Signature électronique : la directive européenne

Ses objectifs sont clairs : développer les échanges électroniques et bâtir un cadre juridique pour la signature électronique, uniforme entre les différents pays de la Communauté européenne. Il ne s'agit pas d'un texte isolé puisque la France travaille à un projet de loi visant à reconnaître la signature électronique et à modifier le droit de la preuve afin de tenir compte des évolutions technologiques.

DÉFINIR LA NOTION DE SIGNATURE ÉLECTRONIQUE

Reconnaître la valeur juridique de cette nouvelle technologie et déterminer des règles de responsabilité particulières sont les principaux axes de cette directive européenne. Dans son article 2, elle définit la notion de signature électronique en distinguant la signature électronique de la signature électronique avancée. Son principal objectif est de régler les deux aspects de la signature : d'une part, l'identité de la personne qui s'engage et, d'autre part, le fait que la personne qui s'engage est bien celle dont l'identité est fournie par la signature. S'entend d'une signature électronique : "Une donnée sous forme électronique qui est jointe ou liée logiquement à d'autres données électroniques et qui sert de méthode d'authentification." A l'inverse, une signature électronique avancée doit satisfaire à certaines exigences complémentaires : être liée uniquement au signataire, permettre de l'identifier, être créée par des moyens que celui-ci puisse garder sous son contrôle exclusif et être liée aux données auxquelles elle se rapporte, pour que toute modification ultérieure des données soit détectable. Ces deux définitions correspondent à des effets juridiques différents puisqu'il est considéré que les signatures électroniques avancées, et notamment basées sur des certificats qualifiés, visent à procurer un plus haut degré de sécurité. Pour recevoir la qualification de signature électronique avancée, une signature électronique devra non seulement reprendre les modalités liées à sa définition, mais également reposer sur un certificat agréé et être créée par un dispositif sécurisé de création de signature électronique. Un certificat qualifié est une attestation électronique qui lie des données afférentes à la vérification de signature à une personne et confirme son identité. Ce certificat doit être fourni par un prestataire de service de certification, satisfaisant à un certain nombre d'exigences. La complexité liée à la mise en place d'un procédé de signature électronique avancé se justifie, en effet, de par la valeur juridique accordée à cette signature.

LA VALEUR JURIDIQUE DE LA SIGNATURE ÉLECTRONIQUE

La principale avancée réside dans une véritable reconnaissance de la signature comme preuve en justice. La directive se prononce en effet sur les effets juridiques de toutes les signatures électroniques et précise que les Etats membres devront veiller à ce que l'efficacité juridique et la recevabilité comme preuve en justice ne soient pas refusées à une signature électronique. Dès lors, les effets de la signature électronique devront être accordés tant à la signature électronique simple, que celle reposant sur un certificat qualifié, délivré ou non par un prestataire accrédité et créée ou non par un dispositif sécurisé. Une distinction fondamentale subsiste néanmoins entre la simple signature électronique et l'avancée. Au niveau de la preuve en justice de la signature électronique, il est prévu que les Etats membres veillent à ce que l'efficacité juridique et la recevabilité comme preuve d'une telle signature ne soient pas refusées au seul motif : - que la signature se présente sous forme électronique, - qu'elle ne repose sur un certificat qualifié ou un certificat qualifié délivré par un prestataire accrédité de service de certification, - qu'elle n'est pas créée par un dispositif sécurisé de création de signature. A l'inverse, il est prévu que des signatures électroniques avancées, basées sur un certificat qualifié, soient recevables comme preuve et qu'elles répondent aux exigences légales d'une signature à l'égard de données électroniques, de la même manière qu'une signature manuscrite répond à ces exigences à l'égard de données manuscrites ou imprimées sur papier. Forte de ces principes, la directive européenne a également assoupli, ou tente d'assouplir, les modalités liées à la délivrance de certificat, mais également aux modalités de fourniture de service de certification.

VERS PLUS DE LIBERTÉ

Afin de développer les échanges commerciaux et les transactions sur l'Internet, elle a prévu que les Etats membres ne pouvaient soumettre la fourniture de service de certification à des autorisations préalables. Néanmoins, ils pourront instaurer ou maintenir des régimes volontaires d'accréditation visant à améliorer le niveau du service de certification fourni. De même, pourront être instaurés des systèmes permettant de contrôler les prestataires de service de certification établis. Toutefois, les Etats membres ne pourront imposer de restrictions à la fourniture de services de certification provenant d'autres Etats membres. Enfin, la directive fixe les règles liées à la responsabilité des prestataires de service de certification. Ceeux-ci devront être responsables du préjudice causé à toute entité ou personne physique, qui se fie raisonnablement au certificat pour ce qui est de : - l'exactitude de toutes les informations contenues dans le certificat qualifié à la date où il a été délivré et la présence de toutes les données prescrites pour un certificat qualifié, - l'assurance que, au moment de la délivrance du certificat, le signataire identifié dans le certificat qualifié détenait les données afférentes à la création de signatures correspondant aux données afférentes à la vérification de signatures fournies ou identifiées dans le certificat, - l'assurance que les données afférentes à la création de signatures et celles afférentes à la vérification de signatures puissent être utilisées de façon complémentaire, dans le cas où le prestataire de service génère ce type de données. Bien évidemment, la responsabilité de ce prestataire pourrait ne pas être engagée, s'il démontrerait n'avoir commis aucune négligence. Enfin, ces prestataires devraient pouvoir indiquer, dans un certificat qualifié, les limites fixées à son utilisation, sous réserve que ces limites soient discernables par un tiers (exemple : indication de la valeur limite des transactions pour lesquelles le certificat peut être utilisé).

DES PRÉALABLES AVANT LANCEMENT

Il convient de rapprocher le texte de cette directive du projet de loi français, qui accorde également à la signature électronique, sans distinguer les notions de signature électronique ou de signature électronique avancée, une valeur juridique proche de celle de la signature manuscrite. Aujourd'hui, lors de la mise en place d'un site web permettant des transactions à distance, une réflexion s'impose afin de déterminer les moyens de preuve mais également les moyens d'identification et d'authentification des personnes effectuant les transactions en ligne. Des préalables seront alors requis : - définir les moyens de preuve, - identifier les techniques utilisées afin de permettre la signature en ligne (de la PKI au SSL, sans oublier des moyens d'identification tels qu'Activcard ou lecteur de cart...), - procéder aux déclarations et/ou autorisations nécessaires, - archiver les preuves.