Les textes en vigueur fournissent des éléments de définition de la signature électronique
(§ I)
et en dressent une typologie, en fonction du niveau de garantie associé à la signature
(§ II)
.
La qualification de signature électronique
La qualification de signature électronique
La définition de la signature électronique
L'article 1367 du Code civil (
C. civ., art. 1367
">Lien
) (ancien art. 1316-4) définit la signature comme étant :
- « nécessaire à la perfection d'un acte juridique » ;
- identificatrice de son auteur ;
- une manifestation de « son consentement aux obligations qui découlent de cet acte ».
L'article 1367 consacre son second alinéa à la signature électronique consistant « en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache ».
L'écrit doit donc être signé pour être parfait ; à défaut, il ne vaut que comme commencement de preuve par écrit
La Cour de cassation a récemment considéré (Cass. 1re civ., 7 oct. 2020, no 19-18.135) qu'un contrat conclu sous forme électronique non revêtu d'un procédé permettant l'identification de son auteur pouvait échapper à la nullité s'il avait été volontairement exécuté en connaissance de cette cause de nullité du contrat électronique. La Cour de cassation a ici raisonné par analogie avec le contrat conclu sous forme papier (C. civ., art. 1182, al. 3 ; antérieurement art. 1338, al. 2).
.
La signature doit permettre d'identifier son auteur, et ne peut donc être une simple griffe ou une reproduction sur un fichier informatique d'un graphisme utilisable par n'importe qui. La signature scannée n'est donc pas une signature électronique, mais une simple griffe ne permettant pas l'identification de son auteur
V. supra, no . S’agissant d’une contrainte délivrée conformément à l’article L. 161-1-5 du Code de la sécurité sociale, la Cour de cassation a toutefois retenu que « l’apposition sur la contrainte d’une image numérisée d’une signature manuscrite ne permet pas, à elle seule, de retenir que son signataire était dépourvu de la qualité requise pour décerner cet acte ». Cass. 1re civ., 12 mai 2021, no 20-10.584, no 20-10.826.
.
En matière de copie authentique notariée, encadrée par les articles 34 et suivants du décret no 71-941 du 26 novembre 1971
D. no 71-941, 26 nov. 1971, relatif aux actes établis par les notaires.
relatif aux actes établis par les notaires, il est spécifié que la copie sur support papier doit être signée par le notaire et l'empreinte de son sceau doit y être apposée (art. 34). Une numérisation de la copie authentique papier la fera dégénérer en simple copie. Pour que la copie authentique conserve ce caractère sous format électronique, elle doit être signée au moyen d'une « signature électronique sécurisée » et numérisée « dans des conditions garantissant sa reproduction à l'identique » (art. 37).
Le règlement eIDAS, auquel renvoie le décret no 2017-1416 du 28 septembre 2017 relatif à la signature électronique, distingue trois types de signature électronique
Sur ce point : V. égal. supra, nos et s.
en fonction de leur niveau de fiabilité
Le règlement d'exécution no 2015/1502 du 8 sept. 2015 prévoit trois niveaux de garantie : faible, substantiel et élevé.
.
La typologie des signatures électroniques
La signature électronique simple correspond à « des données sous forme électronique, qui sont jointes ou associées logiquement à d'autres données sous forme électronique et que le signataire utilise pour signer »
PE et Cons. UE, règl. (UE) no 910/2014, 23 juill. 2014, art. 3, 10.
. Elle n'est pas soumise à un processus particulier de vérification d'identité ou de consentement. Le niveau de garantie associé est faible, c'est-à-dire que l'objectif est simplement de réduire le risque d'utilisation abusive ou d'altération de l'identité. Ce type de signature est fréquemment utilisé pour l'acceptation d'un contrat d'adhésion.
- être liée au signataire de manière univoque ;
- permettre d'identifier le signataire ;
- avoir été créée à l'aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ;
- être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
Ce niveau de signature offre de sérieuses garanties de son authenticité, ce qui a pour conséquence de réduire substantiellement le risque d'utilisation abusive ou d'altération de l'identité du signataire.
La signature électronique avancée satisfait aux exigences énoncées à l'article 26 du règlement eIDAS
PE et Cons. UE, règl. (UE) no 910/2014, 23 juill. 2014, art. 3, 11.
, à savoir :
La signature électronique qualifiée est « créée à l'aide d'un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique »
PE et Cons. UE, règl. (UE) no 910/2014, 23 juill. 2014, art. 3, 12.
. Le certificat de signature électronique est « une attestation électronique qui associe les données de validation d'une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne »
PE et Cons. UE, règl. (UE) no 910/2014, 23 juill. 2014, art. 3, 14.
. Le certificat qualifié de signature électronique est « un certificat de signature électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l'annexe I »
PE et Cons. UE, règl. (UE) no 910/2014, 23 juill. 2014, art. 3, 15.
.
Ainsi la signature électronique qualifiée repose sur la délivrance d'un certificat par un service de confiance qualifié
D. no 2017-1416, 28 sept. 2017, relatif à la signature électronique, art. 1.
. Il existe également des services de confiance non qualifiés, lesquels ne peuvent assurer qu'un service de signature électronique simple ou avancée
Ces services de confiance engagent leur responsabilité dans les conditions fixées par l'art. 13 du règlement eIDAS.
.
L'encadrement des services de confiance est assuré en France par l'ANSSI
Agence nationale de la sécurité des systèmes d'information.
, laquelle est « responsable de l'établissement du référentiel des exigences applicables à chaque niveau ainsi que de l'évaluation du niveau de garantie des moyens d'identification électronique »
www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/">Lien
. L'ANSSI agrée les services de confiance et leur donne ou non la qualification leur permettant ensuite de délivrer des certificats de confiance qualifiés en matière de signature électronique, mais aussi de cachet, d'horodatage et de lettre recommandée électroniques. Ces services qualifiés font l'objet d'un contrôle biannuel obligatoire et sont répertoriés sur une « liste de confiance »
Conformément aux articles 20 et 22 du règlement eIDAS.
disponible sur le site de l'ANSSI
www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/liste-nationale-de-confiance/">Lien
. Ils assurent également la conservation des signatures et cachets électroniques qualifiés de manière à étendre leur fiabilité au-delà de la durée de vie de la technologie utilisée. Il s'agit d'un point important pour lutter contre les effets néfastes des évolutions rendant obsolètes et donc inaccessibles certaines technologies.
? Les services de confiance qualifiés utilisent la cryptologie et le système des clés asymétriques
Sur le sujet de la cryptologie asymétrique et la délivrance des certificats, V. supra, note ss no et supra, no .
. ? Le tiers certificateur vérifie l'identité de l'émetteur de la clé publique avant sa diffusion et émet un certificat signé au moyen de sa propre clé privée attestant l'identité du propriétaire de la clé publique et son système de hachage garantissant l'intégrité du message ou de la signature. Cela permet ensuite au destinataire de cette clé publique de s'assurer de l'identité de son émetteur et de déchiffrer sa signature au moyen du procédé de hachage contenu dans le certificat. La confiance accordée à la signature électronique, comme au cachet électronique, à l'horodatage ou au courrier recommandé électronique repose sur ce certificat garantissant l'identité du signataire ou de l'émetteur et son lien avec le document signé ou émis
Sur les conditions de fiabilité de la signature électronique, V. : L. Grynbaum, C. Le Goffic et L. Morlet-Haïdara, Droit des activités numériques, Précis Dalloz, 1re éd., 2014, nos 52 et s.
.
L'article 25 du règlement eIDAS établit deux principes quant à la recevabilité de la signature électronique comme mode de preuve :
- elle ne peut être refusée au seul motif qu'elle se présente sous forme électronique ;
- elle ne peut être refusée au seul motif que la signature électronique ne répond pas aux exigences de la signature qualifiée.
Conformément au règlement eIDAS, le législateur français reconnaît certaines qualités à la signature électronique, et d'autant plus à la signature qualifiée.
Cela signifie que les États doivent reconnaître la validité de la signature électronique, qu'elle soit simple, avancée ou qualifiée. Le règlement accorde toutefois une place prépondérante à la signature qualifiée en lui conférant la même force que la signature manuscrite
PE et Cons. UE, règl. (UE) no 910/2014, 23 juill. 2014, art. 25, 2.
. Par ailleurs, au niveau européen, une signature reposant sur un certificat qualifié délivré dans un État membre est valable en tant que tel dans chaque État membre.