Responsabilité des prestataires de service de certification électronique
Chapitre II – La responsabilité des prestataires de service de certification électronique
Le prestataire de service de certification est un des éléments clés de la signature électronique. La délivrance du certificat va permettre d’identifier la personne physique ayant apposé la signature. En effet, cette délivrance est effectuée après un contrôle d’identité, plus ou moins renforcé, en fonction du type de signature envisagé.
De même, les services cryptographiques offerts par les prestataires de service de certification vont permettre d’assurer l’indéfectibilité de la signature avec l’acte, et l’intégrité.
Le décret du 30 Mars 2001 ne traite pas du régime de responsabilité des prestataires de services de certification électronique. C’est une de ses lacunes. Le régime de leur responsabilité n’est abordé que dans la directive du 13
Décembre 1999. Nous pouvons donc penser que, durant cette période transitoire, le droit commun de la responsabilité fondé sur les articles 1147 et 1382 du Code civil s’appliquera aux prestataires de services de certification.
Le prestataire de service de certification est appelé à être un des acteurs essentiels de la signature électronique. A ce titre, le prestataire de service de certification, qui est avant tout un prestataire de services, est soumis au régime commun de la responsabilité civile, que celle-ci soit contractuelle (Section 1) ou délictuelle (Section 2), pour les fautes qu’il pourrait commettre à l’occasion de son activité.
Section 1
Responsabilité contractuelle (le porteur du certificat).
Le prestataire de service de certification et le signataire, a qui est remis le certificat, ont préalablement conclu un contrat. Ce contrat sera généralement qualifié de contrat d’abonnement par le prestataire et va définir les conditions de délivrance du certificat.
Selon le principe de non cumul des responsabilités délictuelles et contractuelles, l’article 1382 du Code civil est inapplicable à la réparation d’un dommage se rattachant à l’exécution d’un engagement contractuel94. Ainsi, un signataire victime d’un dommage ne pourra pas engager la responsabilité délictuelle du prestataire. Seule sa responsabilité contractuelle pourra être engagée.
Dès lors, l’existence du droit à réparation dépend de trois conditions : une faute contractuelle, un dommage et un lien de causalité entre cette faute et ce dommage.
La faute consiste en une inexécution -fautive- d’une obligation contractuelle.
Ainsi, il faudra connaître la nature de l’obligation du prestataire, obligation de moyen ou de résultat, pour déterminer la charge de la preuve. Pour ce faire, il faut se référer au contrat conclu entre le prestataire et le signataire.
Plus généralement, le contrat ayant pour objet la délivrance d’un certificat pourra s’analyser en un contrat d’entreprise. Ainsi, les obligations à la charge du prestataire seraient plutôt des obligations de moyen, et la preuve devrait, alors, être rapportée par le signataire.
La qualification en un contrat d’entreprise peut paraître favorable aux prestataires de services de certification. Cependant, une interprétation extensive du premier alinéa de l’article 40 du projet de transposition de la directive de 1999 pourrait entraver cette qualification protectrice.
« Sauf à démontrer qu’elles n’ont commis aucune faute intentionnelle ou négligence, les personnes physiques ou morales prestataires de services de certification électronique ou fournissant d’autres services liés aux signatures électroniques sont présumées responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats qu’elles délivrent.
Elles ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé, à condition que ces limites aient été clairement portées à la connaissance des utilisateurs dans le certificat. »
Ici, le signataire pourrait être considéré comme « une personne se fiant raisonnablement aux certificats qu’elles délivrent ».
Cependant, l’usage du pluriel pour « les certificats » peut laisser penser que cette disposition s’adresse aux destinataires. En effet, les destinataires vont être amenés à vérifier régulièrement les signatures grâce aux certificats, tandis que l’expéditeur –signataire- ne disposera que d’un certificat, le sien. Plus vraisemblablement, l’usage du pluriel vise l’activité du prestataire tournée vers la délivrance de certificats.
Dans ce cas, le prestataire aurait la charge d’apporter la preuve de son absence de faute intentionnelle ou de négligence.
De plus, de nombreuses obligations sont mises à la charge du prestataire par les textes réglementaires et législatifs. Ainsi, la précision et le caractère impératif de ces dispositions pourrait tendre à faire peser sur le prestataire une obligation de résultat.
En effet, le Décret du 30 Mars 2001, en son article 6, II fixe de nombreuses obligations aux prestataires de services de certification délivrant des certificats qualifiés:
a) faire la preuve de la fiabilité des services de certification électronique qu’il fournit ;
b) assurer le fonctionnement, au profit des personnes auxquelles le certificat électronique est délivré, d’un service d’annuaire recensant les certificats électroniques des personnes qui en font la demande ;
c) assurer le fonctionnement d’un service permettant à la personne à qui le certificat électronique a été délivré de révoquer sans délai et avec certitude ce certificat (…)
Toutefois, l’aménagement contractuel peut être un moyen pour le prestataire de limiter sa responsabilité, en particulier pour l’usage du certificat. En effet, les conditions d’utilisation du certificat peuvent être précisées, et limitées, dans le contrat. Dans ce cas, une information claire du signataire permettra de démontrer qu’il en avait eu connaissance.
Dès lors, il peut y avoir un partage ou une exclusion de la responsabilité du prestataire si le signataire commet une faute dans l’utilisation qu’il fera du certificat95.
La négligence fautive du prestataire peut, par exemple, permettre à un tiers de signer frauduleusement ou entraîner la création d’un certificat dont les informations seraient erronées.
La faute de l’utilisateur peut avoir pour origine une utilisation non conforme du certificat, notamment lorsque l’usage qui en est fait dépasse les limites des transactions pour lesquelles il était prévu.
En cette matière, le dommage subit doit être direct et certain. Selon l’article 1150 du Code civil, « le débiteur n’est tenu que des dommages et intérêts qui ont été prévus ou qu’on a pu prévoir lors du contrat, lorsque ce n’est point par son dol que l’obligation n’est point exécutée». Nul doute que les contrats du prestataire – contrats d’adhésion pour les consommateurs- tenteront de limiter ce champ de prévisibilité.
Aussi, au cas où l’algorithme viendrait à être brisé, ceci pourrait s’apparenter, dans un premier temps, à un cas de force majeure. En effet, selon l’article 1148 du Code civil, à l’impossible nul n’est tenu : « Il n’y a lieu à aucuns dommages et intérêts lorsque, par suite d’un cas de force majeure ou d’un cas fortuit, le débiteur a été empêché de donner ou de faire ce à quoi il était obligé, ou fait ce qui lui était interdit ».
Cependant, dans un second temps, le prestataire négligent qui continue à utiliser un procédé technique dont les failles ont été démontrées pourrait voir sa responsabilité engagée.
La validité des clauses limitatives de responsabilité a été admise sur le fondement de l’article 1150 du Code civil.
Les contrats des prestataires feront donc recourt à ces clauses limitatives de responsabilité.
Cependant, selon certains auteurs96, la validité de telles clauses est relative, notamment dans trois cas de figures :
* Tout d’abord, il existe une exclusion générale en cas de faute lourde ou dolosive,
* Ensuite, depuis l’arrêt Chronopost, les clauses limitatives ou exonératoires de responsabilité ayant pour effet de priver de cause l’une des obligations essentielles du contrat doivent être réputées nulles et non écrites. Ici, une disposition limitant la réparation du préjudice subi du fait du non respect des délais de livraison au prix du transport avait été annulée.
Ainsi, une clause limitant la responsabilité du prestataire au prix payé pour l’obtention du certificat devra être réputée nulle si elle a pour conséquence de priver le certificat de sa valeur dans le processus de création de la signature.
* Enfin, il convient de faire attention aux clauses abusives qui pourront être insérées dans les contrats des prestataires. En cas de déséquilibre significatif entre les droits et obligations des parties au contrat, la clause en question sera réputée nulle et non écrite. Ces dispositions issues des articles L. 132-1 à L. 134-1 du Code de la consommation ont vocation à s’appliquer aux rapports entre les professionnels et consommateurs ou professionnels n’agissant pas dans la même spécialité.
Enfin, il convient de préciser que le prestataire de services de certification est soumis à une exigence de protection des données personnelles. Les données afférentes à la personne seront le plus généralement celles du signataire.
Ainsi, le recours à un pseudonyme ne devra pas laisser transparaître l’identité réelle du signataire, et le « droit à l’anonymat » devra être préservé. Aussi, le prestataire se doit de prendre toutes les mesures utiles pour éviter une intrusion frauduleuse dans ses bases de données.
Le mécanisme de la responsabilité civile contractuelle du prestataire ayant été étudié, il convient à présent d’envisager sa responsabilité à l’égard des tiers, c’est-à-dire sa responsabilité délictuelle.
