Une signature électronique trop vite présumée fiable ?
La juridiction de proximité de Nantes a rendu un jugement le 19 décembre 2014 concernant un litige sur le mauvais fonctionnement d’une connexion haut débit. Mais ce qui est intéressant dans cette décision n’est pas le fond de l’affaire – une décision parmi d’autres en matière de droit à la consommation – ni le fait que le tribunal valide l’utilisation par le demandeur de la solution « DemanderJustice.com », comme l’avait fait avant elle la juridiction de proximité d’Antibes le 7 mars 2013.
Ce qui nous intéresse ici est plutôt la qualification juridique opérée par le Tribunal de la solution de signature mise à disposition par le service DemanderJustice, et utilisée par le client. L’analyse des éléments de l’affaire, tout comme le fondement de la décision, montre ainsi une vision particulièrement floue de la solution de signature électronique utilisée, qui aurait mérité d’autres égards. D’autant que la qualification juridique opérée prête – inutilement ! – le flanc à une éventuelle cassation, avec les conséquences négatives que cela pourrait entraîner quant à la reconnaissance juridique de la signature électronique utilisée… Un comble !
Bref rappel concernant la signature électronique au plan juridique
Pour faire simple, en droit français, pour que la signature électronique soit reconnue équivalente à la signature manuscrite, il est nécessaire qu’elle remplisse les mêmes conditions que celles que l’on attend traditionnellement de la signature apposée sur un document papier , à savoir l’identification du signataire, ainsi que l’établissement et la conservation du document signé, de façon à ce que l’intégrité de celui-ci soit assurée (cf. art. 1316-1 du Code civil). Dans la plupart des cas à l’heure actuelle, en cas de discussion sur la validité ou la preuve apportée par la signature électronique, c’est à celui qui se prévaut de l’équivalence de valeur avec la signature manuscrite d’apporter la preuve que les critères techniques précités sont bien rassemblés.
Mais pour certains types de signatures électroniques, la charge de la preuve est inversée, car le procédé de signature électronique utilisé apporte un tel niveau de sécurité technique que la loi apporte une présomption de fiabilité à ce procédé (art. 1316-4 in fine renvoyant aux dispositions des décrets du 30 mars 2001 et du 18 avril 2002).
Pour cela, il est nécessaire que l’on réunisse trois éléments :
– une signature électronique dite « sécurisée » (définie à l’article 1 – 2. du décret du 30 mars 2001)[1]. En pratique, n’arrivent à répondre à ces exigences que des procédés fondés sur l’utilisation de la cryptographie asymétrique, utilisant une clé dite « publique » associée mathématiquement à une clé dite « privée ». De façon synthétique, le signataire utilise la clé privée pour signer un document, la clé publique étant, quant à elle utilisée, a posteriori par le récipiendaire du document, pour vérifier la conformité de la signature. La clé privée doit rester parfaitement confidentielle car n’importe qui ayant la possibilité de l’utiliser peut alors se faire passer pour le titulaire originel. Pour cette raison, elle est sécurisée de différentes manières (stockage sur carte à puce avec déverrouillage par code PIN, pour les niveaux de sécurisation les plus élevés). Par un abus de langage, on considère que le signataire signe avec « son certificat », stocké sur ce support, alors qu’en fait, il n’utilise que sa clé privée.
– un certificat de signature dit « qualifié », qui répond aux exigences de l’article 6 du décret du 30 mars 2001 précité. Un certificat d’identité électronique, là encore de façon synthétique, est en réalité la clé publique du signataire, elle-même signée électroniquement par une autorité, un tiers, assurant de ce fait à la communauté des utilisateurs qu’il a bien vérifié l’identité du détenteur de la clé publique, et qu’il est bien celui qu’il prétend être. Un tel acteur est appelé « prestataire de service de certification » (ou PSC). Un certificat qualifié entraîne un surplus de vérifications et de sécurisation de la part du prestataire qui le délivre, et corrélativement un niveau d’engagement juridique de celui-ci bien plus important qu’un certificat classique (cf. article 33 de la loi pour la confiance dans l’économie numérique[2]). Au sens de l’article 6 du décret du 30 mars 2001, le certificat n’est qualifié que s’il comporte des éléments particuliers (énumérés au I de l’article 6) et que s’il est délivré par un PSC répondant à des critères stricts (II du même article). Pour ces raisons, peu de prestataires de services de certification délivrent de tels certificats.
– un dispositif de création de signature électronique dit « sécurisé » au sens de l’article 3 du décret du 30 mars 2001 précité. En pratique, l’objectif de ce niveau de sécurisation est que le dispositif soit imperméable à toute tentative d’un tiers intervenant au moment de la signature et souhaitant falsifier le document juste avant sa signature, ou encore interceptant la clé privée du signataire en vue de se faire ultérieurement passer pour lui.
Pour en savoir plus, un article déjà ancien, mais toujours d’actualité fait le point entre fonctionnement technique et exigence juridique de la signature électronique.
Notons, pour finir sur cette question, que le schéma décrit ici va légèrement évoluer dans les mois à venir avec le nouveau règlement européen n°910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. Adopté le 23 juillet 2014, il est également dénommé règlement eIDAS pour « electronic identification and trust services ». Il apporte d’importantes innovations dans le domaine, mais ne remet fondamentalement pas en cause le schéma global décrit ici. Nous en reparlerons plus en détail dans un prochain billet, étant entendu qu’il ne sera applicable que mi-2016.
Pour revenir à notre sujet, le procédé utilisé par DemanderJustice.com est proposé par le prestataire de services de confiance CertEurope, et fait appel en ce que techniquement on appelle un certificat « logiciel », délivré « à la volée » au moment de la signature. En pratique, l’internaute qui se connecte à un site en ligne passe par une séquence d’identification et se voit délivrer, à l’issue de celle-ci, un certificat électronique et une clé privée associée, celle-ci étant stockée sous forme de fichier informatique sur son ordinateur. Il peut alors signer immédiatement le document qui lui est soumis.
Mais où est la signature présumée fiable ?
Si le procédé est très utilisé et intéressant pour permettre la signature d’internautes non précédemment équipés en matière de certificat électronique, il fait reposer la séquence d’identification de l’utilisateur sur les épaules du e-commerçant et ne peut que difficilement, indépendamment de toute discussion sur la valeur technique de la solution proposée, être considéré au sens des textes actuels comme répondant aux impératifs de la présomption de fiabilité au sens des textes actuels.
Conséquence : la signature produite ne serait pas présumée fiable, car ne réunissant pas les critères posés par l’article 1316-4 alinéa 2 du Code civil qui renvoie au décret du 30 mars 2001 précité. Précisons bien que cela ne remet pas en cause la valeur technique du procédé, il suffira, si celle-ci est discutée en justice, d’apporter au juge les éléments techniques démontrant la qualité de la signature produite, donc qu’elle permet comme les textes l’exigent, l’identification du signataire, ainsi que l’établissement et la conservation du document signé, de façon à ce que l’intégrité de celui-ci soit assurée.
Or que nous dit le Tribunal dans cette affaire ?
En ce qui concerne la signature électronique par laquelle M. O. a validé sa demande le 21 décembre 2012, et qui est formalisée sur la déclaration par un graphisme impersonnel, il convient de constater qu’elle a reçu la certification CertEurope, conforme au décret du 30 mars 2011, permettant de lui conférer la même force probante que la signature papier, en application des articles 1316-3 et 1316-4 du Code civil et d’assurer l’identité du signataire. (pièce n04 et attestation du 21 mars 2013)
Il n’est pas rapporté de preuve contraire permettant de faire échec à la présomption de fiabilité conférée par cette certification CertEurope, en application de l’article 288-1 du Code de procédure civile.
Conclusion : le Tribunal ne qualifie pas les trois critères posés par la loi permettant de bénéficier de la présomption de fiabilité, mais ne se concentre que sur un seul, laissant par ailleurs reposer le flou sur la qualification exacte du certificat délivré. Que CertEurope soit certifié (et depuis longtemps), cela ne fait que rendre justice à la qualité de cet opérateur, mais cela ne suffit pas pour considérer que tous les certificats qu’elle émet deviennent qualifiés de ce seul fait (cf. article 6 I du décret du 30 mars 2001). En l’occurrence, le Tribunal aurait dû également préciser que le certificat délivré était en lui-même qualifié, comme le prévoient les textes.
Et si on allait en Cassation ?
Alors que cette décision semble aller dans le sens d’une reconnaissance par les tribunaux des procédés de signature électronique largement utilisés par les professionnels, ce qui est une bonne chose, il est possible toutefois que sa motivation, incomplète concernant les critères déclenchant la présomption de fiabilité, ne soit attaquable devant la Cour de cassation. Si une telle chose avait lieu (l’auteur des présentes lignes ne sachant pas si un pourvoi a été formé dans cette affaire), l’effet pourrait au contraire être absolument désastreux : une décision cassant le présent jugement pourrait ainsi donner l’impression de gravement mettre en doute la sécurité apportée par ce type de dispositif.
Il aurait pourtant été si simple d’éviter ce risque ! En effet, sans reprendre l’ensemble des développements ci-dessous, il aurait suffit au Tribunal de considérer, au vu des preuves produites par le requérant particulier (et en pratique par CertEurope et DemanderJustice), que la signature critiquée permettait effectivement d’assurer identification et intégrité – donc sans passer par la case « présomption » – pour qu’elle soit considérée comme l’égale de la signature électronique… et que l’on arrive donc strictement au même résultat ! En effet, l’opérateur de communications électroniques partie au litige (Free) n’a pas apporté de preuve contraire critiquant la fiabilité technique de la solution de signature, comme l’a indiqué le Tribunal.
François Coupez
Avocat à la Cour, Associé d’ATIPIC Avocat
Titulaire du Certificat de spécialisation en Droit des nouvelles technologies, de l’informatique et de la communication
Crédit photo : © alphaspirit Fotolia.com
[1]« une signature électronique qui satisfait, en outre, aux exigences suivantes :
– être propre au signataire ;
– être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
– garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable ; »
[2]« Sauf à démontrer qu’ils n’ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés dans chacun des cas suivants :
1° Les informations contenues dans le certificat, à la date de sa délivrance, étaient inexactes ;
2° Les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes ;
3° La délivrance du certificat n’a pas donné lieu à la vérification que le signataire détient la convention privée correspondant à la convention publique de ce certificat ;
4° Les prestataires n’ont pas, le cas échéant, fait procéder à l’enregistrement de la révocation du certificat et tenu cette information à la disposition des tiers.
Les prestataires ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé, à condition que ces limites figurent dans le certificat et soient accessibles aux utilisateurs.
Ils doivent justifier d’une garantie financière suffisante, spécialement affectée au paiement des sommes qu’ils pourraient devoir aux personnes s’étant fiées raisonnablement aux certificats qualifiés qu’ils délivrent, ou d’une assurance garantissant les conséquences pécuniaires de leur responsabilité civile professionnelle.«
