PICSI

La signature électronique sécurisée

Nécessaire en pratique afin d’instaurer la confiance des utilisateurs dans le commerce numérique, l’usage d’un procédé de signature électronique fiable est également une exigence posée par notre droit à des fins probatoires. En effet, en vertu de l’article 1341 du Code civil, certains contrats doivent être prouvés par un acte sous seing privé, c'est-à-dire un écrit signé. Ces enjeux expliquent que l’on trouve une réglementation très précise qui définit la signature électronique sécurisée, c'est-à-dire la signature présumée fiable, juridiquement assimilable à une signature manuscrite.
Le législateur, conscient de l’évolution et de l’obsolescence rapide des techniques, ne s’est pas risqué à définir lui-même la signature électronique sécurisée. Il a confié cette tâche au pouvoir réglementaire par l’intermédiaire de décrets, plus aisément modifiables au fil des mutations technologiques. Le principal décret applicable aujourd’hui est celui du 30 mars 2001. Il s’est beaucoup inspiré de la directive communautaire du 13 décembre 1999 sur les signatures électroniques, laquelle avait introduit la notion de « signature électronique avancée ». Le texte français, qui emploie quant à lui l’expression « signature électronique sécurisée », impose de multiples conditions qui ont trait tant au procédé de signature utilisé qu’au certificat sur lequel repose la vérification de la signature. Dans les deux cas, même si les textes emploient une terminologie neutre technologiquement, il est fait appel aux techniques de cryptologie.

1. Un dispositif sécurisé de création de signature électronique.

Le décret du 30 mars 2001 prévoit qu’un dispositif sécurisé de création de signature électronique doit garantir par des moyens techniques et des procédures appropriés que les données de création de signature ne peuvent être établies plus d’une fois et que leur confidentialité est assurée, qu’elles ne peuvent être trouvées par déduction et que la signature électronique est protégée contre toute falsification, qu’elles peuvent être protégées de manière satisfaisante par le signataire contre toute falsification. En outre, le texte impose que le dispositif n’entraîne aucune altération du contenu de l’acte à signer et ne fasse pas obstacle à ce que le signataire en ait une connaissance exacte avant de le signer. Le décret ne vise aucune technologie en particulier. Cette neutralité terminologique ne fait pourtant pas illusion. En l’état actuel des techniques informatiques et mathématiques, les seuls procédés permettant de répondre à ces exigences réglementaires sont ceux qui utilisent la cryptologie à clé asymétrique, propre à assurer des fonctions d’authentification et de contrôle d’intégrité.
Pour garantir qu’il répond bien à ces exigences, le procédé doit être « certifié conforme » soit par le premier ministre (en pratique par l’intermédiaire de la DCSSI, Direction Centrale de la Sécurité des Systèmes d’Information), dans les conditions prévues par le décret du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information, soit, au niveau européen, par un organisme désigné à cet effet par un Etat membre de la Communauté européenne.

2. Un certificat électronique qualifié.

En vertu du décret du 30 mars 2001, une signature électronique ne peut être regardée comme sécurisée, c'est-à-dire présumée fiable, que si la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié. Le décret précise alors ce qu’il entend par certificat électronique qualifié : il pose des conditions qui ont trait d’une part au certificat lui-même, et, d’autre part, au prestataire de services de certification chargé de délivrer le certificat.

    - le certificat électronique.
Le certificat électronique est défini comme un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire. La qualité d’un certificat se mesure à la précision et à la quantité des informations qu’il émet. En effet, il doit comporter diverses mentions obligatoires énumérées par le décret. En particulier, il doit être fait référence, dans le certificat, de l’identité du prestataire de services de certification qui l’établi ainsi que de sa signature électronique, du nom du signataire, du début et de la fin de la période de validité du certificat électronique, du code d’identité unique du certificat, du fait que ce certificat est délivré à titre de certificat électronique qualifié…

    - le prestataire de services de certification électronique
Le prestataire de services de certification électronique, nommé par la pratique tiers certificateur, est défini comme toute personne qui délivre des certificats électroniques ou fournit d’autres services en matière de signature électronique. Ce prestataire privé doit satisfaire à des exigences précises, elles aussi énumérées par le décret. Par exemple, le prestataire doit garantir le fonctionnement d’un service d’annuaire recensant les certificats électroniques des personnes qui en font la demande, assurer le fonctionnement d’un service de révocation des certificats, employer du personnel qualifié, appliquer des procédures de sécurité appropriées… Les textes exigent donc beaucoup du tiers certificateur. Cette rigueur s’explique aisément par le fait que c’est de la confiance en ce prestataire que dépend le succès de l’utilisation de la signature électronique.
S’il satisfait à l’ensemble des conditions fixées par le décret, le prestataire peut, s’il le souhaite, demander à être reconnu comme qualifié. Dans ce cas, il sera présumé en conformité avec les exigences réglementaires. C’est aujourd’hui un arrêté du 26 juillet 2004 qui fixe les modalités de la demande de qualification ainsi que les conditions d’accréditation des organismes qui procèdent à l’évaluation des prestataires de service de certification.
La loi française, si elle réglementait l’activité des prestataires de services de certification, avait jusqu’alors omis, au mépris des exigences communautaires, de régler la question de leur responsabilité. C’est donc le droit commun de la responsabilité civile qui s’appliquait, ce qui obligeait les tiers victimes à démontrer, sur le fondement des articles 1382 et 1383 du Code civil, à la fois la faute du prestataire, le préjudice subi et le lien de causalité entre ces deux éléments. Ce n’est plus le cas depuis l’intervention de la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Ce texte instaure en effet une présomption de responsabilité des tiers certificateurs au bénéfice des personnes qui ont subit un préjudice en se fiant aux certificats présentés comme qualifiés. D’après la loi, cette présomption jouera dans quatre situations : lorsque les informations contenues dans le certificat, à la date de sa délivrance étaient inexactes, lorsque les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes, lorsque la délivrance du certificat n’a pas donné lieu à la vérification que le signataire détient la convention privée correspondant à la convention publique de ce certificat, lorsque les prestataires n’ont pas, le cas échéant, fait procéder à l’enregistrement de la révocation du certificat et tenu cette information à la disposition des tiers. Grâce à cette présomption, les tiers n’auront pas, dans les cas énumérés par la loi, à démontrer la faute du prestataire pour être indemnisés. Les tiers certificateurs ne pourront échapper à cette responsabilité que s’ils démontrent qu’ils n’ont commis aucune faute ou négligence. Ce régime, très favorable aux victimes, a pour but d’atténuer les réticences dans l’usage de la signature électronique et ainsi de favoriser le développement de l’économie numérique. C’est également cet objectif qui explique que la loi ait assorti ce régime de responsabilité de mesures visant à garantir la solvabilité des prestataires de services de certification ; la loi prévoit en effet que les tiers certificateurs doivent justifier d’une garantie financière suffisante ou d’une assurance garantissant les conséquences pécuniaires de leur responsabilité civile professionnelle.