Politique de Signature Électronique (PSCE)

1. Niveau de signature

Zigne fournit un service de Signature Électronique Simple (SES) au sens de l'article 3.10 du règlement (UE) n° 910/2014 (eIDAS).

La SES ne répond PAS aux exigences de :

• la Signature Électronique Avancée (AES — art. 26 eIDAS), qui impose notamment que la signature soit liée uniquement au signataire et créée avec des données de création que le signataire peut utiliser sous son contrôle exclusif ;
• la Signature Électronique Qualifiée (QES — art. 3.12 eIDAS), qui requiert un certificat qualifié délivré par un Prestataire de Services de Confiance qualifié et un dispositif de création de signature qualifié.

2. Procédure de signature

1. Téléversement du document.L'Utilisateur téléverse un document PDF sur Zigne. Un hash SHA-256 du document original est calculé à réception.
2. Définition des signataires.L'Utilisateur désigne les signataires par email, nom et (optionnellement) numéro de téléphone. Il définit l'ordre de signature.
3. Envoi de l'invitation. Chaque signataire reçoit un email transactionnel (via Brevo) contenant un lien sécurisé (token unique, jeton JWT à durée limitée).
4. Authentification du signataire. Plusieurs niveaux sont proposés :
   • SES Level 1 — authentification par email seul (consultation du lien via la boîte mail) ;
   • SES Level 2 — authentification renforcée par code OTP envoyé par SMS (plan Pro) ;
   • SES Level 3 — vérification d'identité KYC via Veriff ou Onfido (option avancée).
5. Consultation du document.Le signataire consulte le document. Le système enregistre la durée de consultation, le scroll jusqu'au bas du document et la confirmation explicite de lecture.
6. Recueil du consentement.Le signataire exprime son consentement explicite : saisie de son nom, case « Je consens à signer ce document » cochée, bouton « Signer » cliqué. Le consentement est capturé avec horodatage UTC ISO 8601.
7. Apposition de la signature. La signature est apposée sur le PDF au format PAdES-B-B (PDF Advanced Electronic Signature, profil Baseline niveau B) conformément à la norme ETSI EN 319 142.
8. Horodatage. Un horodatage serveur NTP UTC est apposé. Pour le plan Pro avancé, un horodatage qualifié TSA peut être requis via un prestataire qualifié tiers.
9. Finalisation. Le PDF signé est sauvegardé, un dossier de preuve JSON est généré, et tous les signataires reçoivent une copie par email.

3. Éléments du dossier de preuve

Pour chaque signature, Zigne collecte et conserve :

A. Identification du signataire

• Adresse email (champ obligatoire)
• Nom et prénom (champ obligatoire)
• Téléphone et code OTP (si Level 2)
• Résultat de vérification KYC (si Level 3)

B. Éléments techniques

• Adresse IP publique (IPv4 / IPv6)
• User-Agent navigateur
• Empreinte du terminal (fingerprint non-identifiant)
• Timestamp ISO 8601 UTC des événements clés (ouverture, consultation, consentement, signature)

C. Éléments cryptographiques

• Hash SHA-256 du document original (avant signature)
• Hash SHA-256 du document signé (après apposition)
• Certificat de signature de Zigne (non-qualifié, émis par une AC interne)
• Signature cryptographique du dossier de preuve (scellement)

D. Traces applicatives

• Journal horodaté de toutes les actions du signataire
• Identifiant de session unique
• Identifiant du document et de la campagne de signature

4. Format de signature

Le format utilisé est PAdES-B-B (ETSI EN 319 142-1) : P (PDF) — AdES (Advanced Electronic Signatures) — B-B (Baseline profile, niveau B).

Ce format intègre la signature directement dans le document PDF, ce qui garantit l'intégrité du couple document + signature et sa portabilité (vérification par tout lecteur PDF conforme). Référence ANSSI : Guide de sélection du niveau des signatures.

5. Scellement du dossier de preuve

Le dossier de preuve JSON est scellé par :

• hash SHA-256 du contenu ;
• signature cryptographique par la clé privée de Zigne ;
• horodatage serveur NTP UTC.

Un export complet peut être téléchargé par l'Utilisateur à tout moment depuis son espace personnel, ou mis à disposition sur injonction judiciaire.

6. Durée de conservation

Les éléments du dossier de preuve sont archivés pendant une durée de dix (10) ans à compter de la date de signature, en cohérence avec :

• la prescription quinquennale de droit commun (art. 2224 C. civ.) ;
• la prescription commerciale (art. L110-4 C. com) ;
• la pratique du marché (Yousign : 10 ans).

Passé ce délai, le dossier de preuve est supprimé sauf demande expresse de conservation prolongée formulée par écrit par l'Utilisateur.

7. Accessibilité des preuves

L'Utilisateur peut à tout moment :

• télécharger le PDF signé ;
• télécharger le dossier de preuve au format JSON + PDF récapitulatif ;
• obtenir une attestation de signature signée par Zigne.

En cas de demande judiciaire, Zigne s'engage à fournir l'ensemble des éléments de preuve aux autorités compétentes dans les délais impartis, sous réserve du respect des procédures légales applicables (réquisition, commission rogatoire).

8. Limites connues

Zigne informe ses Utilisateurs des limites de son service SES :

• (a) Absence de certificat qualifié: Zigne n'utilise pas de certificat qualifié au sens eIDAS. Il n'existe donc pas de présomption légale d'équivalence avec une signature manuscrite (art. 25.2 eIDAS).
• (b) Absence de TSA qualifiée: l'horodatage est serveur (non-qualifié dans l'offre de base). Un horodatage qualifié peut être souscrit en option pour le plan Pro.
• (c) Absence de révocation de certificat: Zigne n'opérant pas une PKI qualifiée, le mécanisme CRL / OCSP ne s'applique pas.
• (d) Charge de la preuve: en cas de contestation, la charge de prouver l'identité du signataire et l'intégrité du document peut peser sur la partie qui se prévaut de la signature. Le dossier de preuve Zigne facilite cette démonstration mais ne la garantit pas de manière absolue.

Pour une force probante maximale, il convient de recourir à une AES ou QES auprès d'un Prestataire de Services de Confiance qualifié (liste EU : esignature.ec.europa.eu/efda/tl-browser/).