La signature électronique à l'heure du Covid-19
Ce que le Covid-19 a appris aux DSI
Pendant la crise sanitaire, le business continue. Indubitablement, la crise sanitaire du Covid-19 aura eu et va continuer d'avoir un impact, probablement durant plusieurs années, sur l'économie. Plutôt que de se replier sur soi, c'est le moment de remettre à plat les processus. C'est le moment...
DécouvrirSi la crise sanitaire a développé les échanges dématérialisés, il faut rappeler les règles de leur validité juridique.
PublicitéA l'heure du Covid-19, les échanges en ligne se sont imposés comme jamais auparavant. Le télétravail, la contractualisation à distance, les réunions en visioconférences, les procédures et les audiences dématérialisées... ont permis, tant bien que mal, d'assurer la poursuite de l'activité sur le plan économique, juridique et politique.
On peut déplorer la situation, regretter le « présentiel » et la convivialité associée, mais le résultat est là et nombreux sont ceux qui s'interrogent déjà sur la pérennisation de ces solutions « à distance » qui redonnent du sens à des préoccupations comme la « conciliation vie privée / vie professionnelle » ou encore l'efficacité du temps travaillé / durée et longueur des transports. On peut même penser que le recours à l'option numérique sera désormais priorisé, par exemple pour les élections professionnelles pour lesquelles le vote électronique est déjà possible. On remarque ici et là des dispositions expérimentales visant, en pleine crise sanitaire, à assouplir certains dispositifs, à l'exemple de celles qui autorisent l'acte notarié par vidéo-conférence (voir ici et ici).
Garantir la sécurité des échanges en ligne
Mais le recours au numérique soulève immédiatement une préoccupation cruciale : quid de la sécurité de ces échanges en ligne, de la confiance dans ces outils et, corrélativement, de la preuve numérique ?
S'il s'agit d'un document numérisé, il s'agit bien sûr d'une « copie ». Conformément au code civil, elle doit être une reproduction « fidèle » et « durable » de l'original (Code civil, article 1379). Or, la « copie » n'est présumée « fiable » que si elle résulte d'un procédé de reproduction qui entraîne une modification irréversible du support de la copie ou, en en cas de reproduction par voie électronique, d'un procédé qui répond à des conditions précises, telle qu'une empreinte électronique ou la production d'informations contextuelles (Décret 5 décembre 2016).
Comment garantir que les méthodes d'enregistrement permettent la restitution du message, sans altération, dans son format d'origine ? L'Afnor, consciente de cette difficulté, a entrepris des travaux qui ont abouti à la publication de normes, tout particulièrement la norme NF Z42-013. Celle-ci énonce les prescriptions permettant de produire, stocker et restituer les documents électroniques avec toutes les garanties d'intégrité et de fidélité par rapport aux documents d'origine.
PublicitéUne décision du 11 février 2016 de la cour d'appel de Paris a ainsi admis à titre de preuve la production de copies réalisées par un système d'archivage électronique respectant les spécifications de cette norme.
Les effets de eIDAS
S'agissant d'un écrit électronique natif, par exemple un courriel, son équivalence avec l'écrit papier est bien admise par notre code civil... Mais il faut remplir deux conditions : d'une part, la personne dont il émane doit pouvoir être « dûment identifiée » ; d'autre part, l'écrit doit avoir été « établi et conservé dans des conditions de nature à en garantir l'intégrité » (C. civ., art. 1366).
L'identification de la personne se fait naturellement au moyen de sa signature. Encore faut-il, lorsqu'elle est électronique, qu'elle réponde à l'exigence légale de « l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache » (C. civ., art. 1367).
Avec le Règlement eIDAS [Règlement n° 910/2014 du parlement européen et du conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, dit « Règlement eIDAS »] et le décret du 28 septembre 2017, on apprend que seule la signature électronique qualifiée est présumée équivalente à la signature manuscrite. Selon l'article 1367 du code civil, sa fiabilité est donc présumée jusqu'à preuve du contraire.
La signature électronique qualifiée doit satisfaire aux exigences de la signature électronique avancée et donc être (i) liée au signataire de manière univoque ; (ii) en mesure d'identifier le signataire ; (iii) créée à l'aide de données de création de signature électronique que le signataire peut utiliser sous son contrôle exclusif ; (iv) liée aux données associées à cette signature de telle sorte que toute modification ultérieure soit détectable [Règlement eIDAS, art. 3.12 et 26]. Par ailleurs, la signature électronique doit être créée par un dispositif de création de signature qualifiée répondant aux exigences de l'Annexe II du Règlement eIDAS et être basée sur un certificat qualifié (c'est-à-dire sur un certificat numérique contenant les informations spécifiques prévues à l'Annexe I du Règlement eIDAS et délivré par un prestataire de services de confiance qualifié, conformément à l'article 28 du règlement eIDAS.).
Le rôle crucial du certificat de signature électronique
En pratique, la remise de ce certificat permet d'établir un lien entre une personne et sa signature. Il est chargé sur un support et remis à une personne physique, après vérification de son identité par le prestataire ou son délégué. Or, force est de constater que ces certificats ne sont pas accessibles au grand public, en tous les cas pas à des conditions raisonnables ou gratuitement. Pour l'heure, quelques initiatives retiennent l'attention, à l'instar de France-Connect qui propose de faciliter l'identification des personnes mais pas encore la certification de leur signature. On peut penser que cela deviendra possible, par exemple via la carte nationale d'identité (CNI) puisque le règlement européen du 20 juin 2019 prévoit que celle-ci devra contenir « un support de stockage hautement sécurisé qui contient une image faciale du titulaire de la carte et deux empreintes digitales dans des formats numériques interopérables » (art. 3.5). Ce support pourrait donc comporter un certificat dont les conditions de remise à personne seraient satisfaites.
Dans l'intervalle, il faut bien constater que c'est la pratique des certificats électroniques « éphémères » ou « à la volée » qui se généralise. Il est délivré en ligne par l'intermédiaire de plateformes de signatures électroniques. Il n'est valable que pour une seule signature pour l'acte auquel il est destiné. Il est ensuite automatiquement détruit. Souvent, pour être « activé » lors de la signature du document en ligne, un code d'activation du certificat est adressé au signataire par SMS. Celui-ci le reporte à l'écran. Ainsi, la vérification d'identité « en face à face » n'est jamais possible lorsque le certificat électronique est délivré en ligne. A plusieurs reprises, la validité du recours à ce type de certificats a été admise par les juges (Cour d'appel de Douai, 2 mai 2013 ; Cour d'appel de Nancy, 14 février 2013).
Et pour cause, une signature simple ou avancée n'est pas dépourvue d'effet juridique comme le rappelle l'article 25.2 du Règlement eIDAS. On peut déduire de ces nombreuses dispositions que, en cas de contestation, il va falloir être en mesure de démontrer la fiabilité du procédé employé. Cette preuve a été demandée et a pu être établie devant une cour d'appel, en s'appuyant sur le fichier de preuve fourni par le prestataire (CA Chambéry, 25 janvier 2018).
Aussi, sauf lorsqu'il est assujetti à des règles spécifiques - par exemple pour les actes authentiques - les documents numérisés et les écrits électronique natifs peuvent bien sûr être produits à titre de preuve. Mais, en cas de contestation, c'est au juge qu'il appartient de vérifier les éléments de contexte, par exemple l'horodatage, l'enchaînement des courriels... autant d'éléments qui permettront de donner de la cohérence et donc de la véracité au contenu produit à titre de preuve.
Article rédigé par
Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire