Article réservé aux abonnés Archimag.com

Le cadre juridique de la signature et du coffre-fort électroniques

Le

  • cadre-juridique-signature-coffre-fort-electroniques.jpg

    De la signature électronique simple à la signature électronique qualifiée, quatre niveaux de fiabilité sont prévus dans le règlement eIDAS (Freepik).
    • Exploration du cadre juridique de deux services de confiance complémentaires qui supportent l’ensemble du cycle de vie de l’écrit électronique, de son établissement jusqu’au terme de sa conservation : la signature électronique et le coffre-fort numérique.

    gp_78_couv_bd.jpgenlightenedRETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE GUIDE PRATIQUE : DROIT DE L'INFORMATION, 6E ÉDITION

    mail Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !

    L’écrit électronique s’est progressivement généralisé dans tous les pans de l’économie numérique, que ce soit en B2B ou en B2C, y compris dernièrement dans des domaines aussi variés que les sûretés ou bien les titres transférables en matière de commerce international (Titre II de la Loi n° 2024-537 du 13 juin 2024 visant à accroître le financement des entreprises et l'attractivité de la France, JO du 14 juin 2024). Il permet de préconstituer une preuve des engagements juridiques, contractuels d’une ou plusieurs personnes, mais aussi, constitue une condition de validité pour certains actes.

    C’est dire l’importance que la gestion du cycle de vie de l’écrit électronique revêt, de son établissement jusqu’au terme de sa conservation. A ce titre, deux services de confiance - complémentaires - peuvent être traités pour en appréhender l’ensemble : la signature électronique requise fréquemment lors de son établissement ainsi que le coffre fort numérique consubstantiel de sa conservation. 

    1. La signature électronique

    La signature a été consacrée par la loi n° 2000-230 du 13 mars 2000 (JO du 14 janvier 2000) en son article 1316-4 du code civil, devenu, en 2016, l’article 1367 du code civil.

    Cette signature implique le respect d’exigences fonctionnelles, à savoir l’identification de l’auteur et la manifestation du consentement, en ces termes : "La signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. (…)."  De plus, la signature électronique "Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s’attache. (…) (art. 1367, al. 2 c. civ.)".

    Le plus souvent, l’écrit signé est requis à des fins de preuve ou de validité puisque les exigences juridiques sont les mêmes comme le précise l’art. 1174 du Code civil.

    Outre cette définition fonctionnelle nationale, dès la directive 1999/93/CE (Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques (JOCE n° L 013 du 19 janvier 2000 p. 0012 – 0020)), l’Union européenne s’est dotée d’un cadre juridique définissant les principes directeurs à transposer par chaque État européen, reconnaissant la signature électronique comme équivalente à la signature manuscrite si des conditions de fiabilité sont remplies.

    Or, les différentes lois de transposition ont surtout créé des exigences diverses et variées rendant les échanges européens tellement complexes qu’ils ont été quasi-inexistants. 

    Le règlement eIDAS

    Après près de 15 ans d’application et afin de pallier ce manque d’harmonisation, le Règlement (UE) n ° 910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur dit "eIDAS" a été adopté en abrogeant la directive 1999/93 (Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, JOUE L.257/73 du 28 août 2014). Le choix du règlement comme instrument juridique a été fait afin que le texte soit d’application directe au sein de tous les États membres. 

    Il se décompose en deux parties complémentaires : l’une relative à l’identité électronique, l’autre relative aux services de confiance à savoir la signature, le cachet, l’horodatage, l’envoi recommandé électroniques et l’authentification de sites Internet (certificats SSL devenus obsolètes puis TLS).

    Son objectif consiste notamment à faciliter l'utilisation des services de confiance comme la signature électronique et à contribuer à leur reconnaissance juridique au sein des États membres, sous réserve de leur fiabilité.

    Ainsi, l’article 25 §1 du règlement dispose : "L'effet juridique et la recevabilité d'une signature électronique comme preuve en justice ne peuvent être refusés au seul motif qu'elle se présente sous une forme électronique ou qu'elle ne satisfait pas aux exigences de la signature électronique qualifiée". Ce qui correspond au principe général de non-discrimination. 

    Son art. 25 § 2 précise que "l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite", ce qui n’est pas expressément prévu dans le Code civil français.

    Le recours à une signature électronique qualifiée renversera la charge de la preuve lors d’une vérification d’écriture : elle serait - comme les signatures manuscrites - soumise aux articles 287 et 288-1 du Code de Procédure Civile, contrairement aux autres signatures électroniques.

    Lire aussi : La FAQ de la confiance numérique

    Quatre niveaux de fiabilité

    En effet, plusieurs niveaux de fiabilité sont prévus dans le Règlement eIDAS :

    • "signature électronique", des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer. Au niveau national, le terme "signer" renvoie à la définition prévue à l’art. 1367 du Code civil  ;
    • "signature électronique avancée", une signature électronique qui satisfait aux exigences énoncées à l’art. 26, à savoir : a) être liée au signataire de manière univoque ; b) permettre d’identifier le signataire; c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable. Ce type de signature est largement déployé (constituant une bonne partie du marché actuel), étant précisé qu’il pourra s’appuyer sur des certificats à usage unique et/ou des procédés de signature électronique centralisée ;
    • "signature électronique avancée avec un certificat qualifié de signature", une signature électronique déployée avant tout dans la sphère publique
    • "signature électronique qualifiée", une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique. Désormais, depuis la publication du Règlement eIDAS 2 en avril 2024 (Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) no 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique, JOUE du 30 avril 2024), tous les États membres reconnaissent que le dispositif de création de signature électronique peut être installé sur un serveur centralisé sous réserve de mesures de sécurité.

    Toutes ces signatures électroniques sont recevables devant un juge si leur fiabilité peut être démontrée (a priori, pour la signature électronique qualifiée ou le certificat électronique qualifié plus simplement ou a posteriori, pour les autres signatures).

    Il est à noter que la jurisprudence française s’est développée depuis 2013, autour de signatures électroniques simples complétées d’un fichier de preuve ou/et la synthèse dudit fichier, contenant le contrat signé et des éléments techniques (ex : attestation de fiabilité du prestataire, jeton d’horodatage, pièce d’identité, …). Il reste à savoir comment le Juge national percevra les usages à venir de la signature électronique qualifiée.

    2.  Le coffre fort numérique pour la conservation des écrits

    Mais la digitalisation des documents s’entend également de leur conservation. Conformément à l’art. 1366 du Code civil, les écrits signés doivent être conservés de manière à garantir leur intégrité. A ce titre, le Règlement eIDAS 2 a introduit pour tous les États membres les services d’archivage comme services de confiance reprenant ainsi les exemples belge ou luxembourgeois.

    Lire aussi : eIDAS 2.0 : vers un portefeuille d’identité numérique européen

    Préserver des données ou des documents électroniques

    L’article 3 §48 définit l’"archivage électronique" comme : "un service assurant la réception, le stockage, la récupération et la suppression de données électroniques et de documents électroniques afin d’en garantir la durabilité et la lisibilité, ainsi que d’en préserver l’intégrité, la confidentialité et la preuve de l’origine pendant toute la période de préservation".

    Il existe deux niveaux de service d’archivage électronique : un non qualifié et un qualifié, mais la définition de l’archivage électronique lui-même reste commune. Un service d’archivage électronique, qu’il soit ou non qualifié, doit permettre de préserver des données ou documents électroniques, de telle sorte que l’intégrité, la confidentialité et la preuve de leur origine, la lisibilité et la durabilité soient garanties pendant toute la durée de leur conservation.

    Conformément à l’art. 45 decies, le service qualifié d’archivage électronique permettra de bénéficier notamment d’une présomption d’intégrité et d’authenticité de l’origine des données et des documents archivés. Ce service qualifié devra répondre aux exigences prévues à l’art. 45 undecies.

    Pour autant, les autres services d’archivage électronique, dès lors qu’ils répondront à la définition donnée dans le Règlement, ne sont pas dénués de toute force probante, mais il appartiendra à celui qui se prévaut des données et documents ainsi archivés de prouver notamment leur intégrité et l’authentification de leur origine.

    Par ailleurs, le § 2 de ce même article prévoit l’adoption d’actes d’exécution par la Commission européenne. Ces actes détermineront les normes de référence applicables aux services d’archivage électronique. 

    Lire aussi : Signature électronique et blockchain : les enjeux juridiques et judiciaires

    Du service d’archivage électronique qualifié au service de coffre-fort numérique qualifié ?

    Il est à noter ici que le législateur français avait d’ores et déjà intégré dans la Loi pour une République Numérique des dispositions portant sur l’archivage électronique des documents en insérant un art. L.103 au Code des Postes et Communications Électronique relatif au service de coffre fort numérique.

    Cet article prévoyait déjà la même approche fonctionnelle en ce qu’il a pour objet "La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine".

    Dès lors, on peut supposer que les dispositions du Règlement eIDAS relatives aux services d’archivage électronique qualifiés devraient pouvoir s’appliquer aux services de coffre-fort numérique. Les actes d’exécution pourraient être éclairants à ce sujet.

    Les briques juridiques de l’architecture européenne des services de confiance sont désormais réunies pour permettre d’assurer la pleine effectivité des cinématiques de contractualisation de l’émission de l’écrit au terme de sa période de conservation.

    Sur le même sujet: 
    Deep Block introduit l’authentification « One time password » vocal pour renforcer la sécurité des signatures électroniques
    0 Commentaire
    GP78
    Signature électronique
    Coffre-fort numérique
    Droit de l'information
    EIDAS
    Horodatage
    À lire sur Archimag
    Les podcasts d'Archimag
    La mise à disposition des décisions de justice en Open Data a vu le jour grâce à la loi pour une République numérique votée en 2016. Les articles 20 et 21 prévoient la mise en open data des quatre millions de décisions de justice produites chaque année par les tribunaux français. Camille Girard-Chanudet est chercheuse en sociologie au sein du Centre d’étude des mouvements sociaux. En 2023, elle a soutenu une thèse devant l’École des hautes études en sciences sociales (EHESS) : "La justice algorithmique en chantier, sociologie du travail et des infrastructures de l’intelligence artificielle". Dans ce cadre elle a rencontré les équipes de la Cour de cassation qui procèdent à l’anonymisation des décisions de justice.
    Lire la suite...

    2025-Catalogue Dématérialisation-Serda Formation