Les trois catégories de signature électronique au sens du règlement eIDAS

Les trois catégories de signature électronique au sens du règlement eIDAS

La question de la hiérarchie des signatures au sens de la réglementation eIDAS a déjà été parfaitement analysée dans les rapports des 113e et 116e Congrès des notaires de France V. infra, nos et s. . Pour mémoire, la réglementation européenne sur l'identification électronique et les services de confiance pour les transactions électroniques définit trois niveaux de signature : la signature électronique simple, avancée et qualifiée (§ I) , cette dernière signature reposant sur la délivrance de certificats particuliers (§ II) .

Les signatures électroniques simple, avancée et qualifiée

– La signature par cryptographie asymétrique. – Les informaticiens ont inventé un procédé technique de signature distinct de la signature manuscrite. Il s'agit d'une opération de dématérialisation absolue : le dessin olographe de la signature manuscrite n'est pas transposé à l'écran par un système numérique, mais est substitué par plusieurs lignes de codes inintelligibles pour un être humain. Quant à l'action de dessiner sa signature, elle est remplacée par des clics de souris et des frappes de touches de clavier, voire par une identification biométrique.
Ainsi le signataire, après avoir visualisé le document, lance un logiciel de signature, s'identifie au moyen d'un système sécurisé et donne son accord sur le contenu du document au moyen de ce logiciel. Immédiatement le logiciel adjoint au document d'origine les données techniques de la signature ainsi réalisée, scelle le tout et le crypte au moyen d'une clé privée. Au document ainsi crypté, il est rattaché une clé publique qui permet en tout temps et à quiconque le contrôle de son intégrité.
Il est à noter que la plupart de ces solutions de signature intègrent un module de signature olographe. Ainsi le signataire, avant de valider définitivement la signature du document par la frappe d'un code, appose une image de sa signature olographe, voire de son paraphe, sur le document. Cela présente deux intérêts majeurs : psychologiquement, l'utilisateur occasionnel aura le sentiment d'avoir signé et donc d'être engagé ; pratiquement, le destinataire du document signé pourra aisément identifier les signataires et leur nombre.
Les procédés techniques envisagés par les législateurs français et européens sont des solutions de signature avec cryptage asymétrique.
Pour mémoire, la réglementation européenne sur l'identification électronique et les services de confiance pour les transactions électroniques définit trois niveaux de signature : la signature électronique simple, avancée et qualifiée.
La signature électronique simple, premier niveau de signature, ne répond « à aucune exigence particulière, offrant ainsi quant à sa création très peu de garantie » Définition donnée par le rapport du 116e Congrès des notaires de France, Protéger les vulnérables, les proches, le logement, les droits, Paris, oct. 2020, no 4170. Pour plus de développements sur les effets juridiques de la signature simple, V. les rapports des 113e et 116e Congrès des notaires de France, préc. .
La signature électronique avancée répond à « des exigences offrant de sérieuses garanties de son authenticité puisqu'elle est liée au signataire de manière univoque, permettant de l'identifier et est sous son contrôle » Définition donnée par le rapport du 116e Congrès des notaires de France, Protéger les vulnérables, les proches, le logement, les droits, Paris, oct. 2020, no 4170. Pour plus de développements sur les effets juridiques de la signature avancée, V. les rapports des 113e et 116e Congrès des notaires de France, préc. .
La signature électronique qualifiée, « outre un dispositif de création de signature plus sécurisée encore, nécessite l'intervention d'un tiers certificateur – pour la vérification de l'identité du porteur du certificat – qui remet au signataire un certificat numérique lui permettant de s'identifier de manière sûre » Définition donnée par le rapport du 116e Congrès des notaires de France, Protéger les vulnérables, les proches, le logement, les droits, Paris, oct. 2020, no 4170. Pour plus de développements sur les effets juridiques de la signature qualifiée, V. les rapports des 113e et 116e Congrès des notaires de France, préc. .

Les certificats qualifiés de signature électronique

Le plus haut niveau de signature, la signature qualifiée, repose sur la délivrance d'un certificat répondant à des exigences techniques établies par la réglementation européenne (A) . Ces exigences techniques liées à la délivrance d'une signature qualifiée sont toutefois justifiées par les effets juridiques qui y sont attachés (B) .

Les textes

À l'inverse de la signature manuscrite, le certificat servant de support à la signature électronique doit répondre à des exigences techniques définies depuis fort longtemps. Dès 2010, s'appuyant sur un décret de 2001 D. no 2001-272, 30 mars 2001, pris pour l'application de l'article 1316-4 du Code civil et relatif à la signature électronique. Ce décret a été abrogé par le décret no 2017-1416, 28 sept. 2017, pris pour l'application de l'article 1367 du Code civil et relatif à la signature électronique. transposant la directive européenne 1999/93/CE du 13 décembre 1999, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) Agence assurant la mission d'autorité nationale en matière de sécurité des systèmes d'information. L'ANSSI a des homologues dans les autres pays européens, comme par exemple le Bundesamt für Sicherheit in der Informationstechnik (BSI) en Allemagne. énonce dans un référentiel général de sécurité (RGS) les contraintes techniques pour qualifier des puces électroniques conformes au décret de 2001. Ces dispositions s'appliquent aux prestataires de services de confiance les obligeant en conséquence à être qualifiés par l'ANSSI pour délivrer leurs services.
En 2014, un règlement européen sur l'identification électronique et les services de confiance pour les transactions électroniques est voté PE et Cons. UE, règl. (UE) no 910/2014, 23 juill. 2014, sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. . Il entre en application le 1er juillet 2016. Dès lors, les exigences techniques relatives aux certificats qualifiés de signature électronique sont définies à l'article 28 de ce règlement, ce dernier renvoyant à l'annexe 1 du même règlement. Au nombre de dix, et sans toutes les détailler, il faut relever que les certificats doivent contenir « un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés… » et des précisions « sur le début et la fin de la période de validité du certificat ».

Pour aller plus loin : Exigences applicables aux certificats qualifiés de signature électronique (Annexe 1 du règlement [UE] n 910/2014 du 23 juillet 2014)

Les certificats qualifiés de signature électronique contiennent :
a) une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique ;
b) un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l'État membre dans lequel ce prestataire est établi, et :
  • pour une personne morale : le nom et, le cas échéant, le numéro d'immatriculation tels qu'ils figurent dans les registres officiels,
  • pour une personne physique : le nom de la personne ;
c) au moins le nom du signataire ou un pseudonyme ; si un pseudonyme est utilisé, cela est clairement indiqué ;
d) des données de validation de la signature électronique qui correspondent aux données de création de la signature électronique ;
e) des précisions sur le début et la fin de la période de validité du certificat ;
f) le code d'identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié ;
g) la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat ;
h) l'endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé mentionnés au point g) ;
i) l'emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié ;
j) lorsque les données de création de la signature électronique associées aux données de validation de la signature électronique se trouvent dans un dispositif de création de signature électronique qualifié, une mention l'indiquant, au moins sous une forme adaptée au traitement automatisé.
En synthèse, le référentiel général de sécurité (RGS) et le règlement eIDAS cohabitent aujourd'hui. En matière de sécurité, l'ensemble des acteurs économiques français, entreprises et administrations françaises devront respecter les prescriptions du RGS et/ou de l'ANSSI. Dans tous les cas, les critères techniques liés aux certificats qualifiés de signature électronique devront répondre aux contraintes imposées par l'ANSSI en charge de la qualification sur ces deux référentiels. L'obtention d'une signature qualifiée par un prestataire est donc coûteuse, tout comme le maintien de la qualification obtenue. À titre d'exemple, l'Association pour le développement du service notarial (ADSN) consacre une part importante de son budget annuel pour répondre aux exigences de l'ANSSI, et c'est au prix de moyens humains importants que chaque année les audits sont passés avec succès et la qualification régulièrement reconduite.
Toutes ces contraintes très encadrées juridiquement présentent des intérêts majeurs pour les opérateurs, emportant d'importantes conséquences en pratique.

Les effets juridiques

– Valeur probatoire. – Les effets juridiques liés au niveau de signature qualifiée se mesurent surtout à la force probatoire qui y est attachée. En effet, toute contestation d'une signature autre que qualifiée fait peser la charge de la preuve sur celui qui la conteste. À l'inverse, une présomption de fiabilité est attachée à la signature qualifiée La force probatoire de la signature électronique sera plus amplement développée par la troisième commission : V. infra, nos et s. .

Toute contestation d'une signature autre que qualifiée fait peser la charge de la preuve de l'identité du signataire sur celui qui se prévaut de l'existence de cette signature.

La signature qualifiée : une signature dont la fiabilité est présumée

À la lumière du règlement eIDAS, et pour l'application de l'article 1367 du Code civil, le Gouvernement français a abrogé le décret du 30 mars 2001 par décret du 28 septembre 2017. Il ressort de l'alinéa 1er de l'article 1er de ce dernier décret que pour se prévaloir de la présomption de fiabilité prévue au second alinéa de l'article 1367 du Code civil, le signataire d'un document électronique devra nécessairement utiliser une signature électronique qualifiée. Le second alinéa de l'article 1er du décret renvoie aux articles du règlement eIDAS sur la signature qualifiée.
Ainsi la réglementation française distingue deux catégories de signature électronique : les signatures électroniques qualifiées au sens du règlement eIDAS, qui peuvent se prévaloir de la présomption simple de fiabilité prévue à l'article 1367 du Code civil, et les autres. Par sa rédaction, cet article donne une caractéristique particulière à la signature qualifiée sans pour autant exclure l'existence des autres signatures électroniques. On peut en déduire que l'ensemble des systèmes de signature électronique non qualifiés peuvent être utilisés, sont reconnus par le Code civil, mais disposent d'une force probatoire qui ne repose que sur la technique, à l'inverse de la signature qualifiée dont la force probatoire bénéficie d'une présomption légale.
L'usage d'une signature électronique non qualifiée, fût-elle avancée, doit donc être fait avec prudence, la charge de la preuve de l'identité du signataire incombant, par voie de conséquence, à celui, débiteur ou créancier de l'obligation née de ladite signature, qui voudra se prévaloir de l'existence d'une telle signature.
Le praticien, « collecteur » de signatures, doit également veiller au niveau de signature électronique des documents sous seing privé qui lui sont adressés, notamment pour ce qui concerne les procurations sous seing privé adressées par ses clients.
Il est en effet responsable de la fiabilité du procédé technique mis à disposition de ses clients et, dans l'hypothèse d'une mise en cause de sa responsabilité par une partie contestant sa signature, c'est à lui qu'incombera la charge de la preuve de cette fiabilité si le procédé utilisé n'est pas une signature électronique qualifiée.