Qu’est‑ce que l’Archivage à Long Terme (ALT) ?

PAdES (PDF Advanced Electronic Signatures) est un ensemble de restrictions et d’extensions aux PDF et à ISO 32000-1, les rendant adaptés à la Signature électronique avancée. PAdES admet que des documents signés numériquement peuvent être utilisés ou archivés pendant de nombreuses années – même des dizaines d’années. À l’avenir, en dépit des progrès technologiques et d’autres avancées, il doit être possible à tout moment de valider un document pour confirmer que la signature était bien valable à l’époque où il a été signé – un concept connu comme Archivage à Long Terme (ALT, LTV en anglais).

Quand ALT est activé, l’état de l’heure de signature des certificats est capturé et stocké à l’intérieur du document PDF. C’est indiqué dans les détails de la signature, que ALT soit activé ou non. Ce certificat de vérification reste dans le fichier lui‑même, pour que sa validité puisse être déterminée même à une date ultérieure, peu importe si le certificat a expiré, a été révoqué, ou si l’autorité de délivrance n’existe plus. Parce que l’enregistrement est stocké à l’intérieur du document signé, il est aussi authentifié par la signature des documents, ce qui réduit les risques d’erreur ou de fraude.

ALT contribue à réduire les dépendances aux systèmes externes et réduit tout risque d’ambiguïté future autour de certificats expirés ou révoqués.  

DocuSign utilise‑t‑il ALT ?

Les signatures électroniques DocuSign et les signatures numériques produites par DocuSign sont désormais activées ALT. Certaines industries ont besoin de vérifier la validité d’une signature au moment de son exécution en raison de normes telles que PAdES (PDF Advanced Electronic Signatures). DocuSign scelle numériquement tous les documents PDF qui sont téléchargés à partir de la plate-forme DocuSign avec un certificat délivré par Entrust. Quand Acrobat Reader ou tout autre lecteur prenant en charge la validation de signatures numériques ouvre nos documents PDF, il valide le certificat utilisé pour le sceau numérique. Comme nous avons activé ALT, l’heure de signature est capturée dans le document PDF et le lecteur PDF validera la signature en utilisant toutes les preuves qui sont contenues directement dans le fichier PDF. Comme l’heure de signature est capturée dans le document PDF, Acrobat Reader est capable de fonder sa vérification sur cette heure. Si l’heure de vérification est postérieure à l’expiration du certificat Entrust, elle peut être validée. Si vous avez téléchargé votre document avant la montée en puissance de ALT, un avertissement de couleur jaune peut s’afficher. Malgré tout, cela ne signifie pas que le document sous‑jacent et la signature électronique qui y est apposée ne sont pas valides. Le fait de télécharger à nouveau le document apposera un nouveau sceau numérique DocuSign.  

Comment m’assurer que mes documents DocuSign sont valides ?

Lorsque vous ouvrez un PDF DocuSign qui n’est pas activé ALT, Acrobat Reader essayera de valider le certificat joint à la signature. Si le certificat a expiré, Entrust ne pourra pas répondre que la signature est valide.  Acrobat Reader affichera alors aux utilisateurs un panneau jaune d’avertissement indiquant « Au moins une signature a des problèmes ».

L’alerte signifie que Acrobat Reader n’est pas capable de déterminer si le certificat de signature était valide au moment de la signature. DocuSign maintient cette validité tant que les documents sont conservés dans DocuSign et n’est pas tributaire de la capacité d’Acrobat à vérifier le certificat de signature. Lorsque vous téléchargez des documents PDF sur plateforme DocuSign, nous signons numériquement les documents PDF avec notre certificat délivré par Entrust pour créer des sceaux numériques inviolables.  Si quelqu’un essaie de changer quoi que ce soit dans un document PDF numériquement scellé, les lecteurs PDF (Acrobat Reader, Nitro PDF, etc.) réalisent que le sceau numérique a été rompu et affiche pour l’utilisateur un message d’avertissement rouge distinct.

Solution

Si le certificat appliqué au moment de la signature du document a déjà expiré et que le certificat n’est pas ALT (principalement pour les téléchargements PDF plus anciens), le seul moyen de retirer l’avertissement de couleur jaune Acrobat est de télécharger à nouveau le document à partir de DocuSign. Éventuellement, une fois téléchargé et enregistré, les étapes de l’article précédemment mentionné peuvent être prises pour rendre le document activé ALT.  Veuillez noter que les documents qui ont été nettoyés ne peuvent pas être téléchargés à nouveau.