==> Reconnaissance d’une équivalence entre signature électronique et signature manuscrite
Si, conformément à l’article 1367 du Code civil, la signature doit, pour être valable, permettre, d’une part, d’identifier le signataire et, d’autre part, de manifester le consentement de ce dernier à l’acte, il n’est, en revanche, plus exigé qu’elle soit manuscrite, c’est-à-dire qu’elle soit tracée à la main.
L’abandon de cette exigence a d’abord été limité aux effets de commerce. La loi n° 66-380 du 16 juin 1966 a admis en ce sens que la signature devant figurer sur une lettre de change puisse être apposée « soit à la main, soit par tout procédé non manuscrit » (art. L. 511-1, 8° C. com.). Cette règle vaut également pour l’endossement des effets de commerce (art. L. 511-8, al. 7e C. com.)
Puis, le législateur a généralisé la règle à tous les actes en admettant que la signature puisse être « apposée » sur l’instrumentum par voie dématérialisée : c’est la signature électronique.
La reconnaissance d’une équivalence entre la signature électronique et la signature manuscrite résulte de la loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique.
Cette loi a introduit un article 1316-4, al.2e dans le Code civil, devenu l’article 1367, al. 2e consécutivement à l’adoption de l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit de la preuve, qui prévoit que « lorsqu’elle est électronique, [la signature] consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. »
Il ressort de cette disposition que pour être dotée de la même valeur juridique que la signature manuscrite, la signature électronique doit répondre à une exigence de fiabilité.
Plus précisément, cette fiabilité doit garantir :
- D’une part, l’identification du signataire
- D’autre part, l’imputabilité de l’acte au signataire
==> Fonctionnement de la signature électronique
Pour que la signature électronique réponde à l’exigence de fiabilité, condition pour être reconnue comme valant signature manuscrite, cela implique qu’elle repose sur un dispositif de cryptographie, soit une technique de chiffrement consistant à rendre le texte d’un message illisible pour qui ne détient pas la clé de déchiffrement.
Classiquement, on distingue deux systèmes de chiffrement :
- Le système de chiffrement symétrique ou à clé secrète
- Dans ce système de chiffrement, déjà connu à l’Égypte ancienne, une seule clé sert à la fois à chiffrer et à déchiffrer les données.
- Il est donc impératif qu’elle soit gardée secrète par les parties intéressées pour que la sécurité de l’information soit assurée.
- L’inconvénient principal de ce système réside dans le fait que l’expéditeur et le destinataire doivent convenir à l’avance de la clé et doivent disposer d’un canal sûr pour l’échanger.
- Le système de chiffrement asymétrique ou à clé publique
- Afin de contourner l’inconvénient du système de chiffrement symétrique, il s’est développé depuis plusieurs années un dispositif de cryptographie reposant sur des algorithmes de chiffrement dits « asymétriques ».
- Dans ce système, chaque utilisateur dispose de deux clés, une clé publique et une clé privée.
- Ces deux clés sont elles-mêmes créées à l’aide d’algorithmes mathématiques.
- Elles sont associées l’une à l’autre de façon unique et sont propres à un utilisateur donné.
- Un message chiffré à l’aide d’un algorithme asymétrique et d’une clé privée, qui constitue l’un des paramètres de l’algorithme, ne peut être déchiffré qu’avec la clé publique correspondante, et inversement.
- La clé publique doit donc être connue de tous, tandis que la clé privée reste secrète.
Les dispositifs de signature électronique qui remplissent la condition de fiabilité posée par l’article 1367, al. 2e du Code civil, reposent sur le système de chiffrement asymétrique.
Comme souligné par Hubert Bitan, tous fonctionnent sensiblement de la même manière[7] :
- Première étape
- L’émetteur du document à signer se munit d’une paire de clés générées par un algorithme mathématique :
- Une clé publique qui est connue de tous et notamment du destinataire du document
- Une clé privée qui est seulement connue par l’émetteur du document
- L’émetteur du document à signer se munit d’une paire de clés générées par un algorithme mathématique :
- Deuxième étape
- Une fois les clés publique et privée créées, l’émetteur du document à signer communique à un tiers certificateur :
- Sa clé publique
- Son identité et si nécessaire sa qualité, le tout assorti de pièces justificatives
- La fonction de « hachage » qu’il entend utiliser qui agit comme une empreinte numérique unique sur un document, ce qui permet de garantir son intégrité et son authenticité
- Le tiers certificateur doit nécessairement avoir obtenu le statut de prestataire de services de confiance qualifiés délivré par un organisme d’évaluation de la conformité dans les conditions fixées par l’arrêté du 26 juillet 2004
- Leurs obligations sont définies à l’article 19 du règlement du 23 juillet 2014 (eIDAS)
- Une fois les clés publique et privée créées, l’émetteur du document à signer communique à un tiers certificateur :
- Troisième étape
- Le tiers certificateur délivre à l’émetteur du document à signer un « certificat électronique » ou « certificat de clé publique » qui contient les informations suivantes :
- La clé publique de l’émetteur
- Son identité
- La fonction de « hachage » utilisée
- Le certificat électronique s’apparente en une sorte de carte d’identité numérique ; il permettra au destinataire du document de vérifier l’identité de l’émetteur
- C’est ce certificat qui a vocation à faire le lien de façon certaine entre l’identité du signataire et la signature attachée au document électronique
- Le tiers certificateur délivre à l’émetteur du document à signer un « certificat électronique » ou « certificat de clé publique » qui contient les informations suivantes :
- Quatrième étape
- À réception du certificat électronique, l’émetteur peut procéder à la phase de signature du document qui consiste à :
- D’une part, insérer dans le message à envoyer au destinataire :
- Le certificat électronique remis par le tiers certificateur
- L’empreinte du document généré par la fonction de « hachage » visée dans le certificat électronique
- D’autre part, chiffrer l’empreinte du document avec la clé privée qu’il est le seul à détenir : c’est cette opération de chiffrement qui constitue l’acte de signature électronique proprement dit
- D’une part, insérer dans le message à envoyer au destinataire :
- À réception du certificat électronique, l’émetteur peut procéder à la phase de signature du document qui consiste à :
- Cinquième étape
- Le destinataire du document signé par l’émetteur doit utiliser la clé publique du tiers certificateur afin de décrypter le certificat électronique contenu dans le message qui lui est envoyé.
- Le déchiffrement du certificat électronique permet au destinataire d’obtenir deux éléments :
- La clé publique de l’émetteur au moyen de laquelle il pourra :
- Vérifier l’identité de l’émetteur du document
- Décrypter l’empreinte du message reçu
- La fonction de hachage utilisée pour générer l’empreinte du document reçu
- En appliquant cette fonction au document reçu, le destinataire pourra comparer si l’empreinte obtenue est identique à celle envoyée par l’émetteur.
- Dans l’affirmative, le destinataire peut être assuré de l’intégrité du document reçu
- La clé publique de l’émetteur au moyen de laquelle il pourra :
Au bilan, la signature électronique, telle qu’envisagée par le législateur, constitue un bloc de données créé à l’aide d’une clé privée ; la clé publique correspondante et le certificat permettent de vérifier que la signature provient réellement de la clé privée associée, qu’elle est bien celle de l’expéditeur et que le message n’a pas été altéré.
==> Présomption de fiabilité
Afin de prévenir toute remise en cause systématique de la validité de la signature électronique par la partie à laquelle elle est opposée et favoriser ainsi la dématérialisation des actes juridiques, le législateur a institué une présomption dispensant l’utilisateur d’une signature électronique d’avoir à prouver sa fiabilité.
L’article 1367, al. 2e du Code civil prévoit que « la fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État. »
Pour être présumé fiable, la signature électronique doit ainsi répondre à un certain nombre d’exigences techniques fixées par le décret n° 2017-1416 du 28 septembre 2017 qui a abrogé l’ancien décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’ancien article 1316-4 du Code civil.
Ce décret est complété par deux textes que sont :
- Le décret n° 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information
- Ce texte régit les critères techniques que doivent remplir les dispositifs de création de signatures électronique (logiciels installés sur l’ordinateur, la tablette ou le téléphone mobile du signataire) aux fins d’être certifiés conformes, ce qui implique que ces dispositifs soient en capacité de générer des signatures électroniques répondant aux exigences fixées par le décret n° 2017-1416 du 28 septembre 2017
- L’arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation
- Ce texte fixe les conditions d’obtention de la qualité de tiers certificateur, soit de prestataire habilité à fournir des services de certification électronique (PSCE)
Ces textes doivent être lus à la lumière du règlement n°910/2014 du parlement européen et du conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
Ce règlement, plus couramment appelé règlement eIDAS, pose notamment, en son article 25, 1, le principe de non-discrimination à l’égard des signatures électroniques dont la validité est soumise au juge.
Selon ce principe, « l’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée »
À l’analyse, il ressort de la combinaison de ces différents textes qu’il y a lieu de distinguer deux sortes de signatures électroniques :
- Les signatures électroniques qui, en raison de leur niveau élevé de sécurité, bénéficient de la présomption de fiabilité
- Les signatures électroniques qui, parce qu’elles ne répondent pas aux exigences techniques fixées par les textes, ne bénéficient pas de la présomption de fiabilité
I) Les signatures électroniques qui bénéficient de la présomption de fiabilité
Pour qu’une signature électronique bénéficie de la présomption de fiabilité et que, par voie de conséquence, elle produise, de plein droit, tous les effets juridiques attachés à une signature manuscrite, elle doit remplir un certain nombre de conditions.
A) Conditions
Les exigences auxquelles doit répondre une signature électronique pour être présumée fiable sont énoncées par le décret du 28 septembre 2017.
L’article 1er de ce décret prévoit que « la fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. »
La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par « signature électronique qualifiée ».
Pour le déterminer, il convient de poursuivre la lecture du texte qui dispose que « est une signature électronique qualifiée une signature électronique avancée, conforme à l’article 26 du règlement susvisé et créée à l’aide d’un dispositif de création de signature électronique qualifié répondant aux exigences de l’article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l’article 28 de ce règlement. »
Trois conditions doivent ainsi être réunies pour qu’une signature électronique soit reconnue comme qualifiée et que, à ce titre, elle puisse bénéficier de la présomption de fiabilité.
==> Première condition : une signature qualifiée
La première exigence qui doit être remplie par une signature électronique pour qu’elle soit présumée fiable tient à son niveau de sécurité.
Plus précisément, elle doit consister en « une signature électronique avancée », au sens de l’article 26 du règlement n°910/2014 du parlement européen et du conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
C’est donc vers l’article 26 de ce règlement, plus couramment appelé règlement eIDAS qu’il convient de se tourner.
Cette disposition prévoit que pour qu’une signature électronique soit reconnue comme étant avancée, elle doit satisfaire aux exigences cumulatives suivantes :
- être liée au signataire de manière univoque
- permettre d’identifier le signataire
- avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif
- être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable
Lorsqu’une signature électronique répond à ces exigences, elle accède donc à la qualification d’avancée.
Bien que ce type de signature repose nécessairement sur un dispositif de cryptographie, le niveau de sécurité proposé n’est toutefois pas suffisant pour lui faire bénéficier de la présomption de fiabilité.
Pour être élevée au rang de signature qualifiée, la signature avancée doit avoir été créée à l’aide d’un dispositif présentant un niveau de sécurité plus élevé.
==> Deuxième condition : un dispositif de création de signature qualifiée
La deuxième exigence qui doit être remplie par une signature électronique pour qu’elle soit présumée fiable tient à ses modalités de création.
Plus précisément, l’article 1er du décret du 28 septembre 2017 prévoit que la signature électronique – avancée – doit avoir été « créée à l’aide d’un dispositif de création de signature électronique qualifié répondant aux exigences de l’article 29 dudit règlement ».
La première question qui immédiatement se pose est de savoir ce qu’est un dispositif de création de signature électronique.
Selon le décret n°2001-272 du 30 mars 2001, aujourd’hui abrogé, un dispositif de création de signature électronique est « un matériel ou un logiciel destiné à mettre en application les données de création de signature électronique ».
Concrètement, ce dispositif prend la forme de logiciels ou d’applications installés sur l’ordinateur, le téléphone mobile ou la tablette du signataire.
Aujourd’hui, il est de nombreux acteurs sur le marché des nouvelles technologies de l’information qui développent et distribuent des dispositifs de création de signature électronique.
Tous les dispositifs proposés n’offrent pas néanmoins le même niveau de sécurité aux utilisateurs.
Or si l’utilisation d’un dispositif de signature électronique est absolument nécessaire pour signer des actes par voie dématérialisée, cela n’est pas suffisant pour conférer à la signature électronique générée par ce type de dispositif la même valeur qu’une signature manuscrite.
Pour ce faire, l’article 1er du décret du 28 septembre 2017 exige que le dispositif utilisé réponde « aux exigences de l’article 29 dudit règlement ».
C’est donc vers l’article 29 du règlement eIDAS qu’il convient de se reporter afin de connaître les exigences qui doivent être satisfaites par les dispositifs de création de signatures électroniques qualifiées. Il est alors renvoyé à l’annexe II dudit règlement.
Tout d’abord, cette annexe prévoit que les dispositifs de création de signature électronique qualifiés garantissent au moins, par des moyens techniques et des procédures appropriés, que :
- La confidentialité des données de création de signature électronique utilisées pour créer la signature électronique est suffisamment assurée ;
- Les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être pratiquement établies qu’une seule fois ;
- L’on peut avoir l’assurance suffisante que les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être trouvées par déduction et que la signature électronique est protégée de manière fiable contre toute falsification par les moyens techniques actuellement disponibles ;
- Les données de création de signature électronique utilisées pour créer la signature électronique peuvent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autres.
Ensuite, l’annexe précise que les dispositifs de création de signature électronique qualifiés ne doivent en aucune manière modifier les données à signer et empêcher la présentation de ces données au signataire avant la signature.
En outre, la génération ou la gestion de données de création de signature électronique pour le compte du signataire peut être seulement confiée à un prestataire de services de confiance qualifié, soit à un tiers certificateur.
À cet égard, les conditions d’obtention de ce statut sont fixées par l’arrêté du 26 juillet 2004.
La procédure de reconnaissance de la qualification de prestataire de services de certification électronique comporte plusieurs étapes :
- Première étape
- Le prestataire de services de certification électronique qui souhaite être reconnu comme qualifié doit formuler une demande auprès d’un ou plusieurs organismes accrédités afin qu’il soit procédé à l’évaluation des services qu’il propose.
- Le prestataire est alors tenu de fournir aux organismes qu’il a choisis tous les éléments nécessaires au bon accomplissement de la procédure d’évaluation.
- Deuxième étape
- Le ou les organismes choisis procèdent à l’évaluation des services proposés par le prestataire à ses frais.
- Cette évaluation a pour objet notamment de vérifier que les services offerts par le prestataire respectent en tout point les exigences fixées par l’article 6 du décret n°2001-272 du 30 mars 2001 ainsi que les normes, prescriptions techniques et règles de bonne pratique applicables en matière de certification électronique.
- Troisième étape
- A l’issue de la procédure d’évaluation, l’organisme accrédité établit un rapport qui est notifié au prestataire afin que celui-ci puisse, le cas échéant, formuler des observations sur son contenu.
- Les rapports d’évaluation sont communiqués par les organismes accrédités à la direction centrale de la sécurité des systèmes d’information si celle-ci le demande.
- Quatrième étape
- L’organisme accrédité reconnaît ou non la qualification du prestataire de services de certification électronique au vu du rapport d’évaluation et des éventuelles observations du prestataire.
- Lorsqu’il reconnaît la qualification d’un prestataire, l’organisme accrédité délivre une attestation qui décrit les prestations de services couvertes par la qualification ainsi que la durée, qui ne peut excéder un an, pendant laquelle l’attestation est valable.
- Les prestataires dont la qualification est reconnue communiquent à toute personne qui en fait la demande une copie de l’attestation délivrée par l’organisme accrédité.
Enfin, un prestataire de services de confiance qualifié gérant des données de création de signature électronique pour le compte d’un signataire ne peut reproduire les données de création de signature électronique qu’à des fins de sauvegarde, sous réserve du respect des exigences suivantes :
- Le niveau de sécurité des ensembles de données reproduits doit être équivalent à celui des ensembles de données d’origine ;
- Le nombre d’ensembles de données reproduits n’excède pas le minimum nécessaire pour assurer la continuité du service.
==> Troisième condition : un certificat qualifié de signature électronique
Contrairement à la signature manuscrite, la signature électronique, composée de chiffres, de lettres et d’autres signes, ne comporte aucun élément permettant de l’attribuer à une personne donnée.
Chaque utilisateur doit donc établir avec certitude l’identité de ses correspondants.
C’est pourquoi on recourt à des services de certification fournis par des prestataires de services de confiance qualifiés, souvent désignés comme des « tiers de certification », qui disposent de la confiance de chacun et qui garantissent l’appartenance d’une signature à une personne.
Comme le destinataire utilise la clé publique de l’expéditeur pour vérifier la signature électronique de ce dernier, la vérification suppose que le tiers certifie au destinataire que la clé publique qu’il utilise correspond bien à la clé privée de l’expéditeur signataire et que ce dernier est bien celui qu’il prétend être.
Pour ce faire, les tiers de certification délivrent ce que l’on appelle des certificats « électroniques », qualifiés aussi de « numériques ».
Selon l’article 1, 9 du décret n°2001-272 du 30 mars 2001 un certificat électronique est « un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire »
Ce certificat joue un rôle prépondérant dans l’opération de signature électronique puisqu’il contient :
- D’une part, divers renseignements sur la personne dont on souhaite vérifier l’identité (nom, prénom, date de naissance…)
- D’autre part, la clé publique de cette dernière
Le certificat électronique s’apparente, en quelque sorte, en une carte d’identité numérique qui permettra au destinataire du document à signer de vérifier l’identité de l’émetteur.
A cet égard, seul un prestataire de services de confiance qualifié est habilité à délivrer des certificats électroniques qualifiés.
Surtout, conformément à l’article 1er du décret n° 2017-1416 du 28 septembre 2017 pour qu’une signature électronique puisse être présumée fiable, son dispositif de création doit nécessairement reposer sur « un certificat qualifié de signature électronique »
La question qui alors se pose est de savoir ce qu’est un certificat électronique qualifié. Le texte indique qu’il s’agit d’un certificat « répondant aux exigences de l’article 28 de ce règlement. »
C’est donc à l’article 28 du règlement eIDAS qu’il y a lieu de se reporter afin de connaître les exigences devant être remplies pour qu’un certificat soit qualifié.
Cette disposition renvoie alors à l’annexe I du règlement qui prévoit que les certificats de signature électronique doivent, pour être qualifiés, contenir :
- une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique ;
- un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi, et :
- pour une personne morale: le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels
- pour une personne physique: le nom de la personne ;
- au moins le nom du signataire ou un pseudonyme; si un pseudonyme est utilisé, cela est clairement indiqué ;
- des données de validation de la signature électronique qui correspondent aux données de création de la signature électronique ;
- des précisions sur le début et la fin de la période de validité du certificat ;
- le code d’identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié ;
- la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat ;
- l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé mentionnés au point g);
- l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié ;
- lorsque les données de création de la signature électronique associées aux données de validation de la signature électronique se trouvent dans un dispositif de création de signature électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé.
L’article 28 du règlement précise que les certificats qualifiés de signature électronique peuvent comprendre des attributs spécifiques supplémentaires non obligatoires.
Ces attributs ne doivent toutefois affecter l’interopérabilité et la reconnaissance des signatures électroniques qualifiées.
Par ailleurs, si un certificat qualifié de signature électronique a été révoqué après la première activation, il perd sa validité à compter du moment de sa révocation et il ne peut en aucun cas recouvrer son statut antérieur.
B) Effets
Lorsqu’une signature électronique répond aux exigences fixées par le décret du 28 septembre 2017, en application de l’article 1367, al. 2e du Code civil elle est présumée fiable.
Cela signifie que la partie qui s’en prévaut est dispensée d’avoir à prouver sa fiabilité. Tout au plus, il lui faudra seulement établir que le dispositif utilisé met en œuvre une signature électronique qualifiée au sens de l’article 26 du règlement eIDAS.
La signature qualifiée, soit celle qui est présumée fiable, présente ainsi un véritable intérêt : elle est pourvue, de plein droit, de la même valeur juridique qu’une signature manuscrite.
L’article 25, 2 du règlement n°910/2014 du parlement européen et du conseil du 23 juillet 2014 prévoit en ce sens que « l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite. »
La présomption de fiabilité instituée par l’article 1367, al. 2e est toutefois simple, de sorte qu’elle souffre de la preuve contraire.
En cas de litige, cela signifie que la partie à laquelle la signature électronique est opposée est autorisée à contester sa fiabilité. Si elle y parvient, la signature litigieuse ne pourra pas se voir attacher les mêmes effets juridiques qu’une signature manuscrite.
Il appartiendra alors au juge de déterminer si les conditions de l’écrit qui lui est soumis sont réunies.
II) Les signatures électroniques qui ne bénéficient pas de la présomption de fiabilité
La seule condition exigée pour qu’une signature électronique produise les mêmes effets qu’une signature manuscrite c’est qu’« elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » dit l’article 1367, al. 2e du Code civil.
Ce texte ne pose aucune autre condition à la reconnaissance d’une équivalence entre les deux formes de signatures.
Il n’est donc pas nécessaire qu’une signature électronique bénéficie de la présomption de fiabilité pour valoir signature manuscrite.
Il y a lieu, en effet, de ne pas confondre l’exigence de fiabilité avec la présomption de fiabilité.
- S’agissant de l’exigence de fiabilité, elle doit nécessairement être remplie pour que la signature électronique puisse produire les mêmes effets qu’une signature manuscrite : c’est la reconnaissance d’une équivalence entre les deux formes de signature qui se joue ici. Une signature électronique qui n’est pas fiable fait obstacle à la perfection de l’écrit sur lequel elle est apposée.
- S’agissant de la présomption de fiabilité, il n’est pas nécessaire que la signature électronique utilisée en bénéficie pour que celle-ci produise les mêmes effets qu’une signature manuscrite. Une signature électronique qui ne répondrait pas aux exigences fixées par le décret n°2017-1416 du 28 septembre 2017, lequel exige pour mémoire l’utilisation d’un procédé mettant en œuvre une signature électronique qualifiée, pourrait dès lors parfaitement valoir signature manuscrite s’il est établi qu’elle est fiable. Seulement, c’est à celui se prévaut de la fiabilité de cette signature qu’il appartiendra de démontrer que le dispositif utilisé garantit, d’une part, l’identification du signataire et, d’autre part, le lien entre la signature et l’acte auquel elle s’attache. Ce qui donc se joue ici c’est la charge de la preuve.
Comme souligné par un auteur, au fond « toutes les signatures électroniques peuvent être recevables devant les tribunaux, leur distinction n’a d’intérêt qu’au regard de leur niveau de fiabilité qu’il convient d’établir soit ex-ante (bénéficie de la présomption de fiabilité), soit ex-post (fiabilité à établir devant le juge) »[8].
Aussi, toute forme de signature électronique doit, a priori, pouvoir être valablement apposée sur un écrit électronique.
À cet égard, conformément au principe de non-discrimination énoncé par l’article 25 du règlement eIDAS, il est fait interdiction au juge de dénier à une signature électronique tout effet juridique ou de refuser sa recevabilité « au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée. »
Dans un arrêt du 20 octobre 2022, la Cour de Justice de l’Union Européenne a jugé en ce sens que « l’article 25, paragraphe 1, du règlement (UE) no 910/2014 du Parlement européen et du Conseil, du 23 juillet 2014, sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, doit être interprété en ce sens qu’il ne s’oppose pas à ce qu’un acte administratif établi sous la forme d’un document électronique soit déclaré nul, lorsqu’il est signé au moyen d’une signature électronique qui ne satisfait pas aux exigences de ce règlement pour être regardée comme une « signature électronique qualifiée », au sens de l’article 3, point 12, de celui-ci, à condition que la nullité de cet acte ne soit pas constatée au seul motif que la signature de celui-ci se présente sous une forme électronique. »
Le juge a donc l’obligation, quelle que soit la forme de la signature électronique qui lui est soumise, d’examiner les preuves visant à établir sa fiabilité.
C’est à la seule condition que la fiabilité de la signature électronique litigieuse ne soit pas démontrée que le juge pourra la priver d’effet juridique.
Si désormais l’on se focalise spécifiquement sur les signatures électroniques dont la fiabilité doit être établie par la partie qui s’en prévaut, car ne bénéficiant pas de la présomption de fiabilité, on peut les classer en deux catégories :
- Les signatures électroniques avancées
- Les signatures électroniques simples
A) Les signatures électroniques avancées
==> Spécificité
Ce n’est pas parce qu’une signature électronique ne bénéficie pas de la présomption de fiabilité qu’elle n’est pas pour autant fiable et que donc elle ne produirait pas les mêmes effets juridiques qu’une signature manuscrite.
Cette fiabilité, exigée pour mémoire par l’article 1367, al. 2e du Code civil, ne jouera toutefois pas de plein droit ; elle devra être démontrée par celui qui s’en prévaut.
Pour ce faire, conformément à l’article 26 du règlement eIDAS, il conviendra de prouver que la signature électronique utilisée peut être qualifiée d’avancée (SEA) ou, de sécurisée (SES) ; ce qui implique de satisfaire aux exigences suivantes :
- être liée au signataire de manière univoque ;
- permettre d’identifier le signataire
- avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif
- être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
À l’analyse la signature électronique avancée (appelée également de niveau 2) se distingue de la signature électronique qualifiée (de niveau 3) essentiellement sur deux points :
- Premier point
- La fourniture d’un dispositif de création de signature électronique avancée peut ne pas être assurée par un prestataire de services de confiance qualifié, soit par tiers certificateur.
- Pour rappel, ces prestataires présentent la spécificité de relever du contrôle d’organismes habilités par des textes réglementaires à délivrer des accréditations, lesquels sont eux-mêmes accrédités par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).
- Second point
- Les garanties apportées par le prestataire fournissant un dispositif de signature électronique avancée sont purement déclaratives.
- Aucun contrôle de conformité aux exigences posées par le règlement eIDAS n’est réalisé par un organe de contrôle, bien que, en pratique, il ne soit pas rare que les prestataires fassent certifier leurs services par un tiers indépendant au regard des exigences reconnus.
- Reste qu’il conviendra néanmoins, pour celui qui se prévaut d’une signature électronique avancée, de démontrer au juge que
- Les procédures de collecte et de vérification d’identité mises en place par le prestataire garantissent l’identification du signataire
- Le dispositif utilisé garanti l’intégrité du document signé
==> Effets
Comme énoncé par l’article 25 du règlement eIDAS, l’effet juridique et la recevabilité d’une signature électronique avancée comme preuve en justice ne saurait être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.
En revanche, il appartiendra à celui qui s’en prévaut de démontrer sa fiabilité ce qui implique qu’elle satisfasse aux exigences posées par l’article 26 du Règlement.
S’il y parvient, alors la signature électronique avancée produit les mêmes effets qu’une signature manuscrite : elle vient parfaire l’écrit sur lequel elle est apposée.
B) Les signatures électroniques simples
==> Spécificités
Il est des signatures électroniques qui ne répondent :
- Ni aux exigences de la signature électronique avancée (niveau 2) posées par l’article 26 du règlement eIDAS
- Ni aux exigences de la signature électronique qualifiée (niveau 3) posées par l’article 29 du règlement eIDAS
Ces signatures électroniques sont dites simples ou de niveau 1. Au nombre des dispositifs techniques les plus fréquemment utilisés on compte :
- La signature scannée
- Ce procédé consiste à numériser, au moyen d’un scanner, une signature manuscrite. L’image obtenue est ensuite enregistrée sur un support durable (disque dur, clé usb etc.)
- Cette signature peut alors être très facilement pour être apposée sur n’importe quel document.
- Aussi, ne permet-elle pas de faire le lien entre le signataire et le document signé, ni de garantir l’intégrité du document sur lequel elle est apposée.
- À cet égard, régulièrement la Cour de cassation rappelle que l’apposition d’une signature sous forme d’une image numérisée n’est pas assimilable à une signature électronique au sens de l’article 1367 du Code civil (V. en ce sens Cass. 2e civ. 17 mars 2011, n°10-30.501; Cass. soc. 14 déc. 2022, n°21-19.841).
- Il en résulte qu’une signature scannée, faute de pouvoir être qualifiée d’électronique, ne saurait produire les mêmes effets qu’une signature manuscrite.
- Dans un arrêt du 14 décembre 2012, la Cour d’appel de Fort-de-France avait précisé, dans un arrêt remarqué, que « si la mention écrite par la partie qui s’engage n’est plus nécessairement manuscrite, elle doit toutefois résulter des procédés d’identification conformes aux règles qui gouvernent la signature électronique ; or, la seule signature scannée de Maxime X. est insuffisante pour s’assurer de l’authenticité de son engagement juridique comme ne permettant pas une parfaite identification du signataire» (CA Fort-de-France, ch. civ., 14 déc. 2012, n° 12/00311).
- La signature réalisée sur tablette
- Ce procédé consiste à apposer une signature sur une tablette numérique à l’aide d’un stylet.
- La différence avec la signature manuscrite, c’est que le support de fixation de la signature est ici digital et non physique.
- Ce dispositif de signature se rencontre de plus en plus dans le domaine de la banque ou des assurances
- Est-ce à dire cette forme de signature vaut signature électronique et que, par voie de conséquence, elle est susceptible de produire les mêmes effets juridiques qu’une signature manuscrite ?
- Dans un arrêt du 17 mars 2011, la Cour de cassation a répondu par la négative à cette question.
- Elle a estimé que le procédé n’était assimilable, ni à une signature manuscrite, ni à une signature électronique.
- La Deuxième chambre civile l’a qualifié de « réplique informatique» (Cass. 2e civ. 17 mars 2011, n°10-14.850).
- Dans le sens inverse, la Cour d’appel d’Amiens n’a pas hésité à assimiler la signature sur tablette à une signature manuscrite (CA Amiens, 1ère ch. civ., 24 mai 2022, n° 20/04601).
- Cette position doit cependant être rejetée dans la mesure où ce procédé de signature ne répond pas aux exigences de fiabilité énoncées par l’article 1367 du Code civil.
- Par ailleurs, comme souligné par un auteur « comparer une signature manuscrite avec une signature électronique même apposée à l’aide d’un stylet sur une tablette est une fausse bonne idée puisque celles-ci relèvent de procédés différents et ne peuvent donc pas avoir les mêmes caractéristiques graphiques. Confronter l’une et l’autre lors d’une procédure est par conséquent vide de sens et revient à les assimiler alors qu’il est substantiel de distinguer les deux formes de signatures»[9].
- Pour cette raison, on ne saurait reconnaître à la signature réalisée sur une tablette les effets juridiques d’une signature manuscrite.
- Signature par confirmation de code reçue par SMS ou par courriel
- Il s’agit d’une méthode consistant à adresser le document à signer par voie électronique, lequel sera accessible à partir d’un lien reçu par mail ou par SMS.
- Après avoir consulté le document, le signataire le valide en cliquant sur un boutant, cette opération faisant office de signature.
- Compte tenu de l’absence de procédure sérieuse de vérification de l’identité du signataire, ce type de signature est, a priori, dépourvu d’effet juridique.
- Certains prestataires proposent néanmoins de renforcer la sécurité de cette forme de signature en ajoutant une étape d’authentification.
- Le signataire devra en effet s’authentifier au moyen d’un code OTP (One-Time-Password), soit d’un code unique et éphémère qui lui est envoyé par SMS sur le numéro de téléphone déclaré.
- La saisie de ce code déclenche alors la création d’un certificat électronique « éphémère » dit également « à la volée » délivré par un prestataire de signature électronique, qui présente la particularité de n’être valable que pour la signature de l’acte pour lequel il a été généré.
- Pour certains auteurs, ce dispositif qui comporte une étape d’authentification du signataire, répondrait aux exigences de la signature électronique avancée.
- Cette analyse semble être confirmée par la jurisprudence. Plusieurs juridictions ont reconnu la validité de cette forme de signature (CA Douai, 2 mai 2013, n°12/05299 ; CA Nancy, ch. 2e, 14 févr. 2013, n°12/01383).
- La partie qui s’en prévaut devra néanmoins prouver la fiabilité du dispositif de signature utilisé (V. en ce sens CA Rouen, 4 mars 2021, n° 20/01275).
==> Effets
Tout d’abord, il y a lieu de rappeler que, en application de l’article 25 du règlement eIDAS, la recevabilité de la signature électronique dite « simple » comme preuve en justice ne saurait être refusée par le juge au seul motif qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.
Reste qu’elle n’en demeure pas moins soumise à l’exigence de fiabilité fixée par l’article 1367, al. 2e du Code civil.
Aussi, appartient-il à la partie qui se prévaut d’une signature électronique simple de démontrer qu’elle satisfait à cette exigence.
Compte tenu toutefois du faible niveau de sécurité que cette forme de signature offre à ses utilisateurs, elle présente précisément la particularité de n’être pas fiable, soit de ne garantir, ni l’identification du signataire, ni son lien avec l’acte auquel elle s’attache.
Pour cette raison, elle est dépourvue de tout effet juridique, à tout le moins, l’écrit sur lequel elle est apposée ne peut valoir tout au plus que commencement de preuve par écrit.
[1] G. Lardeux, Preuve : mode de preuve, Dalloz, Rép. de Droit Civil. n°15.
[2] F. Terré, Ph. Simler, Y. Lequette et F. Chénedé, Droit civil – Les obligations, éd. Dalloz, 2019, n°1834, p. 1910
[3] J. Huet, « Preuve et sécurité juridique en cause dans l’immatériel », in Arch. Philo Droit, tome 43, Le droit et l’immatériel, 1999, Sirey, p. 163.
[4] G. Chantepie et M. Latina, Le nouveau droit des obligations, éd. Dalloz, 2018, n°1182, p. 1054.
[5] Définition tirée du Dictionnaire mise en ligne par le Centre Nationale de Ressources Textuelles et Lexicales : https://www.cnrtl.fr/definition/signature
[6] F. Terré, Introduction générale au Droit, Dalloz, 2000, n°522
[7] V. en ce sens H. Bitan, « Un décret fixe les conditions de fiabilité de la signature électronique », CCE, juill. 2001, n°7-8, chon. 19.
[8] E. Caprioli, « Éléments devant constituer le dossier relatif à la signature électronique », CCE, mai 2021, n°41
[9] E. Caprioli, « Validation d’une signature apposée sur une tablette comparée à une signature manuscrite », CCE sept. 2022, n°63
No comment yet, add your voice below!