ZertES vs eIDAS : Ce que les entreprises suisses doivent savoir en 2026

Si votre entreprise opère en Suisse ou au sein de l'UE, vous rencontrerez inévitablement deux noms dans toute discussion sur les signatures numériques légalement contraignantes : ZertES et eIDAS. Ces deux cadres réglementaires définissent les conditions dans lesquelles une signature numérique a la même force juridique qu'une signature manuscrite. Cependant, ils s'appliquent dans des juridictions différentes, sont délivrés par des autorités différentes et ont des implications distinctes en matière de recevabilité devant les tribunaux et de reconnaissance transfrontalière.

Pour les entreprises suisses ayant des clients dans l'UE — ou les entreprises de l'UE opérant en Suisse — comprendre quelle norme s'applique n'est pas un simple détail de conformité. C'est une question de risque juridique. Ce guide démystifie la réglementation pour vous fournir une réponse pratique.

Qu'est-ce que ZertES ?

ZertES est la loi fédérale suisse sur les services de certification dans le domaine de la signature électronique : le Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur, codifié sur fedlex.admin.ch (RS 943.03).

Sa disposition centrale — l'article 2 — définit ce qui constitue une Signature Électronique Qualifiée (SEQ) en Suisse et énonce les conditions dans lesquelles cette signature a la même valeur juridique qu'une signature manuscrite en vertu du droit fédéral suisse.

Swisscom Trust Services est un prestataire de services de certification accrédité ZertES (ZDA). Une signature numérique qualifiée ou un horodatage qualifié émis via l'infrastructure de Swisscom est juridiquement équivalent à une signature olographe pour tout objet relevant du droit fédéral suisse — y compris les contrats, les enregistrements de propriété intellectuelle et les documents financiers réglementés.

Trois caractéristiques distinguent ZertES :

Juridiction exclusivement suisse. ZertES s'applique exclusivement au droit suisse et aux procédures devant les tribunaux suisses, les autorités régulatrices suisses et les instances administratives suisses. Une signature accréditée ZertES est la norme appropriée pour toute transaction régie par le droit fédéral ou cantonal suisse.

Accréditation OFCOM. Seuls les prestataires accrédités par l'Office fédéral de la communication (OFCOM) peuvent émettre des signatures qualifiées ZertES. Cette accréditation n'est pas autodéclarée — elle nécessite un audit indépendant et une conformité continue à des normes techniques et organisationnelles strictes.

Alignement sur la souveraineté des données. Les workflows ZertES opèrent généralement avec des données stockées en Suisse, s'alignant naturellement avec la nLPD (nouvelle Loi fédérale sur la protection des données, en vigueur depuis septembre 2023) et ses implications en matière de résidence des données.

Swiss Trust Layer émet des sceaux via Swisscom Trust Services, conférant à chaque document scellé une valeur juridique conforme à ZertES en vertu du droit suisse.

Qu'est-ce que eIDAS ?

eIDAS — Règlement (UE) n° 910/2014 — est le cadre européen pour l'identification électronique, l'authentification et les services de confiance. Il s'applique dans les 27 États membres de l'UE et crée des règles uniformes régissant la reconnaissance juridique des signatures numériques.

Le règlement établit trois niveaux de signature : Simple (SES), Avancée (AES) et Qualifiée (QES). Seul le niveau Qualifié — émis par un Prestataire de Services de Confiance Qualifié (PSCO) figurant sur la Liste de Confiance de l'UE — est juridiquement équivalent à une signature manuscrite dans tous les États membres.

Pour les entreprises, la disposition la plus importante est l'article 41 d'eIDAS, qui traite spécifiquement des horodatages électroniques qualifiés :

Un horodatage électronique qualifié bénéficie d'une présomption légale que la date et l'heure qu'il indique sont exactes. Il bénéficie également d'une présomption légale que l'intégrité des données auxquelles l'horodatage est associé est préservée.

Cette présomption est réfutable — mais c'est au contestataire de la renverser. Le signataire n'a pas à prouver que l'horodatage est correct. La partie adverse doit prouver qu'il est erroné. En pratique, un horodatage qualifié émis par un PSCO figurant sur la Liste de Confiance de l'UE est extrêmement difficile à contester avec succès dans des procédures civiles ou commerciales.

Swisscom Trust Services opère en tant que PSCO au titre d'eIDAS. Swisscom est inscrit sur la Liste de Confiance de l'UE. Cela signifie que les sceaux émis via Swisscom bénéficient de la présomption légale de l'UE dans les 27 États membres — quelle que soit l'origine du document.

La question de la juridiction : quelle norme s'applique ?

La réponse dépend du droit applicable à la transaction et du for où un litige pourrait être porté.

Choisir ZertES lorsque :

• Vos documents sont régis par le droit suisse
• Vos contreparties sont des entités suisses
• Les litiges seraient portés devant des tribunaux ou des instances d'arbitrage suisses
• Vous déposez des dossiers auprès d'autorités régulatrices suisses (FINMA, IPI, METAS, autorités cantonales)
• Vos contrats de travail, baux ou contrats fournisseurs relèvent du droit suisse

Choisir eIDAS lorsque :

• Vos contreparties sont établies dans des États membres de l'UE
• Des documents pourraient être présentés devant des tribunaux ou des instances administratives de l'UE
• Vous opérez sur des marchés réglementés de l'UE (services financiers, santé, droit)
• Une reconnaissance transfrontalière dans les 27 pays de l'UE est nécessaire

Choisir les deux lorsque :

• Votre activité couvre à la fois la Suisse et l'UE — ce qui est le cas de la plupart des PME suisses et de toute multinationale ayant des activités en Suisse
• La documentation de propriété intellectuelle susceptible d'être utilisée dans des procédures judiciaires suisses ou européennes
• Contrats avec des contreparties suisses et de l'UE

La bonne nouvelle : vous n'avez pas à choisir sur le plan opérationnel. Swisscom Trust Services détient simultanément l'accréditation ZertES et le statut PSCO eIDAS. Chaque sceau émis via Swiss Trust Layer satisfait aux deux normes avec un seul document, un seul workflow et un seul certificat.

Scénarios pratiques

Scénario 1 — Startup suisse signant un accord de licence avec une société SaaS allemande. Le contrat est régi par le droit suisse (ZertES applicable), mais sera conservé et potentiellement présenté dans les archives juridiques de la société allemande (reconnaissance eIDAS utile). Un sceau ancré à Swisscom couvre les deux.

Scénario 2 — Cabinet d'architecture à Zurich soumettant un concours à un client français. Les dessins de conception doivent être scellés avant soumission pour établir l'antériorité et protéger le design. Le sceau doit être reconnu par les tribunaux français et suisses. Un sceau Swiss Trust Layer répond aux deux exigences.

Scénario 3 — Prestataire de santé à Bâle scellant des résumés de sortie d'hospitalisation pour des dossiers patients transfrontaliers. La nLPD suisse et le RGPD européen s'appliquent tous deux. L'infrastructure Swisscom en Suisse satisfait la nLPD ; le statut PSCO eIDAS répond aux exigences de reconnaissance européenne.

Comment démarrer

Swiss Trust Layer gère la complexité de la conformité sous-jacente de manière transparente :

1. Déposez tout document sur swisstrustlayer.com. Tous les formats de fichiers sont pris en charge.
2. Un hash cryptographique SHA-256 est calculé. Le contenu de votre fichier n'est jamais transmis ni stocké.
3. Le hash est soumis à Swisscom Trust Services, qui émet un horodatage qualifié satisfaisant à la fois ZertES et eIDAS.
4. Vous recevez un certificat conforme PAdES : hash, horodatage, chaîne d'émission Swisscom, votre identité.
5. Tout le monde peut vérifier le sceau sur swisstrustlayer.com/validate — sans connexion, sans contacter Swiss Trust Layer.

Le premier document scellé prend moins de deux minutes. Seal Credits Lite commence à CHF 5 par an.

Un document. Deux juridictions. Une couverture juridique complète. Démarrez sur swisstrustlayer.com.