Glossaire de la Signature Électronique : Tous les Termes Expliqués

La signature électronique qualifiée est le niveau de signature le plus robuste défini par le règlement eIDAS. Elle est juridiquement équivalente à une signature manuscrite dans tous les États membres de l’Union européenne — c’est le seul niveau pour lequel cette équivalence est établie par la loi.

Pour être qualifiée, une signature doit reposer sur un certificat qualifié délivré par un prestataire de services de confiance qualifié (QTSP), et être créée à l’aide d’un dispositif de création de signature qualifié (QSCD). Elle garantit l’identité du signataire, l’intégrité du document et la non-répudiation : le signataire ne peut pas contester avoir signé.

La QES est exigée par certaines administrations — notamment l’INPI en France pour les dépôts de marques — et recommandée pour tous les actes à fort enjeu juridique (contrats de travail, actes notariés, marchés publics).

La signature électronique avancée est le niveau intermédiaire du règlement eIDAS. Elle doit remplir quatre conditions : être liée de manière unique au signataire, permettre de l’identifier, avoir été créée avec des données sous son contrôle exclusif, et permettre de détecter toute modification ultérieure du document signé.

L’AES offre une valeur probante forte mais n’est pas légalement équivalente à la signature manuscrite — contrairement à la QES. Elle convient pour la plupart des contrats commerciaux entre entreprises, les accords de confidentialité, les devis et commandes, lorsqu’aucune loi n’impose explicitement la QES.

Sur e-Signature.eu, la méthode Veriff délivre des signatures AES couvrant 198 pays.

La signature électronique simple est le niveau de base défini par eIDAS. Elle recouvre toute donnée sous forme électronique jointe ou associée logiquement à d’autres données électroniques, utilisée comme signature. Un code OTP envoyé par email, une case cochée ou un scan d’une signature manuscrite sont des exemples de SES.

Sa valeur juridique est limitée : elle peut servir de commencement de preuve, mais ne garantit pas formellement l’identité du signataire. Elle convient aux actes sans enjeu majeur — bons de commande internes, validations légères, accords informels.

Attention : une SES n’est jamais équivalente à une signature manuscrite au sens du droit européen.

Le règlement eIDAS (Electronic IDentification, Authentication and trust Services) est le règlement européen n° 910/2014 qui établit le cadre juridique commun pour les signatures électroniques, les sceaux électroniques, les horodatages et les services de confiance dans l’Union européenne.

Il définit les trois niveaux de signature (SES, AES, QES), impose la reconnaissance mutuelle des signatures qualifiées entre États membres, et établit la liste des prestataires de services de confiance qualifiés (QTSP) via la liste de confiance européenne (EU Trusted List).

Une QES émise dans un État membre de l’UE est automatiquement reconnue dans tous les autres États membres : c’est le principe d’interopérabilité eIDAS, l’un des piliers du marché unique numérique européen.

eIDAS 2.0 est la révision du règlement eIDAS, entrée en vigueur en 2024 et dont le déploiement se poursuit jusqu’en 2026-2027. Sa principale nouveauté est l’introduction du Portefeuille Européen d’Identité Numérique (EUDIW — European Digital Identity Wallet), qui permettra à chaque citoyen européen de disposer d’une identité numérique certifiée et interopérable à l’échelle de l’UE.

Pour la signature électronique, eIDAS 2.0 renforce les exigences sur les prestataires qualifiés, étend la liste des services de confiance reconnus et prépare l’intégration du wallet d’identité comme moyen d’authentification pour les QES. Il s’agit d’une évolution structurante pour l’ensemble de l’écosystème de la signature en Europe.

Un QTSP (Qualified Trust Service Provider) est un organisme accrédité par une autorité nationale de supervision pour délivrer des services de confiance qualifiés — notamment des certificats qualifiés permettant d’émettre des signatures QES. En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est l’autorité de supervision.

La liste complète des QTSP européens est publiée sur la EU Trusted List, accessible via la Commission européenne. Seules les signatures adossées à un certificat qualifié délivré par un QTSP figurant sur cette liste peuvent prétendre au statut de QES.

e-Signature.eu s’appuie sur des QTSP accrédités pour toutes ses méthodes de signature qualifiée (itsme® et Evrotrust).

Un certificat qualifié est un certificat numérique délivré par un QTSP, qui atteste de manière formelle l’identité d’une personne physique ou morale. Il constitue la base technique d’une signature qualifiée (QES) : sans certificat qualifié, pas de QES.

Il contient les informations d’identité du titulaire (nom, prénom, le cas échéant numéro d’identification), les informations sur le QTSP émetteur, la période de validité et une clé cryptographique. Il est associé à une clé privée que seul le titulaire contrôle, ce qui garantit que la signature ne peut être apposée qu’avec son consentement actif.

L’Institut National de la Propriété Industrielle (INPI) est l’organisme public français chargé de l’enregistrement des marques, brevets, dessins et modèles, ainsi que des formalités liées aux entreprises. Il est l’un des rares organismes à exiger explicitement une signature qualifiée (QES) pour les dépôts et formalités effectués en ligne.

Pour signer un document destiné à l’INPI via e-Signature.eu, les méthodes itsme® ou Evrotrust (toutes deux QES) sont requises. La signature simple (OTP) ou avancée (Veriff) ne sont pas acceptées pour ces formalités.

La liste de confiance européenne est un registre officiel, maintenu par chaque État membre sous la supervision de la Commission européenne, recensant l’ensemble des prestataires de services de confiance qualifiés (QTSP) accrédités dans l’UE. Elle constitue la référence pour vérifier si un service de signature est bien qualifié au sens d’eIDAS.

Toute solution de signature qui se réclame du niveau QES doit s’appuyer sur un QTSP inscrit sur cette liste. C’est une garantie fondamentale pour les utilisateurs.

itsme® est une application d’identité numérique développée par Belgian Mobile ID, qui permet de s’identifier et de signer des documents électroniquement depuis son smartphone. Elle est reconnue comme moyen d’authentification pour la signature qualifiée (QES) dans 32 pays européens.

Pour utiliser itsme® comme méthode de signature sur e-Signature.eu, le signataire doit avoir installé l’application sur son smartphone et avoir préalablement vérifié son identité (via sa carte d’identité et un selfie). La signature s’effectue en quelques secondes : le signataire reçoit une notification, approuve sur son téléphone, et la signature qualifiée est apposée.

itsme® est la méthode de signature qualifiée la plus répandue au Benelux et constitue la méthode phare d’e-Signature.eu.

Evrotrust est un prestataire de services de confiance qualifié (QTSP) bulgare, inscrit sur la EU Trusted List, qui propose une solution de signature qualifiée (QES) via application mobile. Sa couverture géographique est l’une des plus larges du marché : 62 pays, couvrant l’Europe, l’Amérique du Nord, l’Océanie et une partie du Moyen-Orient.

Disponible sur e-Signature.eu depuis 2026, Evrotrust permet d’émettre des signatures QES conformes eIDAS pour des signataires situés hors de la zone itsme®. Le processus est similaire : téléchargement de l’application, vérification d’identité, puis signature en quelques clics depuis le smartphone.

Evrotrust est complémentaire à itsme® : là où itsme® s’arrête, Evrotrust prend le relais — permettant à e-Signature.eu de couvrir la quasi-totalité des besoins de signature qualifiée en Europe et au-delà.

Veriff est une société estonienne spécialisée dans la vérification d’identité par intelligence artificielle. Sur e-Signature.eu, Veriff est utilisée comme méthode d’authentification pour la signature électronique avancée (AES) dans 198 pays.

Le processus de vérification Veriff se déroule entièrement en ligne : le signataire photographie son document d’identité et réalise un selfie vidéo, analysés automatiquement pour confirmer son identité. La signature est ensuite déposée avec une forte traçabilité biométrique.

Veriff est la méthode idéale pour les échanges contractuels internationaux avec des partenaires situés hors de la couverture QES (itsme® ou Evrotrust). Elle offre une valeur probante supérieure à la signature simple (OTP), avec une couverture géographique mondiale.

L’OTP (One-Time Password, ou code à usage unique) est un code numérique généré automatiquement, envoyé par email au signataire, et valable pour une unique opération. Sur e-Signature.eu, l’OTP par email constitue la méthode de signature simple (SES).

L’OTP prouve que le signataire avait accès à l’adresse email au moment de la signature. Il n’authentifie pas formellement son identité — ce qui limite sa valeur juridique. Il est néanmoins suffisant pour les accords sans enjeu majeur, les validations internes ou les cas où une preuve légère est suffisante.

Avantage : l’OTP ne nécessite aucune application ni vérification préalable d’identité. C’est la méthode la plus rapide à mettre en œuvre, disponible partout dans le monde.

Un QSCD (Qualified Signature Creation Device) est le dispositif sécurisé — matériel ou logiciel — utilisé pour créer une signature qualifiée. Il garantit que la clé privée du signataire est générée, stockée et utilisée dans un environnement sécurisé, inaccessible à des tiers.

Les applications mobiles comme itsme® et Evrotrust intègrent un QSCD logiciel certifié : le smartphone du signataire joue ce rôle, après enrôlement sécurisé de l’identité. C’est cette certification QSCD qui permet à ces méthodes de délivrer des signatures au niveau QES.

L’audit trail est un enregistrement chronologique et automatique de tous les événements survenus au cours d’une demande de signature : envoi de l’invitation, consultation du document, signature, téléchargement, modification de coordonnées, abandon éventuel.

Sur e-Signature.eu, l’audit trail est activé automatiquement pour toutes les demandes, quel que soit le niveau de signature choisi. Il est consultable en temps réel depuis le tableau de bord pendant que la demande est en cours, puis téléchargeable en PDF horodaté une fois la demande finalisée.

En cas de litige, l’audit trail constitue une preuve opposable : il atteste que le signataire a bien reçu l’invitation, consulté le document et apposé sa signature, avec les dates et heures précises.

L’horodatage (ou timestamp) est un mécanisme cryptographique qui certifie qu’un document numérique existait tel quel à un instant précis et n’a pas été modifié depuis. Il est émis par une autorité d’horodatage (Time Stamping Authority — TSA) et constitue une preuve d’antériorité et d’intégrité.

Sur e-Signature.eu, le PDF d’audit trail est protégé par un timestamp au moment de sa génération. Cela garantit que le rapport de traçabilité n’a pas été altéré après création — renforçant sa valeur probante en cas de contestation.

La non-répudiation est la propriété qui empêche un signataire de nier avoir signé un document. Elle est l’une des garanties fondamentales de la signature électronique qualifiée (QES) : grâce au certificat qualifié et au dispositif QSCD, il est cryptographiquement impossible pour le signataire de prétendre que la signature n’a pas été apposée par lui.

Les signatures simples (SES) n’offrent qu’une non-répudiation partielle, car elles n’authentifient pas formellement l’identité du signataire. La QES offre la non-répudiation la plus solide — c’est pourquoi elle est exigée pour les actes à forts enjeux juridiques.

L’intégrité d’un document signé électroniquement désigne la garantie que son contenu n’a pas été modifié après la signature. Elle est assurée par un mécanisme cryptographique : lors de la signature, une empreinte numérique (hash) du document est calculée et intégrée à la signature. Toute modification ultérieure du document invalide cette empreinte — et donc la signature elle-même.

Les lecteurs de PDF compatibles (Adobe Acrobat Reader, notamment) signalent automatiquement si l’intégrité d’un document signé est compromise. C’est l’une des raisons pour lesquelles le format PAdES est privilégié pour les signatures de documents PDF.

Une preuve est dite opposable lorsqu’elle peut être produite et admise devant un tribunal pour établir un fait. Dans le contexte de la signature électronique, la valeur opposable d’une preuve dépend directement du niveau de signature utilisé :

— La QES bénéficie d’une présomption légale de fiabilité et d’une non-répudiation forte. Elle est la preuve la plus solide.
— L’AES offre une forte valeur probante, mais sans présomption légale automatique.
— La SES constitue un commencement de preuve, dont la valeur dépend du contexte et des éléments complémentaires (audit trail, consentement explicite, etc.).

PAdES (PDF Advanced Electronic Signatures) est le format standard pour les signatures électroniques appliquées à des documents PDF. Il est défini par la norme ETSI EN 319 132 et reconnu par le règlement eIDAS.

La signature PAdES est intégrée au fichier PDF lui-même : elle est visible dans le panneau de signatures d’Adobe Acrobat Reader et peut être vérifiée par tout logiciel compatible. Elle peut intégrer un horodatage qualifié et les informations de révocation du certificat, garantissant la vérifiabilité à long terme.

C’est le format utilisé par e-Signature.eu pour tous les documents signés au format PDF.

XAdES (XML Advanced Electronic Signatures) est le format de signature électronique adapté aux documents XML. Il est défini par la norme ETSI EN 319 132 et reconnu par eIDAS. Il est utilisé principalement dans les échanges de données structurées entre systèmes (factures électroniques, données administratives, intégrations API).

Moins visible que PAdES pour l’utilisateur final, XAdES est courant dans les processus automatisés et les échanges B2B ou B2G (Business to Government).

CAdES (CMS Advanced Electronic Signatures) est le format de signature électronique s’appliquant à tout type de fichier (pas uniquement PDF ou XML). Il enveloppe le document signé dans un conteneur cryptographique. Moins répandu que PAdES dans l’usage quotidien, il est utilisé dans certains contextes d’archivage ou d’échanges système à système.

Une empreinte numérique (ou hash) est une chaîne de caractères de longueur fixe, calculée à partir du contenu d’un fichier par une fonction mathématique à sens unique. Deux fichiers identiques produisent toujours le même hash ; la moindre modification du fichier — même un seul caractère — produit un hash totalement différent.

Dans la signature électronique, le hash du document est calculé au moment de la signature, puis chiffré avec la clé privée du signataire. Cela garantit l’intégrité du document : si le document est modifié après signature, le hash ne correspond plus à la signature — invalisant celle-ci.

Une PKI (Public Key Infrastructure) est l’ensemble des composants techniques et organisationnels qui permettent de gérer des paires de clés cryptographiques (clé privée / clé publique) et les certificats numériques qui y sont associés.

Dans la signature électronique, la PKI garantit que :
— La clé privée appartient exclusivement au signataire et est utilisée pour signer.
— La clé publique, incluse dans le certificat, permet à quiconque de vérifier la signature.
— Le certificat, délivré par une autorité de certification (CA) reconnue, atteste de l’identité du titulaire de la clé.

L’initiateur est la personne ou l’entreprise qui crée la demande de signature sur e-Signature.eu. C’est lui qui choisit le document à signer, désigne les signataires, sélectionne la méthode de signature et déclenche l’envoi des invitations.

L’initiateur utilise les crédits achetés sur la plateforme (1 crédit par signataire pour une QES). Il a accès au tableau de bord et à l’audit trail tout au long du processus.

Le signataire est la personne invitée à apposer sa signature électronique sur un ou plusieurs documents. Il reçoit un email d’invitation contenant un lien sécurisé vers le document à signer.

Selon la méthode choisie, le signataire peut avoir besoin de l’application itsme® ou Evrotrust (préalablement installée et enregistrée) pour une QES, ou simplement d’un accès à son email pour une SES (OTP). Pour Veriff (AES), il devra réaliser une vérification d’identité lors de la signature.

Un crédit est consommé par signataire, quel que soit le nombre de documents inclus dans la demande.

La fonctionnalité de groupes de signataires, introduite sur e-Signature.eu en 2026, permet de définir un ordre de signature séquentiel entre plusieurs groupes. Par exemple, le groupe 1 (les parties prenantes internes) doit signer avant que les invitations ne soient envoyées au groupe 2 (les partenaires externes).

Cette fonctionnalité est particulièrement utile pour les processus de validation hiérarchiques — contrats nécessitant d’abord la validation d’un responsable, puis la signature du client — ou les actes impliquant plusieurs parties dans un ordre prédéfini.

Le rappel automatique est une fonctionnalité disponible sur e-Signature.eu qui permet de renvoyer automatiquement un email d’invitation à un signataire qui n’a pas encore signé après un délai défini. Cela évite à l’initiateur de devoir relancer manuellement chaque signataire et accélère la finalisation des demandes multi-signataires.

Un webhook est un mécanisme par lequel une application envoie automatiquement une notification HTTP vers une URL définie à chaque fois qu’un événement précis se produit. Dans le contexte de l’API e-Signature.eu, les webhooks permettent à votre système de recevoir en temps réel les mises à jour des demandes de signature : signature effectuée, demande finalisée, document disponible au téléchargement (au format Base64), etc.

Les webhooks sont essentiels pour les intégrations qui nécessitent un traitement automatique sans scrutation périodique (polling) de l’API.

Le pay-as-you-go (littéralement “payer au fur et à mesure”) est un modèle tarifaire à la consommation : vous ne payez que ce que vous utilisez réellement, sans abonnement mensuel ni engagement de volume.

Sur e-Signature.eu, cela signifie concrètement : vous achetez un pack de crédits prépayés, et chaque signature consomme un nombre de crédits selon la méthode utilisée (1 crédit pour une QES, 0,7 pour une AES, 0,4 pour une SES). Les crédits non utilisés restent disponibles sans date d’expiration.

Ce modèle est particulièrement adapté aux PME, indépendants et professions libérales dont les besoins en signature sont irréguliers — à l’inverse des solutions concurrentes (DocuSign, Adobe Sign, Yousign) qui facturent un abonnement mensuel fixe.

Sur e-Signature.eu, le crédit est l’unité de consommation. 1 crédit = 1 signataire, quel que soit le nombre de documents inclus dans la demande de signature. Le coût en crédits varie selon le niveau de signature :

— 1 crédit pour une signature qualifiée QES (itsme® ou Evrotrust)
— 0,7 crédit pour une signature avancée AES (Veriff)
— 0,4 crédit pour une signature simple SES (OTP email)

Les crédits sont achetés en packs prépayés. La tarification est dégressive : plus le pack est important, moins le crédit est cher à l’unité.

La tarification dégressive désigne un modèle dans lequel le prix unitaire diminue à mesure que le volume acheté augmente. Sur e-Signature.eu, cela signifie que le coût par crédit est plus bas pour un pack de 100 crédits que pour un pack de 10 crédits.

Ce mécanisme permet aux entreprises ayant des volumes importants de bénéficier d’un tarif optimisé, tout en conservant la flexibilité du pay-as-you-go — sans s’engager sur un abonnement mensuel.