La création de la signature électronique et le signataire
Titre I – La création de la signature électronique
La notion de signature n’avait jamais été définie par le droit. Cependant, avec la nécessité d’adapter le droit de la preuve à l’ère du numérique, le législateur a dû donner une définition de la signature.
La signature manuscrite peut se définir comme une émanation de la personne. Cette émanation est porteuse d’un double sens : d’une part, elle permet d’identifier la personne (Chapitre I), puisque la signature est propre à chaque individu et, en théorie, unique. D’autre part, le fait d’apposer sa signature sur un acte juridique manifeste l’adhésion du signataire avec le contenu de l’acte.
De plus, il est nécessaire pour une signature électronique que soit assurée l’intégrité (Chapitre II) du document. En effet, il suffirait de modifier l’acte après apposition de la signature pour modifier la teneur de l’engagement contractuel.
Chapitre I – Nécessité de garantir l’identification du signataire
Pour que la validité de la signature électronique puisse être assurée, l’auteur doit pouvoir être identifiable. Il ne s’agit donc pas ici de fournir des informations de type état civil, l’usage d’un pseudonyme pouvant être reconnu.
Toutefois, l’utilisation d’un pseudonyme doit être limitée dans certains cas. En effet, il faut que le signataire puisse être formellement identifié pour certains actes, les plus graves, c’est pourquoi il paraît important que le prestataire délivrant le certificat possède ici toutes les informations nominatives concernant celui-ci, nécessaires à sa parfaite identification. Faute de quoi, l’exigence légale d’identification ne serait pas respectée et donc la signature privée de sa force probante.
Section 1
Un moyen sous le contrôle direct du signataire.
Le décret du 30 Mars 2001 exige dans son article 1er, alinéa 2, que la signature électronique avancée soit créée par des moyens que le signataire puisse garder sous son contrôle exclusif.
De même, l’alinéa 4 de l’article 1316 du Code civil pose la condition que l’identité du signataire [soit] assurée.
La signature électronique utilise, pour satisfaire aux exigences légales, une Infrastructure de gestion de Clé Publique (ICP ou PKI : Public Key Infrastructure)16. C’est un système fondé sur la cryptologie asymétrique17.
On peut, ainsi, employer également le terme de signature numérique. Le dispositif de création de la signature va émettre deux clés ; une clé privée (car connue du seule signataire) et une clé publique (car accessible à tous). Ces deux clés sont une séquence de chiffres, générées en même temps par un algorithme mathématique, et liées entre elles. En effet, ce qu’une clé fait, seule l’autre peut le défaire18.
En pratique, la clé privée est un identifiant numérique qui peut être intégré dans divers supports, tels qu’un logiciel, une carte à puce ou un « dongle19 ». A terme celle-ci pourra être remplacée par l’usage de la biométrie, qui permet l’identification de l’être humain par ses données organiques20.
La clé publique est, quant à elle, apposée sur/dans le certificat de signature électronique, sorte de carte d’identité virtuelle dont nous verrons plus loin la signification et la composition.
La clé privée permet de signer le document électronique, c’est donc l’équivalent du stylo auquel il faut ajouter le savoir-faire du signataire, car la clé privée peut permettre de produire une vraie signature, à la différence du faussaire qui ne pourra pas mieux imiter votre signature en se servant de votre stylo21. Il est donc impératif que celle-ci ne soit pas divulguée et reste en la possession de son propriétaire22.
De plus, le recours à un code d’accès complémentaire pourrait être une garantie supplémentaire. Ainsi, la mise en œuvre du procédé de signature ne pourrait être validé qu’une fois un code ou un « identifiant » saisi23, ce qui permettrait l’accès à la clé privée.
16 La société Magicaxess offre une solution alternative car elle permet un procédé de signature électronique par les « token», qui permettent une gestion dynamique des mots de passe. L’identification est ici à priori effectuée par le téléphone mobile du signataire.
17 Par opposition à la cryptographie symétrique, qui n’utilise qu’une seule clé. Ce procédé n’est pas utilisé pour la signature électronique car il eût été trop risqué, la clé unique pouvant être interceptée.
18 Il ne faut, cependant, pas assimiler ICP et signature électronique : en effet, le chiffrage d’un message à l’aide de la clé publique assurera une fonction de confidentialité puisque seul le porteur de la clé privée pourra en prendre connaissance. Au contraire, le chiffrage à l’aide d’une clé privée assurera la fonction de signature électronique puisque l’auteur pourra être identifié. Toutefois, le bi-clé ne saurait servir à la fois à assurer les fonctions de confidentialité et de signature : « il a été démontré que, dans certaines conditions, des attaques peuvent réussir si une bi-clé est utilisée à la fois pour chiffrer et pour signer », T. Autret L. Bellefin, M.-L. Oble-Laffaire, « Sécuriser ses échanges électroniques avec une PKI », Ed. 2002, p.32.
19 Aussi appelé « clé électronique » ; dispositif matériel permettant l’accès au logiciel.
20 A ce sujet, voir l’affaire des cantines ayant recouru à la biométrie par numérisation de la paume de la main. De même, le film d’anticipation « Minority Report » de S. Spielberg offre une vision des risques liés un recours déraisonné aux procédés de biométrie.
21 Les puissants utilisaient autrefois un sceau pour signer, celui-ci pouvant être volé pour usurper leur identité.
22 Pour ce faire, il est important de veiller également à la sécurisation lors de la remise de la clé privée, pour éviter toute interception, voire envisager une remise en main propre.
23 A la condition que l’utilisateur ne le laisse pas sur un post-it collé à l’écran de l’ordinateur (comme c’est malheureusement souvent le cas) ou ne le communique à des tiers.
L’arrêt de la cour d’appel de Besançon du 20 Octobre 200024, Sarl Chalets Boisson c/ Bernard G. est apparu pour certains 25 comme étant la première jurisprudence sur la signature électronique. En effet, la signature « informatique » était ici un simple fichier informatique qui reproduisait visuellement une signature manuscrite (c’est-à-dire une signature numérisée).
…En conséquence, les dispositions de ce texte sont inapplicables en l’espèce d’autant plus que le décret destiné à préciser les conditions de la fiabilité d’identification de la personne qui appose la signature n’est pas encore paru à la date des débats devant la cour.
Partant, la cour n’est pas en mesure d’apprécier le degré de fiabilité du processus décrit par l’appelante au regard d’un texte dont la parution est attendue.
La fiabilité du procédé utilisé en l’espèce par l’avocat est au demeurant toute relative dans la mesure où le code permettant d’accéder à la signature peut être détenu par une autre personne du cabinet.
L’identification de la personne ayant recours à la signature informatique est dès lors très incertaine. /em>
En l’espèce, il est évident que la simple image de la signature ne pouvait pas avoir la valeur d’une signature électronique puisqu’elle ne permettait d’assurer ni le lien avec l’acte auquel elle s’attache, ni l’intégrité du message26. La cour s’est toutefois interrogée sur l’éventuelle validité de ce procédé de signature, et en a conclu que qu’un simple code de protection ne pouvait valablement justifier de l’identité du signataire.
De même, une très récente décision de la deuxième chambre civile de la Cour de cassation en date du 30 Avril 200327, apporte une solution finale à l’affaire « Chalets Boisson ».
Elle refuse la validité d’une signature créée antérieurement à la loi du 13 Mars 2000 et qui ne permettait pas de s’assurer d’une parfaite identification. En l’espèce, lors d’une procédure sans représentation obligatoire, la Cour d’appel avait reçu un acte dit de «déclaration d’appel» qui ne comportait pas la signature manuscrite de son auteur mais une signature électronique.
Après avoir relevé qu’il existait un doute sur l’identification de la personne qui avait usage de ce procédé, les juges du fond ont parfaitement refusé la validité de cet acte.
De plus cette décision apporte une précision sur l’application de la loi dans le temps. Sur le fondement de l’article 228 du Code civil, la deuxième chambre civile a estimé qu’une signature électronique effectuée pour authentifier une déclaration d’appel (formalité à effectuer par pli recommandé) ne pouvait être valablement admise durant le régime antérieur à la loi du 13 mars 2000. Ainsi, il convient de s’inquiéter du sort qui sera réservé aux actes signés électroniquement avant la loi du 13 Mars 2000.
24 CA Besançon, ch. soc., 20 oct. 2000, SARL Chalets Boisson c/ Bernard Gros: JCP G 2001, II, n°10606, note E. Caprioli et P. Agosti ; Com. com. élec. janv. 2001, comm. 6, p.22, note J. –C. Galloux.
25 T . Piette-Coudol, « la signature électronique », Ed. Litec, n°63.
26 Sur le point de savoir si cette décision pourrait faire obstacle à la pratique de nombreuses grandes sociétés, telles que les banques ou les compagnies d’assurance, qui utilisent une signature numérisée pour signer les chèques, il convient de répondre par la négative. En effet, le chèque est un support physique, papier : la condition d’identification est assurée, et le consentement présumé par la pratique.
27 C. Cass. 2e civ., 30 Avr. 2003 ; SARL Chalets Boisson c/ G. : Juris-Data n° 2003-018798
28 « La loi ne dispose que pour l’avenir ; elle n’a point d’effet rétroactif », Code civil, Article 2.
Aussi, il faut noter que certains types de signatures électroniques ne permettent pas d’assurer une parfaite identification de l’auteur. Ainsi, les procédés faisant appel aux téléphones mobiles ne paraissent pas en mesure d’assurer une identification suffisante du signataire, car l’envoi de pièce d’identité, même par courrier recommandé ne permet pas une réelle identification du signataire.
De même, le recours à un téléphone mobile peut permettre de douter du fait que le moyen soit sous le contrôle direct du signataire.
Parallèlement, plusieurs grands opérateurs de téléphonie mobile29 testent actuellement des services de signature électronique via les SMS – Short Message Service- permettant aux utilisateurs de pouvoir faire des achats via les sites partenaires.
Ce procédé ne satisfait pas, selon nous, aux conditions exigées d’une véritable signature électronique sécurisée, un téléphone pouvant être utilisé par un tiers, et l’identification n’étant fondée sur aucune autre preuve tangible que les éléments fournis lors de l’ouverture de la ligne30.
29 SFR avec la société Médiacert et Orange avec la société Verisign.
30 Que penser alors des cartes « entrée libre » que l’on peut se procurer chez n’importe quel buraliste ? Cette technique peut favoriser un e-commerce sur téléphone mobile mais en aucun cas constituer en l’état un procédé fiable de signature électronique.
31 Aussi appelé PSC ou PSCE.
32 Sauf le cas répandu où le certificateur sera aussi à l’origine du tirage du bi-clé, cas qui sera à notre avis majoritaire car beaucoup plus commode pour les utilisateurs.
L’identification doit, donc, absolument correspondre à celle de la personne, auteur intellectuel selon le droit. Afin de pouvoir s’assurer que la clé publique est réellement celle du détenteur prétendu, que celle-ci n’a pas été usurpée, ou que le bi-clé n’a pas été tiré frauduleusement, il convient de le faire certifier par une tierce partie : le prestataire de services de certification électronique31, qui va émettre un certificat.
