Édité et opéré par Solvegia, Paris, France
Cette page est destinée aux DSI, juristes et acheteurs publics. Chaque affirmation est vérifiable, chaque certification est référencée.
Le règlement eIDAS (n° 910/2014) établit un cadre juridique pour les signatures électroniques dans les 27 États membres de l'Union Européenne. Il définit trois niveaux : simple (SeS), avancée (AeS) et qualifiée (QeS). Sigillio couvre ces trois niveaux. La SeS inclut une option OTP SMS pour renforcer la preuve d'identité, sans coût supplémentaire.
Les signatures qualifiées (QeS) utilisent un certificat qualifié individuel émis par Adacom, QTSP inscrit sur la Trust List européenne. L'intégration technique passe par eID Easy, agrégateur estonien qui fournit une API unifiée vers les QTSP. L'AeS repose sur une vérification d'identité (KYC), un OTP SMS et un élément cryptographique propre au signataire.
Les horodatages qualifiés sont émis par InfoCert, QTSP inscrit sur la Trust List italienne, conformément au protocole RFC 3161.
La protection des données est intégrée dès la conception de chaque fonctionnalité, pas ajoutée après coup.
Registre maintenu et mis à jour, conforme à l'article 30 du RGPD, disponible sur demande.
Chaque utilisateur peut demander l'intégralité des données le concernant. Délai de réponse : 72 heures.
Modification des données personnelles sur simple demande écrite, sans frais.
Export des données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV).
Suppression des données personnelles avec certificat de destruction. Délai maximal : 30 jours.
Toutes les communications sont chiffrées en TLS 1.3. Les versions antérieures de TLS sont désactivées.
Documents, métadonnées et données personnelles chiffrés en AES-256 sur les volumes de stockage.
Contrôle d'accès par rôle, cloisonnement logique des données, jetons d'authentification éphémères. Aucun utilisateur ne peut accéder aux données d'un autre.
Les documents signés sont archivés sur un stockage S3 Object Lock en mode WORM (Write Once Read Many). Une fois écrit, un document ne peut être ni modifié, ni supprimé avant l'expiration de la durée de rétention.
L'infrastructure repose sur Scaleway Object Storage, multi-zones France (Paris). Les sauvegardes sont quotidiennes, avec une rétention de 30 jours et une capacité de restauration point-in-time.
Le re-timestamping automatique (PAdES-B-LTA) renouvelle le cachet cryptographique tous les 24 mois, garantissant que la valeur probatoire des documents ne dépend pas de la durée de vie des certificats qui les protègent.
Format de signature PDF incluant horodatage et données de validation pour vérification long terme.
Protocole d'horodatage qualifié émis par une autorité de confiance (TSA).
Norme française pour l'archivage électronique fidèle et sécurisé des documents.
Standard européen pour les signatures électroniques avancées sur documents CMS.
Méthodes de vérification d'identité pour les services de confiance eIDAS.
Règlement européen sur l'identification et les services de confiance.
Liste publique, DPA disponibles sur demande, juridictions affichées. Aucun sous-traitant extra-européen pour les traitements critiques.
| Sous-traitant | Rôle | Juridiction | Certification |
|---|---|---|---|
| Scaleway | Hébergement, stockage S3 | France | ISO 27001, SOC 2 |
| Adacom | Certificats qualifiés (QeS) | Grèce | QTSP eIDAS (Trust List GR) |
| France Identité | Vérification d'identité (KYC AeS) | France | Service gouvernemental |
| eID Easy | Agrégateur technique (API vers QTSP) | Estonie | ISO 27001 |
| InfoCert | Horodatage qualifié TSA | Italie | QTSP eIDAS (Trust List IT) |
| OpenAPI.com | Vérification d'identité IDV | Italie | ETSI EN 119 461 |
| OVH Telecom | Envoi SMS OTP | France | Opérateur télécoms FR |
Édité et opéré par Solvegia, Paris, France