Quand la preuve numérique échoue en finance : l’importance de la SEQ et du QEA

Les responsables des risques de deuxième ligne des banques et des assureurs européens ont pour mission de veiller à ce que les risques juridiques, opérationnels et de conformité soient contrôlés. La valeur probante des documents signés et stockés électroniquement est un domaine négligé. En l'absence de signatures électroniques qualifiées SEQ et d'archivage électronique qualifié (QEA), les institutions financières s'exposent à des litiges, à des constats réglementaires et à des fraudes.

Résumé

• Une SEQ a le même effet juridique qu'une signature manuscrite dans toute l'UE, tandis que d'autres signatures peuvent être valides mais ne bénéficient pas de l'équivalence automatique. Voir aussi Règlement (UE) n° 910/2014 (eIDAS), Article 25, adopté le 23 juillet 2014.
• règlement (UE) 2024/1183 (publié le 30 avril 2024 ; en vigueur le 20 mai 2024) ajoute l’archivage électronique qualifié, en tant que service de confiance qualifié et fournit une présomption légale d'intégrité et d'origine pour les données/documents conservés.
• Sans SEQ et QEA, vous vous exposez à des risques de révocation immédiate, à la manipulation de PDF signés, à des preuves de validation manquantes, à des dérives de format et à des lacunes dans la chaîne de contrôle, autant d'éléments qui peuvent faire échouer des litiges, des audits et des examens réglementaires.

Le risque dans les services financiers

1. Prêts et garanties :
   Les contrats de prêt, les avenants hypothécaires, les décharges de garantie, les garanties et les lettres d'abstention doivent souvent être prouvés des dizaines d'années plus tard. Si les signatures ou l'intégrité ne peuvent être prouvées, la banque peut être confrontée à des arguments d'inapplicabilité ou à des règlements coûteux.
2. Paiements et mandats :
   Les mandats de prélèvement SEPA et les ordres permanents reposent souvent sur des autorisations signées. Si la validité du mandat ou le moment du consentement sont contestés et que vous ne disposez pas d'une conservation fiable, les récupérations et les litiges se multiplient.
3. Marchés des capitaux et trésorerie :
   Les confirmations, les consentements et les informations relatives aux produits dérivés, aux opérations de pension, aux opérations de change et aux transactions obligataires génèrent des éléments de preuve de grande valeur. L'incapacité à prouver l'intégrité et l'origine expose l'entreprise à des litiges de clôture ou à des audits dans le cadre de MiFID II/EMIR.
4. Assurance et bancassurance :
   Les polices et avenants de grande valeur comportent des responsabilités à long terme. Il est essentiel de conserver la version exacte et les preuves de sa validation pour éviter les litiges sur les termes ou les sommes assurées.

Ce qui ne va pas lorsque les SEQ et QEA sont absent

1. La révocation peut intervenir demain :
   Si un client signale à la police le vol d'une carte d'identité électronique, l'autorité émettrice révoque immédiatement le certificat. Tout document signé peu de temps auparavant peut être contesté ultérieurement, à moins que vous ne puissiez prouver le statut du certificat au moment de la signature. Sans un QEA préservant les données de révocation et les horodatages, cette preuve est fragile.
2. Les PDF signés peuvent être manipulés tout en restant valides :
   L'université de la Ruhr à Bochum a documenté des "shadow attacks" qui masquent ou remplacent le contenu sans invalider l'état de la signature visible dans de nombreux visualiseurs. Voir l’article NDSS 2021 et le résumé de l’université. CERT-EU a également mis en garde les institutions de l'UE contre ces attaques (mémo 2020).
3. Conséquences dans le monde réel : factures modifiées et redirection des paiements :
   Les chambres allemandes ont rapporté des PDF manipulés qui modifiaient les numéros IBAN sur les factures, ce qui entraînait des paiements erronés.
   Cette tendance est directement liée à la fraude APP et aux litiges de paiement traités par les institutions financières.
4. Les preuves de validation manquent des années plus tard :
   Les CRL (Certificate Revocation Lists) et les répondeurs OCSP (Online Certificate Status Protocol) conservent rarement l'historique des statuts pour une durée indéterminée. Si vous n'avez pas archivé les données de validation et les horodatages de confiance lors de la signature ou de la récupération, vous risquez de ne pas pouvoir prouver qu'un certificat était valide au moment de son exécution, en particulier après son expiration ou sa révocation.
5. Dérive de format et d'interprétabilité :
   Tous les formats numériques deviennent obsolètes, même le format PDF/A. Si vous ne pouvez pas restituer de manière fiable le contenu original, les métadonnées et les preuves dans les systèmes futurs, une signature "valide" n'a que peu d'intérêt. Les tribunaux et les auditeurs attendent de vous que vous prouviez ce qui a été signé et par qui, et pas seulement qu'"un" objet de signature existe.
6. Lacunes dans la chaîne de contrôle entre les systèmes :
   Les migrations entre DMS, coffres-forts numériques ou fournisseurs de services en nuage peuvent rompre les traces de preuves si elles ne sont pas ancrées dans des archives immuables, basées sur des normes.

Un système d’archivage électronique qualifié s’attaque de front à ces six risques :

1. Il conserve les données de révocation et les horodatages, de sorte que même si un certificat est révoqué le lendemain, la validité au moment de la signature peut être démontrée.
2. Il détecte et enregistre toute manipulation du contenu en conservant les preuves séparément du document original, ce qui garantit que les PDF modifiés sont exposés.
3. Il stocke en toute sécurité les preuves de validation, telles que les CRL (Certificate Revocation Lists) et les réponses OCSP, afin que les vérifications ultérieures restent possibles.
4. Il applique la migration et la gestion des formats pour garantir la lisibilité à long terme, en évitant les dérives de format.
5. Il maintient une chaîne de contrôle immuable avec des journaux d'audit pendant les migrations et les changements de système.
6. Il émet un rapport d'intégrité et d'origine lors de la consultation, donnant des présomptions légales qui réduisent la charge de la preuve en cas de litige ou d'audit.

Conséquences pour les banques, les assureurs et les courtiers

• Litiges et contentieux :
  Sans les présomptions que confèrent le SEQ et la QEA, la charge de la preuve est plus lourde. Les rapports d'experts et les expertises font grimper les coûts, et les règlements augmentent lorsque les contreparties exploitent l'ambiguïté.
• Constatations et sanctions réglementaires :
  La directive MiFID II exige une bonne tenue des registres et la possibilité de les retrouver (voir les lignes directrices de l’AEMF sur la déclaration des transactions et l’enregistrement des ordres).
  DORA, le règlement (UE) 2022/2554, renforce les exigences en matière d’intégrité, de journalisation et de preuves dans le cadre de la gestion des risques liés aux TIC. Lignes directrices de l'ABE sur l'accueil à distance des clients mettent l'accent sur les instruments fiables et la preuve d'identité dans le contexte de la lutte contre le blanchiment et le financement du terrorisme (LBC/FT).
• Pertes opérationnelles et fraude :
  La BCE signale des volumes et des valeurs de fraude aux paiements considérables dans l'UE/EEE, illustrant les enjeux de la faiblesse des preuves et des contrôles de processus (Rapport 2024 sur la fraude aux paiements)
• Risque de réputation :
  L'incapacité à produire des documents irréprochables sape la confiance des superviseurs, des investisseurs et des clients.

Ce que la SEQ et le QEA changent

• SEQ (eIDAS Article 25):
  Équivalence automatique avec une signature manuscrite dans tous les États membres, ce qui réduit le risque de litige et la charge de la preuve.
• QEA (règlement (UE) 2024/1183):
  Service de confiance qualifié reconnu à l'échelle de l'UE pour l'archivage électronique. Il fournit une présomption légale d'intégrité et d'origine pour toute la période de conservation et exige un rapport automatisé signé/scellé lors de la récupération.

Ensemble, la SEQ et le QEA établissent des preuves solides à travers les frontières et le temps, répondant ainsi aux attentes des autorités de surveillance en matière de résilience et d'intégrité des documents.

Sources et lectures complémentaires

• Règlement eIDAS, règlement (UE) n° 910/2014, article 25 (adopté le 23 juillet 2014) :
  https://eur-lex.europa.eu/eli/reg/2014/910/oj/eng
• Règlement (UE) 2024/1183 modifiant eIDAS et introduisant QEA (JO 30 avril 2024 ; en vigueur le 20 mai 2024) :
  https://eur-lex.europa.eu/eli/reg/2024/1183/oj/eng
• DORA, Règlement (UE) 2022/2554 (14 décembre 2022) :
  https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng
• Lignes directrices de l’AEMF sur la déclaration des transactions et l'enregistrement des ordres dans le cadre de MiFID II : https://www.esma.europa.eu/document/guidelines-transaction-reporting-order-record-keeping-and-clock-synchronisation-under-mifid
• Lignes directrices de l'ABE sur l'accueil à distance des clients (2022) :
  https://www.eba.europa.eu/publications-and-media/press-releases/eba-publishes-guidelines-remote-customer-onboarding
• Université de la Ruhr à Bochum, Shadow Attacks on PDF Signatures (NDSS 2021) :
  https://www.ndss-symposium.org/wp-content/uploads/ndss2021_1B-4_24117_paper.pdf
• et résumé de presse :
  https://news.rub.de/english/press-releases/2020-07-22-it-security-content-signed-pdf-documents-can-be-changed-unnoticed
• Mémo du CERT-UE sur les attaques de signature de PDF (2020) :
  https://www.cert.europa.eu/static/MEMO/2020/TLP-WHITE-CERT-EU-TM-PDF-signing-attack-v1.0.pdf
• Cas signalés de factures PDF manipulées avec des IBAN modifiés (Allemagne, 2025) :
  https://www.hwk-suedthueringen.de/manipulation-von-pdf-rechnungen/
• Rapport 2024 de la BCE sur la fraude aux paiements dans l'UE/EEE : https://www.ecb.europa.eu/press/intro/publications/pdf/ecb.ebaecb202408.en.pdf