Chapitre I – Le contrôle des contractants par les outils numériques

3528 S’interroger sur l’identité de la personne signataire d’un contrat dématérialisé, c’est examiner son identification électronique, dont la signature électronique est l’expression¹¹⁵⁹. En d’autres termes, comment s’assurer de la concordance entre l’identité réelle du signataire et son identité électronique ? Car, en prévenant le risque d’usurpation d’identité et en luttant contre l’anonymat, l’identification électronique est un facteur de confiance à même de favoriser le développement du commerce électronique. Mais, en la matière, les nouvelles technologies numériques et les outils proposés peuvent s’avérer défaillants.

3529 À titre d’exemple, en matière de blockchain publique, il est souvent difficile d’identifier formellement tous les participants. Chaque utilisateur dispose d’un identifiant créé sous forme d’empreinte générée au moment de la création de son compte. Or, cet identifiant n’a pas forcément de lien direct avec l’identité réelle de la personne¹¹⁶⁰. La solution résiderait dans la mise en place et le recours à un tiers de confiance agissant comme autorité de certification de l’identité (assurant qu’à une clé publique ou privée définie, correspond bien une identité)¹¹⁶¹. Mais il faut bien reconnaître qu’en matière de blockchain publique, cette lacune est parfaitement volontaire et participe de la défiance générale à l’égard de tout intermédiaire qu’elle promeut. Dans cette continuité, les blockchains publiques mondiales ne s’embarrassent pas des législations jugées trop contraignantes pour leur modèle économique comme le règlement eIDAS n^o 910/2014 du 23 juillet 2014¹¹⁶².

3530 Dans le domaine d’internet, les choix techniques réalisés lors de la création de ce réseau favorisent l’anonymat ou l’usage d’un pseudonyme¹¹⁶³. Ainsi la plupart des services gratuits sur internet ne procèdent à aucun contrôle de la concordance entre l’identité déclarée ou prétendue et l’identité réelle de l’internaute. Si cette situation convient parfaitement aujourd’hui à la majorité des internautes, elle reste très regrettable. Elle autorise un internaute malveillant à commettre des infractions en toute impunité ou à abuser outrageusement d’une liberté d’expression non censurée¹¹⁶⁴.

3531 Ceci étant, le développement grandissant des contrats en ligne ces dernières années a imposé aux professionnels la mise en place de contrôles plus stricts en la matière. Comme le reprend justement Emmanuel Netter, pour l’Agence nationale de la sécurité des systèmes d’information (ANSSI), il est possible de s’assurer de l’identité d’un interlocuteur à l’aide de trois séries d’informations¹¹⁶⁵. Le contrôle de l’identité de l’internaute s’appuiera tantôt sur « quelque chose qu’il sait » (un identifiant, un mot de passe, une signature…), tantôt sur « quelque chose qu’il possède » (une carte à puce, une carte magnétique, un téléphone pour recevoir les SMS…), tantôt sur « quelque chose qu’il est » (une caractéristique biométrique, comme une empreinte digitale, une reconnaissance rétinienne ou vocale). L’initiateur du contrat usera d’un ou de plusieurs facteurs combinés selon le degré de fiabilité recherché. Comme le souligne ce même auteur, la fourniture d’une pièce d’identité permet de cumuler une information liée à « ce que l’individu possède » (le titulaire de la carte nationale d’identité ou du passeport) et une information liée à « ce qu’il est » (sa ressemblance à la photographie). Ceci étant, la mise en place d’un procédé d’identification jugé trop complexe ou fastidieux par le cocontractant peut nuire à la conclusion du contrat et donc à la finalité recherchée par le vendeur ou prestataire de services. Il est donc fréquent que l’identification certaine du contractant ne constitue pas une priorité des parties. Cela ne peut que nuire à la sécurité juridique de la transaction¹¹⁶⁶.

3532 Enfin, l’IA pourrait à l’avenir jouer un rôle essentiel en matière de contrôle¹¹⁶⁷ avec la collecte et l’usage de données biométriques à des fins d’identification à distance. Si l’outil existe déjà et continue d’être toujours perfectionné, il comporte indéniablement des risques spécifiques en termes de droits fondamentaux. Ainsi la dignité des personnes, le droit à la non-discrimination, le droit des groupes spéciaux¹¹⁶⁸… ne constituent pas des priorités.

3533 S’interroger sur la question de la capacité d’une personne, c’est examiner son incapacité légale. En la matière, d’une façon générale, les outils et les processus de contractualisation utilisés par les acteurs du monde numérique ne s’embarrassent pas de cette vérification. Une telle vérification nuirait à la fluidité et à la rapidité des échanges en général et du commerce électronique en particulier.

3534 En ce qui concerne le contrôle de l’âge, il convient de distinguer deux catégories de contrats. Pour les contrats usuels de vente de produits ou de prestation de services, aux enjeux financiers souvent modestes, une simple déclaration de l’internaute lui-même répondant à la question « Êtes-vous majeur oui/non » suffit. Il est alors facile pour ce dernier de tricher sur son âge en l’absence de tout contrôle. Il est même fréquent que le contractant se déclare majeur d’une façon générale en validant machinalement¹¹⁶⁹ les conditions générales qu’il n’a le plus souvent même pas lues. Mais ne nous y trompons pas, tous les protagonistes y trouvent leur compte. Le vendeur ou prestataire touche une clientèle plus large. L’acquéreur peut acheter sans en avoir légalement le droit en l’absence de tout contrôle. S’observe ainsi une sorte de rencontre des volontés sur le fait de violer la loi en toute impunité.

3535 Il existe pourtant des outils permettant de contrôler la capacité d’un individu : un contrôle humain avec l’intervention d’un tiers certificateur¹¹⁷⁰, ou un contrôle informatique à l’aide de logiciels développés à dessein. D’ailleurs, les outils informatiques permettant de contrôler l’âge seraient à rapprocher de ceux permettant le contrôle de l’identité. Cependant, de nombreuses raisons aujourd’hui expliquent les réticences des professionnels du commerce électronique : la lourdeur technique du procédé nécessitant l’obtention de certificats divers et l’intervention d’un tiers de confiance ; le coût de fonctionnement élevé de tels contrôles répercuté forcément sur le produit ou la prestation objet du contrat et donc sur le consommateur ; les stratégies commerciales des enseignes privilégiant un taux de conversion de la connexion élevé (nombre d’achats effectifs rapporté au nombre de connexions sur un site marchand) ; le caractère international des grandes enseignes soumises à une législation souvent américaine plus libérale que les législations française et européenne et donc considérée comme plus propice au développement des affaires… Pour les contrats aux enjeux financiers plus importants, la capacité légale du contractant sera contrôlée en même temps que son identité, à l’aide de l’intervention de tiers certificateurs.

3536 Quant à l’incapacité des majeurs protégés constatée en justice, elle reste la grande oubliée des vérifications préalables contractuelles. En droit français, l’existence d’une protection judiciaire est révélée par une mention « RC » (Répertoire civil), portée en marge de l’acte de naissance. Seule la détention d’un tel document permet de déceler une incapacité constatée judiciairement. Or, pour les contrats sous seing privé conclus sur un support électronique directement entre les parties, sans intermédiaire, cette vérification n’est jamais opérée.

3537 Le contrôle d’un consentement réel, libre et éclairé participe de la sécurité juridique de toute transaction. Toutefois, dans le monde numérique usuel d’aujourd’hui, la réalité du consentement libre et éclairé ne semble pas constituer une priorité.

3538 Dans un ouvrage remarqué, un auteur traite de la question d’une façon générale en parlant du « mirage du consentement plus éclairé »¹¹⁷¹. Il affirme qu’« Internet n’est peut-être pas la matrice d’un monde contractuel plus juste », alors même que le numérique est synonyme d’information abondante et peu coûteuse. Deux raisons justifient cette déclaration. La première résulte d’après lui de la complexité des offres, mêlant des « gratuités factices » et « intéressées » avec « une omniprésence de clauses trompeuses »¹¹⁷². Ces informations nombreuses, partiellement erronées et fondées sur des droits ultralibéraux¹¹⁷³ sont de nature à tromper la vigilance du consommateur et à biaiser son consentement. La seconde raison résulte d’après le même auteur de la simplicité de l’acceptation. Ainsi, « faire défiler un ascenseur, cliquer sur une case à cocher ou sur un bouton constituent des gestes dénués de toute signification intellectuelle véritable, des rituels accomplis par pur automatisme »¹¹⁷⁴. Dès 2014, la Commission des clauses abusives s’en est émue. Elle recommande que soient éliminées des contrats proposés par les fournisseurs de service de réseautage social les clauses ayant pour objet ou pour effet de présumer le consentement du consommateur ou du non-professionnel aux conditions générales d’utilisation du seul fait qu’il utilise le réseau¹¹⁷⁵. Depuis, la technique du « double clic » s’est répandue dans le domaine du commerce en ligne, mais ne permet pas de justifier d’un consentement libre et éclairé¹¹⁷⁶.

3539 Plus particulièrement, dans le processus de contractualisation développé par la blockchain publique, la capacité des personnes et le consentement libre et éclairé ne sont pas contrôlés¹¹⁷⁷. Ce qui laisse le champ libre à tous les abus et les fraudes en la matière.

3540 En matière de smart contract, il n’existe aujourd’hui aucun contrôle du consentement¹¹⁷⁸. Le smart contract étant un simple mode d’exécution du contrat, le contrôle du consentement est censé avoir été opéré au stade de sa conclusion. Il ne sera pas réitéré lors de son exécution automatisée¹¹⁷⁹.

3541 Quant à l’impact de l’IA sur le consentement, il est utopique de croire aujourd’hui que cette technologie soit en mesure de jouer un rôle prépondérant tant dans l’expression que dans la réception du consentement. Le langage étant le propre de l’humain, il est très difficile d’en capturer toutes les nuances.

3542 De prime abord, le recueil d’un consentement peut s’effectuer au moyen des logiciels ou applications de visioconférence usités dans le grand public tels que Skype, Zoom, WhatsApp, FaceTime. Ces outils permettent l’expression d’un consentement verbal pouvant suffire pour la plupart des contrats usuels aux enjeux économiques ou financiers limités. Mais qu’en est-il pour des contrats plus importants ? Compte tenu de ses origines continentales, le droit français fait de la preuve par écrit l’un des piliers des modes de preuve communément admis¹¹⁸⁰. Tout support écrit est recevable ; l’écrit électronique ayant la même force probante que l’écrit sur support papier¹¹⁸¹. La signature, identifiant son auteur, constitue donc le mode de preuve adéquat du consentement. Encore faut-il qu’il soit libre et éclairé. Et, en la matière, la preuve d’un vice du consentement peut être apportée par tous moyens. Il est alors tout à fait envisageable de considérer que des enregistrements audio/vidéo puissent, à cet égard, avoir une portée probatoire.

3543 En droit français, selon l’article 1104 du Code civil (C. civ., art. 1104) : « Les contrats doivent être négociés, formés et exécutés de bonne foi ». Si la bonne foi constitue un facteur de confiance essentiel au contrat¹¹⁸², les outils numériques d’aujourd’hui influent différemment selon le stade de la vie du contrat. Au stade de l’exécution du contrat, il a été rappelé que le smart contract exclut du raisonnement le comportement des parties de par son exécution automatique et irréversible¹¹⁸³. Au stade de la formation du contrat, la data room simplifie l’échange des informations dans un souci bien compris de transparence et de rapidité.

3544 La data room est une salle de données utilisée pour héberger des informations dont les participants veulent contrôler la divulgation. Il peut s’agir de salles de données physiques, de salles de données virtuelles ou de centres de données. Une data room virtuelle permet aux utilisateurs de partager des documents et fait office de plateforme de référence pour l’organisation d’une transaction. Le logiciel permet aux utilisateurs de télécharger facilement des milliers de fichiers, de contrôler leur accès et de collaborer en toute sécurité. Ils suivent l’activité de l’utilisateur à l’aide de statistiques détaillées, des annotations de documents et des alertes instantanées. Les data rooms sont apparues au début du XXI^e siècle, mais ne font l’objet à ce jour d’aucune réglementation spécifique nationale. Elles sont simplement soumises aux dispositions du règlement européen de 2016 sur la protection des données à caractère personnel¹¹⁸⁴.

3545 Les data rooms voient leur nombre exploser ces dernières années, notamment en matière contractuelle. En effet, dans ce domaine, elles permettent notamment de satisfaire à l’obligation précontractuelle d’information des contractants. Cependant, en pratique, l’usage abusif de cet outil peut finalement porter atteinte à l’objectif poursuivi. L’excès de pièces déposées nuit à l’intelligibilité des informations. Le débiteur de l’obligation submerge le cocontractant d’informations multiples et variées ne permettant pas à ce dernier de trouver celles qui lui sont essentielles et déterminantes. À l’inverse, le défaut de pièces déposées ne permet pas au débiteur de l’obligation d’information de satisfaire à l’exigence légale. Son cocontractant ne dispose pas de l’ensemble des informations utiles et nécessaires à l’expression d’un consentement éclairé. Tout abus peut traduire la mauvaise foi d’un contractant et potentiellement vicier le consentement. La bonne pratique consiste à ne déposer que les documents jugés essentiels par les deux parties en rapport avec l’objet du contrat. Encore faut-il connaître ce que chacune des parties estime essentiel pour que le consentement exprimé soit éclairé… C’est l’une des raisons pour lesquelles les questions posées au gestionnaire de la data room feront l’objet d’une attention toute particulière. À leur lecture, chaque partie au contrat sera à même de déduire les éléments contractuels considérés comme essentiels pour l’autre partie. Les réponses formulées devront dès lors être élaborées avec soin et précaution compte tenu des exigences de bonne foi et de loyauté inhérentes à la relation contractuelle. De telles data rooms n’ont pas vocation à rester pérennes et subsistent le plus souvent le temps des discussions précontractuelles pour disparaître dès la conclusion du contrat. Elles ne constituent donc pas des outils de conservation à part entière et risquent de s’avérer ainsi inutiles en cas de contentieux.

3546 En effet, la data room seule ne permet pas d’apporter des éléments de preuve suffisants du respect du devoir d’information précontractuelle par le débiteur de l’information¹¹⁸⁵. Ainsi, à titre d’exemple, l’outil actuel ne permet pas de prouver l’intégrité du document entre son dépôt et la signature de l’acte, de conserver de façon pérenne les documents déposés, de connaître précisément les personnes qui ont consulté tel ou tel document… Si maintenant la data room est adossée à une blockchain, alors la conservation des preuves de la constitution de la documentation et de ses consultations pourra être garantie¹¹⁸⁶. L’usage d’un coffre numérique garantissant la conservation des documents viendra parfaire les garanties offertes¹¹⁸⁷.