La signature électronique
Dans le domaine de la signature électronique d'une offre dématérialisée, dans l'environnement juridique spécifique d'un marché public, la jurisprudence a récemment relevé dans une ordonnance de référé (TA Toulouse, ord. réf., 9 mars 2011, Sté MC2I c/ CNRS, que les fichiers au format zip « qui permettent l'archivage et la compression des données, ne peuvent être assimilés aux documents en nombre variable qu'ils peuvent contenir ; que par suite, cette signature ne peut pallier l'absence de signature électronique des documents figurant dans ces fichiers »
. Par voie de conséquence, des documents scannés ne peuvent pas en principe constituer des « originaux »
sur supports électroniques même lorsqu'ils ont été insérés dans un fichier zip « signé »
électroniquement (la signature électronique étant, selon l'article 1316-4 du Code civil, attachée à un acte déterminé alors que le fichier « zippé »
constitue un ensemble distinct des documents qu'il contient), la signature électronique ne peut valoir signature électronique du contenu de cet ensemble) ; il ne peut en être autrement que si les document scannés font l'objet d'une signature électronique obéissant aux conditions spécifiques imposées par les textes.
Éric A. CAPRIOLI, « La signature électronique d'un fichier au format zip n'équivaut pas à la signature des documents qu'il contient »
, in « Communication Commerce électronique »
, n° 6, Juin 2011, comm. 60 ; Éric A. CAPRIOLI et N. Jean-Pierre : « Expertises »
, mai 2011, comm. p. 189.
En matière de procédure civile, l'article 1er du décret n° 2010-434, du 29 avril 2010, relatif à la communication par voie électronique en matière de procédure civile, dispose que : « Vaut signature, pour l'application des dispositions du Code de procédure civile aux actes que les auxiliaires de justice assistant ou représentant les parties notifient ou remettent à l'occasion des procédures suivies devant les juridictions des premier et second degrés, l'identification réalisée, lors de la transmission par voie électronique, selon les modalités prévues par les arrêtés ministériels pris en application de l'article 748-6 du Code de procédure civile »
. Complétant un certain nombre de textes antérieurs concernant diverses juridictions judiciaires, un arrêté du 5 mai 2010 relatif à la communication par voie électronique dans la procédure sans représentation obligatoire devant les cours d'appel a précisé les conditions de forme des actes de procédure remis par la voie électronique, les modalités du système de communication électronique mis à disposition des juridictions, les modalités concourant à la sécurité des moyens d'accès des auxiliaires de justice au système de communication électronique mis à leur disposition, les conditions entourant l'identification des parties à la communication et sa fiabilité et les conditions concourant à la sécurité des transmissions.
Éric A. CAPRIOLI, « La signature électronique dans les communications par voie électronique en matière de procédure civile »
, in « Communication Commerce électronique »
, n° 7, Juillet 2010, comm. 80
La problématique de la signature d'un acte juridique concerne tout autant l'acte sous seing privé, que l'acte authentique.
Important :
La signature tient un rôle essentiel, dans la mesure où elle permet d'exprimer la volonté d'accepter un engagement, et elle permet d'identifier l'auteur de l'assentiment.
L'acte authentique peur être dressé et signé sur un support électronique selon les dispositions de l'article 1317 du Code civil.
Au printemps 2009 la Chambre nationale des huissiers de justice et la société « CertEurope »
, spécialisée dans la dématérialisation, ont reçu une autorisation de certification et d'enregistrements qualifiés par la présidence de « La sécurité des technologies de l'information »
(LSTI). Les huissiers peuvent donc désormais signer électroniquement des actes à caractère authentique.
La directive européenne du 13 décembre 1999 précitée, imposait une équivalence « automatique »
entre la signature électronique et la signature manuscrite à la condition qu'il s'agisse en premier lieu, d'une signature électronique « avancée »
, en deuxième lieu qu'il y ait un « certificat qualifié »
, et, en troisième et dernier lieu, qu'ait été mis en place une procédure sécurisée de création de signature.
La loi du 13 mars 2000 a repris ces orientations, et les applique tant aux actes sous seing privé qu'aux actes authentiques alors qu'il convient de souligner, d'une part, que la directive européenne 1999/93/ CE du 13 décembre 1999 organisait des dérogations pour les actes soumis à des « exigences formelles »
, et d'autre part, que l'article 9.2 de la directive européenne 2000/31/ CE du 8 juin 2000, entrée en vigueur le 17 juillet 2000, permettait d'exclure les contrats créant ou transférant des droits sur des biens immobiliers, les contrats établissant des sûretés ou garanties consenties par des non-professionnels, les contrats relatifs au droit de la famille et des successions, et plus généralement les contrats requérant l'intervention d'un officier public, ou d'une autorité publique.
Attention :
Selon les dispositions du premier alinéa de l'article 1316-4 du Code civil : « La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte »
. La signature a donc un rôle primordial en matière contractuelle : en effet, elle révèle la volonté d'une personne précise de conclure un contrat, et dès lors la question de la sécurité est essentielle et il convient d'assurer des garanties d'authentification et d'intégrité.
La question de l'imputabilité d'une opération, notamment d'un engagement contractuel, à une personne déterminée, et de l'intégrité de son contenu, avait déjà été posée, par le développement des paiements effectués par « les cartes bancaires »
à propos duquel la jurisprudence a dû se prononcer (CA Montpellier, 17e ch., sect. D, 9 avril 1987, JCP., éd. G., II, n° 20984).
La preuve de l'existence d'une opération peut résulter de l'usage de la carte bancaire associée à l'utilisation du code secret, dès lors que le débiteur, titulaire de la carte, n'apporte pas la preuve d'une fraude, ou d'un dysfonctionnement du système informatique.
La reconnaissance de l'écrit sur « support électronique »
justifiait, par voie de conséquence, l'admission en Droit français de la « signature électronique »
. Deux grands acteurs de l'économie mondiale, ont accompagné le mouvement à la même période.
Aux États-Unis, le E-Sign Act, (Electronic Signatures in Global ans National Commerce Act), du 30 juin a légalisé à l'échelle fédérale la signature électronique, l'essentiel des dispositions est entré en vigueur le 1er octobre 2000. En République de Chine populaire, l'identification des signataires et la confirmation des documents établis sous forme numérique a donné lieu en 2004 à l'élaboration d'un texte important.
En droit français, le second alinéa de l'article 1316-4 du Code civil précise désormais que : « Lorsqu'elle est électronique, elle [la signature] consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve du contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat »
.
Le texte affirme donc clairement une reconnaissance de la signature électronique par une présomption simple de validité, sous certaines conditions de fiabilité fixées par le décret n° 2001-272 du 30 mars 2001 (JORF n° 77, 31 mars 2001, 5070), pris pour l'application de l'article 1316-4 du Code civil.
Deux formes de signatures électroniques coexistent :
la signature électronique
« ordinaire »
, etla signature électronique
« sécurisée »
.
La signature électronique « ordinaire »
ne permet pas de prouver l'identité du signataire ; elle consiste en une « donnée sous forme électronique, jointe ou liée logiquement à d'autres données électroniques et sert de méthode d'authentification »
selon la formulation de l'article 2.1 de la directive du 13 décembre 1999 précitée. Elle permet d'identifier l'ordinateur à partir de laquelle elle a été émise (adresse IP), mais ne permet pas de savoir quelle est l'identité de celui qui a utilisé cet ordinateur et quelle est la qualité véritable de celui qui a émis la signature.
A contrario, la signature électronique « sécurisée »
doit permettre d'établir avec des conditions de sécurité suffisante, l'identité du signataire.
Cette signature, liée uniquement au signataire, doit permettre de l'identifier, elle soit avoir été créée par des moyens que le signataire pourra garder sous son contrôle exclusif, et elle doit être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure soit détectable, selon la définition de la signature « avancée »
formulée par la directive CE du 13 décembre 1999. Les techniques utilisées doivent donc respecter des normes, des prestataires de service de certification devront intervenir. La technique de la cryptologie est utilisée, le système « PKI »
utilisé (clé publique, clé privée) est complexe et coûteux.
Aux termes de l'article 2 du décret du 30 mars 2001, « la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve du contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié »
.
La présomption simple de fiabilité ne concerne que la signature électronique sécurisée, et elle est, en outre, soumise à deux conditions cumulatives :
En premier lieu | En second lieu |
|---|---|
La mise en place d'un descriptif sécurisé de création de signature électronique. | La mise en place d'un certificat électronique qualifié. |
En ce qui concerne la première condition, c'est-à-dire la mise en place d'un descriptif sécurisé de création de signature électronique, l'article 3 du décret du 30 mars 2001 impose des règles strictes aux logiciels et aux matériels utilisés. Ces derniers ne se sont considérés comme
« sécurisés »
que si des moyens techniques et des procédures appropriées garantissent que les données ne peuvent être établies plus d'une fois et que leur confidentialité est assurée.
La signature électronique doit être protégée contre toute falsification, les données ne doivent pas davantage être obtenues par « déduction »
et doivent pouvoir être protégées de manière efficace par le signataire contre toute utilisation par des tiers.
Aucune altération du contenu du contrat devant être signé ne doit être possible. Le signataire ne doit pas rencontrer d'obstacle à la connaissance exacte de l'acte avant de le signer.
La conformité des dispositifs à l'ensemble de ces exigences doit être certifiée, par les services chargés de la sécurité des systèmes d'information auprès du Premier ministre, ou par un organisme désigné par un Etat membre de l'Union européenne.
La procédure permettant la certification d'un système de « signature électronique »
a été précisée par le décret n° 2002-535, du 18 avril 2002[1] (JORF n° 92, du 19 avril 2002, 6944).
La procédure de certification d'un système de signature électronique se décline en trois étapes successives :
En premier lieu | En deuxième lieu | En troisième lieu |
|---|---|---|
Le prestataire doit présenter une demande auprès de la Direction centrale de la sécurité des systèmes d'information dite | Le prestataire doit faire évaluer son système par un centre agréé par le Premier ministre. | Le cas échéant à la suite de l'évaluation, un rapport de certification est accordé, la validité du certificat est limitée à deux années. |
En ce qui concerne la seconde condition, c'est-à-dire la mise en place d'un certificat électronique qualifié, c'est le système retenu par le décret du 30 mars 2001 pour effectuer la vérification de la signature.
L'utilisation d'un certificat électronique qualifié, délivré par un prestataire de services de certification (PSCE) est nécessaire. Il s'agit d'assurer l'existence d'un lien entre la personne et sa clé publique, par la délivrance d'un certificat strictement nominatif, selon la règle « autant de certificats que de signataires à l'acte »
.
Le certificat électronique n'est « qualifié »
que s'il reproduit les mentions et rubriques requises par l'article 6 du décret du 30 mars 2001, et que s'il est délivré par un prestataire de services de certification électronique satisfaisant aux exigences de ce même article.
Au titre des mentions obligatoires | Au titre des mentions simplement |
|---|---|
|
|
Le certificat électronique et la clé privée du signataire doivent naturellement être stockés de manière à garantir la sécurité et la confidentialité des données.
Au titre des mentions obligatoires imposées par l'article 6 du décret du 30 mars 2001 :
indication que le certificat est délivré à titre de certificat électronique qualifié
indication de l'identité du prestataire de services de certification électronique et de l'Etat sur le territoire duquel ce dernier est établi
nom du signataire, ou pseudonyme dûment identifié comme tel
données de vérification de signature électronique correspondant aux données de création de signature électronique
indication de la période de validité du certificat électronique
code d'identité du certificat électronique
signature électronique sécurisée du prestataire de services de certification électronique délivrant le certificat électronique
Au titre des mentions simplement facultatives on notera par exemple :
indication, en fonction de l'usage en raison duquel le certificat électronique a été délivré, de la « qualité » du signataire
le montant maximum des transactions pour lesquelles le certificat électronique a été délivré et pourra donc être utilisé
Le certificat électronique et la clé privée du signataire doivent naturelle être stockés de manière à garantir la sécurité et la confidentialité des données.
En ce qui concerne les exigences relatives aux prestataires de service de certification électronique :
Respectant les orientations de la directive 1999/993/ CE du 13 décembre 1999, l'article 6 du décret du 30 mars 2001, impose plusieurs obligations à la charge des prestataires de services de certification électronique dits « PSCE »
.
Exemple :
On relèvera, par exemple, en substance que les « PSCE »
doivent :
faire preuve de la fiabilité des services de certification électronique qu'il fournit
conserver l'ensemble des informations relatives aux certificats électroniques pouvant s'avérer nécessaires pour établir en justice la preuve de la certification électronique, le cas échéant sous forme électronique
utiliser des systèmes de conservation des certificats électroniques garantissant que l'introduction de modifications des données ne peut être effectuée que par des personnes autorisées par le prestataire, à cet effet
rendre détectable toute modification de nature à compromettre la sécurité du système
L'article 9 du décret du 30 mars 2001, modifié par l'article 19 du décret n° 2007-663 du 2 mai 2007[2] (JORF n° 104, du 4 mai 2007, 7865) « pris pour l'application des articles 30, 31 et 36 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique et relatif aux moyens et aux prestations de la cryptologie, précise enfin, au titre de la déclaration de fourniture de prestation de cryptologie »
effectuée conformément à l'article 31 de la loi du 21 juin 2004 (JORF n° 143, du 22 juin 2004, 11168) « pour la confiance dans l'économie numérique »
(LCEN), que le « PSCE »
quand il entend délivrer des certificats électroniques, doit clairement indiquer cette activité.
La prestation de cryptologie s'entend de « toute opération visant à la mise en œuvre pour le compte d'autrui »
. La cryptologie, le chiffrement, font largement appel aux algorithmes, pour mettre en place des clés cryptographiques, est largement utilisée pour assurer une meilleure sécurité, intégrité, et confidentialité des transmissions de données numériques et de leur archivage, a fait l'objet d'une libéralisation de son utilisation par la loi du 21 juin 2004 précitée (art. 29 et 30).
Toutefois, on rappellera, à cette occasion, que la fourniture de moyens de cryptologie « n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité »
mais simplement la « confidentialité »
, est soumise au régime de l'autorisation, ou de la déclaration préalable auprès du Premier Ministre. L'arrêté du 25 mai 2007 (JORF n° 127, du 3 juin 2007, 10013) fixe les modalités selon lesquelles les formalités doivent être mises en œuvre, le non-respect des règles expose le fournisseur à l'interdiction de la mise en circulation de son moyen de cryptologie.
En outre, l'utilisation malveillante de moyens de cryptologie pour la préparation ou la commission d'un crime ou d'un délit ou en faciliter la préparation, constitue une circonstance aggravante (art. 132-79 du Code pénal).
Aux termes de l'article 8 du décret du 30 mars 2001 reprenant les règles fixées par l'article 7 de la directive européenne du 13 décembre 1999, dès lors qu'un prestataire établi hors de l'Union européenne respecte l'ensemble des exigences, ou que le certificat est garanti par un prestataire de l'Union européenne, ou qu'un accord auquel l'Union européenne est partie le prévoit, le certificat électronique délivré aura la même valeur juridique qu'un certificat délivré par un prestataire établi dans l'Union européenne, la libre circulation des services de certification étant naturelle assurée au sein de l'Union européenne.
La responsabilité professionnelle des « PSCE »
mise en place par les articles 32 et 33 loi du 21 juin 2004 « pour la confiance dans l'économie numérique »
(LCEN) est assez lourde.
En effet, les « PSCE »
sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés comme « qualifiés »
.
lorsque les informations contenues dans le certificat, à la date de sa délivrance étaient inexactes
lorsque les données prescrites pour que le certificat puisse être considéré comme
« qualifié »
étaient incomplèteslorsque la délivrance du certificat n'a pas donné lieu à la vérification que le signataire détient la convention
« privée »
correspondant à la convention« publique »
de ce certificatlorsque les prestataires, le cas échéant, n'ont pas fait procéder à l'enregistrement de la révocation du certificat et tenu cette information à la disposition des tiers
Cette responsabilité sera toutefois écartée dans la mesure où le prestataire démontre en justice :
qu'il
« n'a commis aucune faute intentionnelle ou négligence »
que l'utilisateur a fait du certificat un usage
« dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé, à condition que ces limites figurent dans le certificat et soient accessibles aux utilisateurs »
.
Les règles relatives aux procédures d'évaluation et de certification des « PSCE »
et les conditions d'agrément des organismes habilités procéder à ces dernières, ont été l'objet d'un décret n° 2002-535 du 18 avril 2002 (JORF n° 92 du 19 avril 2002, 6944) relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information et d'un arrêté ministériel du 26 juillet 2004 (JORF n° 182, 7 août 2004, 14104), relatif à la reconnaissance de la qualification des prestataires de certification électronique et à l'accréditation des organismes qui procèdent à leur évaluation.
L'article 20 du décret du 18 avril 2002 précise que le contrôle des prestataires est effectué par la Direction centrale de la sécurité des systèmes d'information. Ce contrôle porte sur le respect des exigences posées par l'article 6 du décret du 30 mars 2001, il peut être effectué d'office, ou à l'occasion de toute réclamation mettant en cause la responsabilité d'un prestataire.
Lorsqu'il s'avère au terme d'une procédure contradictoire permettant au prestataire de présenter ses observations, que ce dernier n'a pas satisfait aux exigences réglementaires, les services du Premier ministre chargés de la sécurité des systèmes d'information assurent la publicité des résultats du contrôle, et informent l'organisme de qualification, lorsque le prestataire défaillant avait été reconnu comme « qualifié »
.
Précisément, ces organismes sont accrédités par le Comité français d'accréditation (COFAC). La Direction centrale de la sécurité des systèmes d'information (DCSSI), quant à elle, contrôle la délivrance des accréditations.
Remarque :
On signalera que de nombreux pays ont mis en place, depuis un certain nombre d'années, des organismes de certification, par exemple la Tunisie a mis en place une « Agence nationale de certification électronique »
.
Consulter : http://www.certification.tn/
