite à la réalisation de la dernière signature. Le fichier de preuve comprend les informations sur la transaction décrites ci-dessous : • Les différentes versions du PDF (la version présentée, la version signée, etc.) • Le jeton d’horodatage • Le protocole de consentement ayant servi à recueillir le consentement du signataire • Les informations d’authentification du signataire • Le contexte de la vente Des éléments additionnels : documents pré-contratctuels, trace de log des différentes acceptations, empreintes biométriques etc. Le fichier de preuve est signé et horodaté par le Tiers de Confiance pour en garantir l’intégrité des éléments. Etape 8 (optionnelle) : Période de rétractation Une période de rétractation peut être définie pour chaque transaction. Cette période correspond à la période légale permettant au signataire de se rétracter des obligations du contrat qu’il a signé. Si une période de rétraction est configurée, le Tiers de Confiance va stocker le fichier de preuve dans un archivage temporaire et si la rétractation est demandée par le signataire, il détruira la preuve. Etape 9 (optionnelle) : Archivage à valeur légale Le Tiers de Confiance est directement relié à un tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7rs/7) via une interface web sécurisée proposée par le tiers archiveur.
8 Critères Tablette (Android, iOS, W10) Ecrans partagés + Pad de signature La qualité de l’expérience utilisateur Une application mobile native offrira une fluidité et une expérience utilisateur accrue particulièrement pour le zoom sur le PDF et le scrolling du document. Les écrans partagés offrent une expérience utilisateur faible pour visualiser le document avant de le signer. Certains pad de signature peuvent permettre la visualisation du PDF mais leur coût est souvent un frein. Les contraintes du client La signature électronique peut être réalisée en mode hors connexion. Pour répondre à des contraintes clients en point de vente ou en nomadisme. Un risque de casse ou de vol réduit avec un pad de signature. Le risqué de casse ou de vol du terminal mobile est à prendre en compte. La tablette peut être scellée sur un support prévu à cet effet. L’action de signature doit être réalisée à côté du poste du vendeur, le signataire ne peut pas s’isoler pour lire le contrat dans l’agence ou le point de vente pendant la phase de signature. Les contraintes techniques liées à l’IT Capture de l’image de la pièce d’identité directement intégrée dans l’appareil mobile Moindre impact de déploiement Nécessité l’utilisation d’outil de déploiement et de gestion de parc (MDM) + nécessité de mise en place d’un réseau Wifi dans le point de vente si le terminal mobile ne permet pas une connexion réseau filaire (IOS par exemple). Nécessite le déploiement d’outils de scan des pièces justificatives du signataire avec une intégration plus complexe à gérer liée aux différents périphériques connectés au poste du vendeur. Le coût de la mise en place et de la maintenance Le coût matériel dépend du choix des terminaux et des appareils déjà en place. Généralement le déploiement de terminaux mobiles est moins cher que d’équiper des postes de travail en pads de signature et en écrans dédiés. Cependant, le coût des logiciels de gestion de parc est à prendre en considération. La stratégie de l’entreprise autour des terminaux mobiles et de leur sécurisation Les appareils mobiles sont de véritables ordinateurs capables de faire fonctionner des applications métiers évoluées dans les points de vente. Une stratégie globale sur la mobilité doit plaider vers l’utilisation d’appareils mobile. Ainsi les applications de signatures peuvent être embarquées dans des outils nomades d’aide à la vente qui peuvent fonctionner dans tout types de contextes : vente en magasin, en nomadisme etc. Les Pads de signature sont exclusivement dédiés à la signature, aucune autre application métier ne peut être utilisée sur ce type de périphérique. Certaines tablettes de signature haut de gamme peuvent servir à afficher un message publicitaire. La mobilité ou non de l’équipement au sein d’une agence ou d’un magasin Certaines situation de ventes demandent aux vendeur une mobilité totale au sein d’un espace de vente, dans certains cas le signataire peut être totalement autonome pour souscrire à un contrat via l’équipement du magasin, de l’agence ou de la concession. La sécurisation physique de ces appareils pour lutter contre le vol est un des éléments à prendre en compte Les pads de signatures sont rattachés à un poste vendeur par un câble ce qui les rend moins propice aux déplacements mais sont également plus difficiles à dérober.
9 3.2 Choix du terminal de signature (tablette mobile vs écran partagé) Le choix d’un terminal de signature dans un point de vente doit se faire selon différents critères tels que: • La qualité de l’expérience utilisateur • Les contraintes du client • Les contraintes techniques liées à l’IT • Le coût de la mise en place et de la maintenance • La stratégie de l’entreprise autour des terminaux mobiles et de leur sécurisation • La mobilité ou non de l’équipemet au sein d’une agence ou d’un magasin • La sécurisation de cet équipement 3.3 La signature hors ligne en face-à-face Signatures éligibles : E-Signature/AdES/QES Cette cinématique requiert une application spécifique préinstallée sur le mobile (tablette ou smartphone) sur laquelle la première étape de la transaction sera réalisée. Etapes 1-2 et 4-5 : Formulaire de recueil des données client pour constituer un PDF prêt à être signé puis présentation d’un protocole de consentement. Il s’agit des mêmes étapes 1, 2 et 4 décrites dans le chapitre précédent où le vendeur saisit les éléments de personnalisation du contrat, vérifie l’identité du signataire et présente le contrat au signataire pour qu’il en prenne connaissance avant de l’accepter à travers le protocole de consentement. Etape 6 : Chiffrement de la requête Dès que le signataire a validé le protocole de consentement, les éléments de la transaction sont scellés dans une enveloppe sécurisée par l’application mobile. Seul le tiers de confiance est en mesure de décrypter cette enveloppe pour en extraire les éléments. Dans le cas d’une connexion Internet de Type EDGE, l’application va invoquer le tiers de confiance pour obtenir un jeton d’horodatage qui sera ajouté dans l’enveloppe cryptée. Si aucune connexion Internet n’est détectée, l’application utilisera l’horloge de la tablette. La transaction est alors en attente de synchronisation pour obtenir la confirmation définitive du signataire (a posteriori). L’application mobile est capable d’enregistrer plusieurs transactions (correspondant aux ventes de la journée) et de les transmettre de façon séquentielle au moment de la synchronisation. Etape 7 : Reconnexion de l’appareil mobile Dès que l’appareil mobile retrouve une connexion Internet, les transactions (encryptées) commencent à être transmises au Tiers de confiance qui est le seul à être capable de les décrypter.
10 Etape 8 : Confirmation de la transaction Le tiers de confiance transmet une notification au signataire (par email ou via un serveur vocal interactif). Le signataire suit la procédure et confirme la transaction. Dans le cas d’une notification par email, le signataire reçoit un message avec un lien sécurisé qui lui permet d’accéder à une page Web de confirmation de sa transaction, hébergée par le tiers de confiance. Le protocole de confirmation permet de récapituler plusieurs informations sur la transaction : • Présenter des informations telles que la référence du contrat, la date de signature, le montant, etc. • La réauthentification du signataire à travers un OTP transmis par SMS (processus proche du protocole de consentement (étape 4) • Acceptation ou refus de la signature. Pour être llégal un protocole de consentement doit systématiquement proposer la possibilité d’annuler une transaction. Etape 9 : Digital signature La signature électronique A la confirmation du protocole de consentement le Tiers de confiance déclenche les opérations cryptographiques permettant la génération des certificats de signature comme pour la vente en face-à-face. • Génération d’un bi-clés pour le compte du signataire (dans un HSM sécurisé). • Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes. • Génération d’un jeton d’horodatage pour la signature. • Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir la non réutilisation de la clé privée pour une autre opération. • Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). Le PDF embarque la signature, le jeton d’horodatage associé et l’image de la signature manuscrite dans un champ de signature prévu à cet effet. Etape 10 : Génération du fichier de preuve Dès que la signature est réalisée, le tiers de confiance va produire un fichier de preuve à valeur probante avec les différents éléments de preuve (cf. étape 7 de la signature électronique dans les points de vente). La particularité du fichier de preuve d’une signature en mode offline est que celui-ci mentionnera que la signature électronique de la transaction a été réalisée en mode déconnecté et embarquera les éléments de preuve liés à ce mode de signature.
11 Le fichier de preuve comprend les informations sur la transaction décrites ci- dessous : • Les différentes versions du PDF (la version présentée, la version signée, etc.) • Le jeton d’horodatage • Le protocole de consentement ayant servi à recueillir le consentement du signataire • Les informations d’authentification du signataire • La mention explicite que la transaction a été initié en mode offline • Le fichier de preuve est signé et horodaté par le Tiers de confiance pour en garantir l’intégrité des éléments. Etape 11 : (optionnelle) : Archivage à valeur probante Le tiers de confiance est directement relié à un Tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7jrs/7) via une interface Web sécurisée proposée par le tiers archiveur. 4 LA VENTE A DISTANCE Signatures éligibles : E-Signature/AdES/QES Cette partie traite des cinématiques de vente en ligne de services avec la signature électronique d’une seule personne physique. Cette vente en ligne peut-être réalisée depuis un site E-commerce, un espace client d’une banque, assurance, un abonnement à une chaine privée, un espace client de gestion de compte, etc. Dans les contextes suivants : • Le client est déjà connu par le fournisseur de service, auquel cas il s’identifie avec les moyens mis à sa disposition, ou il s’agit d’un prospect. Dans le cas d’un prospect, une procédure d’enrôlement préalable est nécessaire pour garantir l’identification du signataire. • Le terminal utilisé pour la signature peut être un terminal grand public (PC, Mac, tablette, smartphone, …). 4.1 Signature par des clients connus ou des prospects en vente à distance Signatures éligibles : E-Signature/AdES Etape 1 : Préparation du document La société permet une contractualisation depuis son site Internet (classique ou mobile). La première étape est la complétude des formulaires (simulation, données clients, etc.). Cette complétude peut être réalisée par le client ou prospect directement sur le site Internet ou par un conseiller téléphonique qui assistera le
12 client/prospect dans cette démarche. A la fin de cette étape le signataire est orienté vers une étape d’identification (cas d’un prospect), cette étape est interruptible, le client peut à tout moment reprendre sa transaction là où il l’avait quittée. Etape 2 : Identification en ligne (pour les prospects uniquement) La vérification de l’identité du signataire dépend de la complexité et du risque sur le produit vendu. En voici quelques cas d’usage (toutes ces étapes ne sont pas obligatoires) : • Vérification à travers des moyens mis à disposition par le gouvernent, la banque ou le telco. • Vérification de l’identité du signataire à travers la transmission de ses pièces justificatives (CIN, passeport) ou en utilisant la vidéo conférence (équivalent à un face-à-face). • Vérification à travers la collecte de plusieurs pièces : justification d’identité, justificatif de domicile, justificatif bancaire, etc. • Vérification à travers un OTP qui peut être transmis par SMS sur le numéro préalablement renseigné. Quand la collecte des pièces justificatives n’est pas possible le temps de la session de l’internaute, le système prévoit l’interuptibilité du parcours pour permettre au signataire de compléter son dossier jusqu’à plusieurs jours après le début de sa souscription. Etape 3 : Présentation du document Le terminal personnel du signataire reçoit le contrat PDF à travers une page Web. Le signataire peut en prendre connaissance avant de donner son consentement à travers le protocole de consentement. Etape 4 : Le protocole de consentement Le protocole de consentement est le lien direct entre le Tiers de confiance et le signataire qui peut déclencher le processus de signature électronique. La finalisation de cette étape est de la responsabilité du Tiers de confiance. En pratique, le protocole de consentement permet de recueillir l’ensemble des éléments de consentement du signataire. Il peut contenir les étapes suivantes : • Acceptation des mentions légales (cases à cocher) avec les mentions légales généralement liées au produit et décidées par le service juridique de l’émetteur du document. • Authentification du signataire (SMS OTP, CAP EMV OTP, SAML protocole, etc.). Il faut que le moyen d’authentification soit sous le contrôle exclusif du signataire pour respecter les exigences ETSI de la signature avancée ou qualifiée. • Deux boutons signer ou annuler la transaction. Le protocole de consentement
13 doit systématiquement permettre l’abandon d’une transaction. • L’ensemble des étapes du protocole de consentement seront archivées dans le fichier de preuve et pourront être rejouées en cas de litige plusieurs années plus tard. Etape 5 : Signature électronique Dès que le protocole de consentement a été validé par le signataire, le tiers de confiance déclenche l’exécution des différentes étapes techniques de réalisation d’une signature électronique : • Génération d’un bi-clés pour le compte du signataire (dans un HSM sécurisé). • Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes. • Génération d’un jeton d’horodatage pour la signature. • Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir la non réutilisation de la clé privée pour une autre opération. • Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). • Page de confirmation. Etape 6 : Génération du fichier de preuve Dès que l’étape de signature est réalisée, et si cette signature marque la fin de la transaction (un contrat peut avoir N signataires, dans ce cas la fin de la transaction se fait suite à la réalisation de la dernière signature). Le fichier de preuve comprend les informations sur la transaction décrites ci-dessous : • Les différentes versions du PDF (la version présentée, la version signée etc.). • Le jeton d’horodatage. • Le protocole de consentement ayant servi à recueillir le consentement du signataire. • Les informations d’authentification du signataire. • Le fichier de preuve est signé et horodaté par le tiers de confiance pour en garantir l’intégrité des éléments. Etape 7 (optionnelle) : Archivage à valeur légale Le tiers de confiance est directement relié à un tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7jrs/7) via une interface Web sécurisée proposée par le tiers archiveur.
14 4.1 Signature par des clients connus ou des prospects en vente à distance Signatures éligibles : E-Signature/AdES 5 SIGNATURE PAR DES CLIENTS CONNUS OU DES PROSPECTS EN VENTE A DISTANCE Signatures éligibles : QES Etape 1 : Préparation du document La société permet une contractualisation depuis son site Internet (classique ou mobile). La première étape est la complétude des formulaires (simulation, données clients, etc.). Cette complétude peut être réalisée par le client ou prospect directement sur le site Internet ou par un conseiller téléphonique qui assistera le client/prospect dans cette démarche. A la fin de cette étape le signataire est orienté vers une étape d’identification (cas d’un prospect), cette étape est interruptible, le client peut à tout moment reprendre sa transaction là où il l’avait quittée. Etape 2 : Identification en ligne (pour les prospects uniquement) Il s’agit lors de cette étape de créer l’équivalent d’un face à face virtuel avec un conseiller habilité via une visio conférence • L’internaute choisi le device qu’il va utiliser pour réaliser ce face à face (Smartphone ou ordinateur équipé d’une webcam). • L’intenaute est contacté par un opérateur directement via le site internet ou l’application mobile. • L’opérateur lui demande de présenter sa pièce d’identité à la caméra du mobile ou de l’ordinateur. • Des que l’opérateur considère que la qualité est suffisante, il capture une séquence + une image de la pièce d’identité qu’il pourra vérifier. • Un système de vérification automatique des éléments de la pièce d’identité est actionné, ce système peut être complété par l’opérateur qui peut agir à tout moment. • Dès que la pièce est vérifiée, l’opérateur active l’accès à la signature et l’internaute voit s’afficher le contrat. Etape 3 : Présentation du document Le terminal personnel du signataire se rafraîchit et voit apparaître le contrat PDF à travers une page Web ou l’application mobile. En parallèle, DocuSign transmet un code OTP via SMS.
15 Etape 4 : Le protocole de consentement Le protocole de consentement est le lien direct entre le Tiers de confiance et le signataire qui peut déclencher le processus de signature électronique. La finalisation de cette étape est de la responsabilité du tiers de confiance.En pratique, le protocole de consentement permet de recueillir l’ensemble des éléments de consentement du signataire. Il peut contenir les étapes suivantes : • Acceptation des mentions légales (cases à cocher) avec les mentions légales généralement liées au produit et décidées par le service juridique de l’émetteur du document. • Authentification du signataire (SMS OTP, CAP EMV OTP, SAML protocole, etc.). Il faut que le moyen d’authentification soit sous le contrôle exclusif du signataire pour respecter les exigences ETSI de la signature avancée ou qualifiée. • Deux boutons signer ou annuler la transaction. Le protocole de consentement doit systématiquement permettre l’abandon d’une transaction. • L’ensemble des étapes du protocole de consentement seront archivées dans le fichier de preuve et pourront être rejouées en cas de litige plusieurs années plus tard. Etape 5 : Signature électronique Dès que le protocole de consentement a été validé par le signataire, le tiers de confiance déclenche l’exécution des différentes étapes techniques de réalisation d’une signature électronique : • Génération d’un bi-clés pour le compte du signataire (dans un HSM sécurisé). • Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes. • Génération d’un jeton d’horodatage pour la signature. • Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir la non réutilisation de la clé privée pour une autre opération. • Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). • Page de confirmation. Etape 6 : Génération du fichier de preuve Dès que l’étape de signature est réalisée, et si cette signature marque la fin de la transaction (un contrat peut avoir N signataires, dans ce cas la fin de la transaction se fait suite à la réalisation de la dernière signature). Le fichier de preuve comprend les informations sur la transaction décrites ci- dessous :
16 • Les différentes versions du PDF (la version présentée, la version signée etc.). • Le jeton d’horodatage. • Le protocole de consentement ayant servi à recueillir le consentement du signataire. • Les informations d’authentification du signataire. • Le fichier de preuve est signé et horodaté par le Tiers de confiance pour en garantir l’intégrité des éléments. Etape 7 (optionnelle) : Archivage à valeur légale Le tiers de confiance est directement relié à un tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7jrs/7) via une interface Web sécurisée proposée par le tiers archiveur. 6 CONCLUSION La mise en place de la signature électronique dans un contexte BtoC est un sujet complexe. La complexité réside plus dans la mise en place de processus que dans la mise en œuvre technique. Ainsi, un projet de mise en place de signature électronique concernera plusieurs directions au sein d’une entreprise : le marketing, le service juridique, la conformité, le service informatique, etc. Il est très important de pouvoir choisir le bon type de signature en fonction du risque du contrat, en effet nous n’utiliserons pas une signature qualifiée pour un contrat à faible rique. Comme décrit dans ce livre blanc, tous les type de signature n’ont pas les mêmes contraintes d’un point de vue expérience utilisateur et n’on pas le même poids juridique, il est donc important de calibrer le bon compromis entre l’expérience utilisateur, la fluidité du parcours, l’ouverture du service 24/7 et le risque contrat. Il est donc important pour une entreprise de se faire accompagner dans sa démarche projet pour que celui-ci soit un succès, en tenant compte de trois points essentiels déterminant dans le choix de son prestataire de signature électronique : La partie légale Les juristes d’entreprises se font généralement accompagner par des cabinets spécialisés dans la dématérialisation de contrats, afin d’éviter de mauvaises interprétations de la réglementation en vigueur. Ce point est d’autant plus important que l’idée est avant tout d’optimiser le retour sur investissement. Définition des process métiers et des impacts au sein d’une organisation Il est important de très vite identifier les différents impacts afin d’anticiper les charges et de paralléliser les plannings de réalisation. Beaucoup de cabinets de conseil et d’assistance MOA se sont spécialisés dans le domaine de la transformation numérique, particulièrement dans la conduite du changement.
17 À propos de DocuSign DocuSign® est le leader de la gestion de transactions avec signature électronique et s’impose comme la référence mondiale pour la signature électronique (eSignature). DocuSign accélère les transactions pour vous permettre d’atteindre vos objectifs plus vite, de réduire les coûts et de satisfaire vos clients. Son réseau mondial est le moyen le plus facile, le plus rapide et le plus sûr d’envoyer, de signer, de suivre et de conserver des documents dans le Cloud. DocuSign vous aide à travailler mieux et plus vite. Pour obtenir des renseignements américains: numéro vert 866.219.4318 | docusign.com Pour obtenir des renseignements EMEA: phone +33 (0) 975 181 331 | paris@docusign.com Suivez-nous Copyright © 2003-2016 DocuSign, Inc. Tous droits réservés. DocuSign, le logo DocuSign, « Close it in the Cloud », SecureFields, Stick-eTabs, PowerForms, « The fastest way to get a signature », le logo No-Paper, Smart Envelopes, SmartNav, « DocuSign It! », « The World Works Better with DocuSign » et ForceFields sont des marques de commerce ou des marques déposées de DocuSign, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce ou marques déposées sont la propriété de leurs détenteurs respectifs. La Technologie De plus en plus de sociétés proposent des systèmes en mode Cloud (SAAS). Voici les points importants à respecter pour choisir le bon partenaire technologique : • Sa capacité à opérer en tant que tiers de confiance et sa capacité à absorber des volumes de signatures industriels. • Sa connaissance de votre secteur d’activité en se basant sur des cas clients et des références. • Sa capacité à s’intégrer facilement dans vos systèmes informatiques existants. • Sa connaissance des terminaux mobiles et sa capacité d’adaptation à ce marché très mouvant. • Sa capacité à offrir à l’utilisateur une expérience enrichie simple et ergonomique, par exemple en ayant la capacité d’intégrer la signature dans les lecteurs PDF grâce à l’adhésion au programme CDS d’ADOBE. A PROPOS DE l’AUTEUR Michael Lakhal Product Manager Après avoir acquis une solide expérience dans la vente de produits financiers en ligne dans différents organismes financiers, il développe depuis 8 ans une expertise dans la mise en place de signature électronique dans des processus métier. Michael est diplômé d’un DESS de marketing direct et de vente à distance et a rejoint DocuSign pour gérer le développement des produits de signature électronique BtoC en Europe.

Empfohlen

Les attaques
Les attaquesLes attaques
Les attaques
nadia sassi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Vertdis
VertdisVertdis
Vertdis
Aurelieadvitam
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation Cryptographie
Cynapsys It Hotspot
 
La virtualisation
La virtualisationLa virtualisation
La virtualisation
Juvénal CHOKOGOUE
 
Formation libre OpenStack en Français
Formation libre OpenStack en FrançaisFormation libre OpenStack en Français
Formation libre OpenStack en Français
Osones
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud Computing
Tsubichi
 
Les System de Gestion de Base de Données
Les System de Gestion de Base de DonnéesLes System de Gestion de Base de Données
Les System de Gestion de Base de Données
MONJIHWIDEG
 

Empfohlen

Les attaques
Les attaquesLes attaques
Les attaques
nadia sassi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Vertdis
VertdisVertdis
Vertdis
Aurelieadvitam
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation Cryptographie
Cynapsys It Hotspot
 
La virtualisation
La virtualisationLa virtualisation
La virtualisation
Juvénal CHOKOGOUE
 
Formation libre OpenStack en Français
Formation libre OpenStack en FrançaisFormation libre OpenStack en Français
Formation libre OpenStack en Français
Osones
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud Computing
Tsubichi
 
Les System de Gestion de Base de Données
Les System de Gestion de Base de DonnéesLes System de Gestion de Base de Données
Les System de Gestion de Base de Données
MONJIHWIDEG
 
alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5
Alphorm
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
Med Amine El Abed
 
Crypto camer
Crypto camerCrypto camer
Crypto camer
dilan23
 
alphorm.com - Formation PostgreSQL administration
alphorm.com - Formation PostgreSQL administrationalphorm.com - Formation PostgreSQL administration
alphorm.com - Formation PostgreSQL administration
Alphorm
 
Un introduction à Pig
Un introduction à PigUn introduction à Pig
Un introduction à Pig
Modern Data Stack France
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Charif Khrichfa
 
chp1-Intro à l'urbanisation des SI.pdf
chp1-Intro à l'urbanisation des SI.pdfchp1-Intro à l'urbanisation des SI.pdf
chp1-Intro à l'urbanisation des SI.pdf
Lilia Sfaxi
 
Alphorm.com Formation PL/SQL
Alphorm.com Formation PL/SQLAlphorm.com Formation PL/SQL
Alphorm.com Formation PL/SQL
Alphorm
 
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
Alphorm
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdf
JoelChouamou
 
Réalisation d'un site web dynamique mobile pour Air Algérie
Réalisation d'un site web dynamique mobile pour Air AlgérieRéalisation d'un site web dynamique mobile pour Air Algérie
Réalisation d'un site web dynamique mobile pour Air Algérie
Bachir Benyammi
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
Tp securité des reseaux
Tp securité des reseauxTp securité des reseaux
Tp securité des reseaux
Achille Njomo
 
Routage
RoutageRoutage
Routage
Stany Mwamba
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
Cynapsys It Hotspot
 
Rapport de stage Office National des Aéroport
Rapport de stage Office National des Aéroport Rapport de stage Office National des Aéroport
Rapport de stage Office National des Aéroport
HAFID Ait Bihi
 
Bases de données réparties par la pratique
Bases de données réparties par la pratiqueBases de données réparties par la pratique
Bases de données réparties par la pratique
Abdelouahed Abdou
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
2011 10 20 signature electronique by competitic
2011 10 20 signature electronique by competitic2011 10 20 signature electronique by competitic
2011 10 20 signature electronique by competitic
COMPETITIC
 
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
COMPETITIC
 

Weitere ähnliche Inhalte

Was ist angesagt?

alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5
Alphorm
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
 
alphorm.com - Formation PostgreSQL administration
alphorm.com - Formation PostgreSQL administrationalphorm.com - Formation PostgreSQL administration
alphorm.com - Formation PostgreSQL administration
Alphorm
 
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
Alphorm
 

Was ist angesagt? (20)

alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Crypto camer
Crypto camerCrypto camer
Crypto camer
 
alphorm.com - Formation PostgreSQL administration
alphorm.com - Formation PostgreSQL administrationalphorm.com - Formation PostgreSQL administration
alphorm.com - Formation PostgreSQL administration
 
Un introduction à Pig
Un introduction à PigUn introduction à Pig
Un introduction à Pig
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
chp1-Intro à l'urbanisation des SI.pdf
chp1-Intro à l'urbanisation des SI.pdfchp1-Intro à l'urbanisation des SI.pdf
chp1-Intro à l'urbanisation des SI.pdf
 
Alphorm.com Formation PL/SQL
Alphorm.com Formation PL/SQLAlphorm.com Formation PL/SQL
Alphorm.com Formation PL/SQL
 
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdf
 
Réalisation d'un site web dynamique mobile pour Air Algérie
Réalisation d'un site web dynamique mobile pour Air AlgérieRéalisation d'un site web dynamique mobile pour Air Algérie
Réalisation d'un site web dynamique mobile pour Air Algérie
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Tp securité des reseaux
Tp securité des reseauxTp securité des reseaux
Tp securité des reseaux
 
Routage
RoutageRoutage
Routage
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
 
Rapport de stage Office National des Aéroport
Rapport de stage Office National des Aéroport Rapport de stage Office National des Aéroport
Rapport de stage Office National des Aéroport
 
Bases de données réparties par la pratique
Bases de données réparties par la pratiqueBases de données réparties par la pratique
Bases de données réparties par la pratique
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 

Ähnlich wie Mettre en place un processus de signature électronique dans un contexte B2C

Signature electronique CertSign
Signature electronique CertSignSignature electronique CertSign
Signature electronique CertSign
certeurope
 
Livre-blanc-Cryptolog-contractualisation-en-ligne
Livre-blanc-Cryptolog-contractualisation-en-ligneLivre-blanc-Cryptolog-contractualisation-en-ligne
Livre-blanc-Cryptolog-contractualisation-en-ligne
Gautier Harmel
 
De la signature électronique à l’archivage : gérer vos contrats de bout en bout
De la signature électronique à l’archivage : gérer vos contrats de bout en boutDe la signature électronique à l’archivage : gérer vos contrats de bout en bout
De la signature électronique à l’archivage : gérer vos contrats de bout en bout
Michael Lakhal
 
Competitic Dématérialisation des marchés publics - numerique en entreprise
Competitic Dématérialisation des marchés publics - numerique en entrepriseCompetitic Dématérialisation des marchés publics - numerique en entreprise
Competitic Dématérialisation des marchés publics - numerique en entreprise
COMPETITIC
 
TPE/PME : Les clés de succès pour répondre aux appels d'offres - France Marchés
TPE/PME : Les clés de succès pour répondre aux appels d'offres - France MarchésTPE/PME : Les clés de succès pour répondre aux appels d'offres - France Marchés
TPE/PME : Les clés de succès pour répondre aux appels d'offres - France Marchés
FranceMarches
 
E Learning Bloc Confirmation
E Learning Bloc ConfirmationE Learning Bloc Confirmation
E Learning Bloc Confirmation
Rouphael
 
Dictao prs v1.0_20101215
Dictao prs v1.0_20101215Dictao prs v1.0_20101215
Dictao prs v1.0_20101215
Dictao_
 

Ähnlich wie Mettre en place un processus de signature électronique dans un contexte B2C (20)

2011 10 20 signature electronique by competitic
2011 10 20 signature electronique by competitic2011 10 20 signature electronique by competitic
2011 10 20 signature electronique by competitic
 
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
Competitic Tirez parti de la dématérialisation des marchés publics - numeriqu...
 
Signature electronique CertSign
Signature electronique CertSignSignature electronique CertSign
Signature electronique CertSign
 
Webinar : Dématerialisation des processus contractuels avec Salesforce.com (B...
Webinar : Dématerialisation des processus contractuels avec Salesforce.com (B...Webinar : Dématerialisation des processus contractuels avec Salesforce.com (B...
Webinar : Dématerialisation des processus contractuels avec Salesforce.com (B...
 
Livre-blanc-Cryptolog-contractualisation-en-ligne
Livre-blanc-Cryptolog-contractualisation-en-ligneLivre-blanc-Cryptolog-contractualisation-en-ligne
Livre-blanc-Cryptolog-contractualisation-en-ligne
 
TESSI au salon Documation 2012
TESSI au salon Documation 2012TESSI au salon Documation 2012
TESSI au salon Documation 2012
 
De la signature électronique à l’archivage : gérer vos contrats de bout en bout
De la signature électronique à l’archivage : gérer vos contrats de bout en boutDe la signature électronique à l’archivage : gérer vos contrats de bout en bout
De la signature électronique à l’archivage : gérer vos contrats de bout en bout
 
Competitic Dématérialisation des marchés publics - numerique en entreprise
Competitic Dématérialisation des marchés publics - numerique en entrepriseCompetitic Dématérialisation des marchés publics - numerique en entreprise
Competitic Dématérialisation des marchés publics - numerique en entreprise
 
Banque Digitale : Dictao presentation pendant la conférence CCM Benchmark « B...
Banque Digitale : Dictao presentation pendant la conférence CCM Benchmark « B...Banque Digitale : Dictao presentation pendant la conférence CCM Benchmark « B...
Banque Digitale : Dictao presentation pendant la conférence CCM Benchmark « B...
 
TPE/PME : Les clés de succès pour répondre aux appels d'offres - France Marchés
TPE/PME : Les clés de succès pour répondre aux appels d'offres - France MarchésTPE/PME : Les clés de succès pour répondre aux appels d'offres - France Marchés
TPE/PME : Les clés de succès pour répondre aux appels d'offres - France Marchés
 
E Learning Bloc Confirmation
E Learning Bloc ConfirmationE Learning Bloc Confirmation
E Learning Bloc Confirmation
 
Dictao prs v1.0_20101215
Dictao prs v1.0_20101215Dictao prs v1.0_20101215
Dictao prs v1.0_20101215
 
Competitic signature électronique - numerique en entreprise
Competitic signature électronique - numerique en entrepriseCompetitic signature électronique - numerique en entreprise
Competitic signature électronique - numerique en entreprise
 
Dictao Présentation Institutionnelle
Dictao Présentation InstitutionnelleDictao Présentation Institutionnelle
Dictao Présentation Institutionnelle
 
exposé de E- commerce
exposé de E- commerceexposé de E- commerce
exposé de E- commerce
 
Cert europe IBM 9 fevrier
Cert europe IBM 9 fevrierCert europe IBM 9 fevrier
Cert europe IBM 9 fevrier
 
2010.11.26 – Partage d'expertise et d'expérience sur les applications en mode...
2010.11.26 – Partage d'expertise et d'expérience sur les applications en mode...2010.11.26 – Partage d'expertise et d'expérience sur les applications en mode...
2010.11.26 – Partage d'expertise et d'expérience sur les applications en mode...
 
Dossier de Presse - Signature Electronique BPCE - Avril 2013
Dossier de Presse - Signature Electronique BPCE - Avril 2013Dossier de Presse - Signature Electronique BPCE - Avril 2013
Dossier de Presse - Signature Electronique BPCE - Avril 2013
 
E commerce
E commerceE commerce
E commerce
 
Les enjeux de la Signature électronique
Les enjeux de la Signature électroniqueLes enjeux de la Signature électronique
Les enjeux de la Signature électronique
 

Mehr von Michael Lakhal

Mehr von Michael Lakhal (6)

Réussir la dématérialisation des contrats
Réussir la dématérialisation des contrats Réussir la dématérialisation des contrats
Réussir la dématérialisation des contrats
 
Salon top DRH Deauville 2017
Salon top DRH Deauville 2017Salon top DRH Deauville 2017
Salon top DRH Deauville 2017
 
Be a Digital Hero
Be a Digital Hero Be a Digital Hero
Be a Digital Hero
 
La transformation numérique des directions des ressources humaines.
La transformation numérique des directions des ressources humaines.La transformation numérique des directions des ressources humaines.
La transformation numérique des directions des ressources humaines.
 
White paper : la signature électronique pour les fonctions RH
White paper : la signature électronique pour les fonctions RHWhite paper : la signature électronique pour les fonctions RH
White paper : la signature électronique pour les fonctions RH
 
Crédit Agricole : la signature électronique débarque dans les agences
Crédit Agricole : la signature électronique débarque dans les agencesCrédit Agricole : la signature électronique débarque dans les agences
Crédit Agricole : la signature électronique débarque dans les agences
 

Mettre en place un processus de signature électronique dans un contexte B2C

  • 1. 1
  • 2. 2 TABLE DES MATIERES 1 A QUI S’ADRESSE CE DOCUMENT ? ........................................................... 2 INTRODUCTION ....................................................................................... 3 LA SIGNATURE EN FACE-A-FACE ............................................................. 3.1 Signature dans les points de vente ................................................................ 3.2 Choix du terminal de signature (tablette mobile vs écran partagé) ............. 3.3 La signature hors ligne en face-à-face ......................................................... 4 LA VENTE A DISTANCE ............................................................................ 4.1 Signature par des clients connus ou des prospects en vente à distance ...... 5 SIGNATURE PAR DES CLIENTS CONNUS OU DES PROSPECTS EN VENTE A DISTANCE ............................................................................................ 6 CONCLUSION .......................................................................................... 3 3 5 5 9 9 11 11 14 16
  • 3. 3 1 A QUI S’ADRESSE CE DOCUMENT ? Ce livre blanc s’adresse à toutes les sociétés qui ont des besoins de contractualisation pour : le domaine BtoC, c’est-à-dire pour la vente aux particuliers (dans le secteur des banques, assurances, gouvernements, fournisseurs Internet, telco, distributeurs automobile, etc.) ; permettre la signature de contrats ou de documents par des clients connus ou des prospects avec une forte valeur légale ; dématérialiser des processus métiers ou commerciaux au moyen de la signature électronique. Ce livre blanc n’est pas un document qui traite de la dématérialisation de manière générale et ses bénéfices, il traite de façon plus précise des différents parcours utilisateurs en fonction du contexte de vente et de signature. Si vous souhaitez avoir plus de détails sur le marché global de la signature électronique en Europe et avoir des notions de calcul de ROI sur la mise en œuvre de dématérialisation de processus de vente, nous vous conseillons de lire les livres blancs suivants : - « L’émergence de la signature électronique en Europe » par le cabinet Arthur D. Little qui donne une vue globale de la technologie et des acteurs présents sur le marché européen. - « Les contrats électroniques », par le cabinet SEALWeb, qui explique les avantages de la signature électronique et le retour sur investissement. Les cinématiques de vente décrites dans ce document sont des parcours clients qui ont déjà été mis en œuvre, vous pouvez trouver des témoignages de certains de nos clients en vous connectant sur www.docusign.fr 2 INTRODUCTION Ce document s’attache à décrire de façon précise les différentes cinématiques de contractualisation entre un établissement fournisseur de services et des consommateurs (BtoC). Ces cinématiques prennent en compte les aspects légaux tout en offrant une expérience utilisateur permettant d’être en phase avec la réalité business du marché. L’ensemble de ces parcours sont interruptibles et en adéquation avec une stratégie multicanale des entreprises d’aujourd’hui grâce à la signature électronique DocuSign. Rappel du contenu de la réglementation eIDAS : L’esprit de la réglementation eIDAS est avant tout de définir un cadre légal qui va permettre de fournir un socle commun pour les interactions électroniques sécurisées entre citoyens. Ainsi l’Union Européenne a pour objectif d’ instaurer un climat de confiance dans l’environnement numérique qui est essentiel au développement économique et social des pays membres. Ainsi la réglementation eIDAS prévoit 3 types de signature légales, adaptées à différents contextes de ventes et de risques : • La Signature Simple ou E-Signature : Cette signature électronique ne nécessite pas d’enregistrement préalable du signataire.
  • 4. 4 • La Signature Avancée (AdES) : Cette signature électronique utilisée pour des contrats plus risqués comme par exemple l’ouverture de comptes bancaires, le crédit à la consommation ou des engagements clients relatifs à des montant importants. • La Signature Qualifiée (QES) : C’est le plus haut niveau de signature électronique, équivalent à la signature papier. Il a en effet la particularité de renverser la charge de la preuve sur le signataire. Cela revient à dire qu’en cas de litige, c’est au signataire de démontrer l’invalidité de la signature électronique. Nous nous attacherons dans ce Livre Blanc à décrire les cinématiques les plus complexes sur les niveaux de signature AdES et QES et à prendre en compte l’hétérogénéité des contextes de contractualisation. Pour ce faire nous vous proposons des cinématiques qui utilisent une offre Cloud de signature électronique avec génération de certificat à la volée. L’offre Cloud avec génération de certificats à la volée peut être synthétisée en 3 points : • Le certificat de signature n’a pas besoin d’être distribué sur un support durable comme des tokens USB ou Smartcard. • Le principe est de délivrer un certificat de signature pour le signataire (personne physique) dans le Cloud de façon unitaire pour chaque transaction. • Le certificat de signature est généré à la demande avec une durée de vie limitée à quelques minutes pour un usage unique. Ce procédé permet au signataire de signer un document depuis n’importe quel appareil (PC, tablette ou smartphone) sans aucun prérequis technique et sans aucune adhérence avec le terminal. Cette offre est particulièrement adaptée aux exigences de la vente BtoC avec des terminaux grand public. Il n’est pas envisageable dans ce contexte d’équiper les clients/prospects avec des certificats sur support durable (USB, Smartcard) pour des raisons de coûts, de fréquence de signature et de complexité pour des processus de vente qui doivent rester fluides et souples. La signature électronique peut être mise en œuvre dans différents contextes de vente. On distingue généralement deux types/contextes de vente : 1. La vente en face-à-face (réalisée en agence ou dans un point de vente) généralement réalisée via le terminal du vendeur. 2. La vente à distance (réalisée à travers un site e-commerce ou via un call center par exemple), où la signature est réalisée sur le terminal du client/prospect. La signature électronique, à travers ces deux types de vente, se doit d’être en adéquation avec des processus multicanaux. En effet, pour la signature d’un contrat nécessitant plusieurs signataires, la transaction peut être initiée en face-à-face par le signataire A et finalisée via Internet (vente à distance) par le signataire B. Les paragraphes suivants décrivent quatre situations de vente différentes : 1. La signature en face-à-face dans un point de vente sur un terminal connecté à Internet (généralement des terminaux sous IOS, Android ou W10). 2. La vente nomade en face-à-face avec une connexion Internet faible ou inexistante. 3. La vente à distance avec la signature d’un prospect. 4. La vente à distance avec un signataire déjà client de l’entité distributrice.
  • 5. 5 3 LA SIGNATURE EN FACE-A-FACE Cette partie traite les différentes cinématiques de vente en face-à-face avec un signataire unique. Les contextes de transactions en face-à-face sont multiples : • Points de vente • Agences bancaires • Vente à travers des magasins • Vente nomade Dans ces cas : • Le signataire est un prospect et le processus est complété par un enrôlement permettant d’identifier le signataire via un justificatif d’identité. • Le terminal utilisé pour présenter le contrat au signataire et capturer son approbation sur celui-ci peut être mobile (utilisation d’une tablette connectée en WIFI) ou fixe (utilisation d’un PC équipé d’un écran tactile ou d’une tablette de signature permettant la capture de l’image de la signature manuscrite). • Il faut envisager le cas où le terminal utilisé n’a pas de connexion au moment de la signature, dans ce cas la solution doit permettre de capturer les éléments d’approbation du signataire en mode offline. Ce cas est particulièrement fréquent dans des situations de vente nomade, lorsque le vendeur réalise ses ventes sur le terrain (domicile du signataire par exemple). Le mode offline peut également être utilisé en solution de secours dans les agences bancaires par exemple en cas de défaillance momentanée de la liaison Internet. 3.1 Signature dans les points de vente Signatures éligibles : E-Signature/AdES/QES Etape 1: Préparation du document Le conseiller prépare la transaction (identification du signataire, personnalisation du contrat, etc.). Les écrans de vente du produit (formulaires, simulateurs) peuvent être intégrés au terminal mobile ou sur le PC du vendeur. A la fin de cette étape, les documents à signer (majoritairement au format PDF pour le contrat et les annexes) sont créés. Etape 2: Vérification de l’identité du signataire Si le signataire est un prospect, le conseiller vérifie l’identité du signataire en lui demandant de présenter des justificatifs d’identité en cours de validité (CIN, passeport, titre de séjour, etc.). Dans certains cas, le conseiller/vendeur peut scanner les pièces justificatives avec l’appareil photo de la tablette pour le soumettre au dossier signé. Généralement les pièces d’identités sont conservées pour une durée de 5 ans. Etape 3 : Signature du document par l’organisme émetteur La signature organisme permet de présenter au signataire un document déjà signé par l’organisme émetteur. Généralement il s’agit de la signature d’une personne morale qui certifie l’authenticité et l’intégrité du document.
  • 6. 6 Etape 4: Présentation du document L’affichage du PDF sur le terminal mobile et le fait qu’il soit à la main du client est une nécessité juridique importante. Ainsi le document peut être présenté sur un terminal qui serait donné au signataire ou sur un écran partagé. La différence entre ces deux approches sera détaillée dans l’étape suivante. Etape 5: Le protocole de consentement Le protocole de consentement est le lien direct entre le Tiers de Confiance et le signataire qui peut déclencher le processus de signature électronique. La finalisation de cette étape est de la responsabilité du Tiers de Confiance. En pratique, le protocole de consentement permet de recueillir l’ensemble des éléments de consentement du signataire. Il peut contenir les plusieurs étapes suivantes : Acceptation des mentions légales (cases à cocher) avec les mentions légales généralement liées au produit et décidées par le service juridique de l’émetteur du document. Authentification du signataire (SMS OTP, CAP EMV OTP, SAML protocole…). Il faut que le moyen d’authentification soit sous le contrôle exclusif du signataire pour respecter les exigences ETSI de la signature avancée ou qualifiée. NB : a ce jour l’utilisation du SMS pour la signature qualifi est obligatoire Capture de la signature manuscrite du signataire. Ce processus d’authentification doit clairement indiquer que la capture de la signature manuscrite n’est pas la signature électronique à valeur probante. Généralement on utilise ce procédé pour des raisons ergonomiques et d’habitude de signature. Si la signature est capturé sur une tablette, le signataire pourra utilisée son doigt ou un stylet prévu à cet effet. Dans le cas d’un écran partagé avec le conseiller, un pas de signature sera connecté au PC. L’ensemble des étapes du protocole de consentement seront archivées dans le fichier de preuve et pourront être rejouées en cas de litige plusieurs années plus trad. Etape 6: La signature électronique Dès que le protocole de consentement a été validé par le signataire, le tiers de confiance déclenche l’exécution des différentes étapes techniques de réalisation d’une signature électronique : Génération d’une bi-clés pour le compte du signataire (dans un HSM sécurisé équivalent SSCD pour la QES). Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes. Génération d’un jeton d’horodatage pour la signature. Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir la non réutilisation de la clé privée pour une autre opération. Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). Le PDF embarque la signature, le jeton d’horodatage associé et l’image de la signature manuscrite dans un champ de signature prévu à cet effet. Chargement de la page de confirmation.
  • 7. 7 Etape 7: Génération du fichier de preuve Dès que l’étape de signature est réalisée, et si cette signature marque la fin de la transaction (un contrat peut avoir N signataires), dans ce cas la fin de la transaction se fait suite à la réalisation de la dernière signature. Le fichier de preuve comprend les informations sur la transaction décrites ci-dessous : • Les différentes versions du PDF (la version présentée, la version signée, etc.) • Le jeton d’horodatage • Le protocole de consentement ayant servi à recueillir le consentement du signataire • Les informations d’authentification du signataire • Le contexte de la vente Des éléments additionnels : documents pré-contratctuels, trace de log des différentes acceptations, empreintes biométriques etc. Le fichier de preuve est signé et horodaté par le Tiers de Confiance pour en garantir l’intégrité des éléments. Etape 8 (optionnelle) : Période de rétractation Une période de rétractation peut être définie pour chaque transaction. Cette période correspond à la période légale permettant au signataire de se rétracter des obligations du contrat qu’il a signé. Si une période de rétraction est configurée, le Tiers de Confiance va stocker le fichier de preuve dans un archivage temporaire et si la rétractation est demandée par le signataire, il détruira la preuve. Etape 9 (optionnelle) : Archivage à valeur légale Le Tiers de Confiance est directement relié à un tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7rs/7) via une interface web sécurisée proposée par le tiers archiveur.
  • 8. 8 Critères Tablette (Android, iOS, W10) Ecrans partagés + Pad de signature La qualité de l’expérience utilisateur Une application mobile native offrira une fluidité et une expérience utilisateur accrue particulièrement pour le zoom sur le PDF et le scrolling du document. Les écrans partagés offrent une expérience utilisateur faible pour visualiser le document avant de le signer. Certains pad de signature peuvent permettre la visualisation du PDF mais leur coût est souvent un frein. Les contraintes du client La signature électronique peut être réalisée en mode hors connexion. Pour répondre à des contraintes clients en point de vente ou en nomadisme. Un risque de casse ou de vol réduit avec un pad de signature. Le risqué de casse ou de vol du terminal mobile est à prendre en compte. La tablette peut être scellée sur un support prévu à cet effet. L’action de signature doit être réalisée à côté du poste du vendeur, le signataire ne peut pas s’isoler pour lire le contrat dans l’agence ou le point de vente pendant la phase de signature. Les contraintes techniques liées à l’IT Capture de l’image de la pièce d’identité directement intégrée dans l’appareil mobile Moindre impact de déploiement Nécessité l’utilisation d’outil de déploiement et de gestion de parc (MDM) + nécessité de mise en place d’un réseau Wifi dans le point de vente si le terminal mobile ne permet pas une connexion réseau filaire (IOS par exemple). Nécessite le déploiement d’outils de scan des pièces justificatives du signataire avec une intégration plus complexe à gérer liée aux différents périphériques connectés au poste du vendeur. Le coût de la mise en place et de la maintenance Le coût matériel dépend du choix des terminaux et des appareils déjà en place. Généralement le déploiement de terminaux mobiles est moins cher que d’équiper des postes de travail en pads de signature et en écrans dédiés. Cependant, le coût des logiciels de gestion de parc est à prendre en considération. La stratégie de l’entreprise autour des terminaux mobiles et de leur sécurisation Les appareils mobiles sont de véritables ordinateurs capables de faire fonctionner des applications métiers évoluées dans les points de vente. Une stratégie globale sur la mobilité doit plaider vers l’utilisation d’appareils mobile. Ainsi les applications de signatures peuvent être embarquées dans des outils nomades d’aide à la vente qui peuvent fonctionner dans tout types de contextes : vente en magasin, en nomadisme etc. Les Pads de signature sont exclusivement dédiés à la signature, aucune autre application métier ne peut être utilisée sur ce type de périphérique. Certaines tablettes de signature haut de gamme peuvent servir à afficher un message publicitaire. La mobilité ou non de l’équipement au sein d’une agence ou d’un magasin Certaines situation de ventes demandent aux vendeur une mobilité totale au sein d’un espace de vente, dans certains cas le signataire peut être totalement autonome pour souscrire à un contrat via l’équipement du magasin, de l’agence ou de la concession. La sécurisation physique de ces appareils pour lutter contre le vol est un des éléments à prendre en compte Les pads de signatures sont rattachés à un poste vendeur par un câble ce qui les rend moins propice aux déplacements mais sont également plus difficiles à dérober.
  • 9. 9 3.2 Choix du terminal de signature (tablette mobile vs écran partagé) Le choix d’un terminal de signature dans un point de vente doit se faire selon différents critères tels que: • La qualité de l’expérience utilisateur • Les contraintes du client • Les contraintes techniques liées à l’IT • Le coût de la mise en place et de la maintenance • La stratégie de l’entreprise autour des terminaux mobiles et de leur sécurisation • La mobilité ou non de l’équipemet au sein d’une agence ou d’un magasin • La sécurisation de cet équipement 3.3 La signature hors ligne en face-à-face Signatures éligibles : E-Signature/AdES/QES Cette cinématique requiert une application spécifique préinstallée sur le mobile (tablette ou smartphone) sur laquelle la première étape de la transaction sera réalisée. Etapes 1-2 et 4-5 : Formulaire de recueil des données client pour constituer un PDF prêt à être signé puis présentation d’un protocole de consentement. Il s’agit des mêmes étapes 1, 2 et 4 décrites dans le chapitre précédent où le vendeur saisit les éléments de personnalisation du contrat, vérifie l’identité du signataire et présente le contrat au signataire pour qu’il en prenne connaissance avant de l’accepter à travers le protocole de consentement. Etape 6 : Chiffrement de la requête Dès que le signataire a validé le protocole de consentement, les éléments de la transaction sont scellés dans une enveloppe sécurisée par l’application mobile. Seul le tiers de confiance est en mesure de décrypter cette enveloppe pour en extraire les éléments. Dans le cas d’une connexion Internet de Type EDGE, l’application va invoquer le tiers de confiance pour obtenir un jeton d’horodatage qui sera ajouté dans l’enveloppe cryptée. Si aucune connexion Internet n’est détectée, l’application utilisera l’horloge de la tablette. La transaction est alors en attente de synchronisation pour obtenir la confirmation définitive du signataire (a posteriori). L’application mobile est capable d’enregistrer plusieurs transactions (correspondant aux ventes de la journée) et de les transmettre de façon séquentielle au moment de la synchronisation. Etape 7 : Reconnexion de l’appareil mobile Dès que l’appareil mobile retrouve une connexion Internet, les transactions (encryptées) commencent à être transmises au Tiers de confiance qui est le seul à être capable de les décrypter.
  • 10. 10 Etape 8 : Confirmation de la transaction Le tiers de confiance transmet une notification au signataire (par email ou via un serveur vocal interactif). Le signataire suit la procédure et confirme la transaction. Dans le cas d’une notification par email, le signataire reçoit un message avec un lien sécurisé qui lui permet d’accéder à une page Web de confirmation de sa transaction, hébergée par le tiers de confiance. Le protocole de confirmation permet de récapituler plusieurs informations sur la transaction : • Présenter des informations telles que la référence du contrat, la date de signature, le montant, etc. • La réauthentification du signataire à travers un OTP transmis par SMS (processus proche du protocole de consentement (étape 4) • Acceptation ou refus de la signature. Pour être llégal un protocole de consentement doit systématiquement proposer la possibilité d’annuler une transaction. Etape 9 : Digital signature La signature électronique A la confirmation du protocole de consentement le Tiers de confiance déclenche les opérations cryptographiques permettant la génération des certificats de signature comme pour la vente en face-à-face. • Génération d’un bi-clés pour le compte du signataire (dans un HSM sécurisé). • Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes. • Génération d’un jeton d’horodatage pour la signature. • Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir la non réutilisation de la clé privée pour une autre opération. • Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). Le PDF embarque la signature, le jeton d’horodatage associé et l’image de la signature manuscrite dans un champ de signature prévu à cet effet. Etape 10 : Génération du fichier de preuve Dès que la signature est réalisée, le tiers de confiance va produire un fichier de preuve à valeur probante avec les différents éléments de preuve (cf. étape 7 de la signature électronique dans les points de vente). La particularité du fichier de preuve d’une signature en mode offline est que celui-ci mentionnera que la signature électronique de la transaction a été réalisée en mode déconnecté et embarquera les éléments de preuve liés à ce mode de signature.
  • 11. 11 Le fichier de preuve comprend les informations sur la transaction décrites ci- dessous : • Les différentes versions du PDF (la version présentée, la version signée, etc.) • Le jeton d’horodatage • Le protocole de consentement ayant servi à recueillir le consentement du signataire • Les informations d’authentification du signataire • La mention explicite que la transaction a été initié en mode offline • Le fichier de preuve est signé et horodaté par le Tiers de confiance pour en garantir l’intégrité des éléments. Etape 11 : (optionnelle) : Archivage à valeur probante Le tiers de confiance est directement relié à un Tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7jrs/7) via une interface Web sécurisée proposée par le tiers archiveur. 4 LA VENTE A DISTANCE Signatures éligibles : E-Signature/AdES/QES Cette partie traite des cinématiques de vente en ligne de services avec la signature électronique d’une seule personne physique. Cette vente en ligne peut-être réalisée depuis un site E-commerce, un espace client d’une banque, assurance, un abonnement à une chaine privée, un espace client de gestion de compte, etc. Dans les contextes suivants : • Le client est déjà connu par le fournisseur de service, auquel cas il s’identifie avec les moyens mis à sa disposition, ou il s’agit d’un prospect. Dans le cas d’un prospect, une procédure d’enrôlement préalable est nécessaire pour garantir l’identification du signataire. • Le terminal utilisé pour la signature peut être un terminal grand public (PC, Mac, tablette, smartphone, …). 4.1 Signature par des clients connus ou des prospects en vente à distance Signatures éligibles : E-Signature/AdES Etape 1 : Préparation du document La société permet une contractualisation depuis son site Internet (classique ou mobile). La première étape est la complétude des formulaires (simulation, données clients, etc.). Cette complétude peut être réalisée par le client ou prospect directement sur le site Internet ou par un conseiller téléphonique qui assistera le
  • 12. 12 client/prospect dans cette démarche. A la fin de cette étape le signataire est orienté vers une étape d’identification (cas d’un prospect), cette étape est interruptible, le client peut à tout moment reprendre sa transaction là où il l’avait quittée. Etape 2 : Identification en ligne (pour les prospects uniquement) La vérification de l’identité du signataire dépend de la complexité et du risque sur le produit vendu. En voici quelques cas d’usage (toutes ces étapes ne sont pas obligatoires) : • Vérification à travers des moyens mis à disposition par le gouvernent, la banque ou le telco. • Vérification de l’identité du signataire à travers la transmission de ses pièces justificatives (CIN, passeport) ou en utilisant la vidéo conférence (équivalent à un face-à-face). • Vérification à travers la collecte de plusieurs pièces : justification d’identité, justificatif de domicile, justificatif bancaire, etc. • Vérification à travers un OTP qui peut être transmis par SMS sur le numéro préalablement renseigné. Quand la collecte des pièces justificatives n’est pas possible le temps de la session de l’internaute, le système prévoit l’interuptibilité du parcours pour permettre au signataire de compléter son dossier jusqu’à plusieurs jours après le début de sa souscription. Etape 3 : Présentation du document Le terminal personnel du signataire reçoit le contrat PDF à travers une page Web. Le signataire peut en prendre connaissance avant de donner son consentement à travers le protocole de consentement. Etape 4 : Le protocole de consentement Le protocole de consentement est le lien direct entre le Tiers de confiance et le signataire qui peut déclencher le processus de signature électronique. La finalisation de cette étape est de la responsabilité du Tiers de confiance. En pratique, le protocole de consentement permet de recueillir l’ensemble des éléments de consentement du signataire. Il peut contenir les étapes suivantes : • Acceptation des mentions légales (cases à cocher) avec les mentions légales généralement liées au produit et décidées par le service juridique de l’émetteur du document. • Authentification du signataire (SMS OTP, CAP EMV OTP, SAML protocole, etc.). Il faut que le moyen d’authentification soit sous le contrôle exclusif du signataire pour respecter les exigences ETSI de la signature avancée ou qualifiée. • Deux boutons signer ou annuler la transaction. Le protocole de consentement
  • 13. 13 doit systématiquement permettre l’abandon d’une transaction. • L’ensemble des étapes du protocole de consentement seront archivées dans le fichier de preuve et pourront être rejouées en cas de litige plusieurs années plus tard. Etape 5 : Signature électronique Dès que le protocole de consentement a été validé par le signataire, le tiers de confiance déclenche l’exécution des différentes étapes techniques de réalisation d’une signature électronique : • Génération d’un bi-clés pour le compte du signataire (dans un HSM sécurisé). • Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes. • Génération d’un jeton d’horodatage pour la signature. • Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir la non réutilisation de la clé privée pour une autre opération. • Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). • Page de confirmation. Etape 6 : Génération du fichier de preuve Dès que l’étape de signature est réalisée, et si cette signature marque la fin de la transaction (un contrat peut avoir N signataires, dans ce cas la fin de la transaction se fait suite à la réalisation de la dernière signature). Le fichier de preuve comprend les informations sur la transaction décrites ci-dessous : • Les différentes versions du PDF (la version présentée, la version signée etc.). • Le jeton d’horodatage. • Le protocole de consentement ayant servi à recueillir le consentement du signataire. • Les informations d’authentification du signataire. • Le fichier de preuve est signé et horodaté par le tiers de confiance pour en garantir l’intégrité des éléments. Etape 7 (optionnelle) : Archivage à valeur légale Le tiers de confiance est directement relié à un tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7jrs/7) via une interface Web sécurisée proposée par le tiers archiveur.
  • 14. 14 4.1 Signature par des clients connus ou des prospects en vente à distance Signatures éligibles : E-Signature/AdES 5 SIGNATURE PAR DES CLIENTS CONNUS OU DES PROSPECTS EN VENTE A DISTANCE Signatures éligibles : QES Etape 1 : Préparation du document La société permet une contractualisation depuis son site Internet (classique ou mobile). La première étape est la complétude des formulaires (simulation, données clients, etc.). Cette complétude peut être réalisée par le client ou prospect directement sur le site Internet ou par un conseiller téléphonique qui assistera le client/prospect dans cette démarche. A la fin de cette étape le signataire est orienté vers une étape d’identification (cas d’un prospect), cette étape est interruptible, le client peut à tout moment reprendre sa transaction là où il l’avait quittée. Etape 2 : Identification en ligne (pour les prospects uniquement) Il s’agit lors de cette étape de créer l’équivalent d’un face à face virtuel avec un conseiller habilité via une visio conférence • L’internaute choisi le device qu’il va utiliser pour réaliser ce face à face (Smartphone ou ordinateur équipé d’une webcam). • L’intenaute est contacté par un opérateur directement via le site internet ou l’application mobile. • L’opérateur lui demande de présenter sa pièce d’identité à la caméra du mobile ou de l’ordinateur. • Des que l’opérateur considère que la qualité est suffisante, il capture une séquence + une image de la pièce d’identité qu’il pourra vérifier. • Un système de vérification automatique des éléments de la pièce d’identité est actionné, ce système peut être complété par l’opérateur qui peut agir à tout moment. • Dès que la pièce est vérifiée, l’opérateur active l’accès à la signature et l’internaute voit s’afficher le contrat. Etape 3 : Présentation du document Le terminal personnel du signataire se rafraîchit et voit apparaître le contrat PDF à travers une page Web ou l’application mobile. En parallèle, DocuSign transmet un code OTP via SMS.
  • 15. 15 Etape 4 : Le protocole de consentement Le protocole de consentement est le lien direct entre le Tiers de confiance et le signataire qui peut déclencher le processus de signature électronique. La finalisation de cette étape est de la responsabilité du tiers de confiance.En pratique, le protocole de consentement permet de recueillir l’ensemble des éléments de consentement du signataire. Il peut contenir les étapes suivantes : • Acceptation des mentions légales (cases à cocher) avec les mentions légales généralement liées au produit et décidées par le service juridique de l’émetteur du document. • Authentification du signataire (SMS OTP, CAP EMV OTP, SAML protocole, etc.). Il faut que le moyen d’authentification soit sous le contrôle exclusif du signataire pour respecter les exigences ETSI de la signature avancée ou qualifiée. • Deux boutons signer ou annuler la transaction. Le protocole de consentement doit systématiquement permettre l’abandon d’une transaction. • L’ensemble des étapes du protocole de consentement seront archivées dans le fichier de preuve et pourront être rejouées en cas de litige plusieurs années plus tard. Etape 5 : Signature électronique Dès que le protocole de consentement a été validé par le signataire, le tiers de confiance déclenche l’exécution des différentes étapes techniques de réalisation d’une signature électronique : • Génération d’un bi-clés pour le compte du signataire (dans un HSM sécurisé). • Génération d’une signature avec un certificat X509 qui embarque les informations d’identification du signataire et une clé publique. La durée de vie de ce certificat à usage unique ne peut pas dépasser 5 secondes. • Génération d’un jeton d’horodatage pour la signature. • Destruction de la clé privée du signataire dans le HSM. Cela permet de garantir la non réutilisation de la clé privée pour une autre opération. • Intégration de la signature dans le document PDF avec le visuel de signataire (PAdES). • Page de confirmation. Etape 6 : Génération du fichier de preuve Dès que l’étape de signature est réalisée, et si cette signature marque la fin de la transaction (un contrat peut avoir N signataires, dans ce cas la fin de la transaction se fait suite à la réalisation de la dernière signature). Le fichier de preuve comprend les informations sur la transaction décrites ci- dessous :
  • 16. 16 • Les différentes versions du PDF (la version présentée, la version signée etc.). • Le jeton d’horodatage. • Le protocole de consentement ayant servi à recueillir le consentement du signataire. • Les informations d’authentification du signataire. • Le fichier de preuve est signé et horodaté par le Tiers de confiance pour en garantir l’intégrité des éléments. Etape 7 (optionnelle) : Archivage à valeur légale Le tiers de confiance est directement relié à un tiers archiveur pour permettre un archivage à long terme des fichiers de preuve. Généralement la durée d’archivage est de 10 ans avec la possibilité d’étendre la durée. L’organisme émetteur du document pourra y accéder (24hrs/24 et 7jrs/7) via une interface Web sécurisée proposée par le tiers archiveur. 6 CONCLUSION La mise en place de la signature électronique dans un contexte BtoC est un sujet complexe. La complexité réside plus dans la mise en place de processus que dans la mise en œuvre technique. Ainsi, un projet de mise en place de signature électronique concernera plusieurs directions au sein d’une entreprise : le marketing, le service juridique, la conformité, le service informatique, etc. Il est très important de pouvoir choisir le bon type de signature en fonction du risque du contrat, en effet nous n’utiliserons pas une signature qualifiée pour un contrat à faible rique. Comme décrit dans ce livre blanc, tous les type de signature n’ont pas les mêmes contraintes d’un point de vue expérience utilisateur et n’on pas le même poids juridique, il est donc important de calibrer le bon compromis entre l’expérience utilisateur, la fluidité du parcours, l’ouverture du service 24/7 et le risque contrat. Il est donc important pour une entreprise de se faire accompagner dans sa démarche projet pour que celui-ci soit un succès, en tenant compte de trois points essentiels déterminant dans le choix de son prestataire de signature électronique : La partie légale Les juristes d’entreprises se font généralement accompagner par des cabinets spécialisés dans la dématérialisation de contrats, afin d’éviter de mauvaises interprétations de la réglementation en vigueur. Ce point est d’autant plus important que l’idée est avant tout d’optimiser le retour sur investissement. Définition des process métiers et des impacts au sein d’une organisation Il est important de très vite identifier les différents impacts afin d’anticiper les charges et de paralléliser les plannings de réalisation. Beaucoup de cabinets de conseil et d’assistance MOA se sont spécialisés dans le domaine de la transformation numérique, particulièrement dans la conduite du changement.
  • 17. 17 À propos de DocuSign DocuSign® est le leader de la gestion de transactions avec signature électronique et s’impose comme la référence mondiale pour la signature électronique (eSignature). DocuSign accélère les transactions pour vous permettre d’atteindre vos objectifs plus vite, de réduire les coûts et de satisfaire vos clients. Son réseau mondial est le moyen le plus facile, le plus rapide et le plus sûr d’envoyer, de signer, de suivre et de conserver des documents dans le Cloud. DocuSign vous aide à travailler mieux et plus vite. Pour obtenir des renseignements américains: numéro vert 866.219.4318 | docusign.com Pour obtenir des renseignements EMEA: phone +33 (0) 975 181 331 | paris@docusign.com Suivez-nous Copyright © 2003-2016 DocuSign, Inc. Tous droits réservés. DocuSign, le logo DocuSign, « Close it in the Cloud », SecureFields, Stick-eTabs, PowerForms, « The fastest way to get a signature », le logo No-Paper, Smart Envelopes, SmartNav, « DocuSign It! », « The World Works Better with DocuSign » et ForceFields sont des marques de commerce ou des marques déposées de DocuSign, Inc. aux États-Unis et/ou dans d’autres pays. Toutes les autres marques de commerce ou marques déposées sont la propriété de leurs détenteurs respectifs. La Technologie De plus en plus de sociétés proposent des systèmes en mode Cloud (SAAS). Voici les points importants à respecter pour choisir le bon partenaire technologique : • Sa capacité à opérer en tant que tiers de confiance et sa capacité à absorber des volumes de signatures industriels. • Sa connaissance de votre secteur d’activité en se basant sur des cas clients et des références. • Sa capacité à s’intégrer facilement dans vos systèmes informatiques existants. • Sa connaissance des terminaux mobiles et sa capacité d’adaptation à ce marché très mouvant. • Sa capacité à offrir à l’utilisateur une expérience enrichie simple et ergonomique, par exemple en ayant la capacité d’intégrer la signature dans les lecteurs PDF grâce à l’adhésion au programme CDS d’ADOBE. A PROPOS DE l’AUTEUR Michael Lakhal Product Manager Après avoir acquis une solide expérience dans la vente de produits financiers en ligne dans différents organismes financiers, il développe depuis 8 ans une expertise dans la mise en place de signature électronique dans des processus métier. Michael est diplômé d’un DESS de marketing direct et de vente à distance et a rejoint DocuSign pour gérer le développement des produits de signature électronique BtoC en Europe.