Un cadre de confiance
pour anticiper & décrypter les grands enjeux de la cybersécurité

Signature électronique : un reboot pour enfin trouver son public ?

Email this to someoneShare on LinkedInTweet about this on Twitter

Par François COUPEZ, Avocat à la Cour, Associé du cabinet ATIPIC Avocat, Titulaire du certificat de spécialisation en droit des nouvelles technologies.

Le Parlement européen et le Conseil ont adopté le 23 juillet 2014 le règlement dit « identification et service de confiance » ou encore « règlement eIDAS »[1]. Non seulement ce règlement se substituera le 1er juillet 2016 à la directive 1999/93/CE dite « signature électronique »[2] qui sera abrogée le jour même, mais il remplacera surtout directement les règles existantes des pays membres sur les sujets qu’il traite[3].

Son objectif : accomplir ce que la directive « signature électronique » n’a pas réussi, en renforçant la sécurité juridique en matière de transaction électronique, afin d’accroître la confiance de ses multiples utilisateurs et parvenir à un marché numérique unique via l’interopérabilité[4].

Le règlement ne s’est pas seulement contenté de creuser le sujet original traité par la directive de 1999. Il aborde également, dans un chapitre II ad hoc, une problématique annexe : celle de l’identification électronique permettant d’accéder à un service en ligne fourni par un organisme du secteur public dans un État membre (et notamment les conditions de reconnaissance mutuelle transnationale du schéma d’identification). C’est une des raisons qui explique l’embonpoint certain du texte, qui a tout de même triplé de volume par rapport à la directive de 1999 : 28 considérants et 15 articles dans la directive, contre 77 considérants et 52 articles dans le règlement de 2014 !

Dans le cadre de ce focus, nous ne traiterons pas du volet « identification électronique dans le secteur public », pour nous concentrer sur les services de confiance et en particulier la signature électronique. Par ailleurs, devant l’ampleur du sujet, il nous a semblé plus utile de nous concentrer sur certains aspects du texte, plutôt que de nous livrer à une simple énumération du détail de chacune des nouvelles règles.

Les développements qui suivent seront donc l’occasion, d’un état des lieux – et des conséquences – des principales modifications prévues l’année prochaine. Pour en rendre la lecture plus digeste, nous avons décidé de vous proposer l’ensemble sous la forme de questions-réponses sur les thématiques du texte essentielles à notre sens.

Pourquoi un règlement ?

Ce règlement est d’abord le constat d’un échec cinglant. Il reprend en effet dans ses considérants les arguments présents dans ceux de la directive… de 1999 (!) et qui avaient conduit à l’adoption de ce texte : fragmentation du marché du fait de l’absence d’interopérabilité, manque de confiance et cadre juridique insuffisamment développé (cf. l’étude d’impact COM (2012) 238 final).

Or, plus de quinze ans après, malgré la directive et les évolutions qu’elle a entraînées, ces difficultés restent présentes. Ce texte a donc été conçu pour prévoir des « règles 2.0 » et réussir là où la directive avait échoué.

A cette fin, et parmi divers scénarios étudiés, le vecteur choisi est un règlement s’appliquant uniformément dans tous les pays de l’Union européenne, sans recours à une quelconque interprétation ou transposition. Le but avoué est de garantir une meilleure harmonisation, en évitant les divergences de transposition et la fragmentation entraînée par un instrument telle qu’une directive.

Ainsi, à lire le contenu du règlement et l’étude d’impact précitée, nous serions presque tentés de parler de « reboot » de la réglementation originelle, à la manière des séries et films américains à fort potentiel n’ayant pas trouvé leur public lors de la première saison ou dans une première version.

Pourquoi le règlement mentionne-t-il abondamment le terme « certificat électronique » ? Quel lien avec la signature manuscrite numérisée ?

Même si le règlement, comme la directive, est censé être « technologiquement neutre », il a été rédigé, en réalité et tout comme son ancêtre, pour tendre à l’utilisation de la seule technologie répandue et fiable de signature électronique pour le moment, la signature de type cryptographique.

Certes, la définition utilisée de la signature électronique est très large (« des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ») et peut englober nombre de pratiques diverses[5]. Au sens de cette définition, on peut même y admettre la pratique de la « signature manuscrite scannée » ou « numérisée », c’est-à-dire l’image représentant la signature manuscrite du signataire ultérieurement insérée (copiée/collée) sur un document. Mais que l’on ne s’y trompe pas, ce procédé n’offre, en soi, aucune sécurité technique et donc aucune fiabilité tant sur l’identité du signataire que sur l’intégrité du document signé. C’est la raison pour laquelle, lorsque l’on recherche un certain niveau de sécurisation, la pratique nous oriente nécessairement vers la signature de type cryptographique qui utilise un cryptosystème asymétrique, dite aussi « à clé publique ». Celle-ci répond d’ailleurs parfaitement – ce n’est pas un hasard – à la définition communautaire de la signature avancée (cf. ci-dessous).

Pour un descriptif pratique – du point de vue utilisateur – du fonctionnement de la signature de type cryptographique que nous espérons le plus clair et accessible possible, nous préférerons vous inviter à cliquer sur ce lien qui renvoie directement à une page spécifiquement dédiée de notre site internet. Nous supposerons, pour la suite de ce focus, que vous avez pu en prendre connaissance ou que vous êtes déjà suffisamment familiarisé avec les principaux aspects techniques de la signature électronique de type cryptographique.

Ainsi, comme le savez, l’usage du certificat électronique étant omniprésent dans ce type de signature, il est naturel que cette notion apparaisse partout dans le règlement.

Que faut-il entendre par « services de confiance » ? Et qui sont ces prestataires qui les fournissent ?

Concernant la signature électronique, l’Union européenne ne conduit pas à la révolution des principes, mais développe sur les bases savamment élaborées, précise les définitions et surtout réglemente l’ensemble de l’écosystème, désigné de façon globale comme « les services de confiance » (chapitre III du règlement). Une analyse différentielle directive / règlement nous montre ainsi une évolution très intéressante de l’appréhension de la signature électronique par le droit européen : en 1999, la réglementation se concentrait sur la façon de réaliser une signature électronique et la reconnaissance de celle-ci. Or, en 2014, l’idée n’est plus de se concentrer sur cette étape en particulier de la vie de la signature électronique, mais d’appréhender l’ensemble du processus et de s’intéresser à chaque étape, à chaque acteur intervenant dans le cycle de vie complet du document électronique signé (cf. considérant 5 sur le « cadre transfrontalier et intersectoriel complet »).

La signature électronique se conçoit en effet comme un ensemble où doivent être appréhendées par le droit non seulement l’authentification du signataire et l’opération de signature en elle-même, mais également la datation de l’acte, sa conservation dans le temps (archivage électronique) ou encore le fait que les bienfaits de la signature électronique puissent être recherchés par une personne morale.

Ainsi, le service de confiance est défini à l’article 3.16 comme « un service électronique normalement fourni contre rémunération qui consiste :

  1. en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services; ou
  2. en la création, en la vérification et en la validation de certificats pour l’authentification de site internet; ou
  3. en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services ».

Cette définition centrale du règlement renvoie aux concepts majeurs abordés dans le reste du document : la signature électronique bien entendu, mais également le cachet électronique, l’horodatage électronique, les services d’envoi recommandé électronique, l’authentification de site internet ou encore les documents électroniques.

Ces services sont assurés par des « prestataires de services de confiance » ou PSCo (art. 3.19). L’approche transversale est ici la même et la comparaison avec la directive de 1999 le laisse facilement apparaître : seuls les « prestataires de service de certification » (PSC) qui étaient visés dans la directive et, si ceux-ci pouvaient fournir « d’autres services liés aux signatures électroniques », ils n’étaient considérés d’abord et avant tout que comme les opérateurs délivrant les certificats permettant de signer électroniquement (cf. ci-dessus).

Le règlement eIDAS prévoit ainsi que les PSCo opèrent sous le contrôle d’un organe de contrôle (l’ANSSI en France). Sous réserve d’exigences strictes prévues au règlement dont le respect est attesté par un « organisme d’évaluation de la conformité »[6] (selon des modalités à préciser dans des actes d’exécution de la Commission), le PSCo peut être déclaré comme étant « qualifié ». Les PSCo sont responsables des dommages qu’ils causent intentionnellement ou par négligence et ne peuvent être tenus responsables des dommages découlant de l’utilisation des services au-delà des limites qu’ils ont communiquées à l’utilisateur et aux tiers. Ce caractère intentionnel ou la négligence doit être prouvé par la victime… sauf pour les PSCo qualifiés, la qualification du prestataire emportant un renversement de la charte de la preuve et en déposant le fardeau sur leurs épaules (régime comparable à celui des actuels PSC dans la loi pour la confiance dans l’économie numérique du 21 juin 2004 issue de la transposition de la directive de 1999).

Si le PSCo même non qualifié est soumis à un contrôle a posteriori de l’ANSSI (art. 17 b) « lorsqu’il est informé que ces prestataires de services de confiance non qualifiés ou les services de confiance qu’ils fournissent ne satisferaient pas aux exigences fixées dans le présent règlement »), ce contrôle devient a priori et s’accroît dans le cas des PSCo qualifiés, en plus des exigences qu’ils doivent respecter (cf. article 24) : audits réguliers tous les deux ans et à tout moment au besoin, retrait possible de leur qualification en cas de non conformité aux règles posées, etc. (cf. article 20 pour plus de détails).

Surtout, le règlement eIDAS impose aux PSCo, qu’ils soient qualifiés ou non, des exigences particulières et nouvelles en matière de gestion des risques de sécurité. Il fallait s’y attendre, c’est le lot commun de quasiment tous les nouveaux textes européens. Ainsi, les PSCo doivent garantir que le niveau de sécurité mis en œuvre est proportionné au degré de risque encouru. Qu’ils soient qualifiés ou non, les PSCo sont surtout astreints à une notification des incidents de sécurité sous 24 heures auprès de l’ANSSI voire de l’ENISA de toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni et envers la CNIL si l’atteinte a porté sur les données à caractère personnel qui y sont conservées. De plus, cette notification est à réaliser dans les meilleurs délais auprès de « la personne physique ou morale » à qui le service de confiance est fourni si « l’atteinte à la sécurité ou la perte d’intégrité est susceptible de [lui] porter préjudice ».

Enfin, là aussi, la Commission peut prendre des actes d’exécution précisant les modalités de la notification ou encore les mesures de sécurisation à mettre en œuvre.

Que cachent les cachets ?

Vraie innovation du règlement, la reconnaissance du cachet électronique est une avancée à saluer… pour la fin des débats juridiques incessants qu’il avait pu y avoir depuis la directive sur la signature électronique des personnes morales. En effet, la directive de 1999 ne prévoyait que la possibilité d’un « signataire » personne physique agissant « soit pour son propre compte, soit pour celui d’une entité ou personne physique ou morale qu’elle représente ». Or le droit européen a utilisé les fonctionnalités techniques offertes par les procédés de signature de type cryptographique pour permettre aux entreprises de sécuriser la transmission de certains documents électroniques via un certificat serveur… en faisant référence à la directive de 1999. La question a pu être posée par certains en France de la valeur juridique que pouvaient avoir de tels documents signés, via l’irruption de la notion de « consentement ». Or nul consentement n’était exigé par exemple dans la directive 2006/112/CE sur la TVA concernant la question de la transmission des factures par voie électronique, qui pourtant prévoyait l’utilisation de solutions techniques décrites dans la directive 1999/93/CE.

Afin de clarifier cette position et d’éviter l’ambiguïté due à l’utilisation d’une même expression technique pour désigner plusieurs réalités, le règlement reprend la notion de « signature technique » d’une personne morale, tout en utilisant un vocable spécifique, le « cachet ». Le règlement lui donne une reconnaissance juridique adéquate (intégrité et exactitude de l’origine des données), distincte de celle de la signature d’une personne physique. De toute façon, la signature électronique qualifiée du représentant autorisé de la personne morale continue à être utilisable au même titre qu’un cachet électronique qualifié lorsque celui-ci est requis (cf. considérant 58). Une évidence qui méritait pourtant d’être rappelée !

Notons que le cachet électronique peut servir à authentifier tous les biens numériques de la personne morale, le règlement donnant l’exemple du code logiciel et des serveurs.

  • Enfin, le terme même de « cachet » ne nous était pas complètement inconnu en droit français : il était déjà prévu dans le Référentiel Général de Sécurité dans sa version 1.0 du 6 mai 2010 comme permettant «de garantir l’intégrité des informations échangées et l’identification de la machine ayant « cachetée » ces informations », étant entendu que « cette fonction de « Cachet » est pour une machine l’équivalent de la fonction signature pour une personne ». 


« Simple », « avancé », « qualifié » : que signifie cette graduation de fiabilité omniprésente ?

Sans qu’il soit utile de se lancer dans une analyse extrêmement fine du document qui requerrait un numéro spécial de la newsletter à elle seule, le vocabulaire utilisé pour graduer la fiabilité technique des différents services de confiance permet d’avoir une idée assez claire de la structuration de la réglementation, se construisant comme une poupée russe :

  • bien que ni le règlement, ni la directive avant lui n’aient jamais utilisé ce terme, la pratique désignait sous le vocable de signature électronique « simple » celle qui était définie comme étant la « signature électronique » « de base » pourrait-on dire, sans indication particulière sur la façon de la sécuriser en elle-même. Le terme pourrait désigner tous les services de confiance « classiques » et, fort logiquement, aucune reconnaissance juridique particulière n’est attachée à ce niveau de fiabilité technique, où, en réalité, tout reste à démontrer en justice en cas de discussion. Toutefois, le règlement prévoit que l’on ne puisse refuser un effet juridique à un document électronique au seul motif qu’il n’utiliserait pas de degré plus avancé de fiabilité technique.
  • les signatures ou les cachets « avancés » désignent des signatures ou des cachets qui respectent des exigences particulières pour assurer une plus grande fiabilité technique (cf. article 26 et 36). Le règlement eIDAS exige qu’une telle signature soit liée au créateur du cachet ou au signataire de la signature de manière univoque, permette de l’identifier, que sa création soit sous son contrôle (exclusif dans le cas de la signature) et qu’elle soit liée aux données de façon à rendre toute modification détectable. 
En soi, l’utilisation de ces seuls outils ne confère pas de valeur juridique particulière par rapport à leurs équivalents « simples ». Par contre et en raison de cette plus grande fiabilité technique, ils placent les utilisateurs sous de biens meilleurs auspices, lorsque ceux-ci souhaiteront se voir reconnaître en justice l’équivalence avec la signature manuscrite.
  • pour être « qualifiés », les signatures ou les cachets doivent répondre à trois conditions : ils doivent tout d’abord être « avancés », basés sur un certificat lui-même qualifié et enfin créés par un dispositif de création de signature ou de cachet également qualifié. Car à côté des seuls signatures et cachets, c’est en effet l’ensemble des services de confiance tels que les certificats, les services de validation, de conservation, d’horodatage, etc. qui peuvent se voir reconnaître cette qualité, sous réserve qu’ils utilisent le cas échéant des signatures ou cachets « avancés », des prestataires, parfois d’autres services de confiance eux-mêmes qualifiés (cf. développements précédents) et répondre aux exigences du règlement et des annexes du règlement I à IV en fonction des services considérés. Dans l’ensemble, les exigences applicables dans le corps du règlement sont toutefois présumées satisfaites sous réserve du respect des normes techniques visées dans les actes d’exécution du règlement. Placés tout en haut de la pyramide de la sécurité technique, ces services de confiance qualifiés bénéficient de trois avantages. Tout d’abord, c’est à ces services de confiance fiables que le règlement va reconnaître l’équivalence juridique avec leur homologue papier (dans le cas de la signature) ou une présomption de fiabilité particulière (intégrité et exactitude de l’origine des données pour le cachet, présomption d’exactitude de la date et de l’heure qu’il indique et d’intégrité des données auxquelles se rapportent cette date et cette heure pour l’horodatage). Ensuite, via le règlement, ils se verront reconnaître cette même valeur dans tous les autres États membres, voire la reconnaissance et l’équivalence de leur qualification à l’international si des accords ont été conclus en ce sens (cf. art. 14). Enfin, ils pourront bénéficier d’un label de confiance mis en place par l’Union européenne (organisé par des actes d’exécution à paraître).
  • Par ailleurs, le règlement s’ouvre aux innovations technologiques et envisage, chose nouvelle et fondamentale, le cas de signatures électroniques à distance, c’est-à-dire, celles permettant à un PSCo de créer la signature électronique au nom du signataire. En pratique, lasignature électronique créée à distance telle que la signature « à la volée », ou encore la signature dans (et depuis) le Cloud. Jusqu’à présent, cette solution semblait s’opposer au critère de création « par des moyens que le signataire puisse garder sous son contrôle exclusif » de la signature avancée (article 2. 2) de la directive de 1999). Pour cette raison, le règlement eIDAS dans son article 26 a transformé ce critère de la signature avancée en utilisation « sous son contrôle exclusif» et avec un « niveau de confiance élevé » (cf. considérant 52 sur ce dernier point), ouvrant même la voie à des signatures électroniques qualifiées à distance.

Comment permettre aux citoyens d’être informés et d’utiliser facilement les services de confiance paneuropéens ?

Le règlement eIDAS a souhaité répondre à cette interrogation en rendant accessible les informations pour les citoyens de l’Union : l’article 22 prévoit la publication d’une liste unifiée des prestataires de services de confiance qualifiés et des services qu’ils fournissent au plus tard le 18 septembre 2015 par la Commission européenne grâce aux listes que devront établir chaque État.

Notamment, la conformité des dispositifs de création de signature ou de cachet qualifiés avec les exigences fixées aux annexes du règlement fera l’objet d’une publication et d’une mise à jour par la Commission. Rappelons qu’à côté des certificats qualifiés, c’est l’usage d’un dispositif de création qualifié qui permet, selon les cas, de générer une signature ou un cachet qualifiés, et donc de bénéficier de l’équivalence juridique avec la signature dans un cas et de la présomption « d’intégrité des données et d’exactitude de l’origine des données auxquelles le cachet électronique qualifié est lié » dans l’autre.

De plus, les organismes du secteur public, quand ils requièrent l’usage d’une signature électronique ou d’un cachet d’un certain niveau de fiabilité (avancé ou avancé avec certificat qualifié) pour l’utilisation d’un service en ligne ou utilisent eux-mêmes une signature ou un cachet de ce niveau, devront aussi reconnaître les procédés d’une fiabilité supérieure (avancé avec certificat qualifié ou qualifié) selon les actes d’exécution de la Commission européenne attendus au plus tard le 18 septembre 2015.

  • Les organismes du secteur public ne pourront par ailleurs pas exiger un niveau de sécurité plus élevé que la signature ou le cachet qualifié. A cet égard, en matière de certificats de signature comme de cachet, le règlement insiste bien sur le fait que l’on ne peut exiger plus de sécurité que ce que prévoient ses annexes pour obtenir le statut de « qualifié », tout ajout ne pouvant être qu’optionnel et devant s’opérer sans risque pour l’interopérabilité (afin d’éviter que certains Etats ne soient tentés de créer une signature ou un cachet « plus qualifié que qualifié » incompatible avec les autres).

Et le droit français alors ?

Techniquement, les règles existantes seront remplacées par celles du règlement, mais, en pratique, elles sont déjà assez proches. En effet, tout comme la directive européenne l’avait déjà instituée, nous connaissons en France la signature électronique (« simple » si l’on reprend ce vocable de la pratique) et la signature « sécurisée ». Pas d’inquiétude à avoir sur ce terme, c’est l’exact équivalent de la signature « avancée » prévue par la directive. Les deux n’apportant pas de valeur juridique particulière (même si la seconde accordait des chances plus importantes de reconnaissance de l’équivalence avec la signature papier en justice, grâce à sa plus grande fiabilité technique).

Concernant la signature bénéficiant d’une équivalence avec la signature manuscrite, la directive, tout comme le droit français, ne donnait pas de nom à l’équivalent de l’actuelle signature « qualifiée ». Il fallait la désigner sous le vocable de « signature électronique avancée basée sur un certificat qualifié et créée par un dispositif sécurisé de création de signatures ». Pourtant, ses critères d’obtention sont globalement les mêmes, ainsi que ses effets juridiques.

Autant dire que le fait de lui donner le nom de « signature électronique qualifiée », comme le faisait déjà l’Allemagne depuis sa loi de transposition du 16 mai 2001 [7] et surtout la Commission européenne dans son rapport précité du 15 mars 2006, a été une véritable œuvre de salut public.

En pratique, des changements seront toutefois à attendre du côté de l’article 1369-8 du Code civil sur l’envoi de lettres recommandées électroniques ou encore dans l’ordonnance n°2014-1330 du 6 novembre 2014 relative au droit des usagers de saisir l’administration par voie électronique. En effet, le droit français se focalise sur la vérification de l’identité du destinataire de la lettre, sans demander de vérification pour celle de l’émetteur (« de désigner l’expéditeur, de garantir l’identité du destinataire »). Et c’est tout le contraire dans le règlement : l’article 44 prévoit en effet que les services d’envoi recommandé électronique qualifiés doivent garantir l’identification de l’expéditeur « avec un degré de confiance élevé », mais ne garantir que « l’identification du destinataire » sans précision particulière.

Deux précisions pour conclure concernant le droit français :

  • Même si certains auteurs y ont vu une régression par rapport à nos fondements juridiques, le règlement, en taisant l’effet juridique de la signature électronique opère un compromis, en permettant aux États liant signature et consentement de continuer à le faire sans modifier leur législation ;
  • Attention à ne pas croire à la « signature absolue » ayant une garantie de « non-répudiation » (expression technique sans valeur juridique). Rappelons en effet que la contestation de la signature d’un acte par le signataire supposé reste toujours possible, c’est la dénégation d’écriture (article 287 et suivants du Code de procédure civile), même si en pratique, il est (extrêmement) difficile d’apporter une preuve reconnue comme fiable s’opposant à celle tirée d’une signature qualifiée.

Une signature, mais au fond pour quoi faire ?

Sur les exigences de fond ou de forme concernant les signatures (manuscrites ou électroniques), les législations de chaque pays de l’Union européenne sont différentes et continueront à l’être une fois le règlement en application. En droit français et de façon synthétique, une différence fondamentale existe entre les « actes juridiques » sous seing privé d’une part (les contrats, pour faire simple) et les « faits juridiques » de l’autre, c’est-à-dire des faits de la vie courante auxquels la loi attache directement des effets juridiques (naissance, décès, accident, paiement, délit, etc.). L’acte juridique étant une « manifestation de volonté destinée à produire des effets de droit »[8], il est important de préconstituer une preuve de celui-ci. Et, la reine des preuves étant l’écrit, l’acte prend la forme d’un document signé par toutes les parties.

Suivant les branches du droit, le régime de la preuve est différent. En droit civil, l’écrit est nécessaire pour la preuve des actes supérieurs à 1 500 €. Par contre, pas de preuve écrite nécessaire dans les rapports entre commerçants (même si c’est préférable), la preuve étant libre. De même en ce qui concerne le fait juridique qui, n’étant pas forcément prévisible, se prouve par tout moyen. Dans les rapports entre commerçants et consommateurs, le consommateur peut utiliser tout moyen de preuve alors que le commerçant devra respecter les règles du droit civil.

Dans ces cas, une convention sur la preuve rédigée préalablement entre les parties peut rendre acceptable tout moyen de preuve et établir qui doit prouver quoi, étant entendu qu’une telle clause pourra être abusive envers un consommateur dans un certain nombre de cas. En cas de conflit de preuves, le juge intervient et tranche en fonction des éléments qui lui sont soumis.

Enfin, pour certains actes juridiques d’une importance particulière pour lesquels le législateur a souhaité que les parties prennent conscience de la portée de leur engagement (écrit formalisant un contrat de bail, un contrat de crédit à la consommation ou de crédit immobilier, etc.), l’acte juridique ne sert plus seulement à la preuve des engagements souscrits, mais à leur validité même. Ainsi, à défaut d’écrit, ces actes seraient juridiquement nuls et donc inexistants.

Or un acte « écrit » nécessite d’être signé par les différentes parties. Le droit français reconnaît la possibilité qu’il soit établi sous forme électronique et donc signé électroniquement, que ce soit pour la preuve ou la validité des actes (à l’exception de certains actes, cf. article 1108-2 du Code civil). Cette signature, outre la notion de consentement à l’acte que son insertion emporte, doit permettre de « dûment » identifier le signataire et de garantir l’intégrité de l’établissement et de la conservation de celle-ci (article 1316-1 du Code civil).

Il n’en reste pas moins que, si la question de la valeur juridique de la signature électronique est spécifiquement discutée en justice, le juge saisi du litige va étudier si les conditions de l’équivalence avec la signature manuscrite sont remplies.

Si le juge peut considérer que les moyens de preuves de la fiabilité technique du procédé utilisé lui suffisent pour reconnaître cette équivalence (avec la nécessité d’avoir fait établir ces éléments par audit, rapports techniques, etc.), une autre possibilité est d’utiliser des moyens de signature qui sont, pour le moment, présumés par le droit français aussi fiables que la signature manuscrite. Le cadre de la reconnaissance de cette équivalence – et son évolution – est justement l’objet du règlement eIDAS.

Notons, pour conclure, que le règlement eIDAS ne change rien aux règles relatives à la conclusion et à la validité des contrats ou d’autres obligations juridiques ou procédurales d’ordre formel, c’est l’article 2 qui l’énonce : les écrits à titre de validité, de preuve ou encore le régime des faits juridiques en droit français ne sont pas impactés.

De même, eIDAS ne touche pas aux conventions sur la preuve et n’est destiné qu’aux « services de confiance fournis au public ayant des effets sur les tiers » et non les groupes fermés d’utilisateurs. Le considérant 21, explicitant l’article 2, précise ainsi que « les systèmes institués par des entreprises ou des administrations publiques pour gérer les procédures internes et utilisant des services de confiance ne devraient pas être soumis aux exigences du présent règlement. »

Un règlement pour les cinq années à venir ?

Pour finir sur les grandes questions que soulève ce règlement eIDAS, gardons en tête qu’une procédure de réexamen du texte est prévue au plus tard le 1er juillet 2020. Si l’expérience en la matière montre que ce texte est a priori là pour durer, il est intéressant de noter que l’Union européenne a d’ores et déjà pointé certaines dispositions spécifiques étant susceptibles de modifications, du fait de l’évolution des technologies notamment.

Dans le détail, il s’agit des principales innovations qui n’étaient pas, ne serait-ce qu’abordées dans la directive de 1999 : les services de conservation qualifiés des signatures électroniques qualifiées (donc l’archivage électronique à valeur probante), la problématique des services d’envoi recommandé électronique et de leurs exigences en matière de qualification, ainsi que les exigences applicables aux certificats qualifiés d’authentification de site internet[9].

Nul doute que le sujet n’est pas clos et que les actes d’exécution de la Commission, ou encore l’interprétation des textes par les organes de contrôle locaux (censés communiquer, collaborer et s’assister) seront à suivre avec grande attention.

 

Cet article est issu de la rubrique « le sujet du mois » de la Newsletter ATIPIC.
Pour recevoir gratuitement cette newsletter et prendre connaissance de l’intégralité de son contenu, il vous suffit de vous inscrire
ici.

[1] Règlement n° 910/2014 du 23 juillet 2014 « sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ».

[2] Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques.

[3] Précisons que le règlement prévoit dans son article 52 une date d’application différente pour certaines règles, notamment celles issues des actes d’exécution qui sont nécessaires à l’offre et au bon fonctionnement des services de confiance, et qu’il faut également prendre en compte le cas des prestataires de services de certification qui délivrent des certificats qualifiés au titre de la directive 1999/93/CE (art. 51).

[4] Voir notamment les considérants 4, 5, 7, 8, 9 et 24 de la directive 1999/93/CE, le rapport de la Commission du 15 mars 2006 sur la mise en œuvre de la directive 1999/93/CE, la résolution du 21 septembre 2010 du Parlement européen soulignant l’importance de la sécurité de la signature électronique et invitant la Commission à mettre en œuvre des moyens techniques permettant d’assurer son interopérabilité transfrontalière, ainsi que l’étude d’impact accompagnant la proposition de règlement eIDAS du 4 juin 2012.

[5] Cette définition est d’ailleurs très similaire à celle présente à l’article 2 1) de la directive de 1999 (« une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification »).

[6] Selon l’article 3 18), c’est un « organisme défini à l’article 2, point 13), du règlement (CE) n° 765/2008, qui est accrédité conformément audit règlement comme étant compétent pour effectuer l’évaluation de la conformité d’un prestataire de services de confiance qualifié et des services de confiance qualifiés qu’il fournit ».

[7] Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG) ou loi sur les conditions-cadres des signatures électroniques, du 16 mai 2001, entrée en vigueur au 22 mai de la même année.

[8] Lexique des termes juridiques 2014-2015, ed. Dalloz.

[9] Le sujet n’a pas été développé ici faute de place, mais le règlement eIDAS vise les certificats serveur de type TLS (pour Transport Layer Security, successeur du SSL) permettant de d’authentifier le site sur lequel se connecte l’internaute et organisant une connexion chiffrée avec celui-ci de type HTTPS (HyperText Transfer Protocol Secure) dont l’établissement est représentée sur les navigateurs internet par un petit cadenas. La consultation du site est ainsi sécurisée. Google ayant annoncé la mise en avant des sites https dans son référencement et l’initiative « Let’s Encrypt » de Mozilla, Cisco, Akami, etc. promettant la fourniture gratuite et la délivrance facilité de certificats SSL/TLS mi-2015, le nombre de sites avec certificat TLS/SSL est amené à croître très fortement.

Email this to someoneShare on LinkedInTweet about this on Twitter