‹ Retour aux articles

Comment créer un cachet électronique conforme ?

Temps de lecture : 9 minutes

Date de modification : 15 janvier 2026

Votre entreprise émet des centaines de factures, bulletins de paie ou bons de commande chaque mois. Ces documents engagent votre responsabilité. Mais comment prouver qu’ils émanent bien de votre organisation et qu’ils n’ont pas été altérés ? Le cachet électronique répond à cette problématique. Encore faut-il qu’il soit conforme aux exigences du règlement eIDAS pour bénéficier d’une véritable valeur juridique dans toute l’Union européenne.

Sommaire

Qu’est-ce qu’un cachet électronique ?
Quelles exigences pour un cachet électronique conforme eIDAS ?
Comment créer un cachet électronique conforme : les étapes
Cachet électronique et certificat eIDAS : le socle de la conformité
Bonnes pratiques pour une conformité durable

A retenir

Le cachet électronique garantit l’origine et l’intégrité des documents émis par une personne morale
Seul le niveau qualifié bénéficie d’une présomption légale de conformité dans toute l’UE
Un certificat délivré par un prestataire qualifié (QTSP) est indispensable
L’intégration peut être manuelle ou automatisée via un cachet serveur
Une veille réglementaire régulière est nécessaire pour assurer une conformité durable face aux évolutions d’eIDAS 2

Qu’est-ce qu’un cachet électronique ?

Le règlement européen eIDAS (article 3.25) définit le cachet électronique comme un ensemble de données sous forme électronique, jointes ou associées logiquement à d’autres données électroniques, pour garantir l’origine et l’intégrité de ces dernières. En termes concrets, il s’agit de l’équivalent numérique du tampon officiel qu’une entreprise appose sur ses documents papier.

La distinction avec la signature électronique est fondamentale :

Une signature électronique émane d’une personne physique et manifeste son consentement au contenu d’un document.
Le cachet électronique, lui, est apposé par une personne morale (l’entreprise elle-même) et atteste que le document provient bien de cette entité sans avoir été modifié.

Cette distinction emporte des conséquences pratiques importantes. Là où la signature requiert l’intervention d’un individu identifié, le cachet peut être apposé de manière automatisée sur des flux documentaires entiers : factures générées par un ERP, bulletins de paie issus d’un logiciel RH, attestations produites en masse.

Le règlement eIDAS distingue trois niveaux de cachet :

Le cachet simple,
le cachet avancé,
le cachet qualifié.

Seul le cachet électronique qualifié bénéficie d’une présomption d’intégrité et d’exactitude de l’origine des données. Cette présomption, prévue à l’article 35 du règlement, confère au cachet qualifié une force probante reconnue dans l’ensemble des États membres.

Quelles exigences pour un cachet électronique conforme eIDAS ?

Pour qu’un cachet électronique soit juridiquement opposable, il ne suffit pas d’apposer un logo ou une mention sur un PDF. L’article 36 du règlement eIDAS fixe des exigences précises pour le niveau avancé, que le niveau qualifié renforce encore.

Le cachet doit d’abord être lié de façon univoque à son créateur, c’est-à-dire à la personne morale qui l’appose. Cette liaison repose sur un certificat électronique qui identifie l’organisation de manière certaine : dénomination sociale, numéro d’immatriculation, État membre d’établissement.

L’intégrité des données constitue la deuxième exigence. Le cachet doit permettre de détecter toute modification ultérieure du document.

Techniquement, cette garantie repose sur une empreinte cryptographique (hash) calculée au moment de l’apposition du cachet. Si un seul caractère du document est modifié après coup, l’empreinte ne correspondra plus et la falsification sera détectable.

Le créateur du cachet doit conserver un contrôle exclusif sur les données de création du cachet. Ces données, notamment la clé cryptographique privée, ne peuvent être partagées ni compromises.

Pour atteindre le niveau qualifié, le cachet doit en outre reposer sur un certificat qualifié de cachet électronique délivré par un prestataire de services de confiance qualifié (PSCo) inscrit sur une liste officielle de l’Union européenne.

Comment créer un cachet électronique conforme : les étapes

La mise en place d’un cachet électronique conforme au règlement eIDAS suppose une démarche structurée en plusieurs étapes.

Identifier les documents concernés

Tous les documents n’ont pas vocation à être cachetés. Il convient de cibler ceux qui engagent l’entreprise vis-à-vis de tiers et pour lesquels la preuve de l’origine et de l’intégrité présente un enjeu, par exemple :

factures,
bulletins de paie,
attestations,
certificats,
rapports officiels,
bons de commande ou de livraison.

Cette cartographie préalable permet de dimensionner correctement le projet.

Choisir un prestataire de services de confiance qualifié

C’est l’étape déterminante. Le prestataire (PSCo) doit figurer sur la liste de confiance de l’Union européenne, consultable sur le site de la Commission. Chaque État membre publie également sa propre liste nationale. En France, c’est l’ANSSI qui assure ce rôle de supervision.

Le choix du prestataire conditionne la validité juridique du cachet : un certificat émis par un prestataire non qualifié ne bénéficiera pas de la présomption d’intégrité prévue par eIDAS.

Obtenir le certificat d’identification

Le prestataire procède à une vérification rigoureuse de l’identité de la personne morale :

contrôle des documents d’immatriculation,
vérification des pouvoirs du représentant légal ou du mandataire qui effectue la demande.

Cette procédure peut prendre plusieurs jours selon les prestataires. Une fois le certificat délivré, il est associé à une paire de clés cryptographiques dont la clé privée reste sous le contrôle exclusif de l’organisation.

Intégrer le cachet dans les flux documentaires

Deux modalités sont possibles :

L’apposition manuelle convient aux faibles volumes : un collaborateur habilité déclenche le cachetage document par document via une interface web ou un logiciel dédié.
L’apposition automatisée, via un cachet serveur, répond aux besoins des organisations qui traitent des volumes importants. Le cachet est alors apposé automatiquement par une application connectée au système d’information (ERP, SIRH, GED) via une API.

Des solutions comme Evidency permettent cette intégration dans les workflows existants sans bouleverser l’architecture technique.

Cachet électronique et certificat eIDAS : le socle de la conformité

Pour comprendre ce socle de conformité, il est essentiel de revenir sur l’élément central du dispositif : le certificat eIDAS qualifié, qui constitue la base juridique et technique du cachet électronique.

Qu’est-ce qu’un certificat eIDAS qualifié ?

Un certificat qualifié de cachet électronique (QSealC) est un certificat numérique délivré par un prestataire de services de confiance qualifié, conformément aux exigences de l’annexe III du règlement eIDAS. Ce certificat atteste de l’identité de la personne morale et permet de créer des cachets électroniques qualifiés.

Le certificat contient des informations normalisées :

le nom du créateur du cachet (la personne morale),
un identifiant unique,
les données de validation du cachet,
ainsi que la signature électronique qualifiée du prestataire qui l’a délivré.

Sa durée de validité est généralement comprise entre un et trois ans, après quoi il doit être renouvelé.

Le cachet serveur eIDAS correspond à un usage où le certificat, hébergé sur un serveur sécurisé, permet l’apposition automatisée et massive de cachets électroniques, sans action humaine, offrant ainsi scalabilité, fiabilité opérationnelle et intégration fluide aux processus métiers.

Pourquoi ce certificat garantit la conformité légale ?

Le règlement eIDAS, dans sa version révisée de 2024 (eIDAS 2), établit un principe de reconnaissance mutuelle entre États membres. Un cachet électronique qualifié créé dans un pays de l’Union européenne doit être reconnu comme tel dans tous les autres États membres. Cette interopérabilité repose précisément sur le certificat qualifié.

L’article 35 du règlement confère au cachet qualifié une présomption d’intégrité des données et d’exactitude de l’origine. En cas de litige, c’est à la partie qui conteste l’authenticité du document d’apporter la preuve d’une éventuelle falsification, et non à l’entreprise qui a apposé le cachet de prouver que le document est authentique. Ce renversement de la charge de la preuve constitue un avantage procédural considérable.

À l’inverse, un cachet reposant sur un certificat non qualifié ne bénéficie d’aucune présomption légale. Sa valeur probante sera appréciée librement par le juge, ce qui expose l’entreprise à une incertitude juridique en cas de contentieux.

Bonnes pratiques pour une conformité durable

La conformité ne s’arrête pas à l’obtention du certificat. Le règlement eIDAS 2, entré en vigueur en mai 2024, renforce les exigences applicables aux services de confiance, avec des actes d’exécution publiés progressivement jusqu’en 2026. Une veille réglementaire régulière permet d’anticiper ces évolutions.

Le certificat a une durée de validité limitée. Il convient de planifier son renouvellement plusieurs semaines avant l’expiration pour éviter toute interruption du service. Certains prestataires proposent des alertes automatiques à l’approche de l’échéance.

Un audit périodique du dispositif, idéalement annuel, permet de vérifier que les procédures internes restent conformes : habilitations des personnes autorisées à déclencher le cachetage, sécurité du stockage des clés, traçabilité des opérations. Le choix d’un partenaire fiable, disposant d’un accompagnement technique et juridique, facilite cette démarche dans la durée.

Conclusion

Le cachet électronique qualifié constitue aujourd’hui le standard pour authentifier les documents émis par une personne morale dans l’Union européenne. Sa mise en place suppose de choisir un prestataire qualifié eIDAS, d’obtenir un certificat conforme et d’intégrer le cachetage dans les processus documentaires de l’entreprise.

Au-delà de la conformité réglementaire, le cachet électronique qualifié est un levier majeur de sécurisation et de prévention de la fraude. Il garantit l’intégrité des documents, permet de détecter toute altération a posteriori et rend les tentatives de falsification immédiatement identifiables. En cas de litige portant sur l’authenticité d’une facture, d’un contrat ou d’une attestation, il offre une sécurité juridique élevée que les solutions non qualifiées ne peuvent assurer. Les prestataires de confiance comme Evidency accompagnent les organisations à chaque étape, de l’obtention du certificat à l’intégration technique, afin de sécuriser durablement leurs flux documentaires et de renforcer la confiance dans leurs échanges numériques.

Parlez à nos experts et sécurisez vos documents avec un cachet eIDAS

Clause de non-responsabilité

Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.

L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Evidency. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu’un lien vers ce site Web.

A propos de l’auteur

Stéphane-Antoine Thérène

Stéphane-Antoine est Directeur Commercial chez Evidency. Fort d’un parcours alliant recherche IT et marketing, il met au service de nos clients une double expertise juridique et commerciale.

Article précédent

← Quel est le rôle d’un HSM (Module de Sécurité Matérielle) dans la sécurisation des données en entreprise ?

Article suivant

Passer du papier au numérique en toute confiance. L'exemple de la construction routière et du cadre AQP →

Recommandés
pour vous

Passer du papier au numérique en toute confiance. L’exemple de la construction routière et du cadre AQP

La construction routière est, en principe, relativement simple. L'asphalte chaud est produit en usine, transporté par camion et posé sur la route dans un délai très court, généralement moins de trente minutes, avant qu'il ne refroidisse et ne devienne inutilisable....

Preuve numérique recevable : quelles garanties exiger en cas de litige ?

Votre entreprise conserve des centaines de documents électroniques : contrats signés en ligne, échanges d'e-mails avec vos partenaires, factures dématérialisées. Mais le jour où un litige survient, ces éléments auront-ils une valeur devant le juge ? La réponse dépend...

Quel est le rôle du NTP (Network Time Protocol) dans la sécurité des données électroniques ?

La synchronisation de l’heure constitue un fondement technique discret mais déterminant du fonctionnement des systèmes numériques. Le protocole NTP (Network Time Protocol) a précisément pour objet d’assurer l’alignement temporel des machines connectées à un réseau, en...