Signature électronique vs horodatage électronique : différences, usages et niveau de preuve

On confond souvent signature électronique et horodatage électronique… parce que les deux “sécurisent” un document. Mais ils ne servent pas le même objectif : l’un exprime un accord, l’autre atteste d’une date.

En pratique, cette différence change tout : un horodatage ne remplace pas une signature, et une signature n’est pas toujours suffisante pour prouver qu’un fichier existait avant un événement (litige, dépôt, échange, etc.).

Dans ce guide, on clarifie : définitions simples, fonctionnement, ce que ça prouve (et ne prouve pas), et comment combiner intelligemment les deux dans une stratégie de preuve numérique (hash → horodatage → archivage → vérification).

Phrase-snippet #1 : La signature électronique prouve un consentement ; l’horodatage électronique prouve une existence à une date.

Définition simple

Signature électronique (le “oui, j’accepte”)

Une signature électronique sert à lier un signataire à un document et à matérialiser son intention de signer (consentement). Dans le cadre eIDAS, il existe différents niveaux (simple, avancée, qualifiée) avec des exigences techniques et d’identification croissantes. (European Commission)

Horodatage électronique (le “ce fichier existait déjà à telle date”)

Un horodatage électronique sert à attester qu’une donnée électronique existait à un instant donné. En eIDAS, l’horodatage qualifié bénéficie d’effets juridiques spécifiques (présomptions sur la date/heure et l’intégrité des données horodatées). (cyber.gouv.fr)

Phrase-snippet #2 : L’horodatage ne dit pas “qui a signé”, il dit “ce contenu existait à ce moment”.

Comment ça marche

La brique commune : le hash (empreinte)

Que ce soit pour signer ou horodater, on s’appuie souvent sur un hash : une empreinte unique du fichier (ex. SHA-256).

• Si le fichier change (même d’un caractère), le hash change.
• Le hash permet donc de démontrer l’intégrité : “c’est bien le même fichier”.

Signature électronique : identité + intention + intégrité

Une solution de signature électronique met en place :

• un mécanisme d’identification (selon le niveau),
• un lien entre le signataire et la signature,
• une protection de l’intégrité du document signé (détection des modifications).

Les niveaux eIDAS et la notion de certificat / prestataire de confiance qualifié sont décrits dans les ressources officielles françaises (ANSSI) et européennes. (cyber.gouv.fr)

Horodatage électronique : hash + temps fiable + jeton d’horodatage

Un horodatage “sérieux” ne stocke pas forcément le fichier : il horodate son hash. Techniquement, on retrouve souvent des formats standards de “time-stamp token” (jeton d’horodatage) qui encapsulent :

• le hash horodaté,
• une date/heure issue d’une source de temps contrôlée,
• une signature du service d’horodatage (TSA/TSP).

Des spécifications ETSI décrivent ces exigences (politiques, sécurité, contenu des jetons). (ETSI)

1. 1
   Choisir l’objectif (consentement vs date)

   Si vous devez prouver un accord (contrat signé), partez sur une signature électronique. Si vous devez prouver l’antériorité d’un fichier (preuve, PI, versioning), partez sur un horodatage.
2. 2
   Générer et conserver l’empreinte (hash)

   Calculez le hash du fichier, conservez-le avec le nom, la version, et une chaîne de conservation minimale (qui l’a calculé, quand, comment).
3. 3
   Horodater et archiver les preuves

   Horodatez le hash (service d’horodatage ou ancrage type blockchain), puis archivez : fichier original, hash, preuve d’horodatage, contexte (email, version, auteur).
4. 4
   Prévoir la vérification (reproductible)

   Assurez-vous qu’un tiers peut re-hasher le fichier et vérifier l’horodatage/signet : c’est la base d’une preuve exploitable.

Ce que ça prouve / ne prouve pas

La signature électronique peut prouver

• l’intention de signer (consentement),
• un lien entre une identité (selon le niveau) et l’acte,
• l’intégrité du document signé (modification détectable). (European Commission)

La signature électronique ne prouve pas toujours

• que le document existait avant une date donnée (si vous n’avez pas d’horodatage fiable),
• que le signataire était bien “la bonne personne” avec le même niveau de certitude selon le niveau de signature choisi (simple vs avancée vs qualifiée). (cyber.gouv.fr)

L’horodatage électronique peut prouver

• que des données existaient à un instant donné,
• et, en version qualifiée eIDAS, il bénéficie d’une présomption d’exactitude de la date/heure et d’intégrité des données horodatées. (cyber.gouv.fr)

L’horodatage électronique ne prouve pas

• qui est l’auteur (sans identité forte associée),
• que le contenu est “vrai” (il prouve l’existence d’un contenu, pas sa véracité),
• qu’une partie a “accepté” (ce n’est pas un consentement).

Phrase-snippet #3 : Horodater, c’est figer une référence dans le temps ; signer, c’est engager une volonté.

Bonnes pratiques

Checklist simple (et très efficace) :

• [ ] Toujours hasher le fichier (SHA-256, par ex.) et conserver le hash avec le contexte (nom, version, auteur).
• [ ] Horodater le hash, pas forcément le fichier (confidentialité + preuve d’intégrité).
• [ ] Archiver : fichier original + hash + preuve d’horodatage + métadonnées (qui/quand/pourquoi).
• [ ] Garder une chaîne de conservation (qui a eu accès, où c’est stocké, quelles versions).
• [ ] Pour un contrat : utiliser une signature électronique adaptée au risque (simple/avancée/qualifiée).
• [ ] Pour l’antériorité (PI, création, preuve de travail) : privilégier un horodatage robuste (et idéalement vérifiable par un tiers).
• [ ] Tester la vérification : re-hasher → vérifier la preuve → documenter la procédure.

Où LegalStamp s’insère (workflow “preuve numérique”)

LegalStamp s’intègre très bien en complément d’une solution de signature :

1. vous calculez le hash du fichier,
2. vous appliquez un horodatage (ex. ancrage vérifiable),
3. vous archivez le tout,
4. vous pouvez vérifier plus tard, de façon reproductible, que le fichier n’a pas bougé depuis la date d’horodatage.

L’idée n’est pas de promettre une “preuve absolue”, mais de renforcer l’antériorité et l’intégrité avec une démarche propre et vérifiable.

FAQ

1) Est-ce que l’horodatage électronique remplace une signature ?

Non. L’horodatage atteste une date d’existence ; la signature atteste un consentement. (cyber.gouv.fr)

2) Est-ce qu’une signature électronique inclut un horodatage ?

Souvent oui, dans les solutions sérieuses, un horodatage est utilisé pour tracer le moment de la signature. Mais ce n’est pas la même finalité : c’est une brique de preuve parmi d’autres. (Signaturit)

3) C’est quoi “qualifié eIDAS” ?

“Qualifié” désigne un niveau encadré par eIDAS, avec des exigences fortes et des effets juridiques spécifiques (prestataire de confiance qualifié, contrôles, etc.). (cyber.gouv.fr)

4) Une signature qualifiée a-t-elle la même valeur qu’une signature manuscrite ?

Le cadre eIDAS prévoit un effet juridique équivalent pour la signature électronique qualifiée. (European Commission)

5) Que prouve exactement un horodatage qualifié eIDAS ?

Il bénéficie d’une présomption d’exactitude de la date/heure et d’intégrité des données horodatées (au sens eIDAS). (cyber.gouv.fr)

6) Dois-je horodater le fichier ou seulement son hash ?

Dans la majorité des cas, horodater le hash suffit (et évite d’exposer le contenu). Vous prouvez l’intégrité sans divulguer le document.

7) Horodatage “blockchain” vs horodatage eIDAS : c’est la même chose ?

Pas exactement. Un ancrage blockchain peut être très utile pour l’antériorité et la vérifiabilité, mais “qualifié eIDAS” renvoie à un cadre réglementaire et à des prestataires qualifiés. Selon vos enjeux, l’un peut compléter l’autre. (cyber.gouv.fr)

8) Dans quels cas je prends l’un, l’autre… ou les deux ?

• Contrat / accord : signature électronique (souvent + horodatage).
• Propriété intellectuelle / preuve de création / versioning : horodatage du hash (souvent + archivage).
• Dossiers sensibles : les deux, avec conservation et vérification.

9) Quelle est l’erreur la plus risquée ?

Penser qu’un horodatage “fait office de signature”. En litige, ce sont deux questions différentes : date d’existence vs consentement.

Conclusion

Si vous devez retenir une idée : signature = engager une volonté, horodatage = prouver une date d’existence. Les deux se combinent très bien, mais ne se remplacent pas.

Pour une stratégie de preuve numérique “propre” : hash → horodatage → archivage → vérification. C’est exactement le type de workflow que LegalStamp aide à industrialiser, de façon simple et vérifiable, sans surpromettre : vous renforcez l’intégrité et l’antériorité de vos fichiers, et vous restez capable d’expliquer la preuve.

Disclaimer (information générale) : Cet article est fourni à des fins informatives et ne constitue pas un avis juridique. Pour un cas concret (litige, conformité, choix du niveau eIDAS), rapprochez-vous d’un professionnel du droit ou d’un expert conformité.