Atlantico : La signature électronique et la signature manuscrite constituent deux manières de donner son consentement de manière radicalement différente techniquement. Quels types de risques prenons-nous en utilisant la e-signature ?
A partir du moment où on utilise une signature électronique qualifiée – c’est-à-dire celle avec le plus haut degré de sécurité -, il n’y a strictement aucun risque. Le cadre réglementaire est fait pour qu’il y ait une bulle de sécurité à partir du moment où l’on se fait éditer un certificat, lui-même émis par un prestataire certifié. Pour remettre en cause la présomption de validité légalement appliquée, il faudrait faire une inscription en faux, prouver que le tiers qui a certifié la signature électronique a fait une mauvaise manipulation technique ou qu’il y a eu une rupture de la chaîne d’intégrité tout au long du processus de signature.
A côté de cela, il y a des mécanismes qui sont – soit contractuellement, soit légalement – assimilés à la signature électronique. Il y a par exemple sur Internet le principe du double clic : la commande doit pouvoir être vérifiée, puis revalidée. C’est alors seulement à ce moment-là que la commande sera réputée passée. C’est une présomption légale qui ne constitue pas une signature électronique à proprement parler. Il s’agit d’une convention qui est assimilée à une signature électronique. C’est un mécanisme plus souple pour une opération qui est plus légère dans la mesure où cette opération ne nécessite pas d’authentification forte.
Qu’entraîne l’introduction de cette présomption qui permet d’assouplir la procédure de signature électronique ?
L’introduction de cette présomption entraîne une conséquence légale : la non-répudiation. Ce qui émane effectivement de la personne et qui n’a pu être modifié tout au long de la chaine de conservation est donc opposable à cette personne. On ne parle pas même ici de signature, mais possiblement de courriels, de SMS ou tout autre écrit non manuscrit. Si je garantis être le seul à avoir accès à un compte en ligne (clause généralement insérée dans les conditions générales d’utilisation), toute action entreprise au travers de ce compte me sont donc imputable (à tout le moins jusqu’à ce que j’en dénonce l’intégrité, comme par exemple le piratage de mon compte).
Ainsi, lorsque ma banque m’envoie ma carte de paiement par courrier et le code qu’il m’incombe de conserver secret par un courrier séparé, en application du contrat passé entre moi et ma banque, l’ensemble forme une bulle de confiance. Dès lors, toute transaction effectuée avec ma carte ET mon code secret est présumé irrépudiable et m’engagera. A contrario, si des achats sont effectués sur internet avec ma carte, mais sans entrer le code secret, je pourrais éventuellement (et de bonne foi, cela va s’en dire) demander le remboursement de ses achats réalisés en dehors de cette convention de signature.
Sur cette base, le droit de la signature électronique est venu bâtir de nouvelles présomptions de fiabilité – des procédures qui, si elles sont mises en place, responsabilisent les acteurs et rendent leurs actions irrépudiables.
Quels types de comportement et quelles procédures devons-nous adopter pour limiter ces risques ?
Comme on vient de le voir, il existe plusieurs niveaux de « fiabilité » d’une signature électronique, en fonction des conditions qui relient un écrit à celui dont il émane. D’un côté du spectre, au niveau le plus faible, si l’on se place tout l’empire de la non discrimination papier/numérique de l’article 1316-1, il incombera à celui qui l’invoque d’établir l’identité de la personne émettrice et l’intégrité de la conservation. De l’autre côté, l’utilisation d’un certificat électronique qualifié, délivré par un prestataire de services de certification électronique, fait présumer légalement ces éléments.
Si on a des doutes, c’est qu’il y a probablement un problème quelque part. Tout est une question de confiance. La loi de 2004 sur le e-commerce s’appelle la loi sur la confiance dans l’économie numérique. C’est une déclaration d’intention mais c’est ce qui bâtit un écosystème.
Dans un monde idéal, le passeport serait un certificat. Tout le monde aurait un titre numérique au même titre qu’une pièce d’identité civique. Mais jusqu’à ce qu’on adopte un tel mécanisme, c’est compliqué parce que l’on doit passer par des intermédiaires qui, pour avoir le plus haut degré de fiabilité, doivent vérifier physiquement l’identité de la personne.
Des études récentes révèlent que nous aurions une moindre confiance dans ce mode de signature, qu’elle nous inciterait davantage à la tricherie et à la malhonnêteté que la signature manuscrite et qu’il faudrait donc trouver un moyen de renforcer le lien symbolique existant entre les deux contractants.
Que pensez-vous des résultats de cette étude ?
Je pense qu’il faut tempérer la portée de cette étude. En tant qu’avocat, peu importe que les personnes qui ont posé une signature électronique aient davantage triché que celles qui ont signé de manière manuscrite. Que la signature soit manuscrite ou électronique, elle engage.
Ce qu’il faut, c’est créer un cadre légal qui responsabilise chacun des acteurs et qui crée de la confiance pour les tiers. Le cadre européen est très solide là-dessus. Avec la directive de 1999, il a créé un écosystème de toute pièce.
Le cadre règlementaire de la signature électronique a été fixé à l’orée du 21è siècle en Europe par la directive 99/93, puis en France par un grand principe du Code civil : l’équivalence (sous conditions) d’un écrit sous forme papier et d’un écrit sous forme électronique (article 1316-1 Code Civil issu de la loi n°2000-230 du 13 mars 2000 et son décret d’application n°2001-272 du 30 mars 2001) à partir du moment où peuvent être documentées l’identité de la personne émettrice du document et l’intégrité de la conservation du document.
Les professionnels se sont emparés plus ou moins rapidement de ce cadre normatif très précis. Ainsi, les notaires disposent depuis 2005 de la possibilité de rédiger et signer des « actes authentiques électroniques », les avocats peuvent également disposer d’une clé USB sur laquelle se trouve un certificat qui leur permet de signer électroniquement des documents, le tout avec une valeur légale reconnue.
Aucun système ne peut empêcher la triche, mais il y a un système qui responsabilise en cas de triche. C’est cela le plus important.
Première publication sur Atlantico.fr