2
juin
2011

Quelle est la valeur juridique d’une signature électronique ?

Exploitation Universign Exploitation Universign
0 commentaires
Avis d’expert

La signature électronique a déjà plus de 10 ans d’existence. C’est beaucoup… et peu à la fois, notamment au regard de plusieurs centaines d’années de signature manuscrite ! Ainsi, elle reste aujourd’hui encore relativement méconnue non seulement du grand public mais aussi des professionnels. En particulier, on nous pose souvent cette question : quelle est la valeur juridique d’une signature électronique ? Selon les cas, la réponse peut différer. Il ne nous a donc pas apparu inutile de rappeler ici dans un billet, le cadre cadre législatif français et communautaire de la signature électronique.

Au niveau européen

Il faut savoir que le  texte fondateur, définissant un cadre communautaire pour les signatures électroniques en Europe, est la directive européenne du 13 décembre 1999. Celle-ci distingue deux types de signature électronique avec deux niveaux de validité juridique différents :

La signature électronique (article 2) : « une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification ». A ce niveau, une signature électronique ne pourra pas être refusée au titre de preuve en justice mais ne pourra prétendre à un niveau de reconnaissance équivalent à celui de la signature manuscrite.

La signature électronique avancée (article 5.1) : « Les États membres veillent à ce que les signatures électroniques avancées basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature répondent aux exigences légales d’une signature à l’égard de données électroniques de la même manière qu’une signature manuscrite répond à ces exigences à l’égard de données manuscrites ou imprimées sur papier et soient recevables comme preuves en justice ». Dans ce deuxième cas, l’équivalence de la signature électronique avec la signature manuscrite est acquise dès lors que trois conditions sont remplies :

  1. la mise en œuvre d’une signature électronique avancée ;
  2. l’utilisation d’un dispositif sécurisé de création de signature électronique ;
  3. l’utilisation d’un certificat qualifié.

Nous allons détailler ces conditions plus loin en examinant notamment la transposition de ce texte européen en droit français.

Au niveau national

La transposition française s’est effectuée en de nombreuses étapes dont les principales sont :

  • la loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique ;
  • le décret n°2001-272 du 30 mars 2001, pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique, modifié par le décret n°2002-535 du 18 avril 2002 ;
  • le décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information ;
  • la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique qui précise le régime de responsabilité des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés ;
  • l’arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation ;

En résumé, au travers de ces différents textes, la législation française distingue également deux niveaux de signature électronique :

La signature électronique (article 4 de la loi 2000-230 du 13 mars 2000) : « Lorsqu’elle [la signature] est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ». A ce niveau, le procédé de signature électronique dit «simple» n’est pas présumé fiable mais l’écrit signé ainsi sous forme électronique ne pourra être refusé en justice au titre de preuve dès lors que le procédé permet d’identifier le signataire et de garantir le lien avec l’acte signé. En cas de contestation, il est nécessaire de prouver la fiabilité du procédé de signature électronique utilisé.

La signature électronique « présumée fiable » : L’article 4 de la loi 2000-230 du 13 mars 2000 précise également que la charge de la preuve peut être inversée, en cas de contestation, sous certaines conditions définies par le décret n°2001-272 du 30 mars 2001. « La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié ».

Pour bénéficier de la présomption de fiabilité, le signataire devra donc mettre en œuvre une signature réunissant trois conditions :

  1. la signature électronique est sécurisée. Autrement dit, il s’agit d’une signature électronique satisfaisant aux exigences suivantes: être propre au signataire ; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; garantir, avec l’acte auquel elle s’attache, un lien tel que toute modification ultérieure de l’acte soit détectable (intégrité du document).
  2. elle est créée par un dispositif sécurisé de création de signature (SSCD), c’est à dire par un dispositif certifié conforme à un certains nombre d’exigences. On pourra trouver notamment la liste des dispositifs certifiés en cliquant ici.
  3. la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié. Les certificats délivrés par des prestataires de services de certification électronique qualifiés sont présumés qualifiés. L’arrêté du 26 juillet 2004 encadre et définit la reconnaissance de la qualification des prestataires de services de certification électronique.

Si toutes ces conditions sont réunies, la signature électronique est présumé fiable et pourra prétendre en justice à un niveau de reconnaissance équivalent à celui de la signature manuscrite : en cas de contestation, il appartiendra à celui qui met en cause la fiabilité de la signature d’en apporter la preuve.

Lien entre RGS et signature électronique

La création de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) avec le décret n°2009-834 du 7 juillet 2009 et l’élaboration du Référentiel Général de Sécurité (RGS) suite à l’ordonnance n°2005-1516 du 8 décembre 2005 et au décret n°2010-112 du 2 février 2010 est venu encore densifier cette législation.

Le Référentiel Général de Sécurité (RGS) avec ses annexes se présente sous la forme de plusieurs documents et définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Concernant la signature électronique il définit trois niveaux de qualification pour les prestataires de services de certification. Ces niveaux imposent un certain nombre de règles concernant le certificat électronique, les conditions dans lesquelles il est émis ainsi que le dispositif de stockage de la clé privée. Sur ce dernier point :

Comme l’explique la Politique de Certification Type Signature (annexe du RGS) au chapitre I.1 :

« La mise en œuvre d’un procédé de signature électronique respectant les exigences définies pour le niveau *** permet de bénéficier de la présomption de fiabilité du procédé de signature telle que prévue dans l’article 1316-4 du code civil, sous réserve que la signature électronique soit dite sécurisée (cf. articles 1 et 2 du décret [SIG]). En effet, les exigences formulées dans cette PC Type à l’égard des prestataires de services de certification électronique et des dispositifs de création de signature pour le niveau *** répondent respectivement aux exigences techniques de l’article 6 (dispositifs sécurisés de création de signature) et de l’article 3 (certificats qualifiés) du décret [SIG] sous réserve du respect des procédures de qualification prévues par l’[ORDONNANCE]. Le décret [SIG] étant la transposition dans le droit français de la directive européenne [DIRSIG], un procédé de signature électronique respectant les exigences définies pour le niveau *** permet de générer des signatures qualifiées au sens de ladite directive. »

Ainsi, les prestataires de services de certification qualifiés RGS au niveau *** pour le service de signature électronique sont de fait prestataires qualifiés au sens de l’arrêté du 26 juillet 2004. Autrement dit, la signature électronique est également présumé fiable cette signature repose sur l’utilisation d’un certificat électronique qualifié RGS ***.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Testez Universign