Puis-je créer mon propre certificat de signature numérique ?

Dans le monde numérique actuel, les signatures numériques sont plus qu’un simple outil pratique : elles sont devenues un moyen juridiquement contraignant de signer des documents électroniques à l’échelle mondiale. Cela soulève une question fréquente : Puis-je créer mon propre certificat de signature numérique ? La réponse courte est : techniquement oui, mais légalement pas nécessairement, selon votre juridiction et l’usage que vous en faites. Cet article explore en détail les aspects pratiques, techniques et juridiques de la création de certificats de signature numérique, en particulier pour les utilisateurs de Hong Kong et d’Asie du Sud-Est.

Qu’est-ce qu’un certificat de signature numérique ?

Un certificat de signature numérique (CSN) est un fichier électronique utilisé pour prouver l’authenticité de votre signature électronique. Il est émis par une entité tierce de confiance, une autorité de certification (AC), qui vérifie votre identité avant d’émettre le certificat, liant ainsi votre signature numérique à votre identité. C’est comme un passeport ou un permis de conduire dans le monde en ligne, utilisé pour vérifier l’identité.

Il existe deux types courants de signatures électroniques :

1. Signatures électroniques (e-signatures) : Généralement simples et faciles à utiliser, elles peuvent être une saisie de votre nom ou l’apposition d’une image de signature, etc., des pratiques informelles.
2. Signatures numériques (digital signatures) : Une forme de signature électronique, mais utilisant des protocoles de sécurité plus stricts (tels que l’infrastructure à clé publique PKI), nécessitant généralement un certificat de signature numérique légal.

D’un point de vue technique, pouvez-vous créer votre propre certificat ?

D’un point de vue technique, la réponse est oui. Si vous maîtrisez les outils de chiffrement appropriés (par exemple, OpenSSL), vous pouvez générer une paire de clés (clé publique et clé privée) et créer un certificat numérique auto-signé. Cette opération est généralement utilisée pour les tests de développement ou l’usage interne.

Cependant, il est important de noter que les certificats auto-signés ne sont pas approuvés par les applications externes ou les organismes de réglementation, car ils manquent de vérification par un tiers et ne peuvent pas fournir la garantie d’identité requise légalement.

Exemple :

Si vous générez vous-même un certificat et l’utilisez pour signer un contrat, le destinataire ne peut pas confirmer si le certificat vous appartient réellement, à moins qu’une vérification d’identité distincte ne soit effectuée. De plus, dans la plupart des pays ou régions (comme Hong Kong, Singapour, Malaisie), les contrats électroniques signés de cette manière n’ont pas de valeur juridique.

Que disent les lois locales à ce sujet ?

📌 Hong Kong

Selon l’« Electronic Transactions Ordinance » (chapitre 553), une signature numérique n’a de valeur juridique que si elle remplit les conditions suivantes :

• Être soutenue par un certificat numérique reconnu ;
• Le certificat est émis par une autorité de certification reconnue, telle que Hong Kong Post ou une organisation commerciale autorisée ;
• Être signée à l’aide d’un dispositif de sécurité.

Par conséquent, à Hong Kong, vous ne pouvez pas créer vous-même un certificat de signature numérique ayant une valeur juridique. Cela ne répond pas aux exigences légales en matière d’authentification d’identité.

📌 Singapour

La « Loi sur les transactions électroniques » de Singapour et le « Règlement sur les transactions électroniques (Autorités de certification) » mis à jour stipulent que seuls les certificats émis par une autorité de certification enregistrée (par exemple, Netrust) et reconnus par l’Autorité de développement des médias de l’information et de la communication (IMDA) ont une valeur juridique.

📌 Malaisie

La « Loi sur les signatures numériques de 1997 » a établi pour la première fois la valeur juridique des signatures numériques. Seuls les certificats numériques émis par une autorité de certification agréée par la Commission মালয়েশিয়া মাল্টিমিডিয়া ও যোগাযোগ কমিশন (MCMC) (par exemple, MSC Trustgate) ont un statut juridique.

Par conséquent, dans la plupart des pays d’Asie du Sud-Est, les certificats auto-signés ne sont pas reconnus pour les usages ayant une force obligatoire légale.

Quand est-il utile de générer soi-même un certificat ?

Bien que les certificats auto-signés n’aient pas de valeur juridique, ils peuvent être utiles dans les scénarios suivants :

• Développement de systèmes ou tests d’applications ;
• Protection des communications par e-mail privées ;
• Utilisation dans des opérations internes à faible risque au sein de l’entreprise.

Cependant, il est impératif de clairement indiquer que ces certificats sont auto-signés, afin d’éviter toute confusion avec des signatures de confiance ou ayant une valeur juridique.

Comment obtenir un certificat de signature numérique légal ?

Si vous prévoyez de l’utiliser pour la signature de contrats, les déclarations fiscales gouvernementales, les déclarations fiscales ou les transactions commerciales interentreprises, vous devez suivre les étapes suivantes :

1. Choisir une autorité de certification (AC) de confiance Privilégiez les AC reconnues et approuvées par la loi de votre pays, par exemple :

   • Hong Kong : HKPost CA ou Digi-Sign
   • Singapour : Netrust
   • Malaisie : MSC Trustgate

2. Soumettre une demande et procéder à la vérification d’identité Les documents suivants sont généralement requis :

   • Une pièce d’identité avec photo (par exemple, passeport ou carte d’identité)
   • Une preuve d’adresse
   • Les documents d’enregistrement de l’entreprise (obligatoire pour les signataires d’entreprise)

3. Installer le certificat sur un dispositif de sécurité ou un logiciel Les CSN sont généralement stockés sur des jetons USB sécurisés ou intégrés dans des logiciels de signature numérique dédiés.

4. Utiliser une plateforme de signature numérique conforme La plateforme utilisée doit être conforme aux exigences réglementaires locales et être capable d’intégrer le certificat et les informations d’audit de signature.

Plateformes conformes recommandées

Bien que les plateformes internationales telles que DocuSign et Adobe Sign aient une part de marché élevée, ces plateformes ne sont pas nécessairement parfaitement conformes aux réglementations locales de Hong Kong ou d’Asie du Sud-Est.

C’est là que eSignGlobal excelle.

eSignGlobal est spécialement conçu pour la conformité juridique dans la région Asie-Pacifique, prend en charge les signatures numériques basées sur PKI et utilise la norme de chiffrement ISO 27001, garantissant :

• Des signatures numériques légalement reconnues ;
• La compatibilité avec les AC locales ;
• L’authentification d’identité conforme aux exigences réglementaires régionales.

Si vous exercez des activités en Asie du Sud-Est ou si vous devez traiter des documents transfrontaliers, eSignGlobal peut vous fournir une solution de signature numérique conforme à la loi.

Conclusion

Alors, pouvez-vous créer votre propre certificat de signature numérique ? Techniquement, oui, mais légalement, non, pour un usage public ou formel. À moins que vous ne soyez une autorité de certification agréée par l’État, votre certificat auto-signé n’aura aucune valeur juridique.

Pour les entreprises ou les particuliers opérant à Hong Kong et en Asie du Sud-Est, si vous avez besoin d’une solution de signature électronique conforme et fiable, eSignGlobal est une alternative plus sûre et plus conforme aux plateformes américaines telles que DocuSign.

Êtes-vous à la recherche d’une alternative à DocuSign, sûre et fiable, conforme aux réglementations régionales ? eSignGlobal est le choix idéal recommandé pour les utilisateurs de Hong Kong et d’Asie du Sud-Est.