PARTIE II – La sécurisation de la pratique du contrat numérique

Titre 4 – La conservation

Sous-titre 1 – La conservation du contrat dans le monde numérique

Chapitre II – La conservation pérenne : atouts et limites des outils numériques

3640 Beaucoup de nouvelles technologies nées ces dernières années sont faussement considérées comme des outils de « stockage » de données¹⁴⁰⁰. Deux outils particulièrement développés ont attiré notre attention. La blockchain offre de bonnes garanties, mais avec quelques limites (Section I). Seul le coffre-fort numérique s’inscrit dans une logique de conformité légale ou de pérennité patrimoniale (Section II).

Section I – La blockchain

3641 Cette technologie de stockage de données et de transmission d’informations sous forme de registre distribué fonctionne grâce à des outils cryptographiques avec des clés asymétriques. Elle permet des échanges en peer-to-peer, c’est-à-dire sans intermédiaire¹⁴⁰¹. La technologie blockchain est donc avant tout une technologie de conservation de données qui se veut infalsifiable et pérenne. L’est-elle réellement ? Les lacunes de la blockchain publique en matière de conservation des données sont aujourd’hui assez bien identifiées et très largement commentées par des auteurs de tous horizons¹⁴⁰². Quelques-unes peuvent être citées.

Sous-section I – Les limites d’une conservation fiable

3642 Une conservation fiable des données inscrites sur une blockchain publique repose principalement sur deux caractéristiques :

le mode de validation. Pour être inscrite, l’opération doit être validée par 51 % des mineurs. Il faut donc détenir 51 % de la puissance de calcul du minage pour en modifier le contenu. Plus le nombre de mineurs sera important, plus les modifications seront longues. Dès lors, l’information inscrite sur la base de données ne peut plus être effacée, ni modifiée par une minorité. Et toute tentative de modification serait immédiatement détectée par les autres membres du réseau¹⁴⁰³ ;

la fonction d’horodatage (time stamping). Cette fonction permet d’offrir à ses utilisateurs la certitude de la date et de l’heure de l’inscription du bloc dans la chaîne de blocs¹⁴⁰⁴.

3643 Toutefois, la blockchain publique reste en proie à des difficultés pouvant nuire à la fiabilité de l’information conservée.

Les mineurs peuvent être animés de mauvaises intentions¹⁴⁰⁵. Une collusion de mineurs, agissant pour le compte d’une organisation ou d’un État malintentionné pourrait ainsi réussir à désinscrire des données et déstabiliser tout l’écosystème¹⁴⁰⁶. Chacun reconnaît néanmoins que ce risque de piratage est plus probable dans une blockchain privée ou hybride que dans une blockchain publique¹⁴⁰⁷.

L’identité du déposant est incertaine et contestable¹⁴⁰⁸.

L’algorithme de validation du proof of work dans la blockchain publique connaît des limites techniques. Le débit (nombre de transactions par seconde) et la latence (temps de validation des transactions) sont faibles comparativement à d’autres secteurs¹⁴⁰⁹. Ainsi, le nombre d’opérations est de 25/s pour la blockchain là où la carte Visa oscille entre 4 000 à 56 000/s au maximum¹⁴¹⁰. Le temps entre le dépôt réel de l’information par le déposant et son inscription sur la blockchain peut s’avérer assez long¹⁴¹¹.

La preuve de l’authenticité du document déposé reste incertaine. Plus précisément, il s’agit de l’existence même et du contenu de la pièce déposée sur le registre qui posent question. La blockchain conserve le document ou l’information sous forme d’empreinte (le hash). Mais la blockchain n’a jamais été un outil de conservation du document lui-même numérisé ou numérique. Il existe donc un doute, au mieux quant à la correspondance entre l’empreinte sur la blockchain et le document, au pire quant à l’existence même du document.

Sous-section II – Les limites d’une conservation pérenne

3644 La pérennité des données inscrites sur une blockchain publique reste une question fondamentale aujourd’hui. Pour répondre à cet objectif, plusieurs difficultés devront être surmontées.

L’algorithme de validation du proof of work est énergivore. En effet, l’opération de minage nécessite des ordinateurs extrêmement puissants. Des « fermes de minage » munies d’équipements superpuissants construits uniquement à cette fin, ont ainsi vu le jour. Elles fonctionnent 24 heures sur 24, 7 jours sur 7, pour mobiliser une puissance de calcul toujours plus importante. Ces data centers consommant une très grande quantité d’énergie pour fonctionner se développent dans des pays proposant des coûts énergétiques plus favorables (Québec)¹⁴¹². À l’heure du réchauffement climatique et de la préservation de la planète, cette problématique pourrait sonner le glas de ce type de consensus. C’est la raison pour laquelle de nouveaux consensus de validation apparaissent comme le tirage au sort (proof of stake) ou la preuve de la détention (proof of shake)¹⁴¹³, la preuve de la possession (proof of hold), la preuve d’utilisation (proof of use)¹⁴¹⁴.

Les outils cryptographiques ont une obsolescence programmée à plus ou moins long terme. Ainsi, en quelques années et pour garantir l’intégrité du document, les blockchains sont passées d’empreintes calculées en SHA-1 (clé de 160 bits) à des empreintes calculées en SHA-2 (clé de 256 bits). Aujourd’hui, la technologie blockchain s’appuie sur des terminaux dont la puissance de calcul est physiquement limitée. Elle ne permet pas à un ordinateur traditionnel de retrouver une clé privée à partir de la clé publique lisible par tous. Mais qu’en sera-t-il le jour où les ordinateurs quantiques seront fonctionnels ? Ils permettront de lever cet obstacle purement mathématique en utilisant des paradoxes de la mécanique quantique. Ce nouveau mode de calcul révolutionnaire permettra de casser tous les codes en étudiant des quantités gigantesques de solutions cryptographiques. Le système de cryptographie asymétrique sur lequel repose la technologie blockchain deviendra alors obsolète, sauf à évoluer lui aussi¹⁴¹⁵….

Assurer la pérennité des algorithmes utilisés ? Les archives sont vivantes. Tous les deux ou trois ans les algorithmes changent : comment certifier la lecture des informations dans vingt/trente ans ?

Si la blockchain publique constitue un outil de stockage, les limites connues en matière de pérennité et de fiabilité entament la confiance en cette technologie. Qu’en est-il du coffre-fort numérique ?

Section II – Le coffre-fort numérique

3645 – Définition. – Le coffre-fort numérique est un service proposé par de nombreux prestataires aujourd’hui. Il s’est très vite développé avec l’essor du numérique et plus spécialement depuis les années 2010. Mais à l’origine, faute de cadre légal, les pratiques trompeuses voire mensongères se sont propagées. La Commission des clauses abusives a dû proposer trois recommandations dès 2014 afin d’éradiquer certaines clauses¹⁴¹⁶. En pratique, les niveaux de sécurité vendus par les prestataires de coffre-fort numérique sont loin d’être homogènes. Il en existe trois. Le niveau #1 est un espace de conservation simple sans garantie du prestataire et sans responsabilité particulière en cas de perte totale ou partielle des données. Le niveau #2 est un système d’archivage qui assure un certain niveau de sécurité avec le plus souvent une redondance, un accès contrôlé par des droits, des URL sécurisées, etc. L’intégrité des documents est favorisée, mais pas forcément garantie par le prestataire. Le niveau #3 est un système d’archivage mobilisant plusieurs mécanismes de sécurité réalisés par des tiers pour apporter une valeur juridique aux documents stockés : horodatage irréversible, empreinte unique du document, signature numérique, etc. Ce n’est qu’assez récemment, par une loi dite « Lemaire » du 7 octobre 2016, que le législateur a défini les exigences fonctionnelles du coffre-fort numérique¹⁴¹⁷. Il doit ainsi :

garantir l’intégrité des données ou documents électroniques durant tout leur cycle de vie au sein du service ;

garantir la traçabilité des opérations effectuées sur le service (maintien en condition opérationnelle et de sécurité) ou sur les données et documents électroniques eux-mêmes ;

garantir la confidentialité des données en autorisant l’accès au coffre-fort numérique aux seuls utilisateurs ou tiers explicitement autorisés par l’utilisateur principal (le cas échéant le prestataire de service de coffre-fort numérique) ;

garantir la portabilité des données notamment par leur restitution dans des standards ouverts aisément réutilisables et exploitables par un système d’information.

Avec l’adoption de cette loi, l’appellation « coffre-fort numérique » est désormais protégée¹⁴¹⁸. De plus, le fournisseur de service de coffre-fort numérique se prévalant d’une offre de ce type pourra être sanctionné s’il ne respecte pas les obligations pesant sur lui¹⁴¹⁹. En 2018, deux décrets relatifs aux modalités de mise en œuvre du service de coffre-fort numérique viennent préciser les déclinaisons techniques minimales de ces exigences fonctionnelles¹⁴²⁰. La loi prévoit également un mécanisme de certification par l’État permettant d’accroître la fiabilité du service et de renforcer la confiance des utilisateurs vis-à-vis de celui-ci. Cette certification est établie selon un cahier des charges proposé par l’ANSSI après avis de la Cnil. Le cadre juridique étant bien défini, tout semble vouer cet outil à un bel avenir.

3646 – Avantages. – Le coffre-fort numérique offre à ses usagers une meilleure sécurité juridique que la blockchain en tant que registre de stockage, pour les raisons suivantes :

sur le plan juridique, le coffre-fort numérique est soumis depuis 2016 à une réglementation stricte imposant des exigences fonctionnelles garantissant une protection des usagers¹⁴²¹. À l’inverse, la blockchain n’a pour seule réglementation que celle que les mineurs auront bien voulu lui donner ;

le coffre-fort numérique permet la conservation d’une image de la pièce déposée, alors que la blockchain ne conserve qu’une empreinte du même document qui doit donc être conservé par ailleurs. La technologie blockchain ne permet pas de reconstituer le document original à partir de son empreinte ;

le fonctionnement d’un coffre-fort numérique dépend d’un prestataire disposant d’un seul site de stockage numérique quand la blockchain publique ou privée nécessite plusieurs sites multipliant les risques de fraude, malversation…

3647 – Limites. – Il existe pourtant des freins à un développement garantissant une parfaite sécurité juridique des contractants. Les limites du coffre-fort numérique sont aujourd’hui bien identifiées.

La certification précitée n’est pas obligatoire à ce jour. Dès lors, faute de contrôle, il est à craindre que les offres commerciales attractives, mais trompeuses sur le plan de la sécurité des données, puissent continuer de se propager malgré des sanctions dissuasives¹⁴²². Le contractant n’a ni les compétences ni les connaissances lui permettant d’apprécier la sécurité juridique offerte par chaque prestataire.

Seuls des documents non signés comme les factures, les bulletins de paie, les relevés de compte bancaire, les devis et les différentes attestations… peuvent être archivés sans précaution. Ils ne constituent que des commencements de preuve par écrit n’ayant ni la valeur d’un original ni même celle de la copie d’un original signé. En revanche pour les originaux papier signés ou de plus grande importance, type contrats, chèques…, l’archivage des documents numérisés dans un coffre-fort numérique n’exonère pas de la conservation de l’original papier. En effet, ce sont les signatures qui confèrent toute la valeur juridique aux documents. Or, pour que les copies numériques aient la même valeur que les documents originaux, il faut assurer une certaine qualité du procédé de numérisation, la date de sa création, la conservation pérenne du document numérisé, et surtout son intégrité. L’empreinte électronique justifiant de cette intégrité est présumée fiable par l’usage d’un horodatage qualifié, d’un cachet électronique qualifié ou d’une signature électronique qualifiée¹⁴²³. Seuls des professionnels ou des administrations sont à même de respecter ces prérequis¹⁴²⁴. En cas de litige, seul un juge sera habilité à juger de la force probatoire d’un document numérisé, qu’il soit signé ou non.

La question de la durabilité des supports utilisés pour la conservation reste posée. Si, pour les prestataires ayant obtenu la certification, la fiabilité pérenne du support s’impose¹⁴²⁵, il en va différemment de tous les autres prestataires. Rien ne garantit aujourd’hui que les documents déposés existeront toujours dans cinq ou dix ans.

Malgré ces inconvénients, le coffre-fort numérique constitue le procédé de stockage de l’information le plus sécurisé à ce jour. Il garantit la confiance dans les documents et vise à maintenir leur recevabilité juridique durant toute la période de conservation.

L’archivage électronique comme nouveau service de confiance – l’exemple belge

Hervé Jacquemin¹⁴²⁶

Professeur à l’Université de Namur (Belgique)

Directeur du Centre de recherche Information Droit et Société (CRIDS/NaDI)

Avocat au barreau de Bruxelles

Introduction

Avec la dématérialisation croissante des procédures et le recours au numérique dans divers secteurs, un grand nombre de documents sont désormais établis – et conservés – au format électronique. Parallèlement, il devient fréquent de numériser des documents produits à l’origine sur un support papier, pour les conserver (uniquement) de manière dématérialisée.

La conservation des documents sur des périodes plus ou moins longues, ainsi que la mise en place de politiques d’archivage efficaces, constituent des enjeux majeurs, tant dans le secteur privé qu’au sein des pouvoirs publics.

Des délais de conservation spécifiques peuvent en effet être imposés par la loi : en Belgique, par exemple, la durée minimale est de 7 ans en matière fiscale et comptable¹⁴²⁷, et de 5 ans en matière sociale¹⁴²⁸ ou pour les livres et documents des sociétés¹⁴²⁹. Sur le plan contractuel, il est en tout cas prudent de conserver les documents pendant le délai de prescription (extinctive) applicable, soit 10 ans¹⁴³⁰. En cas de litige, c’est en effet la durée à l’issue de laquelle la demande pourra être déclarée irrecevable ou non-fondée (car prescrite). Parallèlement, on se gardera néanmoins de toute durée de conservation excessive, qui pourrait être contraire aux Règlement général sur la protection des données¹⁴³¹.

Eu égard à ces exigences (et au risque corrélatif en cas de non-respect), il faut s’assurer que le recours au numérique pour procéder à l’archivage des documents offre un niveau de sécurité juridique au moins équivalent à la conservation « papier » traditionnelle.

La conservation des documents à long terme, en toute confiance, est l’un des services que les notaires offrent aux citoyens, au bénéfice de ces derniers, et de l’intérêt général. Normalement, cette conservation reste toutefois limitée aux actes pour lesquels le notaire est intervenu en qualité d’officier public.

A l’instar d’autres professions, le rôle des notaires pourrait toutefois évoluer à l’avenir, de manière à intégrer de nouvelles fonctions et activités, rendues possibles par les progrès du numérique. En Belgique, la Fédération du notariat belge a ainsi lancé Izimi, un « coffre-fort numérique » mis à la disposition des citoyens gratuitement (jusque 1 Go), pour y stocker leurs documents et, le cas échéant, les partager avec leur notaire ou des tiers¹⁴³².

Dans cette contribution, on présente les règles applicables à l’archivage électronique, conformément au droit belge. On ne trouve pas de règles similaires en droit français, où le cadre normatif reste plus général. Même si, comme on le verra, des critiques peuvent être formulées, les mécanismes mis en place par le législateur belge pourraient servir d’inspiration à ses homologues européens.

Après avoir brièvement présenté le cadre normatif applicable à l’archivage électronique (principalement en droit belge), on définit la notion, avant de présenter les exigences auxquelles le service est soumis et les effets juridiques qui y sont attachés.

I. Cadre normatif applicable à l’archivage électronique

Les services de confiance sont encadrés, en droit de l’Union, par le règlement (UE) n^o 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE¹⁴³³ (ci-après, « règlement eIDAS » ou « règlement »)¹⁴³⁴.

Cet instrument n’établit pas de régime spécifique en matière d’archivage électronique¹⁴³⁵.

Le législateur belge a toutefois décidé d’encadrer le service d’archivage électronique¹⁴³⁶, en suivant la même logique régulatoire que celle applicable aux autres services de confiance¹⁴³⁷. En 2016, des dispositions spécifiques ont ainsi été introduites dans le livre XII du Code de droit économique (C.D.E.)¹⁴³⁸.

Il est intéressant de noter que le cadre normatif pourrait évoluer à brève échéance, sous l’impulsion du législateur européen. Celui-ci est en effet conscient que des approches nationales, nécessairement fragmentées, ne servent pas les objectifs du marché intérieur. Aussi la Commission européenne a-t-elle a repris l’initiative, à l’occasion du processus de révision du règlement eIDAS. Le 3 juin 2021, une proposition de règlement, modifiant le règlement eIDAS, a été déposée¹⁴³⁹ (ci-après, la Proposition de règlement). Le cœur du nouvel instrument porte sur l’établissement d’un cadre normatif pour une identité numérique européenne. Parallèlement, et c’est ce qui retient notre attention en l’espèce, de nouveaux services de confiance sont introduits, en particulier un service d’archivage électronique et un service de registre électronique. Nous présenterons brièvement ces nouvelles règles, tout en gardant à l’esprit qu’à ce stade, il s’agit d’une proposition de règlement, dont l’adoption reste incertaine et le contenu probablement soumis à des amendements ultérieurs.

II. Notion d’archivage électronique

Le service d’archivage électronique (simple) est défini par le Code de droit économique comme un « service de confiance supplémentaire à ceux visés par l’article 3, paragraphe 16, du règlement 910/2014, qui consiste en la conservation de données électroniques ou la numérisation de documents papiers, et qui est fourni par un prestataire de services de confiance au sens de l’article 3, paragraphe 19, du règlement 910/2014 ou qui est exploité pour son propre compte par un organisme du secteur public ou une personne physique ou morale »¹⁴⁴⁰.

Cette définition appelle deux commentaires.

D’abord, on constate que la notion d’archivage recouvre deux hypothèses. D’une part, conservation de données électroniques (générées, initialement au format électronique), d’autre part, la numérisation de documents papier et, même si ce n’est pas expressément indiqué, la conservation ultérieure des données électroniques (telles qu’elles résultent du processus de numérisation). Sur le plan de la formulation, l’alternative entre « la conservation de données électroniques ou la numérisation de documents papiers » nous paraît maladroite. La numérisation n’est en effet réalisée que dans la perspective d’une conservation ultérieure au format électronique¹⁴⁴¹. On regrette aussi que la définition ne liste pas les fonctions que le procédé doit préserver dans l’environnement numérique : ces fonctions résultent néanmoins de la présomption établie à l’article XII.25, § 5, alinéa 2, du C.D.E. qui exige que les données électroniques soient conservées de manière à les « préserver de toute modification, sous réserve des modifications relatives à leur support ou leur format électronique ». Ici aussi, on aurait espéré que l’accent soit davantage mis sur ce qui constitue le cœur du service d’archivage, à savoir une conservation qui s’inscrit dans la durée contractuellement convenue (généralement, à la lumière des exigences légales), et qui permet à l’utilisateur de récupérer les informations archivées sous un format lisible (c’est cette possibilité de consultation ultérieure des données archivées qui justifie que les données aient été conservées). La fonction consistant à empêcher les modifications est importante mais, d’après nous, plus accessoire.

Ensuite, et c’est une particularité du droit belge en la matière, le service peut non seulement être fourni par un tiers (un prestataire de service de confiance), à l’instar des autres services de confiance, mais également exploité par la partie utilisatrice pour son propre compte. Cette entité pourrait donc s’abstenir de faire appel à un tiers, en exploitant le service elle-même, en interne. Cette option doit être approuvée, d’autant que, comme on le verra, les conditions à remplir pour bénéficier du statut de qualifié – et, par conséquent, d’effets juridiques offrant un niveau élevé de sécurité juridique – sont moins sévères que pour les prestataires tiers.

A l’instar des services (et des prestataires de services) de confiance visés par le règlement eIDAS, une distinction est faite entre le service d’archivage électronique (simple) et le service d’archivage électronique qualifié. Ce dernier désigne le « service d’archivage électronique fourni par un prestataire de services de confiance qualifié au sens de l’article 3, paragraphe 20, du règlement 910/2014 se conformant aux dispositions du titre 2 et de l’annexe I du livre XII ou exploité pour son propre compte par un organisme du secteur public ou une personne physique ou morale et se conformant aux dispositions du même titre et de la même annexe, à l’exception des e), i), j) et k) »¹⁴⁴²Comme on le verra, il est soumis à des conditions additionnelles de nature à garantir que les fonctions attendues du procédé sont atteintes avec un niveau renforcé de sécurité technique (et donc, juridique).

Dans la Proposition de règlement, l’archivage électronique est défini comme « a service ensuring the receipt, storage, deletion and transmission of electronic data or documents in order to guarantee their integrity, the accuracy of their origin and legal features throughout the conservation period »¹⁴⁴³. L’accent est ainsi mis sur les fonctions à préserver tout au long de la période de conservation : l’intégrité des données ou du document, leur origine et leurs caractéristiques légales. A la différence de la définition belge, aucune référence n’est faite à la numérisation possible de documents papiers ou à la possibilité, pour une entité, d’exploiter le service pour son propre compte. Le « service d’archivage électronique qualifié » est aussi défini, par un renvoi aux conditions prescrites par le futur article 45g du règlement eIDAS¹⁴⁴⁴. La lecture de cette disposition est malheureusement peu instructive puisqu’une délégation est donnée à la Commission pour établir des numéros de référence des standards en matière d’archivage. Tout au plus est-il indiqué que le prestataire de service de confiance qualifié devra mobiliser des procédures et des technologies de nature à étendre la confiance à l’égard du document électronique au-delà de sa période de validité technologique.

L’enregistrement de données électroniques dans un registre électronique (« recording of electronic data into an electronic ledger ») figure parmi les nouveaux services de confiance introduits par la Proposition de règlement. Le « registre électronique » désigne le « tamper proof electronic record of data, providing authenticity and integrity of the data it contains, accuracy of their date and time, and of their chronological ordering ». Il s’agit d’une définition fonctionnelle, qui met l’accent sur les finalités que le procédé utilisé permet de préserver : l’authenticité et l’intégrité des données enregistrées dans le registre, l’exactitude de la date et de l’heure d’enregistrement, et leur ordre chronologique. Ces caractéristiques font écho aux propriétés de la blockchain (même si celle-ci n’est pas expressément mentionnée)¹⁴⁴⁵. La technologie blockchain désigne en effet la base de données dont la fonction principale est de créer la confiance des utilisateurs sans autorité centrale, en garantissant l’intégrité, la conservation à long terme et, dans une certaine mesure, la transparence des informations stockées. Cet objectif est atteint par la mise en place d’un registre distribué, le recours à la cryptographie asymétrique, ainsi que le respect de règles de consensus et de processus de validation pouvant impliquer des tiers (de type proof of work, par exemple)¹⁴⁴⁶^–¹⁴⁴⁷. L’encadrement normatif des blockchains est une question délicate, qui dépasse le cadre de la présente contribution. On observe toutefois que le service de confiance tel que défini dans la Proposition de règlement, semble principalement viser un service de conservation des données, qui remplit également une fonction d’horodatage. Aussi peut-on se demander en quoi il diffère du service d’archivage électronique défini par ailleurs (et comment articuler les deux concepts). En pratique, la technologie blockchain présente en effet des caractéristiques intéressantes pour servir de support à l’archivage électronique, même si certaines questions demeurent (en lien avec l’identification des utilisateurs, notamment)¹⁴⁴⁸.

III. A quelles conditions le service d’archivage électronique est-il soumis ?

Pour connaître les exigences auxquelles tout service d’archivage électronique doit répondre, une double distinction doit être opérée. La première se trouve déjà dans le règlement eIDAS, et concerne la summa divisio entre le prestataire (ou le service) qualifié et le prestataire (ou le service) non-qualifié. Elle est également consacrée dans la Proposition de règlement. La seconde est propre à l’archivage régi par le livre XII du Code de droit économique et a trait à la possible exploitation du service, par une entité donnée, pour son propre compte.

A. Service de confiance non-qualifié

Le service d’archivage électronique peut d’abord être fourni par un prestataire de services de confiance, qui peut être qualifié ou non qualifié.

La loi belge reprend la logique du règlement eIDAS en imposant des règles communes aux prestataires non-qualifiés et aux prestataires qualifiés, tout en soumettant ces derniers à des exigences additionnelles.

L’article XII.27 du C.D.E. énonce ainsi qu’« un prestataire de service d’archivage électronique satisfait aux dispositions du règlement 910/2014 applicables au prestataire de services de confiance non qualifié ». Conformément au règlement eIDAS, un prestataire de service de confiance non-qualifié doit respecter les exigences en matière de sécurité visées à l’article 19¹⁴⁴⁹. Curieusement, aucune référence n’est faite aux conditions posées par les articles 5 et 15 du règlement. En faisant de l’archivage électronique et du registre électronique des services de confiance, la Proposition de règlement les soumet aux mêmes règles que les autres services de confiance non-qualifiés.

B. Service de confiance qualifié

Des conditions supplémentaires doivent être respectées si le service d’archivage électronique est qualifié.

A ce stade, on examine uniquement les règles établies en droit belge : la Proposition de règlement se borne en effet à donner délégation à la Commission pour établir les normes de référence en la matière (on peut d’ailleurs regretter que certains principes directeurs ne figurent pas en annexe du règlement eIDAS, comme pour les autres services de confiance).

a) Exigences applicables à tout prestataire ou à celui qui exploite le service pour son propre compte

Conformément à l’article XII.28, § 1^er, du Code de droit économique, « un prestataire de service d’archivage électronique qualifié et un organisme du secteur public ou une personne physique ou morale qui exploite pour son propre compte un service d’archivage électronique qualifié satisfont aux dispositions du règlement 910/2014 applicables au prestataire de services de confiance qualifié et aux exigences visées par le présent titre et son annexe I ».

La livre XII du C.D.E. fait une distinction suivant que le service est fourni par un tiers, prestataire de service de confiance, ou s’il est exploité pour son propre compte.

Dans la première branche de l’alternative, le prestataire doit observer les exigences du règlement applicables aux prestataires de services de confiance qualifiés : autorisation préalable¹⁴⁵⁰, audit tous les 24 mois¹⁴⁵¹ et obligations diverses, relatives notamment à la compétence du personnel employé, aux mesures de sécurité à prendre, ainsi qu’à l’existence de ressources financières suffisantes et/ou d’une assurance de responsabilité appropriée¹⁴⁵². Il est également soumis à toutes les conditions de l’annexe I du livre XII, propres à l’archivage électronique en tant que tel.

Dans la seconde branche de l’alternative (service d’archivage électronique exploité pour son propre compte), l’entité est dispensée de respecter certaines exigences imposées à tout prestataire au moment de lancer son activité ou en cours d’exercice de celle-ci : pas d’audit tous les 24 mois ; pas d’autorisation préalable de la part de l’organe de contrôle avant de lancer l’activité (remplacée par une simple notification à l’organe de contrôle¹⁴⁵³) ; pas d’information de l’organe de contrôle de toute modification dans la fourniture des services et de l’intention éventuelle de cesser les activités ; pas d’information à fournir à la personne désireuse d’utiliser le service ; pas de plan actualisé d’arrêt d’activité afin d’assurer la continuité du service ; pas de réponse à fournir à l’utilisateur suite à sa demande de restitution des données ; pas d’informations à fournir aux utilisateurs du service, avant la conclusion du contrat et en cours d’exercice de celui-ci ; pas d’obligation de faire preuve d’impartialité vis-à-vis des utilisateurs de son service et des tiers et pas d’obligation de disposer des moyens financiers suffisants.

Aux termes de l’article XII.28, § 3, du Code de droit économique, « sans préjudice de l’article 34, paragraphe 2, du règlement 910/2014, le Roi peut déterminer les numéros de référence des normes applicables au service d’archivage électronique qualifié. Le service d’archivage électronique qualifié qui respecte ces normes est présumé satisfaire à tout ou partie des exigences du présent titre et de son annexe I. Le cas échéant, le Roi spécifie les exigences présumées satisfaites ». Un arrêté royal 29 mars 2019 fixant les numéros de référence des normes applicables au service d’archivage électronique qualifié¹⁴⁵⁴ a ainsi été adopté. L’objectif de ce texte est d’offrir un niveau accru de sécurité juridique aux prestataires d’archivage électronique (ou aux personnes qui exploitent le service pour leur propre compte). Ils peuvent en effet se demander comment respecter les exigences précitées, telles qu’elles figurent notamment dans l’article 24, § 2, du règlement eIDAS, ou l’annexe I du livre XII du Code de droit économique. Une présomption est établie en leur faveur : s’ils respectent les normes techniques indiquées, on présume que l’exigence légale est satisfaite.

b) Exigences spécifiques applicables au prestataire qualifié en cas d’arrêt des activités ou de fin du contrat

Le règlement eIDAS reste malheureusement très vague sur la question – pourtant capitale en pratique – de l’arrêt, par un prestataire de services de confiance qualifié, de ses activités. On trouve uniquement l’obligation de sauvegarder les données et de disposer d’un plan actualisé d’arrêt des activités afin d’assurer la continuité des activités, ce qui doit être vérifié par l’organe de contrôle¹⁴⁵⁵. Conscient des conséquences potentiellement préjudiciables d’un tel arrêt, le législateur belge s’attache à compléter le cadre normatif en précisant « les conditions et modalités de mise en œuvre du plan d’arrêt des activités »¹⁴⁵⁶. L’intention est assurément louable, même si, d’après nous, le législateur belge aurait pu se montrer plus exigeant. On note aussi que ces règles ne s’appliquent qu’aux prestataires soumis à l’autorité de l’organe de contrôle, ce qui exclut les prestataires de services de confiance qualifiés soumis aux organes de contrôle des autres Etats membres et dont leurs services de confiance peuvent être utilisés par les consommateurs belges avec les mêmes effets juridiques, par application du principe de reconnaissance mutuelle.

Ainsi, l’article XII.36 du C.D.E. impose au prestataire de services de confiance qualifié qui offre un ou plusieurs services de confiance qualifiés, d’informer « l’Organe de contrôle dans un délai raisonnable de son intention de mettre fin à au moins une de ses activités ainsi que de toute action ou fait qui pourrait conduire à la cessation d’au moins une de ses activités. Dans ce cas, il doit tenter la reprise de celles-ci par un autre prestataire de services de confiance ». D’après nous, il eût été préférable que l’organe de contrôle soit informé sans délai et tenu au courant de l’état d’avancement des opérations de reprise éventuelle. Nous sommes également d’avis que les pouvoirs publics – ou une entité désignée par eux – devraient avoir l’obligation, à titre transitoire ou définitif, sauvegarder les données de manière à garantir le respect de l’obligation prévue à l’article 24, § 2, h), du règlement eIDAS (enregistrement et accessibilité des informations pertinentes concernant les données délivrées et reçues par le prestataire, notamment à de fins probatoires ou de continuité du service). Elle repose en effet sur le prestataire mais, s’il cesse ses activités, on peut craindre qu’elle ne soit pas suivie d’effets (spécialement ne cas de cessation totale de ses activités).

L’article XII.36, alinéas 2 et suivants, envisage ensuite l’hypothèse dans laquelle la reprise des activités n’est pas possible¹⁴⁵⁷. Pour les activités consistant en la délivrance de certificats qualifiés de signature ou de cachet, le prestataire doit avertir leurs titulaires et révoquer les certificats dans les deux mois. S’agissant des services d’archivage, d’horodatage et de recommandé électronique, les utilisateurs doivent être informés sans délai¹⁴⁵⁸ de la date d’arrêt du service. Dans tous les cas, le prestataire doit également informer la personne concernée des mesures prises pour satisfaire à l’obligation prévue à l’article 24, § 2, h), du règlement eIDAS. S’agissant de l’archivage, le prestataire doit aussi leur offrir « la possibilité de transférer les données dans les trois mois et sans frais supplémentaires vers un autre prestataire de services de confiance qualifié ou de se faire restituer les données conformément à l’article XII.38 ». Pour les services de recommandé, il est requis que les envois effectués avant cet arrêt des activités soient transmis à leur destinataire.

Curieusement, une procédure différente est prévue lorsque l’arrêt des activités intervient pour des raisons indépendantes de la volonté du prestataire de services de confiance qualifié ou en cas de faillite. Dans cette hypothèse, il doit, d’une part, informer immédiatement l’organe de contrôle, d’autre part, « informe[r] les utilisateurs des mesures prises pour satisfaire à l’obligation visée à l’article 24, paragraphe 2, point h) du règlement 910/2014 et procède[r], le cas échéant, à la révocation des certificats qualifiés »¹⁴⁵⁹. Le motif des « raisons indépendantes de la volonté du prestataire » nous parait très vague. A tout le moins, les conditions de la force majeure auraient pu être visées. On regrette aussi qu’aucune obligation, même de moyen, ne soit imposée au prestataire (voire au curateur, dans le cadre de la faillite), pour tenter la reprise des activités. De manière générale, une solution de « back up » offerte ou organisée par les pouvoirs publics n’aurait probablement pas été superflue, de sorte que les finalités probatoires et de continuité du service, visées à l’article 24, paragraphe 2, point h), du règlement, puissent effectivement être atteintes.

En cas de dissolution du contrat relatif au service d’archivage électronique, pour quelque motif que ce soit, l’article XII.38 du C.D.E. interdit au prestataire qualifié d’opposer à l’utilisateur un quelconque droit de rétention des données et lui impose de demander, par envoi recommandé, le sort qui doit être réservé aux données qui avaient été confiées. On aurait pu espérer une formulation plus positive du droit à la portabilité ou à la restitution des données. Quant à l’exigence de l’envoi recommandé, elle nous paraît exagérément lourde en ce qu’elle est requise de manière systématique. Il eût été plus raisonnable de permettre à l’entreprise de prendre contact avec l’utilisateur par le canal habituel de communication (une adresse email par exemple) et de passer au recommandé uniquement lorsque l’utilisateur n’y réserve pas de suite. S’agissant des données à caractère personnel, cette exigence devra être articulée avec le droit à la portabilité des données consacré à l’article 20 du Règlement général sur la protection des données. Suite à l’interpellation du prestataire, l’utilisateur peut opter pour la restitution des données ou leur transfert vers un autre prestataire. Il incombe alors au prestataire de restituer « les données et, le cas échéant, les informations visées à l’article 24, paragraphe 2, point h) du règlement 910/2014 à l’utilisateur du service ou [de] les transf[érer] vers l’autre prestataire désigné dans un délai raisonnable et sous une forme lisible et exploitable convenue avec l’utilisateur du service ou avec le nouveau prestataire, en accord avec l’utilisateur du service »¹⁴⁶⁰.

L’article XII.38, § 2, alinéa 2, du C.D.E. ajoute qu’ « en l’absence de réponse de l’utilisateur dans les trois mois de la demande visée à l’alinéa 1er, le prestataire peut procéder à la destruction des données, sauf interdiction expresse d’une autorité judiciaire ou administrative compétente et sous réserve de l’application des dispositions légales et réglementaires relatives à la préservation et à l’élimination des archives du secteur public, en particulier de l’article 5 de la loi du 24 juin 1955 relative aux archives ».

De manière générale, on se demande encore pour quelle raison ces obligations (voire certaines d’entre elles seulement) s’appliquent uniquement au prestataire de services d’archivage électronique qualifié et pas à tout prestataire de services d’archivage, peu importe qu’il ait été qualifié ou pas. En tout état de cause, dans le règlement général de protection des données, on ne trouve pas de telles distinctions.

c) Obligation de recourir à un service d’archivage électronique qualifié

Dans certaines hypothèses, le législateur belge s’est substitué à la volonté des parties (et à leur liberté d’opter pour un service qualifié ou un service non-qualifié) pour leur imposer, sans choix possible, de recourir à un service de confiance qualifié.

Aux termes de l’article XII.25, § 5, alinéa 3, « sous réserve de l’application d’exigences légales ou réglementaires particulières, lorsqu’une obligation de conservation de données ou de documents est imposée de manière expresse par un texte légal ou réglementaire, il est recouru à un service d’archivage électronique qualifié si l’utilisateur du service opte pour la voie électronique ». Les travaux préparatoires le justifient par un motif de sécurité juridique¹⁴⁶¹.

Cette exigence ne nous paraît pas justifiée. En outre, on complique inutilement la tâche des acteurs économiques, avec des exigences lourdes, complexes et coûteuses, qui sont disproportionnées par rapport à celles qu’elles assumaient dans l’environnement papier. En matière d’archivage papier, par exemple, aucune exigence spécifique n’est imposée, sans que cela semble poser de difficulté en pratique. Pourquoi dès lors faire preuve d’un tel dirigisme réglementaire dans l’environnement électronique ? Cette exigence est d’autant plus excessive qu’à l’heure actuelle, il n’existe pas encore de marché suffisamment mûr permettant de choisir un prestataire qualifié en faisant utilement jouer la concurrence.

Le législateur en est d’ailleurs conscient puisque l’entrée en vigueur des dispositions concernées¹⁴⁶² est reportée sine die (mais laissée à l’appréciation discrétionnaire du Roi)¹⁴⁶³.

d) Existe-t-il des prestataires de service d’archivage électronique qualifié en Belgique ?

La liste des prestataires de services de confiance qualifiés établis en Belgique est disponible sur le site du SPF Economie¹⁴⁶⁴.

A l’heure où nous écrivons ces lignes (fin juin 2021), il n’existe pas encore de prestataire qualifié offrant des services d’archivage électronique (ce qui n’empêche pas que certaines entités aient pu faire les démarches auprès du SPF Economie pour exploiter le service pour leur propre compte).

IV. Quels sont les effets juridiques attachés au service d’archivage électronique qualifié ou non-qualifié

Pour déterminer les effets juridiques du service d’archivage électronique (qualifié ou non-qualifié), le droit belge a repris les principes directeurs consacrés par le règlement eIDAS pour les autres services de confiance : un principe de non-discrimination, associé à des présomptions.

Sur ce point, on s’étonne que la Proposition de règlement ne suive pas la même logique. Aucun effet juridique n’est en effet attaché à l’archivage électronique en général, ou au service d’archivage électronique qualifié en particulier. Le registre électronique bénéficie quant à lui du principe de non-discrimination et, s’il est qualifié, jouit d’une présomption d’unicité et d’authenticité des données, d’exactitude de la date et de l’heure, et de l’ordre chronologique et séquentiel dans le registre¹⁴⁶⁵.

A. Principe de non-discrimination

A l’instar des autres services de confiance, le service d’archivage électronique bénéficie du principe de non-discrimination. Aux termes de l’article XII.25, § 4, du C.D.E., « l’effet juridique et la recevabilité d’un archivage électronique comme preuve en justice ne peuvent être refusés au seul motif que cet archivage se présente sous une forme électronique ou qu’il ne satisfait pas aux exigences du service d’archivage électronique qualifié ». L’interdiction de toute discrimination est double, en ce qu’elle s’applique, d’une part, au bénéfice d’un service de confiance non-qualifié (par rapport à un service qualifié), d’autre part, au bénéfice d’un service de confiance – par définition de nature électronique – par rapport à un procédé correspondant dans l’environnement papier (un système d’archivage papier, par exemple). La juridiction saisie d’un litige dans lequel une partie voudrait se fonder sur des données archivées électroniquement ne pourrait donc pas se voir opposer une fin de non-recevoir sur pour ces motifs.

D’un point de vue légistique, la formulation employée, suivant laquelle « l’effet juridique et la recevabilité d’un archivage électronique comme preuve en justice ne peuvent être refusés… » nous paraît critiquable : ce n’est pas le service d’archivage électronique en tant que tel qui est soumis au principe de non-discrimination mais les données électroniques conservées au moyen de celui-ci. Aussi la disposition aurait-elle dû être formulée comme suit : « l’effet juridique et la recevabilité des données conservées au moyen d’un service d’archivage électronique comme preuve en justice ne peuvent être refusés… ».

B. Présomptions

L’application du principe de non-discrimination ne signifie pas que le procédé d’archivage électronique mis en œuvre recevra des effets juridiques équivalents à un système d’archivage papier traditionnel. Pour ce faire, il convient de poursuivre l’analyse, en distinguant suivant que le service d’archivage électronique est qualifié ou non-qualifié.

Pour le service d’archivage électronique qualifié, le législateur instaure en effet plusieurs présomptions ayant pour effet de renverser la charge de la preuve (et donc le risque) en faveur des utilisateurs de tels services.

Le recours à un service qualifié permet d’abord de présumer que les données ont été conservées sans modification et donc, que la fonction d’intégrité du contenu a été préservée (pour l’utilisateur, la preuve est donc plus facile à faire). Cette présomption est réfragable¹⁴⁶⁶ (la preuve contraire peut donc être apportée).

Le législateur belge double cette présomption d’une autre présomption, suivant laquelle « sous réserve de l’application d’exigences légales ou réglementaires particulières, lorsqu’une obligation de conservation des données ou des documents est imposée, de manière expresse ou tacite, par un texte légal ou réglementaire, cette obligation est présumée satisfaite par le recours à un service d’archivage électronique qualifié »¹⁴⁶⁷. Cette présomption nous paraît inutile, dans la mesure où elle résulte déjà de la présomption suivant laquelle les fonctions sont atteintes par le recours à un service qualifié (si on présume que les fonctions sont atteintes, il faut nécessairement en conclure que l’exigence d’archivage est satisfaite). S’agissant de l’archivage, il faut donc articuler une présomption réfragable sur les fonctions¹⁴⁶⁸ avec une présomption irréfragable sur l’obligation de conservation¹⁴⁶⁹¹⁴⁷⁰ : on peut donc démontrer que service d’archivage électronique qualifié n’a pas permis de préserver les données de toute modification (présomption réfragable sur les fonctions) ; par contre, et nonobstant cette preuve contraire, l’obligation de conservation sera présumée satisfaite par le recours à un service d’archivage électronique qualifié (sans qu’il soit possible de renverser la présomption). Il faudra donc considérer que l’obligation légale de conservation est respectée, alors même que la démonstration de l’atteinte à l’intégrité du contenu a été faite.

De telles présomptions n’existent pas pour le service d’archivage électronique non-qualifié. Concrètement, il incombera donc à l’utilisateur de démontrer que le procédé choisi a permis de préserver la fonction d’intégrité des données électroniques (et donc d’empêcher les modifications de ces données) et de respecter l’obligation de conservation des données. La charge de la preuve repose sur l’utilisateur. Le risque de ne pas prouver – et de subir les conséquences quant à l’issue éventuelle d’un litige – lui incombe aussi.

Les dispositions de l’article 13 du règlement, en matière de responsabilité, s’appliquent également aux prestataires de services d’archivage électronique, non-qualifiés ou qualifiés¹⁴⁷¹. Le régime probatoire est donc plus favorable aux utilisateurs de ces derniers, puisque le règlement présume que le prestataire de service de confiance a agi intentionnellement ou par négligence.

Par contre, le principe de reconnaissance mutuelle, consacré par le règlement eIDAS pour la signature, le cachet et l’horodatage électronique qualifiés¹⁴⁷², ne vaut pas pour le service d’archivage électronique. C’est logique puisque la matière n’est pas harmonisée par le règlement ; les dispositions introduites par la loi du 21 juillet 2016 ne s’appliquent d’ailleurs qu’aux prestataires établis en Belgique¹⁴⁷³. Cet élément souligne la nécessité d’un cadre harmonisé sur l’archivage électronique en droit de l’Union.

Une présomption de copie fidèle et durable est également introduite. Aux termes de l’article XII.25, § 6, du C.D.E., « sous réserve de l’application d’exigences légales ou réglementaires particulières, une copie numérique effectuée à partir d’un document sur support papier est présumée en être une copie fidèle et durable lorsqu’elle est réalisée et conservée au moyen d’un service d’archivage électronique qualifié. Dans ce cas, la destruction de l’original papier est autorisée, sous réserve de l’application des dispositions légales et réglementaires relatives à la préservation et à l’élimination des archives du secteur public, en particulier de l’article 5 de la loi du 24 juin 1955 relative aux archives ». Cette disposition vise uniquement l’hypothèse de la numérisation de documents « papier ». Si on recourt à un service d’archivage électronique qualifié, le C.D.E. présume qu’il s’agit d’une copie « fidèle et durable », autorisant normalement la destruction de l’original papier¹⁴⁷⁴. La présomption est réfragable¹⁴⁷⁵. Une telle présomption n’existe pas pour le service d’archivage électronique non-qualifié. Concrètement, dans ce cas, il incombera donc à l’utilisateur de démontrer que le document électronique conservé au moyen de ce procédé (après numérisation) constitue une copie fidèle et durable. Il devra donc établir que le procédé a permis de garantir sa pérennité et l’intégrité de son contenu.

Conclusion

Suite à la Proposition de règlement de la Commission, introduisant de nouveaux services de confiance d’archivage électronique et de registre électronique dans le règlement eIDAS, on peut normalement s’attendre à ce que le cadre normatif évolue à brève échéance. A ce stade, les dispositions modificatives suscitent cependant diverses questions (et réserves) et on espère vivement qu’au cours des prochains mois, des amendements seront apportés en la matière.

Il nous paraît en effet indispensable de réguler le service d’archivage électronique, en le considérant comme un service de confiance additionnel (de préférence en droit de l’Union). Le législateur belge a fait un premier pas en ce sens et, même si les règles restent encore perfectibles à certains égards, c’est d’après nous une solution efficace et de nature à assurer un niveau élevé de sécurité juridique. Aussi formons-nous le vœu qu’elle puisse servir d’inspiration utile à la Commission et aux autres législateurs nationaux.

1400) Les cloud et autres logiciels de réplication et de sauvegarde n’assurent pas une conservation pérenne des données déposées.

1401) http://www2.assemblee-nationale.fr/15/missions-d-information/missions-d-information-communes/chaines-de-blocs

1402) 113^e Congrès des notaires de France, Lille, 2017, ≠Familles ≠Solidarités ≠Numérique, Le notaire au cœur des mutations de la société, p. 988 et s., § 3485 et s. – Rapp. AN n^o 1501, Les chaînes de blocs (blockchains), déc. 2018 ; V. égal. art.s multiples in Dalloz IP/IT 2018, 2019.

1403) N. Laurent-Bonne, La re-féodalisation du droit par la blockchain : Dalloz IP/IT juill.-août 2019, p. 416 et s.

1404) M. Mekki, Les mystères de la blockchain : D. 2017, p. 2160 et s.

1405) M. Malaurie-Vignal, Enjeux et défis de la blockchain dans ses relations avec la propriété intellectuelle : Dalloz IP/IT 2018, p. 531.

1406) www.assemblee-nationale.fr/dyn/15/rapports/micblocs/l15b1501_rapport-information#, p. 17.

1407) Il faut toutefois rappeler l’escroquerie visant la blockchain Bitcoin Gold, qui a coûté 388 000 bitcoins gold (environ 18 millions de dollars US de l’époque) en mai 2018 (blockchain trop « jeune » insuffisamment développée pour contrarier ce genre de situation).

1408) V. supra, n^o 3409.

1409) L. Joly, La blockchain est-elle une révolution pour la propriété intellectuelle : Dalloz IP/IT 2018, p. 536.

1410) E. A. Caprioli, Mythes et légendes de la blockchain face à la pratique : Dalloz IP/IT juill.-août 2019, p. 429 et s.

1411) La blockchain Bitcoin valide un bloc en environ dix minutes et la transaction est considérée comme certaine au bout d’une heure pour des montants importants.

1412) V. Gautrais, Les sept péchés de la blckchain : éloge du doute ! : Dalloz IP/IT 2019, p. 432.

1413) M. Fontaine, S. Juillet et D. Froger, La blockchain : mythe ou réalité ? : JCP N 2017, n^o 25, p. 33.

1414) Assemblée de Liaison des notaires de France, L’intelligence artificielle : dangers ou opportunités pour le notariat, 2018, 69^e session, p. 105, § 707 et s.

1415) Selon le rapport de l’Assemblée nationale de décembre 2018 déjà cité, « la maturité de cette technologie n’a pas encore d’échéance bien maîtrisée ».

1416) La recommandation^o 14-02 de la Commission des clauses abusives, Contrats de fourniture de services de réseaux sociaux, recommande que soient éliminées des contrats proposés par les fournisseurs de service de réseautage social les clauses ayant pour objet ou pour effet : 19) de prévoir la conservation des données à caractère personnel du consommateur ou du non-professionnel sans aucune limitation de durée ou pour une durée qui excède celle nécessaire aux finalités du traitement ; 30) de conférer au professionnel, qui s’est engagé à fournir une prestation de stockage et de mise à disposition de tous contenus, le pouvoir discrétionnaire d’accepter ou de supprimer un contenu généré par le consommateur, hors modération contractuellement prévue ; 31) de reconnaître au professionnel, postérieurement à la résiliation du contrat, le droit de conserver les contenus mis en ligne par le consommateur ou le non-professionnel hors les hypothèses de cession licite ou de motif légitime, au-delà de la durée nécessaire aux opérations techniques de suppression du contenu.

1417) L. n^o 2016-1321 pour une République numérique, 7 oct. 2016 (www.legifrance.gouv.fr/affichTexte.do;jsessionid=98B94224F1FC2B4CB2C2973D4BF987DD.tplgfr34s_2?cidTexte=JORFTEXT000033202746&dateTexte=29990101).

1418) E. A. Caprioli, Coffre-fort numérique dans la loi pour une République numérique : Comm. com. électr. mars 2017, n^o 3, comm. 28. À titre indicatif, la grande majorité des espaces de stockage numérique ne pourront pas être considérés comme des coffres forts numériques.

1419) C. consom., art. L. 122-22.

1420) D. n^o 2018-418, 30 mai 2018, relatif aux modalités de mise en œuvre du service de coffre-fort numérique (www.legifrance.gouv.fr/affichTexte.do;jsessionid=98B94224F1FC2B4CB2C2973D4BF987DD.tplgfr34s_2?cidTexte=LEGITEXT000036965293&dateTexte=20180531&categorieLien=cid#LEGITEXT000036965293) ; D. n^o 2018-853, 5 oct. 2018, relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique (www.legifrance.gouv.fr/affichTexte.do;jsessionid=98B94224F1FC2B4CB2C2973D4BF987DD.tplgfr34s_2?cidTexte=LEGITEXT000037471516&dateTexte=20181007&categorieLien=cid#LEGITEXT000037471516).

1421) L. n^o 2016-1321 pour une République numérique, 7 oct. 2016 (www.legifrance.gouv.fr/affichTexte.do;jsessionid=98B94224F1FC2B4CB2C2973D4BF987DD.tplgfr34s_2?cidTexte=JORFTEXT000033202746&dateTexte=29990101).

1422) C. consom., art. L. 132-2 et L. 132-3 sur les pratiques commerciales trompeuses, notamment une peine de prison de deux ans et une amende de 300 000 € qui peut être majorée.

1423) V. supra, n^os et et s. et 3206.

1424) V. supra, n^o .

1425) V. supra, n^o 3645.

1426) L’auteur peut être contacté à l’adresse suivante : herve.jacquemin@unamur.be.

1427) Art. 315 du Code des impôts sur les revenus ; art. 60 du Code TVA ; art. III. 88, al. 2, du Code de droit économique. Tous les textes légaux et réglementaires applicables en Belgique sont accessibles en ligne sur le site http://www.ejustice.just.fgov.be/loi/loi.htm

1428) Art. 25 de l’A.R. du 8 août 1980 relatif à la tenue des documents sociaux, M.B., 27 août 1980.

1429) Art. 2:102 du Code des sociétés et associations.

1430) Art. 2262 bis du Code civil.

1431) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avr. 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), J.O. L 119 du 4 mai 2016. Voy. en particulier l’art. 5, § 1^er, e), du R.G.P.D., qui consacre le principe de limitation de la conservation.

1432) www.izimi.be

1433) J.O. n^o L 257 du 28 août 2014.

1434) Pour une analyse du règlement, voy. not. D. Gobert, « Le règlement européen du 23 juill. 2014 sur l’identification électronique et les services de confiance (eIDAS) : évolution ou révolution ? », R.D.T.I., 2014/56, pp. 27 et s. ; H. Jacquemin (sous la dir. de), L’identification électronique et les services de confiance depuis le règlement eIDAS, Bruxelles, Larcier, 2016, 425 p. ; M. Fernandez-Gonzalez, « Le règlement eIDAS : l’identification électronique et les services de confiance au service du citoyen et du consommateur », R.E.D.C., 2016/1, pp. 35 et s. ; H. Graux, « De eIDAS-Verordening en de begeleidende Belgische wetgeving : nieuwe marsorders voor elektronische handtekeningen en andere vertrouwendienstens », C.J., 2016, pp. 53 et s. ; H. Jacquemin, « Les services de confiance depuis le règlement eIDAS et la loi du 21 juill. 2016 », J.T., 2017, pp. 197 et s.

1435) Tout au plus peut-on mentionner les exigences tenant à la fourniture d’un service de conservation qualifié des signatures ou des cachets électroniques qualifiés (art. 34 et 40 du règlement).

1436) Sur ce thème, avant l’adoption du règlement eIDAS et du Digital Act, voy. M. Demoulin et D. Gobert, « L’archivage dans le commerce électronique : comment raviver la mémoire ? », Commerce électronique : de la théorie à la pratique, Bruxelles, Larcier, 2003, pp. 101 et s. ; M. Demoulin (sous la dir. de), L’archivage électronique et le droit, Bruxelles, Larcier, 2012, 195 p. ; M. Demoulin, « De l’archivage électronique à la gouvernance informationnelle : quelle place pour le juriste ? », Let’s go digital – Le juriste face au numérique / De digitale uitdaging van de jurist, Bruxelles, Bruylant, 2015, pp. 199 et s. Pour une analyse de la loi belge, en lien avec le règlement eIDAS, voy. O. Vanreck, « Service d’archivage électronique : le service de confiance délaissé par le Règlement n^o 910/2014 », L’identification électronique et les services de confiance depuis le règlement eIDAS, Bruxelles, Larcier, 2016, pp. 215 et s. ; H. Jacquemin, « Les services de confiance depuis le règlement eIDAS et la loi du 21 juill. 2016 », J.T., 2017, pp. 204 et s. ; D. Gobert, « La loi belge du 21 juill. 2016 mettant en œuvre le règlement européen eIDAS et le complétant avec des règles sur l’archivage électronique : analyse approfondie », op. cit., pp. 19 et s. ; O. Vanreck, « Le nouveau cadre juridique applicable au service d’archivage électronique », DAOR, 2017/2, pp. 33 et s.

1437) Distinction entre les services non-qualifiés et les services qualifiés (soumis à des exigences additionnelles), et mise en œuvre du principe de non-discrimination et de présomptions (en faveur des services qualifiés).

1438) Ces dispositions ont été introduites par la loi du 21 juill. 2016 mettant en œuvre et complétant le règlement (UE) n^o 910/2014 du parlement européen et du conseil du 23 juill. 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, portant insertion du titre 2 dans le livre XII “Droit de l’économie électronique” du Code de droit économique et portant insertion des définitions propres au titre 2 du livre XII et des dispositions d’application de la loi propres au titre 2 du livre XII, dans les livres I, XV et XVII du Code de droit économique, M.B., 28 sept. 2016 (ci-après, la loi du 21 juill. 2016, ou le Digital Act I).

1439) A l’heure où nous écrivons ces lignes, le document est uniquement disponible en anglais : Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) N^o 910/2014 as regards establishing a framework for a European Digital Identity, COM(2021) 281 final.

1440) Art. I.8, 17°, du C.D.E.

1441) Il eût été plus correct, d’après nous, de définir ce service comme le « service de confiance supplémentaire […], qui consiste en la conservation de données électroniques, résultant, le cas échéant, de la numérisation de documents papiers ».

1442) Art. I.18, 18°, du C.D.E.

1443) Nouvel art. 3 (47) du règlement eIDAS.

1444) Nouvel art. 3 (48) du règlement eIDAS.

1445) Voy. À cet égard le considérant 34 de la Proposition de règlement : « Qualified electronic ledgers record data in a manner that ensures the uniqueness, authenticity and correct sequencing of data entries in a tamper proof manner. An electronic ledger combines the effect of time stamping of data with certainty about the data originator similar to e-signing and has the additional benefit of enabling more decentralised governance models that are suitable for multi-party co-operations. For example, it creates a reliable audit trail for the provenance of commodities in cross-border trade, supports the protection of intellectual property rights, enables flexibility markets in electricity, provides the basis for advanced solutions for self-sovereign identity and supports more efficient and transformative public services ».

1446) Pour une présentation technique de la blockchain, voy. J.-N. Colin, « Du Bitcoin aux DAO : les fondations techniques de la blockchain », Les blockchains et les smart contracts à l’épreuve du droit, Coll. du CRIDS, Bruxelles, Larcier 2020, pp. 9 et s. De manière générale, voy. aussi Y. Poullet et H. Jacquemin, « Blockchain : une révolution pour le droit ? », J.T., 2018, pp. 801 et s. ; J. Gossa, « Les blockchains et smart contracts pour les juristes », Dalloz IT/IT, 2018, pp. 393 et s. ; M. Mekki, « Le contrat, objet des smart contracts (partie 1) », Dalloz IP/IT, 2018, pp. 409 et s. ; M. Raskin, « The Law and Legality of Smart Contracts », Geo. L. Tech. Rev., 2017, pp. 318 et s. ; A. Tordeurs, « Une approche pédagogique de la blockchain », Revue internationale des services financiers, 2017/4, pp. 6 et s. ; T.E. Tjong Tjin Tai, « Juridische aspekten van blockchain en smart contracts », T.P.R., 2017, pp. 566 et s. ; D. De Jonghe et V.I. Laan, « Blockchain in the realiteit », Computerrecht, 2017/251, pp. 347 et s. ; J. Linnemann, « Juridische aspecten van (toepassing van) blockchain », Computerrecht, 2016/218, pp. 319 et s. ; Blockchain France, La Blockchain décryptée, https://blockchainfrance.net, pp. 1 et s. ; A. Wright et P. de Filippi, « Decentralized Blockchain Technology and the rise of Lex Cryptographia », Working paper, 2015, pp. 4 et s., disponible sur http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2580664

1447) On précise immédiatement qu’à proprement parler, il n’existe pas une et une seule blockchain, mais plusieurs variétés de blockchains. Une distinction peut ainsi être faite entre les blockchains publiques (comme Ethereum ou Bitcoin) et les blockchains privées (ou de consortium), où un nombre limité d’acteurs définit les règles, spécialement en ce qui concerne l’accès à la chaine des blocs et le processus de validation de ceux-ci.

1448) Sur les enjeux de la blockchain en matière d’archivage électronique, voy. E. Caprioli, « Archivage et blockchain », Les blockchains et les smart contracts à l’épreuve du droit, Coll. du CRIDS, Bruxelles, Larcier 2020, pp. 209 et s.

1449) Doc. Parl., Ch. Repr., sess. ord. 2015-2016, n^o 1893/001, pp. 24-25. Cette disposition impose aux prestataires non-qualifiés de prendre « les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents ».

1450) Art. 21 du règlement eIDAS.

1451) Art. 20 du règlement eIDAS.

1452) Art. 24, § 2, du règlement eIDAS.

1453) Dans le cadre de cette notification, l’entité est tenue de communiquer des renseignements d’identification, ainsi qu’« un rapport d’évaluation, effectué à ses frais, par un organisme d’évaluation de la conformité, confirmant le respect des exigences du règlement 910/2014, du présent titre et de son annexe I » (art. XII.28, § 2, du C.D.E.). La loi impose alors à l’organe de contrôle de lui délivrer un récépissé dans les cinq jours ouvrables suivant la réception des informations, tout en lui donnant la possibilité, « s’il le juge utile notamment sur la base du rapport d’évaluation », de procéder à un contrôle (art. XII.28, § 2, du C.D.E.).

1454) M.B., 16 avr. 2019 (en vigueur le 16 avr. 2019).

1455) Art. 17, § 4, i), et art. 24, § 2, h) et i), du règlement eIDAS.

1456) Doc. Parl., Ch. Repr., sess. ord. 2015-2016, n^o 1893/001, pp. 28-29.

1457) A priori, l’obligation du prestataire reste peu contraignante puisqu’il doit seulement « tenter » la reprise. Il en résulte que l’impossibilité pourrait résulter de sa seule volonté (parce que, par exemple, les conditions financières proposées par le repreneur ne lui conviennent pas).

1458) A noter que cette obligation d’informer les personnes concernées doit être fournie sans délai pour les services d’archivage, de recommandé et d’horodatage, mais pas pour les certificats qualifiés de signature ou de cachet (ce qui est difficilement compréhensible).

1459) Art. XII.37 du C.D.E.

1460) Art. XII.38, § 2, al. 3, du C.D.E.

1461) Doc. Parl., Ch. Repr., sess. ord. 2015-2016, n^o 1893/001, pp. 19 et s.

1462) Il s’agit de l’art. XII.25, § 5, alinéa 3, § 7, alinéa 2, § 8, alinéa 2, du C.D.E. (voy. l’art. 1^er de l’A.R. du 14 sept. 2016). .

1463) Faisant référence aux travaux préparatoires (Doc. Parl., Ch. Repr., sess. ord. 2015-2016, n^o 1893/001, p. 32), le rapport au Roi précédent l’arrêté royal qui fixe l’entrée en vigueur de la loi du 21 juill. 2016 indique en effet que « le report de l’entrée en vigueur à une date ultérieure de ces dispositions s’explique par le fait que le caractère opérationnel de celles-ci dépendra notamment de l’adoption de certains actes d’exécution prévus par le règlement 910/2014, de l’existence de normes nationales, européennes et/ou internationales pour certains services de confiance (notamment envoi recommandé électronique et archivage électronique) ainsi que de l’existence sur le marché belge et/ou européen d’une offre acceptable et opérationnelle de ces services de confiance qualifiés ainsi que d’une concurrence suffisante permettant de garantir un prix raisonnable ».

1464) https://economie.fgov.be/fr/themes/line/commerce-electronique/signature-electronique-et

1465) Futur art. 45h du règlement eIDAS.

1466) Sur le caractère réfragable ou irréfragable, voy. Doc. Parl., Ch. Repr., sess. ord. 2015-2016, n^o 1893/001, p. 19.

1467) Art. XII.25, § 5, al. 1^er, du C.D.E.

1468) Art. XII.25, § 5, al. 2, du C.D.E.

1469) Art. XII.25, § 5, al. 1^er, du C.D.E.

1470) Sur le caractère réfragable ou irréfragable, voy. Doc. Parl., Ch. Repr., sess. ord. 2015-2016, n^o 1893/001, p. 19.

1471) Art. XII.29 du C.D.E.

1472) Art. 25, § 3, 35, § 3 et 41, § 3, du règlement eIDAS.

1473) Voy. l’art. XII.24, § 2, du C.D.E. En ce sens, voy. D. Gobert, « La loi belge du 21 juill. 2016 mettant en œuvre le règlement européen eIDAS et le complétant avec des règles sur l’archivage électronique : analyse approfondie », oct. 2016, publié sur www.droit-technologie.org, p. 11.

1474) Comp. à l’art. 8.25 du (nouveau) Code civil, applicable en matière probatoire, et suivant lequel La copie réalisée au moyen d’un service d’archivage électronique qualifié conforme au livre XII, titre 2, du Code de droit économique a la même force probante que l’écrit sous signature privée, dont elle est présumée, sauf preuve contraire, être une copie fidèle et durable. La présentation de l’original n’est pas exigée.

Hormis les cas où la loi en dispose autrement, dans tous les autres cas, la copie constitue une présomption de fait ou, le cas échéant, un commencement de preuve par écrit lorsque les conditions imposées par l’art. 8.1, 7° sont réunies. Si l’original subsiste, sa présentation peut toujours être exigée ».

1475) Doc. Parl., Ch. Repr., sess. ord. 2015-2016, n^o 1893/001, p. 20.

CGV – CGU

Thème 3 : MODERNISER ET ENCADRER LE CONTRAT DANS LE MONDE NUMÉRIQUE

LES AUTEURS

Thème : Moderniser et encadrer le contrat dans le monde numérique

PARTIE I :

L'adaptation du droit des contrats au monde numérique

Chapitre I : La phase précontractuelle

Chapitre II : La rencontre des volontés

Chapitre I : La validité du contrat électronique

Chapitre II : La force probante des technologies numériques

Chapitre I : Les obstacles au smart contract en droit positif

Chapitre II : Les opportunités d'encadrement des smart contracts

Chapitre III : Conclusion

PARTIE II :

La sécurisation de la pratique du contrat numérique

Chapitre I : L'ambiguïté des caractéristiques techniques des outils numériques à l'aune de l'objectif de confiance contractuelle

Chapitre II : La disparité des effets des modes de régulation des technologies numériques à l'aune de l'objectif de confiance contractuelle

Chapitre I : Les atouts des tiers de confiance traditionnels

Chapitre II : Le nouveau rôle d'oracle des tiers de confiance traditionnels

Chapitre I : La délivrance d'un conseil augmenté

Chapitre II : La délivrance d'un conseil toujours plus personnalisé

Chapitre I : Maîtriser les outils de contrôle des contractants

Chapitre II : Maîtriser les outils de contrôle du contenu du contrat

Chapitre I : Faire évoluer la numérisation

Chapitre II : Développer des outils de conservation sécurisés

Chapitre II – La conservation pérenne : atouts et limites des outils numériques

Section I – La blockchain

Section II – Le coffre-fort numérique


Laetitia Jossier	Caroline Chaunu	Xavier Ricard