SignNTrack – Swiss E-Signature Software & Document Management

Log in

Fournisseurs certifiés de signatures électroniques

Panorama des prestataires certifiés.

Mis à jour : Temps de lecture : ~9 min

Les fournisseurs certifiés de signatures électroniques jouent un rôle clé pour garantir la valeur probante et la conformité légale des signatures. Dans l’UE, on parle de Qualified Trust Service Providers (QTSP) selon eIDAS; en Suisse, les prestataires et infrastructures suivent ZertES. SignnTrack s’intègre à des fournisseurs certifiés pour la signature basée sur certificats, notamment pour la QES, tout en facilitant l’orchestration, l’audit et l’expérience utilisateur.

Définitions : QTSP, ZertES & eIDAS

  • QTSP (eIDAS) : prestataire de services de confiance qualifié autorisé à délivrer des certificats qualifiés et à réaliser des signatures qualifiées.
  • ZertES (CH) : cadre juridique suisse pour la signature électronique, la QES étant équivalente à la signature manuscrite.
  • Services associés : cachets électroniques, horodatage qualifié, validation et conservation de signatures.

Le recours à un fournisseur qualifié est nécessaire pour les cas où la QES est exigée (équivalence à la signature manuscrite).

Critères de sélection d’un prestataire

  • Portée géographique & juridique : reconnaissance eIDAS, ZertES et adéquation aux secteurs (finance, santé, public).
  • Gestion des clés : clés non exportables, HSM certifiés, politiques de rotation et révocation.
  • Preuve & traçabilité : journaux sécurisés, piste d’audit, horodatage qualifié.
  • Identité & KYC : vérification d’identité (eID, vidéo, liveness) adaptée à FES/QES.
  • Hébergement & résidence des données : serveurs UE et/ou datacenters suisses, conformité RGPD/LPD.
  • Sécurité opérationnelle : pare-feux & WAF, anti-malware, TLS 1.3/mTLS, AES-256.
  • Certifications : ISO 27001/27701, FIPS 140-2/3 pour HSM, conformité NIS2 quand applicable.
  • Qualité de service : SLA/OLA, disponibilité, support 24/7, plan de continuité (sauvegarde & restauration).
  • Intégration & API : SDK, REST, webhooks, compatibilité SSO/IDP.
  • Tarification & gouvernance : modèles clairs (à l’usage, packs) et transparence contractuelle.

Offres : EES, FES, QES & services associés

Les fournisseurs certifiés proposent généralement plusieurs niveaux :

  • EES : consentement simple, adapté aux risques faibles.
  • FES : identité liée de manière univoque, intégrité et preuve renforcée.
  • QES : équivalente manuscrite (eIDAS/ZertES), clé protégée en HSM, vérification d’identité forte.

Services complémentaires : horodatage qualifié, cachets de l’organisation, validation à long terme (LTV), conservation des preuves.

Intégration technique & opérations

  1. Flux d’identité : KYC/eID intégré, MFA/2FA (MFA, 2FA).
  2. Signature & scellement : clés non exportables en HSM, chaines de certificats validées.
  3. Transport chiffré : TLS 1.3 et mTLS entre microservices.
  4. Journalisation : logs immuables et audit-trail conformes.
  5. Résilience : réplication EU/CH, plan de reprise, surveillance continue.

Le modèle Zero Trust renforce ce socle, de l’accès aux données jusqu’au HSM.

Conformité, audit & preuves

Pour les secteurs réglementés (finance, santé, public), privilégiez les fournisseurs offrant :

  • Rapports d’audit réguliers (ISO 27001/27701, rapports de conformité eIDAS/ZertES).
  • Politiques de certification (CPS/CP) détaillant l’émission, l’usage et la révocation des certificats.
  • Preuves légales : horodatage qualifié, empreintes (hash), pistes d’audit inviolables.
  • Localisation transparente des traitements (UE/Suisse), absence de transfert hors juridiction déclarée.

Checklist & questions RFP

  1. Êtes-vous qualifié (QTSP) pour QES et dans quels pays ? Quelles autorités de supervision ?
  2. Où sont hébergées les données et les clés ? UE / Suisse uniquement ?
  3. Quel niveau de HSM (FIPS 140-2/3) et quelles politiques de rotation/révocation ?
  4. Quelles méthodes d’identité supportées (eID, vidéo-KYC, liveness, banque) ?
  5. Quels SLA, support 24/7, RTO/RPO, et garanties de disponibilité ?
  6. Disposez-vous d’API documentées, de webhooks, d’un mode LTV et d’un archivage probant ?
  7. Comment gérez-vous les journaux, l’audit et la conservation des preuves ?
  8. Votre offre couvre-t-elle EES/FES/QES avec montée en gamme simple par cas d’usage ?
  9. Quelle est la structure tarifaire (par signature, par utilisateur, par certificat, pack) ?

Contenus liés

FAQ – Fournisseurs certifiés

Quelle différence entre prestataire “certifié/qualifié” et non qualifié ?

Un prestataire qualifié (QTSP) est audité et autorisé à fournir des signatures qualifiées (QES). Un prestataire non qualifié ne peut pas offrir l’équivalence juridique à la signature manuscrite.

Dois-je toujours choisir un QTSP ?

Pas forcément. Pour des risques faibles, EES/FES suffisent souvent. Choisissez QES/Qtsp pour les documents exigeant l’équivalence manuscrite ou un risque élevé.

Comment vérifier la conformité d’un fournisseur ?

Demandez ses certificats (eIDAS/ZertES), rapports d’audit, politiques CPS/CP, détails HSM, localisation des données et références clients sectorielles.

Choisissez un fournisseur certifié avec SignnTrack

Orchestrez EES/FES/QES avec des prestataires qualifiés, preuves d’audit et intégration clé en main.

Essai gratuit