Exigences légales pour les signatures électroniques : Liste de vérification pour les développeurs

Ceci est le document de référence. Mettez-le en favori, revenez-y, vérifiez votre mise en œuvre par rapport à celui-ci.

Si vous intégrez une fonctionnalité de signature électronique dans votre application, votre système doit satisfaire des exigences légales spécifiques pour que ces signatures soient exécutoires. Pas seulement des « agréables à avoir ». Exigences.

Voici exactement ce dont vous avez besoin.

Les 4 exigences principales pour une e-signature légalement valide

Selon la loi américaine (ESIGN Act et UETA), chaque signature électronique doit respecter quatre critères :

1. Intention de signer

• Le signataire a pris une action délibérée pour signer

• L'action était sans ambiguïté (clic sur un bouton, signature dessinée, nom tapé)

• L'interface utilisateur a clairement indiqué qu'il signait, pas seulement qu'il reconnaissait

2. Consentement au processus électronique

• Toutes les parties ont accepté de mener des affaires électroniquement

• Pour B2B : peut être implicite selon le contexte

• Pour B2C : nécessite une divulgation explicite des droits (option papier, processus de retrait, exigences matérielles/logiciels)

3. Association avec le dossier

• La signature est liée à la version spécifique du document

• Vous pouvez prouver quel document a été signé

• Toutes les modifications après la signature sont détectables

4. Conservation des dossiers

• Le document signé peut être reproduit avec précision

• Toutes les parties peuvent accéder à leur exemplaire

• Les dossiers restent disponibles pour la période légale requise

Si votre mise en œuvre couvre les quatre, vous êtes conforme à la loi fédérale américaine pour la plupart des transactions commerciales.

Ce que votre piste d'audit doit capturer

Voici la section à capturer. Pour chaque événement de signature, enregistrez :

Identification du signataire

• Adresse e-mail (vérifiée avant la signature)

• Adresse IP au moment de la signature

• Horodatage avec fuseau horaire (format ISO 8601)

• Chaîne de l'agent utilisateur

• Empreinte de l'appareil/navigateur (facultatif mais utile)

• Méthode d'authentification utilisée (lien e-mail, code SMS, SSO, etc.)

Intégrité du document

• Hash du document à l'heure de la signature (SHA-256)

• Identifiant de version du document

• Taille de fichier et nombre de pages

• Mécanisme de détection de falsification

Capture du consentement

• Horodatage du consentement aux transactions électroniques

• Enregistrement de ce qui a été divulgué (termes, droits, processus de retrait)

• Action d'option explicite (pas de cases pré-cochées)

Événement de signature

• Horodatage exact de l'action de signature

• Type de signature (clic, dessin, saisie, téléchargement)

• Image ou données de la signature (le cas échéant)

• Coordonnées de l'écran ou données d'interaction (facultatif)

Chaîne de garde

• Horodatage de création du document

• Chaque événement de visualisation avec horodatage et visualiseur

• Chaque événement de signature dans l'ordre

• Événements de téléchargement et de transfert

• Horodatage de fin

Stockez les journaux d'audit de façon immuable. Bases de données en append-only, chaînage cryptographique ou stockage en écriture unique. Si quelqu'un peut éditer la piste d'audit, ce n'est pas une piste d'audit.

Types de documents nécessitant encore des signatures manuscrites

Les signatures électroniques ne fonctionnent pas pour tout. Ces catégories sont exclues de l'ESIGN et de l'UETA :

Toujours exclu (tous les États américains) :

• Testaments, codicilles, fiducies testamentaires

• Ordres de justice et documents officiels du tribunal

• Papiers d'adoption

• Décrets de divorce

Souvent exclu (vérifiez votre état) :

• Procurations

• Actes immobiliers (varie considérablement selon l'État)

• Mandats de soins de santé

• Ordonnances de non-réanimation

Exclus d'ESIGN spécifiquement :

• Avis d'annulation de services publics

• Avis d'annulation d'assurance

• Avis de rappel de produits

• Avis de défaut ou de saisie

• Documents requis pour le transport de matériaux dangereux

Si votre application gère l'un de ces types de documents, consultez un conseiller juridique avant d'activer les signatures électroniques. Les lois des États varient, et se tromper entraîne de vraies responsabilités.

Signatures transfrontalières : quelles règles s'appliquent ?

Lorsque les signataires se trouvent dans différentes juridictions, suivez la norme la plus stricte.

Uniquement aux États-Unis : exigences ESIGN/UETA (les quatre critères ci-dessus)

Implication de l'UE : ajouter les exigences eIDAS

• Pour une validité basique : une Simple Signature Électronique (SES) fonctionne

• Pour une assurance plus forte : cibler les critères de Signature Électronique Avancée (AdES)

• Signature unique liée au signataire

• Signataire identifiable à partir de la signature

• Signature créée avec des données sous le contrôle exclusif du signataire

• Document infalsifiable après signature

Règle pratique : Si vous construisez selon les normes AdES, vous satisferez automatiquement les exigences américaines et la plupart des cadres internationaux. L'effort supplémentaire est minime et la couverture est plus large.

La résidence des données est importante : les utilisateurs de l'UE peuvent nécessiter un stockage des données dans l'UE pour la conformité au RGPD. Sachez où vos documents et journaux d'audit sont hébergés.

Erreurs courantes qui invalident les e-signatures

Ce sont les bugs qui font que les signatures sont rejetées au tribunal :

Capture de consentement manquante

L'utilisateur a signé, mais vous n'avez jamais enregistré qu'il avait accepté les transactions électroniques.

Solution : Ajoutez une étape de consentement explicite avant la première signature. Enregistrez l'horodatage et ce qui a été divulgué.

Pas de piste d'audit

Vous avez le PDF signé mais aucun enregistrement de qui a signé, quand ou comment.

Solution : Enregistrez tout ce qui est listé dans la section piste d'audit ci-dessus. Rendre les journaux immuables.

Conservation des dossiers défectueuse

Les documents ont été stockés, mais les liens ont expiré ou les fichiers ont été supprimés.

Solution : Mettez en œuvre des politiques de conservation alignées sur le type de document. Les contrats nécessitent généralement plus de 7 ans. Ne jamais supprimer automatiquement sans politique explicite.

Identité du signataire peu claire

Quiconque ayant le lien pourrait avoir signé. Aucune vérification que le signataire nommé était la personne réelle.

Solution : Exigez au minimum la vérification par e-mail. Ajoutez des codes SMS, SSO ou une authentification basée sur la connaissance pour les documents à enjeux plus élevés.

Documents modifiables après signature

Le document signé peut être modifié sans détection.

Solution : Chiffrez les documents au moment de la signature. Stockez le hash dans votre journal d'audit. Vérifiez le hash à la récupération.

Cases de consentement pré-cochées

Le consentement a été "capturé" mais l'utilisateur n'a jamais activement accepté.

Solution : Exigez une action affirmative. Des cases décochées que l'utilisateur doit cocher, ou des boutons "Je suis d'accord" explicites.

Horodatage manquant ou mauvais fuseau horaire

Vous avez enregistré "signé à 15h00" mais pas dans quel fuseau horaire.

Solution : Utilisez le format ISO 8601 avec décalage de fuseau horaire, ou enregistrez tout en UTC avec le fuseau horaire du signataire noté séparément.

Comment Firma.dev gère la conformité pour vous

Construire tout cela à partir de rien prend du temps. Firma.dev gère l'infrastructure de conformité pour que vous puissiez vous concentrer sur votre application.

Pistes d'audit intégrées : Chaque événement de signature génère un enregistrement immuable avec l'identité du signataire, les horodatages, les adresses IP, les empreintes de document et la capture de consentement. Les journaux ne peuvent être modifiés ni supprimés.

Documents infalsifiables : Les documents signés incluent une vérification cryptographique. Toute modification après signature est détectable.

Résidence des données UE : Toutes les données sont stockées par défaut dans des centres de données de l'UE. Simplifie la conformité au RGPD pour les transactions transfrontalières.

Capture de consentement : Les flux de consentement électronique sont intégrés dans le processus de signature. Enregistre ce qui a été divulgué et quand le signataire a accepté.

Conservation des dossiers : Les documents sont stockés en toute sécurité avec des contrôles d'accès. Pas de suppression automatique. Retrievable via API ou tableau de bord.

Détails techniques complets dans la documentation de sécurité et les docs API.

Commencez avec Firma.dev gratuitement, sans carte de crédit requise.