Publications | Fiches point de vue

LA SIGNATURE ELECTRONIQUE ET LE BOULEVERSEMENT DU DROIT DE LA PREUVE

Avec l’avènement du commerce électronique, un nombre croissant de documents numériques (bons de commandes, factures, conditions générales de ventes, déclarations, formulaires, courriers électroniques, etc.) sont échangés quotidiennement sur internet. Or, en cas de litige, il peut s’avérer difficile d’apporter la preuve de l’existence d’une transaction en ligne. 

Il est donc fondamental, pour l’essor du commerce électronique, d’assurer la sécurité juridique des transactions réalisées sur internet en donnant la possibilité aux différents acteurs de prouver l’existence et la teneur de leurs échanges en ligne.

C’est dans cette optique qu’a été adoptée la Directive du 13 décembre 1999 (1) afin d’instaurer une reconnaissance légale des signatures électroniques (I). Cette Directive a été transposée en droit français aux termes de la nouvelle loi (2) portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique (II).

I. LES POINTS SAILLANTS DE LA DIRECTIVE SUR LES SIGNATURES ELECTRONIQUES

L’objectif de la Directive est de faciliter l’utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique.

1. Reconnaissance légale des signatures électroniques

La Directive définit la signature électronique comme "une donnée sous forme électronique qui est jointe ou liée électroniquement à d’autres données électroniques et qui sert de méthode d’authentification." Cette définition, volontairement générale par souci de neutralité et d’évolutivité technologique, est destinée à englober toutes les signatures électroniques (signatures numériques, signatures biométriques fondées sur les empreintes digitales, l’iris de l’œil, la reconnaissance vocale, etc.).

La signature électronique bénéficie du principe de non-discrimination, et, de ce fait, ne peut être écartée légalement comme moyen de preuve pour la seule raison de sa forme électronique.

Par ailleurs, la Directive va plus loin en prévoyant un statut prééminent pour les signatures électroniques qui peuvent être qualifiées de "signature électronique avancée".

La "signature électronique avancée" est celle "...qui satisfait aux exigences suivantes : (a) être liée uniquement au signataire (b) permettre d’identifier le signataire (c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif (d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable. ".

La signature électronique avancée est automatiquement réputée de même valeur qu’une signature manuscrite, et est recevable comme preuve en justice.

En effet, la Directive dispose que "Les Etats membres veillent à ce que les signatures électroniques avancées basées sur un certificat qualifié (3)  et créées par un dispositif sécurisé de création de signatures : (a) répondent aux exigences légales de signature à l’égard de données électroniques de la même manière qu’une signature manuscrite répond à ces exigences à l’égard de données manuscrites ou imprimées sur papier, et (b) soient recevables comme preuves en justice."

En fait, la signature électronique avancée est fondée sur la technique de cryptographie à clés asymétriques et sur des infrastructures à clé publique.

2. La cryptographie à clés asymétriques et les infrastructures à clé publique

La Directive prévoit les caractéristiques des dispositifs techniques permettant de générer des signatures électroniques et les conditions qui doivent être satisfaites par les différents prestataires de services de certification.

2.1  La cryptographie asymétrique

A l’heure actuelle, les seules signatures électroniques reconnues comme fiables sont fondées sur la cryptographie à clés asymétriques décrites en annexe de la Directive. Deux clés sont utilisées : avec la première clé (clé privée) on signe électroniquement, avec la deuxième (clé publique) on vérifie la signature électronique. De plus, il est impossible de déduire ou extrapoler une clé à partir de l’autre.

A titre d’exemple, Jacques souhaite signer électroniquement un message et l’envoyer. Jacques génère un couple de clés dont l’une est privée et l’autre publique. Jacques signe le message au moyen de sa clé privée qu’il garde secrète (lui seul pourra donc signer). Jacques envoie au destinataire son message signé électroniquement assorti de sa clé publique. Le destinataire utilise la clé publique de Jacques pour vérifier l’origine du message. Lorsque le destinataire vérifie l’origine du message avec la clé publique de Jacques, il peut avoir la certitude que le message a bien été signé avec la clé privée de Jacques (authentification) et que ce message n’a pas été modifié (intégrité du message). 

2.2 Les infrastructures à clé publique

Dans l’exemple ci-dessus, la vérification de la signature par le destinataire au moyen de la clé publique permet d’authentifier l’auteur du message et l’intégrité de ce même message. Toutefois, le destinataire n’a pas la certitude que la clé publique transmise par l'auteur du message est bien la sienne.

C’est pourquoi, il est nécessaire de compléter ce système par un certificat qualifié qui va permettre d’établir un lien entre une personne et sa clé publique (dans notre exemple, entre Jacques et sa clé publique). A l’instar d’un passeport qui établit un lien entre une photographie, l’identité d’une personne et une signature manuscrite, le certificat qualifié, "passeport virtuel", va officialiser un lien entre l’identité d’une personne et une clé publique. A cette fin, le certificat qualifié contient notamment les mentions suivantes :

  • le nom du porteur,
  • la clé publique du porteur,
  • le nom de l'autorité de certification,
  • la durée de validité du certificat

Pour poursuivre la même comparaison, et à l’instar du passeport émis par un Etat et signé par un représentant de cet Etat, le certificat qualifié est fabriqué et signé par un tiers de confiance qui est un prestataire de service de certification. Pour ce faire, ce prestataire utilise aussi la cryptographie asymétrique et signe le certificat au moyen de sa propre clé privée. 

Pour reprendre l’exemple ci-dessus, et toujours à l’instar de la vérification de la date de validité d’un passeport, le destinataire, après avoir vérifié l’origine du message au moyen de la clé publique de Jacques, doit vérifier :

- la validité en cours du certificat qualifié,

- l’authenticité de la signature du prestataire de service de certification au moyen de la clé publique de ce prestataire.

Son rôle est de définir une politique générale d’attribution des certificats qualifiés et de signer ces certificats numériques. La confiance des tiers envers les certificats émis et signés par le prestataire de service de certification résulte de la qualité et du sérieux des conditions d’attribution des certificats émis par ce prestataire.

Bien que la Directive ne distingue pas les entités en charge des différentes prestations de services de certification, en pratique plusieurs services sont fournis par des prestataires distincts, notamment l’autorité de certification (en charge de la fixation des conditions de délivrance des certificats), l’opérateur de certification (en charge de la fabrication des certificats à partir de la clé publique du futur porteur et de l’identité de celui-ci) et l’opérateur d’enregistrement (en charge de l’accueil des demandes de certificats, de la mise en œuvre de la politique de l’autorité de certification, et de la transmission à l’opérateur de certification des demandes de fabrication des certificats).

2.3 Responsabilité des prestataires de services de certification

La Directive prévoit un minimum de règles de responsabilité des prestataires de services de certification, en ce qui concerne notamment les informations contenues dans le certificat, la durée de validité du certificat, la révocation du certificat et la valeur limite des transactions pour lesquelles le certificat peut être utilisé.

Les Etats Membres doivent transposer cette Directive avant le 19 juillet 2001.

II. LA LOI DU 13 MARS 2000 PORTANT ADAPTATION DU DROIT DE LA PREUVE AUX TECHNOLOGIES DE L'INFORMATION ET RELATIVE A LA SIGNATURE ELECTRONIQUE

 Le régime juridique français de la preuve qui repose sur la prééminence de l’écrit pour toute transaction supérieure à 5.000 francs n’était pas adapté aux échanges électroniques. Si la jurisprudence a fait dans le passé une application large de la notion d’écrit (4), l’écrit électronique n’a pas été reconnu comme un mode de preuve équivalent à celui de l’écrit sur support papier. 

Le législateur a désormais élargi la notion d’écrit en le dissociant totalement de son  support papier auquel il était traditionnellement assimilé, remettant ainsi en cause des règles du Code Civil datant de 1804.

La nouvelle loi du 13 mars 2000 élargit la notion de preuve par écrit pour y intégrer désormais les documents électroniques, et donne une définition générale de la signature afin de reconnaître la signature électronique.

1. L’écrit électronique admis comme preuve

1.1  Une nouvelle définition de l’écrit

Selon le nouveau texte, "la preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient leur support et leurs modalités de transmission".  

L’écrit, ainsi redéfini, est totalement dissocié et rendu indépendant de son support. La nouvelle définition retenue, par sa généralité, permet de viser l’ensemble des écrits et d’intégrer désormais les documents électroniques quelle que soit la technologie utilisée (neutralité technologique).

1.2 La reconnaissance du document électronique comme mode de preuve

Aux termes de la nouvelle loi, « l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité. »

L’admissibilité de l’écrit sous forme électronique comme preuve est ainsi soumise à une double condition. En premier lieu, l’écrit doit révéler l’identité de celui dont il émane. En d’autres termes, une vérification doit être opérée. En pratique, l’identification sera réalisée au moyen du certificat qualifié émis dans les conditions prévues par la Directive. En second lieu, l’écrit sous forme électronique doit être établi et conservé dans des conditions de nature à en garantir son intégrité.

La notion d’intégrité de l’écrit électronique permet d’instaurer une certaine correspondance avec la notion d’original pour le support papier. La notion d’intégrité autorise de plus une évolution du support dans le temps en fonction du progrès technologique (évolution des techniques numériques de stockage et d’archivage), dès lors que l’écrit conserve cette intégrité.

1.3 Le pouvoir du juge

Une fois les conditions d’admission satisfaites, le document électronique se voit reconnaître la même force probante que l’acte sous seing privé (absence de discrimination), et ne peut être combattu en conséquence que par un autre document électronique ou un acte sous seing privé.

En l’absence de hiérarchie instaurée entre documents électroniques et actes sous seing privé, des risques de conflits de preuve sont désormais possibles en cas de contradiction entre les différents documents. Quel document faire prévaloir ?

Selon cette nouvelle loi, le juge pourra régler ce conflit de preuves en déterminant par tous moyens le titre le plus vraisemblable quel qu’en soit le support. Le fait que le différend soit en matière commerciale se révèlera sans incidence. La preuve étant libre (article 109 du Code de Commerce), le juge conserve toujours l’appréciation des preuves qui lui sont présentées.

Toutefois, les parties pourront établir une convention de preuve qui sera opposable au juge, si les conditions de validité d’une telle convention sont satisfaites (clause abusive, etc.).

2. La reconnaissance juridique de la  signature électronique

2.1  La définition générale et fonctionnelle de la signature

 Paradoxalement, le législateur n’avait jusqu’à présent pas retenu une définition de la signature. Aux termes de la nouvelle loi, la signature se voit reconnaître une double fonction : elle "…identifie celui qui l’appose  et manifeste son consentement aux obligations qui découlent de cet acte ".

 Une fois encore, la généralité de la définition retenue permet d’appliquer cette définition tant aux signatures manuscrites qu’aux signatures électroniques. Une signature manuscrite équivaut désormais à une signature électronique.

2.2  La définition de la signature électronique

La nouvelle loi définit la signature électronique comme ’usage d’un "procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache.".

Dans le droit fil de la Directive, la définition de la signature électronique en droit français est technologiquement neutre. La généralité des termes retenus (fiabilité d’un procédé) autorisera notamment l’évolution technologique. Il convient de relever enfin qu’un lien indissociable doit exister entre la signature électronique et le document électronique.

Les notions de fiabilité du procédé et de lien entre la signature et le document électroniques devront être définies par décret en Conseil d’Etat permettant ainsi de transposer en droit français la notion de signature avancée au sens de la Directive.

Les modifications actuelles, d'une ampleur sans précédant, constituent le premier volet des réformes nécessaires au développement du commerce électronique. Fondées sur le principe de non discrimination, les solutions retenues maintiennent une neutralité technologique, garante du pluralisme et de l’évolutivité des solutions techniques.



(1) Directive 1999/93/CE du Parlement Européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques. [retour]

(2) Loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique, adoptée à l’unanimité le 8 février 2000 par le Sénat et le 29 février 2000 par l’Assemblée Nationale. [retour]

(3) Le "certificat numérique qualifié" comporte notamment le nom du signataire, sa clé publique, la durée de validité du certificat, l’identification du prestataire de services de certification. [retour]

(4) La Cour d’Appel d’Aix-en-Provence, en date du 27 janvier 1846, a considéré, à propos d’un berger qui avait rédigé un testament au crayon, que le "…mot écrire signifie tracer des lettres, des caractères ; que la loi n’a spécifié ni l’instrument ni la matière avec lesquels les caractères seraient tracés". [retour]

 

Mascré Heguy associés

Mascré Heguy Associés

144 rue de Courcelles

75017 PARIS

Tél: (33-1) 42.56.08.80

Fax: (33-1) 42.56.08.82