Quand vous cherchez un prestataire pour signer votre synthèse INPI, on vous parle de "signature qualifiée eIDAS", de "prestataire de service de confiance", de "PSCo qualifié". Tous ces termes renvoient à un seul registre officiel : l'EU Trust List, ou liste de confiance européenne. C'est la seule source juridique pour vérifier qu'un service est légitime.

Voici comment elle fonctionne, comment la consulter, et comment l'utiliser pour choisir un prestataire de signature qualifiée que l'INPI ne pourra pas refuser.

Qu'est-ce que l'EU Trust List ?

L'EU Trust List (officiellement "List of Trusted Lists" ou LOTL) est le registre européen des prestataires de service de confiance qualifiés (PSCo / TSP qualifiés). Elle est maintenue par la Commission européenne et agrège les listes nationales de chaque État membre.

En France, l'autorité qui qualifie les prestataires est l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Elle audite, valide, et inscrit les prestataires français sur la liste française, qui est ensuite intégrée à l'EU Trust List globale.

Tout prestataire inscrit sur cette liste est juridiquement reconnu pour produire :

Pourquoi la EU Trust List est centrale pour l'INPI

Le règlement eIDAS 910/2014 impose qu'une signature qualifiée soit produite par un PSCo inscrit sur l'EU Trust List, au moyen d'un certificat qualifié et d'un dispositif de création de signature qualifié (QSCD).

Quand vous signez votre synthèse INPI, le Guichet Unique vérifie automatiquement :

  1. Que le certificat utilisé est inscrit sur la liste de confiance
  2. Que le PSCo émetteur est actif au moment de la signature
  3. Que la signature est techniquement valide (intégrité, non-révocation, horodatage)

Si l'un de ces trois critères ne passe pas, vous obtenez une synthèse INPI refusée. C'est aussi simple que ça.

À retenir Un prestataire de signature qualifiée doit OBLIGATOIREMENT être inscrit sur l'EU Trust List. Si vous ne trouvez pas le prestataire dans la liste, ne signez pas votre synthèse INPI avec, elle sera rejetée.

Comment consulter l'EU Trust List ?

La Commission européenne publie deux outils complémentaires :

Le LOTL Browser officiel

Accessible via le site de la Commission européenne, le LOTL Browser permet de naviguer dans la liste de confiance par pays, type de service, statut. Vous pouvez y rechercher un prestataire spécifique et voir ses statuts en temps réel.

Le validateur DSS

Le DSS Demonstration WebApp est un outil gratuit de la Commission qui permet de vérifier un PDF signé. Vous uploadez le document, il vous dit si la signature est qualifiée, par quel prestataire, et si elle est valide.

C'est l'outil que beaucoup d'experts utilisent pour contrôler une synthèse INPI avant dépôt.

Comment vérifier qu'un prestataire est qualifié ?

Voici la procédure en 4 étapes :

  1. Identifiez le PSCo réel : un service grand public (comme le nôtre) repose souvent sur un PSCo "moteur". Demandez-lui le nom du PSCo qualifié qui produit la signature.
  2. Cherchez ce PSCo dans le LOTL Browser : il doit apparaître avec le statut "granted" (autorisé)
  3. Vérifiez le service : le PSCo peut être qualifié pour les certificats QES mais pas pour les cachets — vérifiez que la prestation "Qualified electronic signature creation device" est bien listée
  4. Vérifiez le statut à la date de votre signature : un PSCo peut être suspendu temporairement

Les principaux prestataires qualifiés en France

Quelques noms régulièrement retrouvés sur la liste française :

Notre service repose sur Universign, un PSCo français qualifié inscrit sur la liste française et donc sur l'EU Trust List globale. C'est ce qui garantit que la signature produite est juridiquement équivalente à celle produite via FranceConnect+ (qui repose sur Docaposte).

Une signature qualifiée par un prestataire EU Trust List

Notre certificat est issu d'un PSCo qualifié. Acceptation INPI garantie.

Signer ma synthèse →

Reconnaissance mutuelle entre pays européens

L'un des principes fondamentaux d'eIDAS est la reconnaissance mutuelle. Un prestataire qualifié dans un pays de l'UE est qualifié dans tous les autres. Concrètement :

C'est pour cette raison que les versions standard américaines de DocuSign ou Adobe Sign produisent des signatures avancées, mais pas qualifiées au sens eIDAS.

Différence entre PSCo qualifié et PSCo "non qualifié"

Un prestataire de service de confiance peut être :

L'audit pour devenir PSCo qualifié est très exigeant : sécurité physique des datacenters, sécurité logique, processus d'identification du signataire, gestion des certificats, plan de continuité. Cela explique pourquoi la liste française ne compte qu'une trentaine de PSCo qualifiés.

FAQ : EU Trust List et signature qualifiée

L'EU Trust List est-elle gratuite à consulter ?

Oui, totalement. C'est une obligation européenne. Le LOTL Browser et le validateur DSS sont accessibles sans inscription.

Comment vérifier qu'un PDF signé est bien qualifié ?

Utilisez le validateur DSS de la Commission européenne : vous uploadez le PDF, il vous donne un rapport détaillé. Adobe Acrobat Reader fait aussi cette vérification (clic sur "Signatures" → "Détails du certificat").

Un PSCo peut-il perdre sa qualification ?

Oui. L'ANSSI peut suspendre ou révoquer un PSCo s'il ne respecte plus les exigences. Les signatures produites avant la révocation restent valables, celles produites après ne sont plus qualifiées.

FranceConnect+ est-il sur l'EU Trust List ?

FranceConnect+ n'est pas un PSCo en soi : c'est un service d'authentification qui s'appuie sur l'Identité Numérique La Poste (Docaposte), elle-même PSCo qualifié. La signature finale est produite par Docaposte, qui est sur la liste.

Conclusion

L'EU Trust List est le seul registre officiel qui permet de vérifier qu'un prestataire est habilité à produire des signatures qualifiées eIDAS. Pour vos formalités INPI (modification de statuts, comptes annuels, cessation, marque), c'est le critère discriminant. Tout service qui ne s'appuie pas sur un PSCo de la liste produira une signature refusée.