L'identification des signatures dématérialisées

En droit positif, la signature est définie par l'article 1367 du Code civil (C. civ., art. 1367">Lien). L'alinéa premier définit de manière générale la signature comme étant la manifestation de l'identité et du consentement, quand le second alinéa reconnaît l'existence d'une signature électronique tout en posant des contraintes techniques. Lorsqu'elle est électronique, la signature consiste en effet « en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache » (C. civ., art. 1367, al. 2">Lien). Pour être jugé fiable, le procédé en question doit assurer l'identité du signataire et garantir l'intégrité de l'acte signé. La législation européenne Notamment PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014. et le Code civil Sur la définition et la portée probatoire de la signature électronique : V. infra, n^os et s. reconnaissent ainsi trois types de signature électronique – simple, avancée ou qualifiée – qui présentent chacune des caractéristiques techniques et des niveaux de sécurité distincts (Sous-section II) . Ces trois catégories de signature électronique au sens du règlement eIDAS se distinguent de la simple image de la signature, non constitutive juridiquement d'une signature électronique (Sous-section I) .

Les images non constitutives de signatures électroniques

Les procédés techniques de signature dématérialisée aujourd'hui utilisés ne sont pas nécessairement des signatures électroniques au sens du règlement eIDAS et du Code civil produisant les effets juridiques qui y sont attachés. Pour être jugé fiable, le procédé en question doit assurer l'identité du signataire et garantir l'intégrité de l'acte signé.

– La signature scannée. – La jurisprudence a ainsi eu l'occasion de préciser qu'une signature simplement scannée et apposée sur un document ne pouvait pas être assimilée à une signature électronique car ne présentait pas des garanties suffisantes de fiabilité Cass. 2^e civ., 30 avr. 2003, n^o 00-46.467 : JurisData n^o 2003-018798 ; Bull. civ. 2003, II, n^o 118. – CA Besançon, 20 oct. 2000 : JCP G 2001, II, 10606, note É. A. Caprioli et P. Agosti. – CA Nîmes, 14 sept. 2006, n^o 04/03800 : JurisData n^o 2006-329939. – CA Paris, 3^e ch., sect. A, 10 oct. 2006, n^o 05-18789 : JurisData n^o 2006-312712 ; RD bancaire et fin. 2007, comm. 33, obs. É. A. Caprioli. – CA Fort-de-France, ch. civ., 14 déc. 2012, n^o 2012/00311 : JurisData n^o 2012-033784 ; Comm. com. électr. mai 2013, n^o 5, comm. 60, obs. É. A. Caprioli. . La signature scannée ne permet pas en effet de vérifier l'identité du signataire, de sorte que l'engagement juridique du signataire ne peut pas être garanti. Il suffit effectivement de scanner le graphisme d'une signature pour obtenir une signature scannée sans qu'un lien d'identité soit établi entre le document et le scan de la signature. Il est par ailleurs tout à fait possible que la signature scannée soit utilisée à l'insu de son titulaire. On comprend donc aisément que la jurisprudence n'ait pas souhaité faire produire des effets juridiques à ce type de procédé pour des raisons évidentes de sécurité. Il convient toutefois d'observer que certaines décisions ont reconnu l'efficacité des signatures scannées comme simples signatures sous réserve que la signature, « qui identifie celui qui l'appose, manifeste, conformément aux dispositions de l'article 1316-4 du Code civil (…) son consentement aux obligations découlant de l'acte (…) » CA Aix-en-Provence, 8^e ch. B, 27 avr. 2017, n^o 2017/96 : JurisData n^o 2017-009894. En ce sens également : CA Aix-en-Provence, 9 mars 2017, n^o 14/16204 et 27 avr. 2017, n^o 15/06339. – CA Rouen, ch. soc., 5 févr. 2020, n^o 17/01401. – CA Paris, pôle 6, ch. 13, 13 sept. 2019. – Cass. 2^e civ., 28 mai 2020, n^o 19-11.744 : JurisData n^o 2020-007074. .

– La signature « préimprimée ». – D'une manière générale, les procédés techniques conduisant à simplement reproduire ou établir une signature sans que l'identité de son auteur soit vérifiée ne peuvent pas par principe être considérés juridiquement comme des signatures électroniques. Ce sera par exemple le cas de la signature « préimprimée » qui, comme la signature scannée, ne constitue pas une signature électronique dans la seule mesure où ce type de signature ne permet pas de déterminer avec certitude l'identité de la personne qui l'a apposée Cass. 2^e civ., 17 mars 2011, n^o 10-30.501 : JurisData n^o 2011-005036. .

Une signature scannée ou « préimprimée » ne vaut pas signature électronique.

– La signature sur tablette. – La signature sur tablette numérique avec l'usage d'un stylet est sans doute le procédé de signature le plus connu en pratique et pourtant, il n'existe pas formellement de critères techniques permettant de la définir. Il s'agit d'un procédé aisément utilisable, non encadré, permettant à une personne de tracer sa signature sur une tablette qui n'est ni plus ni moins qu'une image techniquement non sécurisée. Contrairement aux signatures effectuées à l'aide d'un certificat V. infra, n^o . , le document signé sur tablette ne fera l'objet d'aucun contrôle d'intégrité, laissant la porte ouverte à des facilités de falsifications ultérieures. Dès lors, dans la seconde qui suit une signature sur tablette, le destinataire pourra, à l'aide d'un logiciel très simple à trouver sur le marché, falsifier la signature de l'émetteur. Aucun contrôle n'est par ailleurs effectué sur l'identité du signataire au moment de l'apposition de la signature. Si cette solution a l'avantage de la facilité, elle a donc l'inconvénient de l'absence de sécurité.

– Valeur probatoire. – Comme le précise Éric A. Caprioli, ces solutions de signature scannée ou sur tablette sont des « objets juridiques non identifiés dans la mesure où elles ne relèvent ni du régime de l'original électronique, ni de la copie numérique » Comm. com. électr. nov. 2020, n^o 11, comm. 85, obs. É. A. Caprioli. – C. civ., art. 1379. – D. n^o 2016-1673, 5 déc. 2016, relatif à la fiabilité des copies numériques : Comm. com. électr. 2017, comm. 17, obs. É. A. Caprioli. . On en déduit, s'agissant de leur force probante, que ces procédés de signature sont sans doute ad minima des commencements de preuve par écrit plutôt que de véritables signatures conférant à un document la valeur d'un écrit É. A. Caprioli, Signature et dématérialisation, LexisNexis, 2014, p. 108. Pour rappel, l'écrit électronique a la même force probante que l'écrit sous forme papier sous réserve notamment que puisse être dûment identifiée la personne dont il émane : C. civ., art. 1366 : V. infra, n^os . . Il appartiendra toutefois aux juges du fond de vérifier au cas par cas si la signature préimprimée, scannée ou sur tablette a été entourée de garanties particulières relatives à l'identité du signataire et à l'utilisation du procédé de signature par ce dernier, ce qui permet d'ériger ledit procédé au rang de signature simple au sens du règlement eIDAS. Tout dépendra alors du type d'acte en cause et des moyens de preuve admis.

En effet, n'étant prohibé ni par le droit français ni par le droit européen, l'usage d'un tel procédé de signature préimprimée, scannée ou sur tablette peut être fait, tout en ayant conscience que ni l'intégrité du document ni l'identité du signataire ne seront assurées par ce procédé de signature. Il conviendra alors de garantir ces éléments par l'usage d'autres procédés techniques, tels le cloud ou la blockchain, qui pourront garantir l'intégrité des documents qui y sont stockés (mais pas l'identité des signataires), ou par l'intervention humaine, comme par exemple l'intervention du notaire dans le cadre de la signature d'un acte authentique électronique V. infra, n^o . ,

Les trois catégories de signature électronique au sens du règlement eIDAS

La question de la hiérarchie des signatures au sens de la réglementation eIDAS a déjà été parfaitement analysée dans les rapports des 113^e et 116^e Congrès des notaires de France V. infra, n^os et s. . Pour mémoire, la réglementation européenne sur l'identification électronique et les services de confiance pour les transactions électroniques définit trois niveaux de signature : la signature électronique simple, avancée et qualifiée (§ I) , cette dernière signature reposant sur la délivrance de certificats particuliers (§ II) .

Les signatures électroniques simple, avancée et qualifiée

– La signature par cryptographie asymétrique. – Les informaticiens ont inventé un procédé technique de signature distinct de la signature manuscrite. Il s'agit d'une opération de dématérialisation absolue : le dessin olographe de la signature manuscrite n'est pas transposé à l'écran par un système numérique, mais est substitué par plusieurs lignes de codes inintelligibles pour un être humain. Quant à l'action de dessiner sa signature, elle est remplacée par des clics de souris et des frappes de touches de clavier, voire par une identification biométrique.

Ainsi le signataire, après avoir visualisé le document, lance un logiciel de signature, s'identifie au moyen d'un système sécurisé et donne son accord sur le contenu du document au moyen de ce logiciel. Immédiatement le logiciel adjoint au document d'origine les données techniques de la signature ainsi réalisée, scelle le tout et le crypte au moyen d'une clé privée. Au document ainsi crypté, il est rattaché une clé publique qui permet en tout temps et à quiconque le contrôle de son intégrité.

Il est à noter que la plupart de ces solutions de signature intègrent un module de signature olographe. Ainsi le signataire, avant de valider définitivement la signature du document par la frappe d'un code, appose une image de sa signature olographe, voire de son paraphe, sur le document. Cela présente deux intérêts majeurs : psychologiquement, l'utilisateur occasionnel aura le sentiment d'avoir signé et donc d'être engagé ; pratiquement, le destinataire du document signé pourra aisément identifier les signataires et leur nombre.

Les procédés techniques envisagés par les législateurs français et européens sont des solutions de signature avec cryptage asymétrique.

Pour mémoire, la réglementation européenne sur l'identification électronique et les services de confiance pour les transactions électroniques définit trois niveaux de signature : la signature électronique simple, avancée et qualifiée.

La signature électronique simple, premier niveau de signature, ne répond « à aucune exigence particulière, offrant ainsi quant à sa création très peu de garantie » Définition donnée par le rapport du 116^e Congrès des notaires de France, Protéger les vulnérables, les proches, le logement, les droits, Paris, oct. 2020, n^o 4170. Pour plus de développements sur les effets juridiques de la signature simple, V. les rapports des 113^e et 116^e Congrès des notaires de France, préc. .

La signature électronique avancée répond à « des exigences offrant de sérieuses garanties de son authenticité puisqu'elle est liée au signataire de manière univoque, permettant de l'identifier et est sous son contrôle » Définition donnée par le rapport du 116^e Congrès des notaires de France, Protéger les vulnérables, les proches, le logement, les droits, Paris, oct. 2020, n^o 4170. Pour plus de développements sur les effets juridiques de la signature avancée, V. les rapports des 113^e et 116^e Congrès des notaires de France, préc. .

La signature électronique qualifiée, « outre un dispositif de création de signature plus sécurisée encore, nécessite l'intervention d'un tiers certificateur – pour la vérification de l'identité du porteur du certificat – qui remet au signataire un certificat numérique lui permettant de s'identifier de manière sûre » Définition donnée par le rapport du 116^e Congrès des notaires de France, Protéger les vulnérables, les proches, le logement, les droits, Paris, oct. 2020, n^o 4170. Pour plus de développements sur les effets juridiques de la signature qualifiée, V. les rapports des 113^e et 116^e Congrès des notaires de France, préc. .

Les certificats qualifiés de signature électronique

Le plus haut niveau de signature, la signature qualifiée, repose sur la délivrance d'un certificat répondant à des exigences techniques établies par la réglementation européenne (A) . Ces exigences techniques liées à la délivrance d'une signature qualifiée sont toutefois justifiées par les effets juridiques qui y sont attachés (B) .

Les textes

À l'inverse de la signature manuscrite, le certificat servant de support à la signature électronique doit répondre à des exigences techniques définies depuis fort longtemps. Dès 2010, s'appuyant sur un décret de 2001 D. n^o 2001-272, 30 mars 2001, pris pour l'application de l'article 1316-4 du Code civil et relatif à la signature électronique. Ce décret a été abrogé par le décret n^o 2017-1416, 28 sept. 2017, pris pour l'application de l'article 1367 du Code civil et relatif à la signature électronique. transposant la directive européenne 1999/93/CE du 13 décembre 1999, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) Agence assurant la mission d'autorité nationale en matière de sécurité des systèmes d'information. L'ANSSI a des homologues dans les autres pays européens, comme par exemple le Bundesamt für Sicherheit in der Informationstechnik (BSI) en Allemagne. énonce dans un référentiel général de sécurité (RGS) les contraintes techniques pour qualifier des puces électroniques conformes au décret de 2001. Ces dispositions s'appliquent aux prestataires de services de confiance les obligeant en conséquence à être qualifiés par l'ANSSI pour délivrer leurs services.

En 2014, un règlement européen sur l'identification électronique et les services de confiance pour les transactions électroniques est voté PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. . Il entre en application le 1^er juillet 2016. Dès lors, les exigences techniques relatives aux certificats qualifiés de signature électronique sont définies à l'article 28 de ce règlement, ce dernier renvoyant à l'annexe 1 du même règlement. Au nombre de dix, et sans toutes les détailler, il faut relever que les certificats doivent contenir « un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés… » et des précisions « sur le début et la fin de la période de validité du certificat ».

Pour aller plus loin : Exigences applicables aux certificats qualifiés de signature électronique (Annexe 1 du règlement [UE] n 910/2014 du 23 juillet 2014)

Les certificats qualifiés de signature électronique contiennent :

a) une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique ;

b) un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l'État membre dans lequel ce prestataire est établi, et :

pour une personne morale : le nom et, le cas échéant, le numéro d'immatriculation tels qu'ils figurent dans les registres officiels,
pour une personne physique : le nom de la personne ;

c) au moins le nom du signataire ou un pseudonyme ; si un pseudonyme est utilisé, cela est clairement indiqué ;

d) des données de validation de la signature électronique qui correspondent aux données de création de la signature électronique ;

e) des précisions sur le début et la fin de la période de validité du certificat ;

f) le code d'identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié ;

g) la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat ;

h) l'endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé mentionnés au point g) ;

i) l'emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié ;

j) lorsque les données de création de la signature électronique associées aux données de validation de la signature électronique se trouvent dans un dispositif de création de signature électronique qualifié, une mention l'indiquant, au moins sous une forme adaptée au traitement automatisé.

En synthèse, le référentiel général de sécurité (RGS) et le règlement eIDAS cohabitent aujourd'hui. En matière de sécurité, l'ensemble des acteurs économiques français, entreprises et administrations françaises devront respecter les prescriptions du RGS et/ou de l'ANSSI. Dans tous les cas, les critères techniques liés aux certificats qualifiés de signature électronique devront répondre aux contraintes imposées par l'ANSSI en charge de la qualification sur ces deux référentiels. L'obtention d'une signature qualifiée par un prestataire est donc coûteuse, tout comme le maintien de la qualification obtenue. À titre d'exemple, l'Association pour le développement du service notarial (ADSN) consacre une part importante de son budget annuel pour répondre aux exigences de l'ANSSI, et c'est au prix de moyens humains importants que chaque année les audits sont passés avec succès et la qualification régulièrement reconduite.

Toutes ces contraintes très encadrées juridiquement présentent des intérêts majeurs pour les opérateurs, emportant d'importantes conséquences en pratique.

Les effets juridiques

– Valeur probatoire. – Les effets juridiques liés au niveau de signature qualifiée se mesurent surtout à la force probatoire qui y est attachée. En effet, toute contestation d'une signature autre que qualifiée fait peser la charge de la preuve sur celui qui la conteste. À l'inverse, une présomption de fiabilité est attachée à la signature qualifiée La force probatoire de la signature électronique sera plus amplement développée par la troisième commission : V. infra, n^os et s. .

Toute contestation d'une signature autre que qualifiée fait peser la charge de la preuve de l'identité du signataire sur celui qui se prévaut de l'existence de cette signature.

La signature qualifiée : une signature dont la fiabilité est présumée

À la lumière du règlement eIDAS, et pour l'application de l'article 1367 du Code civil, le Gouvernement français a abrogé le décret du 30 mars 2001 par décret du 28 septembre 2017. Il ressort de l'alinéa 1^er de l'article 1^er de ce dernier décret que pour se prévaloir de la présomption de fiabilité prévue au second alinéa de l'article 1367 du Code civil, le signataire d'un document électronique devra nécessairement utiliser une signature électronique qualifiée. Le second alinéa de l'article 1^er du décret renvoie aux articles du règlement eIDAS sur la signature qualifiée.

Ainsi la réglementation française distingue deux catégories de signature électronique : les signatures électroniques qualifiées au sens du règlement eIDAS, qui peuvent se prévaloir de la présomption simple de fiabilité prévue à l'article 1367 du Code civil, et les autres. Par sa rédaction, cet article donne une caractéristique particulière à la signature qualifiée sans pour autant exclure l'existence des autres signatures électroniques. On peut en déduire que l'ensemble des systèmes de signature électronique non qualifiés peuvent être utilisés, sont reconnus par le Code civil, mais disposent d'une force probatoire qui ne repose que sur la technique, à l'inverse de la signature qualifiée dont la force probatoire bénéficie d'une présomption légale.

L'usage d'une signature électronique non qualifiée, fût-elle avancée, doit donc être fait avec prudence, la charge de la preuve de l'identité du signataire incombant, par voie de conséquence, à celui, débiteur ou créancier de l'obligation née de ladite signature, qui voudra se prévaloir de l'existence d'une telle signature.

Le praticien, « collecteur » de signatures, doit également veiller au niveau de signature électronique des documents sous seing privé qui lui sont adressés, notamment pour ce qui concerne les procurations sous seing privé adressées par ses clients.

Il est en effet responsable de la fiabilité du procédé technique mis à disposition de ses clients et, dans l'hypothèse d'une mise en cause de sa responsabilité par une partie contestant sa signature, c'est à lui qu'incombera la charge de la preuve de cette fiabilité si le procédé utilisé n'est pas une signature électronique qualifiée.