Cette semaine, l’avocat Eric Caprioli nous offre un éclairage sur le décret du 28 septembre 2017 relatif à la présomption de fiabilité de la signature électronique.
La transformation digitale se développe sans cesse dans les organisations. La signature électronique vient d‘être précisée par le décret du 28 septembre 2017 relatif à la présomption de fiabilité du procédé de signature. Son application concerne les entreprises, les particuliers et les administrations. Or, la signature électronique est un des piliers de la confiance numérique. D’ailleurs, les signatures électroniques, à l’instar d’autres procédés cryptographiques (hachage, horodatage) sont utilisées dans les blockchains afin de garantir « l’inviolabilité » des transactions enregistrées dans le registre.
Le contexte
Depuis la loi du 13 mars 2000 sur la preuve et la signature électronique, les usages ont considérablement évolué. Actuellement, si l’on se situe sur le plan quantitatif, les signatures électroniques de contrats se comptent en millions d’utilisation sur le marché français, par exemple dans les opérations de banque et d’assurance (ss. dir. E. Caprioli, Banque et assurance digitales, Droit et pratiques, éd. Rev. Banque, 2017).
C’est dire si les choses ont bien changé après une grosse décennie d’absence de déploiement, en dépit de la forte croissance des signatures de factures électroniques ou dans des domaines comme les déclarations fiscales ou de TVA ; mais dans les relations avec les citoyens, la donne est différente puisque l’Etat impose et la pratique suit. La modification du code civil entrée en vigueur le 1er octobre 2016 a entrainé l’adoption d’un nouvel article 1367. D’ailleurs, lorsque l’on suit la jurisprudence sur les actes par voie électronique, on constate que la première décision d’un tribunal d’instance remonte à 2011 et que la première décision de la Cour de cassation portant sur la validité contestée d’une signature électronique par le signataire lui-même a été rendue le 6 avril 2016.
La présomption de fiabilité
L’article premier du décret reprend le texte de l’article 1367 du code civil en énonçant : « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée ». Il précise en outre : « Est une signature électronique qualifiée une signature électronique avancée, conforme à l’article 26 du règlement susvisé et créée à l’aide d’un dispositif de création de signature électronique qualifié répondant aux exigences de l’article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l’article 28 de ce règlement ».
La signature électronique qualifiée correspond à un niveau de fiabilité constitué des trois éléments indiqués et qui renvoient aux articles 26, 28 et 29 du règlement eIDAS du 23 juillet 2014. Toutefois, sur le plan juridique, lorsque l’on parle de présomption de fiabilité, il s’agit de la charge de la preuve qui est renversée. Et en toute hypothèse, la preuve de cette fiabilité peut toujours être rapportée en dépit de la présomption ; on dit que la présomption est simple ou réfragable. En l’occurrence, cela signifie que ni la preuve ni la validité de la signature électronique ne sont impactées. Pour bénéficier de la présomption, il faudra cumuler les trois éléments.
Dans le dispositif français, on a trois niveaux de signature : la signature électronique simple, la signature électronique avancée (SEA) et la signature électronique qualifiée (SEQ). Les deux premiers niveaux ne bénéficient pas de la présomption de fiabilité telle que définie dans le nouveau décret.
La signature électronique avancée
Elle doit :
- être liée au signataire de manière univoque ;
- permettre d’identifier le signataire ;
- avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ;
- être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable ».
Ce niveau de fiabilité du procédé de signature apporte une sécurité importante, surtout lorsque la signature électronique s’effectue en la présence physique du signataire qui est identifié sur le point de vente ou à distance avec un client connu. Ce qui est important, c’est que le signataire puisse utiliser les données de création de signature (la clé privée) sous son contrôle exclusif. En effet, la personne étant identifiée et son identité vérifiée avec une pièce d’identité, on peut se dispenser de disposer d’une SEQ. En telle hypothèse, les signatures sont gérées non pas sur le poste du signataire, mais en mode centralisé (« remote digital signature ») et le plus souvent ce sont des certificats dits à la volée qui sont utilisés (valables pendant le temps de la transaction pour une ou plusieurs opérations).
Pourtant, si ce décret fournit les éléments juridiques et techniques sur la signature en tant que service de confiance au sens du règlement européen, il laisse les praticiens en attente d’autres services de confiance qui n’ont pas encore fait l’objet de dispositions législatives ou règlementaires en droit interne alors qu’ils figurent dans le règlement européen, spécialement les services de cachet et de datation électroniques, sauf les envois recommandés électroniques intégrés dans la loi pour une République numérique.
Article rédigé par Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, Membre de la délégation française aux Nations Unies, Vice-Président de la FNTC et du CESIN.
© Article initialement paru sur l’Usine Digitale.
