La signature électronique et l'exigence de fiabilité : vers un encadrement européen et national unifié

La signature électronique et l'exigence de fiabilité : vers un encadrement européen et national unifié

Le règlement européen du 23 juillet 2014 (UE) n° 910/2014 (autrement appelé l'eIDAS)

 

De nos jours, les évolutions technologiques permettent un partage plus rapide et efficace de la donnée. Pourtant, il ne faut pas perdre de vue que la sécurité des informations est tout aussi importante. A ce titre, sont mis au service de leur sécurité et fiabilité ces mêmes progrès techniques.
Le contexte sanitaire suite à la crise du covid 19, a permis de mettre en lumière de nouvelles pratiques telle que la signature électronique. Cette dernière par définition, doit remplir deux fonctions qui sont : l’identification du signataire et son adhésion à l’acte. Pour ce faire la signature électronique doit-être « fiable », c’est-à-dire être intègre.

Ainsi, l’ambition affichée par la réglementation est de mettre sur un pied d’égalité la signature électronique et la signature manuscrite.
Pour justifier de cette démarche, il est essentiel de mettre en avant les avantages de la signature électronique. En effet, au-delà des aspects purement pratiques (rapidité des échanges, économie, simplicité…), la signature électronique dispose juridiquement d’une présomption de fiabilité contrairement au support papier. Par ailleurs, grâce aux mécanismes de la blockchain, ces systèmes dès lors qu’ils sont certifiés, apportent une sécurité considérable aux documents concernés.

 

 

Le règlement européen du 23 juillet 2014 (UE) n° 910/2014 (autrement appelé l'eIDAS), distingue trois niveaux de définition de la signature électronique :✓ La signature dite simple : qui n’est pas assez complexe pour permettre d’identifier de manière univoque le signataire ;
✓ La signature dite avancée : qui repose sur quatre conditions, l’identification unique et formelle de la signature, le contrôle exclusif du signataire et l’impossible modification de la signature ;
✓ La signature dite qualifiée : à laquelle ajoute une condition exigeant un certificat dit « qualifié » ainsi qu’une clé cryptographique.

Ce même règlement a d’ailleurs précisé dans son article 25.3 qu’une « signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membre ». Ce règlement cherche donc à établir un cadre unifié ainsi que des procédures communes. Par ailleurs, le point 2 de ce même article pose le principe de non-discrimination entre les signatures manuscrites et électroniques. L’objectif étant de créer une interopérabilité entre tous ces moyens.
L’encadrement juridique de la signature électronique permet d’établir la validité de tout acte juridique, qu’il s’agisse d’un contrat, d’un acte notarié. L’article 1367 Code civil dispose que la signature « lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire […] ».

 

Par ailleurs, le décret du 30 mars 2001 (n°2001-272) et abrogé par celui du 28 septembre 2017, posait trois conditions pour considérer la signature électronique comme fiable. Ainsi, il fallait qu’elle soit propre au signataire ; qu’il en garde le contrôle exclusif et que toute modification ultérieure de l'acte soit détectable (définition de la signature avancée).

Cependant, le décret en Conseil d'État du 28 septembre 2017 va plus loin dans son approche. En effet, l’article 1er pose trois conditions.
Il s’agit :
✓ D’une signature électronique avancée
✓ D’un dispositif de création de signature électronique qualifié
✓ D’un certificat qualifié

 

 

De plus, un horodatage qualifié est un gage d’intégrité et prouve ainsi que le fichier n’a pas été modifié depuis la date indiquée sur le document signé. En outre, c’est seulement dans ces conditions que le document peut bénéficier d’une présomption d’exactitude.
D’un point de vue purement technique, cette sécurité repose généralement sur la blockchain et plus particulièrement sur la cryptographie à clés asymétriques. En effet, le signataire est détendeur d’une clé publique hachée et partagée par les parties au contrat ainsi que d’une clé privée. Cette dernière permet de garantir l’identité du signataire, celle-ci étant considérée comme sa « carte d’identité ».

 

 

Conformément à l’article 288-1 du Code de procédure civile « lorsque la signature électronique bénéficie d’une présomption de fiabilité, il appartient au juge de dire si les éléments dont il dispose justifient le renversement de cette présomption ».
En ce sens, le 26 juin 2019, la Cour de cassation a jugé « qu'une signature préimprimée, scannée par un procédé informatique, n'est pas une signature électronique et ne garantit pas l'identité du signataire ». Elle souligne également « […] que la signature imprimée figurant sur la déclaration de créance litigieuse avait été certifiée par l'acte notarié [mais] permettait seulement au notaire de certifier l'authenticité de la signature imprimée sur les documents qui lui seraient présentés, et ne certifiait pas en lui-même l'authenticité de la signature imprimée sur la déclaration de créance litigieuse ». Principe réaffirmé par la Cour de cassation le 12 mai 2022, qui a jugé que l’apposition d’une image numérique d’une signature ne permet pas d’identifier clairement le signataire.
La Cour d’appel Riom a également précisé le 06 avril 2022 que « l'identification de l'auteur de la signature par l'usage d'une boîte aux lettres électronique apparaît insuffisante pour authentifier la signature du client ».

Enfin, la Cour d’appel de Douai a le 25 mars 2021, considéré qu’un document décrivant la procédure de conclusion d’un contrat ne permet pas de prouver l’utilisation d’un « certificat électronique qualifié ».

Les principaux acteurs concernés par ces réglementations sont les concepteurs de logiciels de signature électronique. En effet, ils se doivent d’être vigilant afin d'offrir un système conforme aux exigences légales. De même, la personne morale (notaire, établissement public, banque assurance…) qui propose un service de signature électronique doit s’assurer de la fiabilité dudit service.
Ainsi, pour les accompagner au mieux, des systèmes de certification sont mis en place. Ils fonctionnent sur la base d’une collaboration entre la direction centrale de la sécurité des systèmes d’informations (DCSSI) et un centre d’évaluation choisit par le prestataire qui souhaite établir sa certification. En ce sens, la Cour d’appel de Chambéry a pu juger le 10 février 2022 que la société qui demandait le paiement des sommes dues au titre du contrat n’apportait pas la preuve qu’elle disposait de la qualification pour la certification des signatures électroniques.

 

 

A rapprocher :

 

Un article rédigé par Fabrice Degroote et Lorena Loehr, du département Technologies de l’information | Données & Transformation numérique | Innovation | Propriété intellectuelle