Horodatage vs signature électronique : différences concrètes (et quand les combiner)

Horodatage et signature électronique apparaissent souvent ensemble dans les mêmes parcours (signature de contrat, validation RH, conformité interne), ce qui explique la confusion. Mais ils ne répondent pas à la même question.

• La signature sert surtout à prouver qui s'est engagé, et sur quel contenu. (European Commission)
• L'horodatage sert surtout à prouver quand un contenu existait, avec un lien d'intégrité. (EUR-Lex)

Cet article couvre les différences concrètes, des scénarios réels, et quand le combo signature + horodatage a du sens.

Définition simple

La signature électronique prouve l'intention d'une personne d'approuver un document. (European Commission)

L'horodatage prouve qu'un fichier (ou des données) existait à une date/heure donnée. (EUR-Lex)

Signature électronique (en une ligne)

Une signature électronique est une indication électronique de l'intention d'une personne d'approuver le contenu d'un document. (European Commission)

Selon le niveau (simple, avancé, qualifié), le niveau de garantie varie. eIDAS prévoit notamment qu'une signature électronique qualifiée a un effet juridique équivalent à une signature manuscrite. (EUR-Lex)

Horodatage (en une ligne)

L'horodatage électronique lie des données à un instant pour établir une preuve d'existence à ce moment-là. (EUR-Lex)

eIDAS prévoit qu'un horodatage électronique qualifié bénéficie d'une présomption sur l'exactitude de la date/heure et l'intégrité des données liées.

Qui prouve quoi ? (comparatif concret)

| Besoin | Signature électronique | Horodatage | | --- | --- | --- | | Prouver l'intention d'une personne ("j'accepte") | Oui, c'est son rôle principal (European Commission) | Non | | Prouver l'existence d'un contenu à une date | Parfois (si horodatage/journaux associés) | Oui (EUR-Lex) | | Détecter une modification après coup (intégrité) | Oui, selon le niveau et le format (EUR-Lex) | Oui (date/heure liées aux données) | | Bénéficier d'une présomption eIDAS sur date/heure | Non, ce n'est pas son objet | Oui, si horodatage qualifié | | Effet équivalent manuscrit | Oui, pour la signature qualifiée (QES) (EUR-Lex) | Non |

Comment ça marche

Point commun : hash et intégrité

Dans les deux cas, on s'appuie souvent sur une empreinte cryptographique (hash) :

• un hash identifie une version de fichier,
• si le fichier change, le hash change,
• cela permet de vérifier l'intégrité.

Exemple (SHA-256) :

shasum -a 256 mon-contrat.pdf

Signature : prouver "qui" + "sur quoi"

La signature électronique est liée à l'intention du signataire. (European Commission)

Au niveau avancé, eIDAS pose des exigences sur le lien au signataire, l'identification, le contrôle et la détection des modifications. Au niveau qualifié, l'effet juridique équivalent au manuscrit est explicitement prévu. (EUR-Lex)

Horodatage : prouver "quand" + intégrité à l'instant T

eIDAS définit l'horodatage électronique comme des données liant d'autres données à un instant donné. (EUR-Lex)

Sur le plan technique, on trouve deux grandes familles :

• les approches PKI via autorités d'horodatage (par exemple RFC 3161), (IETF)
• les approches d'ancrage blockchain (ex. OpenTimestamps sur Bitcoin) avec vérification indépendante. (OpenTimestamps)

Le combo recommandé : signature + horodatage

1. 1
   Figer le document

   Générez l'empreinte du fichier et conservez la version finale exacte.
2. 2
   Signer (si engagement requis)

   Faites signer électroniquement les parties concernées pour capter l'intention et l'identité selon le niveau attendu.
3. 3
   Horodater

   Ajoutez un horodatage ; pour un besoin fort en sécurité juridique sur date/heure, privilégiez un horodatage qualifié.
4. 4
   Archiver les preuves

   Conservez le document, l'audit trail, les certificats et les jetons d'horodatage, plus la procédure de vérification.
5. 5
   Vérifier à la demande

   Soyez capable de recalculer le hash et de vérifier signature + horodatage pour démontrer intégrité et chronologie.

Scénarios concrets : horodatage, signature, ou les deux ?

1) Devis ou proposition commerciale

• Objectif : prouver la version envoyée et sa date d'existence.
• Choix : horodatage souvent suffisant ; signature si vous visez un accord formel.

2) Contrat de prestation, NDA, CGU B2B

• Objectif : prouver l'accord des parties et la version.
• Choix : signature + horodatage (le combo le plus solide). (Signaturit)

3) RH : attestation, règlement, avenant

• Objectif : preuve d'acceptation et traçabilité temporelle.
• Choix : signature, puis horodatage pour renforcer la chronologie.

4) PI : logo, design, texte avant partage

• Objectif : prouver l'antériorité avant diffusion.
• Choix : horodatage + conservation des versions. (ANSSI)

5) Litige sur une modification après coup

• Objectif : démontrer intégrité + date/heure d'existence.
• Choix : horodatage (qualifié si l'enjeu le justifie), plus signature si c'est l'engagement qui est discuté.

Ce que ça prouve, ce que ça ne prouve pas

Ce que l'horodatage prouve bien

• L'existence d'un contenu (ou de son empreinte) à une date/heure donnée. (EUR-Lex)
• L'intégrité du lien date/heure ↔ données (et, en qualifié, une présomption eIDAS).

Ce que l'horodatage ne prouve pas seul

• L'identité d'un auteur/signataire.
• Le consentement contractuel.

Ce que la signature électronique prouve bien

• L'intention d'engagement sur un document.
• Selon le niveau : meilleure identification et garanties d'intégrité.
• En qualifié : effet juridique équivalent au manuscrit au sens eIDAS. (EUR-Lex)

Ce que la signature ne prouve pas toujours seule

• Une chronologie solide sans horodatage explicite : la date exacte, l'ordre des événements et la preuve d'antériorité restent plus facilement contestables sans couche temporelle dédiée.

Bonnes pratiques (checklist)

• [ ] Conserver la version finale du document (PDF figé si possible) et les versions majeures.
• [ ] Générer/archiver le hash de chaque version clé.
• [ ] Pour la signature : conserver le dossier de preuve (audit trail, identité, étapes, méthodes).
• [ ] Pour l'horodatage : conserver le jeton/la preuve et la méthode de vérification.
• [ ] En enjeu élevé : privilégier un prestataire qualifié vérifiable via Trusted Lists (QTSP). (European Commission)
• [ ] Tester régulièrement votre capacité de vérification (re-hash, vérification signature, vérification horodatage).

FAQ

1) L'horodatage remplace-t-il une signature électronique ?

Non. L'horodatage répond à "quand" ; la signature répond à "qui accepte quoi". (EUR-Lex)

2) Un horodatage qualifié a-t-il un poids particulier ?

Oui. eIDAS prévoit une présomption sur la date/heure et l'intégrité des données liées.

3) Une signature électronique est-elle toujours équivalente au manuscrit ?

En eIDAS, c'est explicitement prévu pour la signature électronique qualifiée. (EUR-Lex)

4) Pourquoi voit-on souvent signature et horodatage ensemble ?

Parce qu'une signature seule n'ancre pas une date précise. L'horodatage comble ce vide, ce qui rend le dossier de preuve plus difficile à contester. (Signaturit)

5) L'horodatage passe-t-il forcément par une TSA ?

Non. Il existe des approches TSA/PKI (ex. RFC 3161) et des approches d'ancrage blockchain comme OpenTimestamps. (IETF) (OpenTimestamps)

6) Un horodatage blockchain est-il automatiquement qualifié eIDAS ?

Non. La qualification eIDAS relève d'un cadre de services de confiance avec exigences et statut qualifié spécifiques.

7) Que faut-il pour prouver un design avant présentation client ?

Archivez le fichier, son hash et le reçu d'horodatage. Recommencez à chaque version majeure. C'est comme ça qu'on construit une chronologie qu'on peut vérifier. (ANSSI)

8) Quelles pièces conserver concrètement ?

Le document, son hash, la preuve d'horodatage, et si signature: le dossier de preuve complet (audit trail, validation, certificats). (EUR-Lex)

Conclusion

Horodatage et signature ne sont pas concurrents. La signature couvre qui s'est engagé et sur quoi. L'horodatage couvre quand ça existait et si c'est intact. Pour tout ce qui a des enjeux réels, vous voulez les deux.

Le workflow : hash → signature (si besoin) → horodatage → archivage → vérification.

Disclaimer : cet article est fourni à titre pédagogique et informatif. Il ne constitue pas un avis juridique. Le niveau de signature/horodatage adapté dépend du contexte, du risque et des exigences applicables.