SIGNATURE ELECTRONIQUE
/ Mars 2024 /
Aujourd'hui beaucoup de contrats se concluent sur internet, c'est ainsi qu'une loi de mars 2000 a précisé que les écrits électroniques ont une valeur probante, de même la validité de la signature électronique a été reconnue. En effet, il a fallu aménager des moyens de sécurisation, de preuve afin de pouvoir contracter librement et sereinement sur internet.
La question de la signature électronique est aujourd'hui encore plus actuelle qu'auparavant. En effet, le développement du commerce électronique est subordonné à l'existence de garanties sur la sécurité des transmissions de données et des paiements en ligne. Ainsi, la signature électronique constitue une réponse au problème de sécurité, car elle garantit l'authenticité et l'intégrité des données, ainsi que l'identité du signataire. Mais elle a elle même ses problèmes.
Ces choses sont normales car les échanges et contrats signés en ligne n'ont fait qu'augmenter et il y en a toujours un peu plus. Il a donc fallu encadrer, encore plus, rapidement et efficacement, cet aspect des contrats. Après une petite immobilité du cadre juridique de la signature électronique, cette dernière se verra appliquée de nouvelles règles souvent après une initiative européenne.
Besoin de l'aide d'un avocat pour un problème de contrat ?
Téléphonez - nous au : 01 43 37 75 63
ou contactez - nous en cliquant sur le lien
La signature électronique est la transposition dans le monde numérique de
votre signature manuscrite. Également appelée signature numérique, elle permet
de garantir l’intégrité d’un document électronique et authentifie de manière
certaine son auteur.
La "signature électronique sécurisée" consiste en " une signature électronique qui utilise outre un procédé fiable d'identification, qui est propre au signataire, qui est créée par des moyens que le signataire puisse garder sous son contrôle exclusif, et qui garantit avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable".
Telle est la définition donnée par le décret d'application de la loi portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique.
Publiée au Journal officiel le 13 mars 2000, la loi est venue modifier l’article 1316-1 ancien du Code civil (actuel 1366) elle confère à l’écrit sous forme électronique la même force probante que l’écrit sur support papier. Elle prévoit notamment que les écrits électroniques ont une valeur probante devant un tribunal, les contractants peuvent élaborer leurs propres règles de preuve privées.
L’article 1367 du Code civil prévoit les conditions de validité de la signature électronique. Cette dernière est reconnue au même titre qu’une signature manuscrite si « elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » et « la fiabilité du procédé est présumée, jusqu’à preuve contraire, lorsque la signature est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans les conditions fixées par décret en Conseil d’État ».
Ainsi, les lois françaises tout comme le règlement eiDAS imposent trois conditions pour qu’une signature électronique puisse être considérée comme valable :
- Elle doit permettre d’identifier le signataire.
- De garantir le lien du signataire avec l’acte, en d’autres termes que c’est bien pour cet acte que le signataire a donné son consentement.
- Enfin, elle doit garantir l’intégrité de l’acte, il faut pouvoir apporter la preuve que l’acte en question est bien exactement le même que lorsque la personne la signer, cette dernière doit avoir pour effet de figer l’acte.
Le Gouvernement avait préparé ce projet de décret qu'il a soumis à consultation publique à la fin de l'année 2000. Ce texte avait suscité beaucoup de commentaires, lesquels mettaient en exergue deux soucis majeurs à savoir celui d'assurer un certain niveau de sécurité et celui d'éviter un encadrement trop rigide.
Publié le 31 mars 2001 au Journal Officiel, le décret prévoit que " la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat qualifié ".
Un règlement (UE) n° 910/2014 a aussi été adopté par les colégislateurs le 23 juillet 2014. Il concerne l’identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur, il s’agit du règlement eIDAS. L’objectif de ce texte est de sécuriser les interactions électroniques entre les entreprises, les citoyens et les pouvoirs publics ainsi que de créer un socle juridique commun entre ces différents acteurs. Pour augmenter la confiance dans les transactions électroniques au sein du marché intérieur.
L’adoption de ce règlement a permis d’identifier des choix du niveau de
signature, tel que défini par l’eIDAS, en fonction de l'usage, et de l'enjeu du
document à signer. Par conséquence, en cas de litige, plus votre signature aura
un niveau de fiabilité fort, plus il sera difficile de contester la validité de
l’acte signé et les engagements qu’il contient. Selon les cas on choisira le
niveau de sécurité adapté.
Avant ce règlement, la directive de 1999 prévoyait cela. Néanmoins, elle ne prévoyait pas de cadre transfrontalier complet pour des transactions électroniques qui soit sécurisé et simple d’utilisation. Le règlement eIDAS est donc venu créer un véritable cadre juridique européen et exigeant pour la signature électronique.
En France c’est le décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique qui a permis l’application de ce règlement européen en droit français. Il dispose dans son article 1 que « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifier. Est une signature électronique qualifiée une signature électronique avancée conforme à l’article 26 du règlement susvisé ».
La signature électronique a pour principale avantage des gains temps et
d’argent. En effet, c’est un outil au service de la productivité, tant pour
l’expéditeur que pour le destinataire. Elle contribue à faciliter l’envoi et
l’échange des documents, qui peuvent se faire, par un ordinateur ou un
smartphone. Mais aussi, elle accélère la procédure de signature, effectivement,
les documents peuvent être signés en quelques secondes. Ils peuvent être aussi
parafés simultanément par les parties, plutôt que successivement comme c’est le
cas pour le papier.
La signature électronique permet également de suivre en temps réel l’avancement
des dossiers. Cela permet également de faire des économies sur l'achat de
papier, d'encre et d'impression des documents à signer ainsi que sur les frais
d'envoi ou, le cas échéant de déplacement.
Un prestataire de services de confiance qualifiés et agréé doit être contacté en cas d’instauration d’un procédé de signature électronique dans un processus de dématérialisation. La liste de ces prestataires de confiance agréés est établie par l’ANSSI (Agence Nationale de la Sécurité des systèmes d’Information), nommé la « Trust list » dans le règlement. Le règlement eiDAS précise que chaque état membre doit disposer d’un organe de contrôle pouvant assurer la conformité des services de confiance qualifiés. En France il s’agit donc l’ANSSI.
I. Un dispositif sécurisé de création de signature électronique
Un dispositif de création de signature électronique (matériel ou logiciel) sera réputé sécuriser si un certain nombre de garanties sont prévues en ce qui concerne les données de création.
Elles doivent être établies une seule fois, leur confidentialité doit être assurée, elles ne peuvent pas être déduites, elles ne peuvent pas être falsifiées, elles sont protégées par le signataire contre toute utilisation par des tiers. De plus, le dispositif ne doit pas altérer le contenu de l’acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.
Selon les règles fixées par le règlement européen eiDAS il y a trois niveaux de signature électronique. Le degré de fiabilité de chaque signature est déterminé en fonction de son niveau.
En premier lieu il y a la signature électronique simple. Il s’agit de la procédure la plus utilisée. Elle permet l’identification du signataire et assure l’intégrité du document grâce à un fichier de preuves établi au moment de la signature. Bien qu’il s’agisse du procédé le plus utilisé, sa valeur probante est faible, car les moyens de vérifications mis en place ne sont pas très importants. Par conséquent, il s’agit du degré de fiabilité le plus faible.
Au deuxième niveau vient la signature électronique avancée qui est plus sécurisée que la première méthode. L’identité du signataire est soumise à un contrôle beaucoup plus strict. Il faut préciser aussi que l’identité du signataire est liée de manière univoque à cette signature grâce à un certificat digital.
Un fichier de preuves est également associé à la signature pour pouvoir être utilisé comme élément probatoire en cas de besoins. Ces deux types de signatures sont les plus courants et ils sont adaptés à la plupart des documents présentant un faible risque de litiges : contrat de travail, contrats commerciaux, validation de décision interne.
Concernant la signature faible et avancée, c’est à celui qui se prévaut d’une signature électronique de ce type de rapporter la preuve de sa fiabilité.
Le troisième niveau de signature se nomme la signature électronique qualifiée. C’est une signature électronique avancée pour laquelle un dispositif qualifié est mis en place. Elle requiert au moins une vérification visuelle de l’identité du signataire pour être valide. Elle comporte l’utilisation d’un système de signature certifié SSCD.
Cette signature s’avère nécessaire en cas d’actions collectives ou si d’importantes sommes d’argent sont engagées dans le cadre d’une transaction commerciale. Un certificat d’identification sera obligatoire pour les signatures avancées et qualifiées.
Néanmoins, seule la signature qualifiée bénéficie d’une réelle équivalence à la signature manuscrite, elle bénéficie donc d’un renversement de la charge de la preuve. Également, en dessous de la signature qualifiée il n’y a pas d’interopérabilité, c’est-à-dire une reconnaissance mutuelle entre les états.
II. Un dispositif de vérification de signature électronique
Un dispositif de vérification de signature électronique (c'est-à-dire les éléments, tels que les clés publiques, utilisés pour vérifier la signature électronique) doit être évalué et peut également être certifié conforme. Ce dispositif devra " permettre de garantir l'exactitude de la signature électronique, de déterminer avec certitude le contenu des données signées, de vérifier la durée et la validité du certificat électronique utilisé, l'identité du signataire etc. ". La vérification de la signature repose sur des certificats électroniques qualifiés.
La plupart des logiciels de messagerie modernes prennent en charge les
signatures électroniques et les certificats numériques. Ils facilitent la
signature des messages sortants et la validation des messages entrants signés
électroniquement. Les signatures numériques servent aussi beaucoup à établir la
preuve de l’authenticité, de l’intégrité des données et de la non-répudiation
des communications et des transactions effectuées par Internet.
Pour garantir l'identité du signataire, les certificats électroniques qualifiés devront d'une part comprendre un certain nombre de mentions obligatoires comme notamment " l'identité du prestataire, le nom du signataire, la période de validité du certificat, les conditions d'utilisation du certificat etc. " et d'autre part être délivrés par un prestataire de service de certification (PSC), lequel doit offrir un certain nombre de services (annuaire, révocation, horodatage des certificats etc.) et s'engager sur un certain nombre de garanties (délivrance, fiabilité et prévention contre la falsification des certificats, utilisation de systèmes, produits, procédures sécurisés, conservation des données, personnel qualifié etc.).
Un décret n° 2002-535 du 18 avril 2002 (JO du 19 avril 2002) a créé une procédure de certification de la sécurité des produits et des systèmes des technologies de l’information.
Elle est effectuée selon les standards internationalement reconnus et s’appuie sur des centres d’évaluation agréés, qui effectuent des contrôles et des tests et rendent compte des résultats obtenus. Au vu de ces résultats, le certificat est délivré par le Premier ministre.
Un arrêté est paru le 31 mai 2002 désignant le Centre français d'accréditation (Cofrac) pour accréditer les sociétés qui évalueront, pour deux ans, les prestataires de certification électronique. Une liste à jour des organismes accrédités sera à la disposition du public. L'évaluation effectuée par ces organismes sera payée par le prestataire de services.
En conclusion, on pourra souligner que ces textes ne sont pas forcément limpides et laissent planer quelques zones d'incertitudes.
Par exemple, qu'entend-on par la notion de "vérificateur" ou n'aurait-on pas plutôt par définir cette notion dès l'introduction, les limitations de responsabilité et de garantie de ces prestataires seront-t-elle possibles en ce qui concerne les certificats, comment se concilie cette réglementation avec celle sur la protection des données personnelles etc. Tant de questions que la pratique mettra rapidement en exergue.
Ce cadre juridique de la signature électronique sera néanmoins réformé et modifié dans les années 2010.
En effet, l'ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations a remplacé l'ancien article 1316-4 du code civil par un nouvel article 1367 du code civil. La signature électronique aura donc un nouveau statut. Celui-ci ne sera pas radicalement différent du précédent. Cependant quelques petites précisions seront apportées.
Pour connaître la fiabilité d’une signature, il convient de vérifier le certificat. Ainsi, pour s’assurer que l’identité présente dans le certificat est de confiance, il faudra s’assurer de la validité de l’autorité de confiance qui a émis le certificat, que la racine du certificat est connue, mais également vérifier que l’usage fait du certificat est approprié.
Ainsi, comme dit précédemment, c’est l’ANSSI qui accorde le statut qualifié aux différents prestataires de confiance. Un processus de qualification du prestataire a été mis en place par le règlement eIDAS. Le prestataire de confiance doit passer un audit réalisé par un organisme d’évaluation de la conformité. Le résultat de cet audit sera confié à l’ANSSI. Un rapport d’audit devra par la suite être fourni à l’ANSSI tous les deux ans pour attester de la conformité du prestataire.
Une proposition de révision du règlement eIDAS en date du 3 juin 2021 a pour objectif notamment de venir renforcer la fiabilité des certificats, le cadre juridique va donc être amené à évoluer prochainement.
Pour lire une version plus adaptée aux mobiles de cet article sur la signature électronique, cliquez
SOURCES
ARTICLES QUI POURRAIENT VOUS INTERESSER :
