La signature électronique. Aspects juridiques et socials J.F. KAMDEM

La signature électronique Aspects juridiques et socials J.F. KAMDEM Guillaume PERRIER Jean PRIVAT 17 juin 2001

Table des matières Introduction 2 1 Généralités sur la signature électronique 5 1.1 Définition technique et juridique........................ 5 1.2 Point de vue de l union européenne....................... 6 1.2.1 La reconnaissance juridique....................... 7 1.2.2 Les effets juridiques de la signature électronique........... 7 1.2.3 Les conditions de validité de la signature électronique........ 7 2 Données législatives 9 2.1 La loi française................................... 9 2.1.1 La redéfinition de la preuve littérale................... 9 2.1.2 La consécration de la force probante de l écrit électronique..... 10 2.2 Droit québécois................................... 10 2.3 Les solutions en Common Law.......................... 11 2.4 Cas allemand.................................... 11 2.5 Solution italienne................................. 11 3 Aspect particulier : les prestataires de services de certification 13 3.1 Rôle des tiers certificateurs............................ 13 3.2 La fourniture de services de certification.................... 14 3.3 La responsabilité des PSC............................ 15 3.4 Libre circulation des produits.......................... 15 3.5 Aspects internationaux.............................. 15 3.6 Quelques prestataires reconnus......................... 15 Conclusion 17 Annexes 18 A Extraits du Code civil français 19 B Directive européenne 22 C Bibliographie 36 C.1 Ouvrages et monographies............................ 36 C.2 Sites Internet.................................... 36 1

Introduction Le développement et l utilisation des nouvelles infrastructures de communication numériques sont en passe de devenir l un des enjeux du troisième millénaire. Aujourd hui, sous l impulsion de ces nouvelles technologies telles que le multimédia et le réseau Internet, on assiste à une véritable mutation du secteur de la distribution et à une modification des modes de commercialisation. A cet égard, le succès d Internet, qualifié de réseau des réseaux attise déjà la convoitise de nombreux opérateurs économiques qui y voient un nouveau marché aux débouchés commerciaux importants. Le caractère très particulier de ce nouveau mode de commercialisation suscite cependant, un certain nombre de questions et de préoccupations d ordre juridique. L essor rapide de ces échanges à partir de l ordinateur, le succès du réseau informatique ouvert Internet, et vraisemblablement, celui d autres réseaux à venir, plaident pour que des principes de fonctionnement soient dégagés prioritairement. La question centrale à laquelle il nous faut répondre est la suivante : les règles juridiques existantes du droit des contrats peuvent-elles s adapter aux opérations du commerce électronique ou, à l inverse, les nouveaux impératifs de sécurité liés à la nature des transactions rendent-ils indispensables l élaboration de règles spécifiques à Internet? La réponse n est pas aisée. En effet même si le commerce électronique n est rien d autre qu une technique de commerce parmi d autre, il repose sur des particularités qui conduisent à un bouleversement des pratiques juridiques traditionnelles. En effet, le commerce électronique implique une dématérialisation totale des relations entre les différents acteurs économiques (banques, commerçants, prestataires de services) et leurs clients. La question est encore plus aiguë pour la plupart des pays dont les exigences légales s accommodent mal à l informatique. Certaines règles sont totalement incompatibles avec le commerce électronique. La plupart des législations européennes n apportent actuellement pas de solutions assurant une sécurité juridique optimale. Or, pour tirer le meilleur parti des possibilités qu offre aujourd hui le commerce électronique, il est nécessaire d instaurer un environnement juridique sûr en ce qui concerne notamment l authentification électronique. A cet égard, une législation adaptée aux innovations technologiques permettra de gagner la confiance non seulement des professionnels mais aussi celles des consommateurs et constituera un atout majeur pour ces pays. On peut d autre part relever que les messages électroniques se substituent désormais fréquemment aux documents sur support papier. Ce processus donne lieu à de 2

multiples interrogations sur le statut juridique des messages électronique. Lorsque la loi exige un écrit, peuvent-ils satisfaire à cette obligation? Ces messages sont-ils dotés d une valeur probante? Une signature électronique peut-elle conférer à un message électronique une valeur juridique? Il apparaît sans conteste que cette dématérialisation des échanges contractuels bouleverse les données fondamentales du droit de la preuve. Or les principes de ce droit s ancrent dans une réalité matérielle. Dans un environnement électronique, l original d un contrat ne se distingue pas d une copie, ne comporte aucune signature manuscrite et n est transcrit sur aucun papier. Nombres de contrats ainsi conclus supposeraient en effet, pour leur efficacité juridique, une signature manuscrite. Certains problèmes peuvent dès lors se poser lorsqu il s agit de transposer les concepts d écrit et de signature aux pratiques actuelles de communication. Le développement du commerce électronique est conditionné par une sécurisation complète des transactions. Différents impératifs doivent à cette fin être satisfaits. Les différents intervenants impliqués dans l opération commerciale doivent pouvoir s assurer que les messages qu ils reçoivent proviennent effectivement de l auteur présumé. A ce titre, la signature électronique constituera un aspect essentiel de la réalité du contrat virtuel. Dans ce domaine, comme nous l avons souligné, les initiatives législatives se multiplient dans plusieurs Etats d Europe et du monde en général. Or, la notion même de signature ne recouvre pas les mêmes réalités dans les systèmes juridiques gouvernés par la Common Law 1 et dans les droits français ou luxembourgeois. Les systèmes de preuve varient d un droit à l autre. L étude comparative de ces différents systèmes juridiques permettra d enrichir notre réflexion et d apporter les solutions nécessaires et suffisantes à l adaptation des nouvelles technologies. On peut cependant relever que traditionnellement, les liens contractuels sont fondés sur la reconnaissance des fonctions de la signature apposée sur les contrats. Ces fonctions sont l identification des contractants et la marque de leur adhésion au contrat. Diverses techniques sont actuellement sur le marché ou en cours de mise au point, qui consistent à créer les conditions techniques pour qu une signature électronique présente un certain nombre, ou la totalité, des fonctions perçues comme caractéristiques d une signature manuscrite. Ces techniques se sont particulièrement développées ces dernières années. C est ainsi que divers Etats, considérant que cette méthodologie résout les problèmes d identification des intervenants et de l intégralité des contenus circulant dans un cyberespace, ont déjà retenu la signature numérique (Allemagne, Italie, Danemark, certains Etats des Etats-Unis, le Québec...). On peut penser que l emploi de cette signature se généralisera en raison de sa capacité à remplir les fonctions traditionnelles de la signature. On s aperçoit également qu une harmonisation au niveau international doit s imposer. Tel est le constat dressé par la CNUDCI 2 à partir duquel elle a adopté, le 12 juin 1997, une loi type sur le commerce électronique. Ce sont ces mêmes préoccupations qui inspirent les travaux actuellement menés par la Commission européenne. En outre, un projet de Directive communautaire sur la signature électronique est en préparation pour la mise en oeuvre d un cadre réglementaire approprié. 1. Droit d Etat, droit coutumier, civil (méthode de droit en Angleterre établie par les juges 2. Commission des Nations Unies pour le droit commercial international 3

L ensemble de ces projets est regardé avec beaucoup d attention par les Gouvernements qui ont engagé un vaste travail de réforme et de modernisation de leur législation. Il semble en tout état de cause que l objectif à satisfaire est bien celui d une sécurité optimale des transactions en ligne. En toute hypothèse, même si le commerce électronique ne justifie pas un bouleversement systématique des règles applicables, un sérieux approfondissement des concepts est nécessaire, accompagné du remodelage d un certain nombre de textes fondamentaux. 4

Chapitre 1 Généralités sur la signature électronique Le début sur la signature électronique est né du développement du commerce électronique. L idée est de sécuriser les échanges commerciaux par un cadre législatif approprié aux diverses contraintes. Des études sur ce thème ont été lancées, notamment, par la commission européenne. Nous verrons la directive qui en est ressortie, ainsi que la loi française respectant cette directive. En effet, la loi française n est compréhensible qu à la lumière du texte de la directive. C est pourquoi nous verrons cette directive avant la loi française. Mais avant cela, une définition technique et juridique est utile, pour cerner le problème. 1.1 Définition technique et juridique Le développement du commerce électronique est subordonné à l existence de garanties sur la sécurité des transmissions de données et des paiements en ligne. Grâce à un système de chiffrement appliqué au message transmis, sans que ce dernier soit nécessairement lui-même chiffré, la signature électronique constitue une réponse au problème, car elle garantit l authenticité et l intégrité des données, ainsi que l identité du signataire. Si la confidentialité est requise, il faut chiffrer le contenu du message. De façon générale, le chiffrement consiste à rendre le texte d un message illisible pour qui ne détient pas la clé de déchiffrement. Dans les systèmes de chiffrement symétriques, une seule clé sert à la fois à chiffrer et à déchiffrer les données. Elle doit être gardée secrète par les parties intéressées pour que la sécurité de l information soit garantie. L inconvénient principal réside dans le fait que l expéditeur et le destinataire doivent convenir à l avance de la clé et doivent disposer d un canal sûr pour l échanger. C est pourquoi les systèmes de signature électronique qui se développent depuis quelques années reposent sur des algorithmes de chiffrement asymétriques, où, de plus, chaque utilisateur dispose de deux clés, une clé publique et une clé privée. Ces 5

deux clés sont elles-mêmes créées à l aide d algorithmes mathématiques. Elles sont associées l une à l autre de façon unique et sont propres à un utilisateur donné. Un message chiffré à l aide d un algorithme asymétrique et d une clé privée, qui constitue l un des paramètres de l algorithme, ne peut être déchiffré qu avec la clé publique correspondante, et inversement. La clé publique doit donc être connue de tous, tandis que la clé privée reste secrète, la carte à puce semblant être le meilleur support de stockage des clés privées. Lorsque l algorithme de chiffrement asymétrique est utilisé seulement pour créer la signature électronique, les mêmes clés, privée et publique, sont utilisées, mais seulement pour vérifier l authenticité et l intégrité du message. Ces signatures électroniques, obtenues par l application d algorithmes asymétriques, sont parfois qualifiées de numériques ou de digitales, par opposition aux signatures électroniques créées au moyen d autres dispositifs. Selon la CNUDCI, une signature numérique est «une valeur numérique apposée à un message de données et qui, grâce à une procédure mathématique bien connue associée à la clé cryptographique privée de l expéditeur, permet de déterminer que cette valeur numérique a été créée à partir de la clé cryptographique privée de l expéditeur. Les procédures mathématiques utilisées pour créer les signatures numériques sont fondées sur le chiffrement de la clé publique. Appliquées à un message de données, ces procédures mathématiques opèrent une transformation du message de telle sorte qu une personne disposant du message initial et de la clé publique de l expéditeur peut déterminer avec exactitude : a) si la transformation a été opérée à l aide de la clé privée correspondant à celle de l expéditeur ; et b) si le message initial a été altéré une fois sa transformation opérée (...)» Contrairement à la signature manuscrite, la signature numérique, composée de chiffres, de lettres et d autres signes, ne comporte aucun élément permettant de l attribuer à une personne donnée. Chaque utilisateur doit donc établir avec certitude l identité de ses correspondants. C est pourquoi on recourt à des services de certification, souvent désignés comme tiers de certification, qui disposent de la confiance de chacun et qui garantissent l appartenance d une signature à une personne. Comme le destinataire utilise la clé publique de l expéditeur pour vérifier la signature électronique de ce dernier, la vérification suppose que le tiers certifie au destinataire que la clé publique qu il utilise correspond bien à la clé privée de l expéditeur signataire et que ce dernier est bien celui qu il prétend être. Les tiers de certification délivrent donc des certificats d authentification qui contiennent, d une part, divers renseignements sur la personne dont on souhaite vérifier l identité (nom, prénom, date de naissance...) et, d autre part, sa clé publique. Ces certificats sont généralement réunis dans des bases de données mises en ligne sur le réseau Internet, ce qui permet à chacun d y accéder facilement. La signature numérique constitue donc un bloc de données créé à l aide d une clé privée ; la clé publique correspondante et le certificat permettent de vérifier que la signature provient réellement de la clé privée associée, qu elle est bien celle de l expéditeur et que le message n a pas été altéré. 1.2 Point de vue de l union européenne Le 13 mai 1998, la Commission a présenté la proposition de directive sur un cadre commun pour les signatures électroniques. 6

Le Parlement européen l a approuvée le 13 janvier 1999, après avoir introduit quelques amendements. La Commission a donc présenté une proposition modifiée le 29 avril 1999, sur laquelle le Conseil a adopté une position commune. Le 27 octobre 1999, le Parlement européen a adopté quelques amendements formels à ce texte, sur lequel le Conseil s est prononcé le 29 novembre 1999. 1.2.1 La reconnaissance juridique L article premier de la directive énonce : «L objectif de la présente directive est de faciliter l utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique (...)». A l article suivant, elle définit deux niveaux de signature électronique. Elle distingue en effet la signature électronique, qu elle qualifie de «donnée sous forme électronique, qui est jointe ou liée logiquement à d autres données électroniques et qui sert de méthode d authentification», de la signature électronique avancée, qui doit en outre satisfaire aux exigences suivantes : être liée uniquement au signataire ; permettre d identifier le signataire ; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; et être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable. 1.2.2 Les effets juridiques de la signature électronique D après la directive, seules les signatures électroniques créées dans des conditions de sécurité optimale peuvent avoir la même valeur que les signatures manuscrites. En effet, cette équivalence est réservée aux signatures électroniques avancées «basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature». Toutefois, les autres signatures électroniques doivent pouvoir être reconnues en justice. Le seul fait qu elles ne reposent pas sur un certificat qualifié, que le certificat n ait pas été délivré par un tiers de certification agréé, ou qu elles ne résultent pas d un dispositif sécurisé de création de signature ne doit pas empêcher a priori qu elles soient reçues comme preuves. 1.2.3 Les conditions de validité de la signature électronique La recevabilité en justice des signatures électroniques et la qualification de signature électronique avancée, reposent sur des conditions relatives : Les certificats Les titulaires des certificats sont des personnes physiques qui peuvent, le cas échéant, agir pour le compte d une personne morale. La directive ne mentionne aucune indication de durée de validité maximale pour les certificats. 7

L annexe I de la directive énumère les exigences relatives aux certificats qualifiés. Les tiers de certification Si la fourniture de services de certification ne peut être soumise à une autorisation préalable, et peut être assurée par toute personne physique ou morale, les Etats membres doivent cependant instaurer un système de contrôle des tiers de certification. La directive prévoit par ailleurs que les Etats membres puissent, pour «améliorer le niveau du service de certification fourni», instaurer un système d accréditation. L annexe II de la directive définit les exigences concernant les tiers de certification qui délivrent des certificats agréés. La directive prévoit la responsabilité des tiers de certification pour tout préjudice causé par l utilisation d un certificat inexact ou invalide. Ils peuvent cependant dégager leur responsabilité en prouvant qu ils n ont commis aucune négligence. Le dispositif de création de la signature électronique Les dispositifs sécurisés de création de signature sont définis à l annexe III de la directive. 8

Chapitre 2 Données législatives Le problème est mondial, ce qui n est pas le cas des législations des différents états. Chaque pays doit donc développer une solution propre. Voyons quelques exemples de ce qui a déjà été fait, en France, au Québec, dans le Common Law, en Allemagne et en Italie. 2.1 La loi française Le texte adopté par la commission des lois du sénat, après avoir été voté à l unanimité par le Sénat le 8 février 2000, a été adopté dans des termes identiques par l Assemblée Nationale le 29 février 2000. La loi n o 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique a été ainsi adoptée. Le texte qui a été adopté modifie les règles du Code civil relatives à la preuve, en consacrant la valeur probante de l écrit sous forme électronique, d une part, et en introduisant la signature électronique dans notre droit, d autre part. La loi est saluée comme constituant une avancée fondamentale du droit de la preuve. Pourtant, l apport de la loi reste limité au domaine de la preuve, et de nombreuses questions techniques devront être résolues avant que l écrit électronique ne puisse se substituer effectivement aux échanges de documents sur «papier». La loi comporte deux volets particulièrement novateurs : la redéfinition de la preuve littérale et la consécration de la force probante de l écrit électronique. 2.1.1 La redéfinition de la preuve littérale Selon le nouvel article 1316 du Code civil : «La preuve littérale, ou preuve par écrit, résulte d une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d une signification intelligible, quels que soient leur support et leurs modalités de transmission». 9

La définition de la preuve par écrit est donc extensive, ce qui valide toutes formes d écrits, y compris mais non exclusivement ceux sous formes électroniques. Traditionnellement, l écrit avait fini par se confondre avec son support papier. Pourtant, le dictionnaire définit l écriture comme «une représentation de la parole et de la pensée par des signes», sans qu il soit fait référence à un quelconque support papier. La loi met donc fin à cette confusion : la preuve littérale est redéfinie afin de la rendre indépendante de son support. La preuve littérale ne s identifie plus au papier, ne dépend ni de son support matériel, ni de ses modalités de transmission. La définition respecte ainsi le principe de neutralité technologique. La suite de signes constituant l écrit doit être ordonné de manière à être intelligible : l écrit doit pouvoir être produit de façon lisible et compréhensible par l homme. Un texte peut être crypté, mais il doit pouvoir être déchiffré pour posséder une vocation probatoire. 2.1.2 La consécration de la force probante de l écrit électronique Selon le nouvel article 1316-1 : «L écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu il soit établi et conservé dans des conditions de nature à en garantir l intégrité». L article 1316-3 précise : «L écrit sur support électronique a la même force probante que l écrit sur support papier». Ainsi, le législateur n a pas voulu instituer de hiérarchie entre support électronique et support papier. L avant-projet de loi prévoyait que : «la preuve contraire peut être rapportée contre un écrit électronique sur le fondement de présomptions graves, précises et concordantes.» Il s agissait d un point controversé, certains considérant que donner aux preuves informatiques la même force probante qu aux écrits traditionnels sur support papier aurait été prématuré, d autres considérant au contraire que cela remettait en cause l objectif même qui était poursuivi. L admission d un écrit sous forme électronique en tant que preuve au même titre que l écrit papier est consacrée à la double condition que puisse être identifié celui dont il émane et que les conditions dans lesquelles il est établi et conservé en garantissent l intégrité. Pour les actes unilatéraux, l article 1326 du Code civil prévoyait la mention manuscrite de la somme en toutes lettres et en chiffres. Désormais, les mots «de sa main» sont remplacés par les mots : «par lui-même». 2.2 Droit québécois Le droit québécois a le mérite incontestable d avoir mis fin à l incertitude environnante dans son nouveau Code civil. Ainsi, l article 1387 C.c.Q dispose que «Le contrat est formé au moment où l offrant reçoit l acceptation et au lieu où cette acceptation est reçue, quel qu ait été le moyen utilisé pour la communiquer et lors même que les parties ont convenu de réserver leur accord sur certains éléments secondaires.» Précisons que la question du lieu de formation du contrat se posait déjà dans les relations entre commerçants et consommateurs depuis l adoption de Loi sur la protec- 10

tion du consommateur en 1978. Celle-ci considère systématiquement que le contrat à distance a été «conclu à l adresse du consommateur». 2.3 Les solutions en Common Law Nous nous contenterons ici d exposer simplement la solution envisagée par la Mailbox rule, introduite aux Etats-Unis sous l influence de l arrêt anglais Adams v. Lindsell, selon lequel une acceptation faite par courrier valide le contrat dès qu elle est postée. La théorie de l expédition prédomine donc en droit américain pour la plupart des contrats à distance, peu importe la synchronicité des moyens de communication envisagés. 2.4 Cas allemand La loi fédérale établissant les conditions générales pour les services d information et de communication, adoptée le 13 juin 1997, comprend plusieurs parties. La troisième correspond à la loi sur la signature digitale, qui est entrée en vigueur le 1er août 1997. Une ordonnance, entrée en application le 1er novembre 1997, précise les conditions de mise en oeuvre de cette loi. L article 1er de la loi sur la signature digitale définit l objet de la loi, qui est «de poser les conditions générales auxquelles sont soumises les signatures digitales pour être considérées comme sûres et pour que les faux en signature digitale ou la manipulation des données puissent être établis de manière fiable». La loi sur la signature digitale définit donc les conditions techniques d une transmission fiable des données électroniques, pour que le destinataire soit sûr de l identité de l émetteur et de l intégrité des données transmises. Elle ne traite que de la signature digitale, qui est fondée sur la cryptographie asymétrique et qu elle définit à l article 2 comme : «un sceau attaché à une donnée numérique qui est produit par une clé privée, qui authentifie le propriétaire de la clé et établit l intégrité des données au moyen d une clé publique correspondante fournie avec un certificat de clé, lequel est délivré par un prestataire de service de certification ou par l autorité de contrôle». La loi ne contient aucune disposition explicite sur la recevabilité en justice et sur la valeur probante de la signature digitale. Elle ne remet pas non plus en cause le principe selon lequel le juge apprécie librement la force probante des éléments qui lui sont soumis. 2.5 Solution italienne L article 15-2 de la loi n o 59 du 15 mars 1997 relative à la réforme de l administration publique et à la simplification administrative (dite Loi Bassanini) affirme la valeur juridique des documents électroniques. 11

Il énonce en effet : «Les actes, données et documents constitués par l administration publique et par les personnes de droit privé à partir d outils informatiques ou télématiques, les contrats rédigés sous cette même forme, ainsi que leur enregistrement ou leur transmission informatiques, sont valables et produisent tous les effets juridiques au regard de la loi. (...)». Plus loin, le même alinéa prévoit que, dans le délai de six mois suivant l entrée en vigueur de la loi, des dispositions réglementaires devront être prises pour déterminer les critères et les modalités d application de ce principe. Le décret n o 513 du 10 novembre 1997, relatif aux critères et aux modalités de constitution, d archivage et de transmission des documents informatiques et télématiques, pris par le Président de la République pour l application de la disposition légale susmentionnée définit la signature digitale comme «le résultat de la procédure informatique fondée sur un système de clés asymétriques, une publique et une privée, qui permet au signataire, par l intermédiaire de la clé privée, de garantir l origine et l intégrité d un document informatique ou d un ensemble de documents informatiques, et au destinataire, par l intermédiaire de sa clé publique, de vérifier ces deux éléments». Dans certaines conditions, définies par le décret n o 513 du 10 novembre 1997, la signature digitale a la même valeur que la signature manuelle et peut également remplacer un sceau, un poinçon, un tampon, ainsi que n importe quel autre signe ou marque. Ce texte prévoit que, tout comme la signature manuscrite, la signature digitale peut être authentifiée par un officier ministériel : celui-ci, après vérification de l identité de l intéressé et de la validité de la clé utilisée, atteste que la signature électronique a été apposée en sa présence par son titulaire. En revanche, le décret ne traite pas du tout des autres signatures électroniques. 12

Chapitre 3 Aspect particulier : les prestataires de services de certification Les procédés de cryptographie à clé publique fournissent ainsi une solution au problème d identification des interlocuteurs échangeant des messages en milieu ouvert. Ce système peut nécessiter l intervention d un tiers : le tiers certificateur, dont le rôle va consister à administrer et publier les clés publiques. 3.1 Rôle des tiers certificateurs Le tiers certificateur permet de s assurer qu une clé publique est bien celle du correspondant, et donc de vérifier son identité et ses pouvoirs. En l absence d un réseau de certification, la question des échanges entre personnes qui ne sont jamais rentrées en relation auparavant reste entière : comment ces personnes vont-elles échanger de manière sécurisée leurs clés publiques, qui garantira que la clé donnée est bien celle de la personne annoncée et non pas celle d un imposteur? Sans certitude sur l identité du cocontractant, la validité de la signature et donc de la transaction peut être contestée. Il existe actuellement des serveurs de clés publiques, mais qui ne fournissent pas toujours de garanties quant à la vérification de l identité des déposants. Pour que le recours au système de cryptage à clé publique offre une sécurité juridique, des réseaux de certification doivent être mis en place. Le tiers certificateur est un organisme, public ou privé, qui émet des certificats électroniques. Le certificat est un registre informatique revêtu d une signature électronique qui identifie l émetteur du certificat, identifie le souscripteur et donne sa clé publique. Il s agit d une sorte de carte d identité électronique qui serait émise par un tiers indépendant et neutre. La signature électronique correspondant à un certificat est considérée appartenir à la personne mentionnée dans le certificat. Un certificat peut permettre de vérifier l identité d une personne, mais également ses pouvoirs et sa capacité, ses qualifications professionnelles (par exemple il sera possible 13

de vérifier si la personne est bien médecin, avocat...), le pouvoir d engager une société. La directive sur les signatures électroniques vise à instaurer une reconnaissance communautaire des services de certification des signatures électroniques. D après une recommandation n o 509 de l UIT-T, une autorité de certification est «une autorité chargée par un ou plusieurs utilisateurs de créer et d attribuer leur clé publique et leur certificat» Il a pour fonction de formaliser le lien qui existe entre une personne physique ou morale et une paire de clés asymétrique. Dans la directive, les tiers certificateurs sont appelés prestataires de services de certification» (ou PSC). Le PSC est défini comme : «toute entité ou personne physique ou morale qui délivre des certificats ou fournit d autres services liés aux signatures électroniques» La directive définit le certificat comme une attestation électronique qui lie des données afférentes à la vérification de signature à une personne et confirme l identité de cette personne». Le certificat doit répondre à des exigences fixées par l annexe I de la directive. Le champ d application de la directive est plus large que celui des seules autorités de certification qui délivrent des certificats liés à la signature électronique. Les prestataires de la directive pourront fournir également des services d horodatage, d archivage, des services de publications et de consultation, etc. Cette activité ne fait l objet d aucune réglementation spécifique en droit français, hormis en ce qui concerne la réglementation de la cryptologie. La directive, intégrée dans notre législation, donnera un cadre juridique à ces services. 3.2 La fourniture de services de certification La fourniture de services de certification ne pourra être soumise à aucune autorisation préalable (article 3 de la directive). Les états peuvent prévoir un processus de reconnaissance professionnelle ou accréditation pour l exercice de la mission de PSC. Cependant, la procédure d accréditation repose sur le volontariat et n aurait pas de caractère obligatoire. Le décret régira le système d accréditation volontaire des autorités de certification, conformément à la directive. Par ailleurs, l annexe II de la directive fixe un certain nombre d exigences auxquelles doivent satisfaire les PSC, parmi lesquelles : assurer le fonctionnement d un service d annuaire rapide et sûr et d un service de révocation sûr et immédiat ; vérifier, par des moyens appropriés et conformes au droit national, l identité de la personne à laquelle le certificat est délivré ; utiliser des systèmes fiables ; archiver les informations relatives aux certificats pendant le délai utile, en particulier pour pouvoir fournir une preuve de la certification en justice ; disposer de ressources financières suffisantes. 14

3.3 La responsabilité des PSC Il doit exister des garanties juridiques pour le cas où le PSC manquerait à ses obligations. La question de la responsabilité du PSC est particulièrement sensible lorsque le certificat est erroné. La directive prévoit la responsabilité des PSC sur l exactitude des informations certifiées par eux et sur l imputabilité de la signature à la date où le certificat a été délivré (article 6). C est au prestataire de service de prouver qu il n a commis aucune négligence. Or, une preuve négative est très difficile à rapporter... D une manière générale, le PSC a l obligation d assurer la sécurité du système mis en place (voir les Exigences concernant les PSC, Annexe II). 3.4 Libre circulation des produits Les services établis dans un Etat et les éventuelles accréditations délivrées par un Etat devront être reconnus dans les autres Etats. Les produits de signature électronique doivent pouvoir circuler librement sur le marché intérieur. 3.5 Aspects internationaux Dans la perspective de la mise en place d un système de reconnaissance mutuelle des signatures et certificats avec les pays tiers, la directive prévoit les conditions pour que les certificats délivrés par un PSC d un pays tiers soient juridiquement reconnus comme équivalents aux certificats délivrés par un PSC établi dans la Communauté européenne. En particulier, un PSC établit dans la Communauté pourra garantir les certificats d un PSC d un pays tiers. 3.6 Quelques prestataires reconnus Les autorités de certification ne sont pas légion en France, même si on peut penser qu elles se développeront dans le futur. Les chambres de commerce et d industrie ont donc pris la décision de jouer un rôle de chef de file sur ce secteur en créant une autorité de certification dénommée Chambersign. Mais cette initiative ne s arrête pas à la France comme le souligne Frédéric Desclos, directeur commercial de Chambersign France : "C est avant tout un réseau européen". Elle rassemble en effet les chambres de commerce européennes, avec pour l instant une représentation dans dix pays (France, Grande Bretagne, Belgique, Luxembourg, Pays-Bas, Allemagne, Autriche, Italie, Espagne). Elle vise aussi à s étendre à l Amérique du sud (Brésil, Colombie et Uruguay dans un premier temps) et à l Asie. Ce réseau présente un avantage considérable pour cette activité. En effet, la délivrance de certificats électroniques peut se faire par la communication par courrier de diverses photocopies de papiers d identité, factures...mais ceux-ci peuvent être considérés comme plus fiable si leur délivrance est subordonnée à un face à face, ce qui est 15

facilité par ce réseau existant appartenant à une organisation d une notoriété importante. Au niveau technique, l infrastructure à clé publique est gérée par le prestataire de services de confiance Certplus, pour le niveau français. Ce service devrait toutefois faire l objet d ici quelque mois d un appel d offre européen, comme le prévoit le code des marchés public. Chaque pays dispose d une autorité de certification, et toutes sont reliées à une autorité racine. Le premier produit de Chambersign est le certificat Inition, proposé à 40 euros. D autres sociétés proposent divers services de certification : Click & Trust (filiale du Groupe Banques Populaires) spécialisé dans les échanges entre entreprises. Omnikles (de la société Omnicertis) une autorité de certification pour les professions libérales. Certinomis (filiale de La Poste et Sagem) comprenant des offres accessibles autant aux particuliers qu aux entreprises. 16

Conclusion Les prestataires de services de certification vont devenir de véritables agents de la preuve. A côté des services de signature électronique proprement dits, ils devront proposer également des services d horodatage et d archivage, deux questions étroitement liées à la preuve des actes juridiques, voire même des services de sécurité. L apparition d un tiers certificateur dans la relation contractuelle afin d assurer la preuve de l acte conclu par voie électronique n est pas sans rappeler l acte authentique. La loi du 13 mars 2000 ne fait aucune référence à l intervention des prestataires de services de certification qui interviennent dans le processus de signature électronique et dont le rôle est pourtant fondamental. La question se pose de savoir s il n aurait pas fallu les mentionner dans le texte de la loi. La signature, fonction personnelle, reflet de la personnalité, va se trouver dépersonnalisée et déléguée à un système informatique géré par un tiers, dans lequel l utilisateur devra avoir toute confiance. L intervention d un tiers dans le processus de signature est un changement radical, dont toutes les conséquences non plus juridiques, mais sociologiques, n ont pas encore été mesurées. 17

Annexes 18

Annexe A Extraits du Code civil français Extraits du Code civil incluant les modifications apportées par la loi n o 2000-230 du 13 mars 2000 (JO du 14 mars 2000) portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique Note : les modifications résultant de la loi du 13 mars 2000 apparaissent en italiques. Art. 1315 Celui qui réclame l exécution d une obligation doit la prouver. Réciproquement, celui qui se prétend libéré, doit justifier le payement ou le fait qui a produit l extinction de son obligation. Art. 1315-1 Les règles qui concernent la preuve littérale, la preuve testimoniale, les présomptions, l aveu de la partie et le serment, sont expliquées dans les sections suivantes. Art. 1316 La preuve littérale, ou preuve par écrit, résulte d une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d une signification intelligible, quels que soient leur support et leurs modalités de transmission. Art. 1316-1 L écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu il soit établi et conservé dans des conditions de nature à en garantir l intégrité. Art. 1316-2 Lorsque la loi n a pas fixé d autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu en soit le support. Art. 1316-3 L écrit sur support électronique a la même force probante que l écrit sur support papier. Art. 1316-4 La signature nécessaire à la perfection d un acte juridique identifie celui qui l appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l authenticité à l acte. Lorsqu elle est électronique, elle consiste en l usage d un procédé fiable d identification garantissant son lien avec l acte auquel elle s attache. La fiabilité de ce procédé est présumée, jusqu à preuve contraire, lorsque la signature électronique est créée, l identité du signataire assurée et l intégrité de l acte garantie, dans des conditions fixées par décret en Conseil d Etat. Art. 1317 L acte authentique est celui qui a été reçu par officiers publics ayant le droit d instrumenter dans le lieu où l acte a été rédigé, et avec les solennités requises. Il 19

peut être dressé sur support électronique s il est établi et conservé dans des conditions fixées par décret en Conseil d Etat. Art. 1318 L acte qui n est point authentique par l incompétence ou l incapacité de l officier, ou par un défaut de forme, vaut comme écriture privée, s il a été signé des parties. Art. 1319 L acte authentique fait pleine foi de la convention qu il renferme entre les parties contractantes et leurs héritiers ou ayants cause. Néanmoins, en cas de plaintes en faux principal, l exécution de l acte argué de faux sera suspendue par la mise en accusation; et, en cas d inscription de faux faite incidemment, les tribunaux pourront, suivant les circonstances, suspendre provisoirement l exécution de l acte. Art. 1320 L acte, soit authentique, soit sous seing privé, fait foi entre les parties, même de ce qui n y est exprimé qu en termes énonciatifs, pourvu que l énonciation ait un rapport direct à la disposition. Les énonciations étrangères à la disposition ne peuvent servir que d un commencement de preuve.... Art. 1322 L acte sous seing privé, reconnu par celui auquel on l oppose, ou légalement tenu pour reconnu, a, entre ceux qui l ont souscrit et entre leurs héritiers et ayants cause, la même foi que l acte authentique. Art. 1323 Celui auquel on oppose un acte sous seing privé, est obligé d avouer ou de désavouer formellement son écriture ou sa signature. Ses héritiers ou ayants cause peuvent se contenter de déclarer qu ils ne connaissent point l écriture ou la signature de leur auteur. Art. 1324 Dans le cas où la partie désavoue son écriture ou sa signature, et dans le cas où ses héritiers ou ayants cause déclarent ne les point connaître, la vérification en est ordonnée en justice. Art. 1325 Les actes sous seing privé qui contiennent des conventions synallagmatiques, ne sont valables qu autant qu ils ont été faits en autant d originaux qu il y a de parties ayant un intérêt distinct. Il suffit d un original pour toutes les personnes ayant le même intérêt. Chaque original doit contenir la mention du nombre des originaux qui en ont été faits. Néanmoins le défaut de mention que les originaux ont été faits doubles, triples, etc., ne peut être opposé par celui qui a exécuté de sa part la convention portée dans l acte. Art. 1326 L acte juridique par lequel une seule partie s engage envers une autre à lui payer une somme d argent ou à lui livrer un bien fongible doit être constaté dans un titre qui comporte la signature de celui qui souscrit cet engagement ainsi que la mention, écrite "par lui-même", de la somme ou de la quantité en toutes lettres et en chiffres. En cas de différence, l acte sous seing privé vaut pour la somme écrite en toutes lettres.... Art. 1328 Les actes sous seing privé n ont de date contre les tiers que du jour où ils ont été enregistrés, du jour de la mort de celui ou de l un de ceux qui les ont souscrits, ou du jour où leur substance est constatée dans les actes dressés par des officiers publics, tels que procès-verbaux de scellé ou d inventaire.... Art. 1334 Les copies, lorsque le titre original subsiste, ne font foi que de ce qui est contenu au titre, dont la représentation peut toujours être exigée. Art. 1335 Lorsque le titre original n existe plus, les copies font foi d après les distinctions suivantes: Les grosses ou premières expéditions font la même foi que l original; il en est de même des copies qui ont été tirées par l autorité du magistrat, parties 20

présentes ou dûment appelées, ou de celles qui ont été tirées en présence des parties et de leur consentement réciproque. Les copies qui, sans l autorité du magistrat, ou sans le consentement des parties, et depuis la délivrance des grosses ou premières expéditions, auront été tirées sur la minute de l acte par le notaire qui l a reçu, ou par l un de ses successeurs, ou par officiers publics qui, en cette qualité, sont dépositaires des minutes, peuvent, au cas de perte de l original, faire foi quand elles sont anciennes. Elles sont considérées comme anciennes quand elles ont plus de trente ans; Si elles ont moins de trente ans, elles ne peuvent servir que de commencement de preuve par écrit. Lorsque les copies tirées sur la minute d un acte ne l auront pas été par le notaire qui l a reçu, ou par l un de ses successeurs, ou par officiers publics qui, en cette qualité, sont dépositaires des minutes, elles ne pourront servir, quelle que soit leur ancienneté, que de commencement de preuve par écrit. Les copies de copies pourront, suivant les circonstances, être considérées comme simples renseignements.... Art. 1341 Il doit être passé acte devant notaires ou sous signatures privées de toutes choses excédant une somme ou une valeur fixée par décret, même pour dépôts volontaires, et il n est reçu aucune preuve par témoins contre et outre le contenu aux actes, ni sur ce qui serait allégué avoir été dit avant, lors ou depuis les actes, encore qu il s agisse d une somme ou valeur moindre. Le tout sans préjudice de ce qui est prescrit dans les lois relatives au commerce.... Art. 1347 Les règles ci-dessus reçoivent exception lorsqu il existe un commencement de preuve par écrit. On appelle ainsi tout acte par écrit qui est émané de celui contre lequel la demande est formée, ou de celui qu il représente, et qui rend vraisemblable le fait allégué. Peuvent être considérés par le juge comme équivalant à un commencement de preuve par écrit les déclarations faites par une partie lors de sa comparution personnelle, son refus de répondre ou son absence à la comparution. Art. 1348 Les règles ci-dessus reçoivent encore exception lorsque l obligation est née d un quasi-contrat, d un délit ou d un quasi-délit, ou lorsque l une des parties, soit n a pas eu la possibilité matérielle ou morale de se procurer une preuve littérale de l acte juridique, soit a perdu le titre qui lui servait de preuve littérale, par suite d un cas fortuit ou d une force majeure. Elles reçoivent aussi exception lorsqu une partie ou le dépositaire n a pas conservé le titre original et présente une copie qui en est la reproduction non seulement fidèle mais aussi durable. Est réputée durable toute reproduction indélébile de l original qui entraîne une modification irréversible du support. 21

Annexe B Directive européenne DIRECTIVE 1999/93/CE DU PARLEMENT EUROPEEN ET DU CONSEIL du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques (JOCE L. 13 du 19.01.2000 pp.12-20) LE PARLEMENT EUROPEEN ET LE CONSEIL DE L UNION EUROPEENNE, vu le traité instituant la Communauté européenne, et notamment son article 47, paragraphe 2, et ses articles 55 et 95, vu la proposition de la Commission (JO C 325 du 23.10.1998, p. 5), vu l avis du Comité économique et social (JO C 40 du 15.2.1999, p. 29), vu l avis du Comité des régions (JO C 93 du 6.4.1999, p. 33), statuant conformément à la procédure visée à l article 251 du traité (Avis du Parlement européen du 13 janvier 1999 (JO C 104 du 14.4.1999, p. 49), position commune du Conseil du 28 juin 1999 (JO C 243 du 27.8.1999, p. 33) et décision du Parlement européen du 27 octobre 1999) (non encore parue au Journal officiel). Décision du Conseil du 30 novembre 1999), considérant ce qui suit : (1) le 16 avril 1997, la Commission a présenté au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions, une communication sur une initiative européenne dans le domaine du commerce électronique ; (2) le 8 octobre 1997, la Commission a présenté au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions, une communication intitulée "Assurer la sécurité et la confiance dans la communication électronique - Vers un cadre européen pour les signatures numériques et le chiffrement" ; (3) le 1er décembre 1997, le Conseil a invité la Commission à présenter dès que possible une proposition de directive du Parlement européen et du Conseil sur les signatures numériques ; 22

(4) les communications et le commerce électroniques nécessitent des "signatures électroniques" et des services connexes permettant d authentifier les données ; toute divergence dans les règles relatives à la reconnaissance juridique des signatures électroniques et à l accréditation des "prestataires de service de certification" dans les Etats membres risque de constituer un sérieux obstacle à l utilisation des communications électroniques et au commerce électronique ; par ailleurs, l établissement d un cadre communautaire clair concernant les conditions applicables aux signatures électroniques contribuera à renforcer la confiance dans les nouvelles technologies et à en favoriser l acceptation générale ; la diversité des législations des Etats membres ne saurait entraver la libre circulation des marchandises et des services dans le marché intérieur; (5) il convient de promouvoir l interopérabilité des produits de signature électronique ; conformément à l article 14 du traité, le marché intérieur comporte un espace dans lequel la libre circulation des marchandises est assurée ; des exigences essentielles spécifiques aux produits de signature électronique doivent être respectées afin d assurer la libre circulation dans le marché intérieur et de susciter la confiance dans les signatures électroniques, sans préjudice du règlement (CE) n o 3381/94 du Conseil du 19 décembre 1994 instituant un régime communautaire de contrôle des exportations de biens à double usage (JO L 367 du 31.12.1994, p. 1. Règlement modifié par le règlement (CE) n o 837/95 (JO L 90 du 21.4.1995, p. 1) et de la décision 94/942/PESC du Conseil du 19 décembre 1994 relative à l action commune adoptée par le Conseil, concernant le contrôle des exportations de biens à double usage (JO L 367 du 31.12.1994, p. 8. Décision modifiée en dernier lieu par la décision 99/193/PESC(JO L 73 du 19.3.1999, p. 1). (6) la présente directive n harmonise pas la fourniture de services en ce qui concerne la confidentialité de l information quand ils sont couverts par des dispositions nationales relatives à l ordre public ou à la sécurité publique ; (7) le marché intérieur garantit la libre circulation des personnes et que dès lors les citoyens et résidents de l Union européenne ont de plus en plus souvent affaire aux autorités d Etats membres autres que celui où ils résident; la disponibilité de communications électroniques pourrait être d une grande utilité dans ce contexte ; (8) eu égard à la rapidité des progrès techniques et à la dimension mondiale d internet, il convient d adopter une approche qui prenne en compte les diverses technologies et services permettant d authentifier des données par la voie électronique ; (9) les signatures électroniques seront utilisées dans des circonstances et des applications très variées, ce qui entraînera l apparition de toute une série de nouveaux services et produits liés à celles-ci ou les utilisant ; il convient que la définition de ces produits et services ne soit pas limitée à la délivrance et à la gestion de certificats mais couvre également tout autre service et produit utilisant des signatures électroniques ou connexe à celles-ci, tels les services d enregistrement, les services horodateurs, les services d annuaires, les services informatiques ou les services de consultation liée aux signatures électroniques ; (10) le marché intérieur permet aux prestataires de service de certification de développer leurs activités internationales en vue d accroître leur compétitivité, et d offrir ainsi aux consommateurs et aux entreprises de nouvelles possibilités d échanger des informations et de commercer en toute sécurité par voie électronique indépendamment des frontières ; afin de favoriser la fourniture à l échelle communautaire de services de certification sur des réseaux ouverts, il y a lieu que les prestataires de service de cer- 23

tification soient libres d offrir leurs services sans autorisation préalable ; on entend par «autorisation préalable», non seulement toute autorisation à obtenir par le prestataire de service de certification au moyen d une décision des autorités nationales avant d être autorisé à fournir ses services de certification, mais aussi toute autre mesure ayant le même effet ; (11) les régimes volontaires d accréditation visant à assurer un meilleur service fourni peuvent constituer pour les prestataires de service de certification le cadre propice à l amélioration de leurs services afin d atteindre le degré de confiance, de sécurité et de qualité exigés par l évolution du marché ; il est nécessaire que de tels régimes incitent à mettre au point des règles de bonne pratique entre prestataires de service de certification ; il y a lieu que ces derniers restent libres de souscrire à ces régimes d accréditation et d en bénéficier ; (12) il convient de prévoir la possibilité que les services de certification soient fournis soit par une entité publique, soit par une personne morale ou physique, à condition qu elle ait été établie conformément au droit national ; il convient que les Etats membres n interdisent pas aux prestataires de service de certification d opérer en dehors des régimes d accréditation volontaires ; il y a lieu de veiller à ce que les régimes d accréditation ne limitent pas la concurrence dans le secteur des services de certification ; (13) les Etats membres peuvent décider de la façon dont ils assurent le contrôle du respect des dispositions prévues par la présente directive ; celle-ci n exclut pas la mise en place de systèmes de contrôle faisant intervenir le secteur privé ; la présente directive n oblige pas les prestataires de services de certification à demander à être contrôlés dans le cadre de tout régime d accréditation applicable ; (14) il est important de trouver un équilibre entre les besoins des particuliers et ceux des entreprises ; (15) l annexe III couvre les exigences relatives aux dispositifs sécurisés de création de signature pour garantir les fonctionnalités des signatures électroniques avancées ; elle ne couvre pas l intégralité du cadre d utilisation de ces dispositifs ; pour le bon fonctionnement du marché intérieur, il est nécessaire que la Commission et les Etats membres agissent rapidement pour permettre la désignation des organismes chargés d évaluer la conformité des dispositifs sécurisés de création de signature avec l annexe III ; les besoins du marché exigent que l évaluation de conformité soit effectuée en temps opportun et de manière efficace ; (16) la présente directive favorise l utilisation et la reconnaissance juridique des signatures électroniques dans la Communauté ; un cadre réglementaire n est pas nécessaire pour les signatures électroniques utilisées exclusivement à l intérieur de systèmes résultant d accords volontaires de droit privé entre un nombre défini de participants ; il est nécessaire que la liberté des parties de convenir entre elles des modalités et conditions dans lesquelles elles acceptent les données signées électroniquement soit respectée dans les limites autorisées par le droit national ; il convient de reconnaître l efficacité juridique des signatures électroniques utilisées dans de tels systèmes et leur recevabilité comme preuves en justice ; (17) la présente directive ne vise pas à harmoniser les règles nationales concernant le droit des contrats, en particulier la formation et l exécution des contrats, ou d autres formalités de nature non contractuelle concernant les signatures ; pour cette raison, il est nécessaire que les dispositions concernant les effets juridiques des signatures électroniques ne portent pas atteinte aux obligations d ordre formel instituées par le 24

droit national pour la conclusion de contrats ni aux règles déterminant le lieu où un contrat est conclu; (18) le stockage et la copie de données afférentes à la création d une signature risquent de compromettre la validité juridique des signatures électroniques ; (19) les signatures électroniques seront utilisées dans le secteur public au sein des administrations nationales et communautaires et dans les communications entre lesdites administrations ainsi qu avec les citoyens et les opérateurs économiques, par exemple dans le cadre des marchés publics, de la fiscalité, de la sécurité sociale, de la santé et du système judiciaire ; (20) des critères harmonisés relatifs aux effets juridiques des signatures électroniques seront la garantie d un cadre juridique cohérent dans la Communauté; les droits nationaux fixent des exigences différentes concernant la validité juridique des signatures manuscrites ; les certificats peuvent être utilisés pour confirmer l identité d une personne qui signe électroniquement ; les signatures électroniques avancées basées sur des certificats qualifiés visent à procurer un plus haut degré de sécurité ; les signatures électroniques avancées qui sont basées sur des certificats qualifiés et qui sont créées par un dispositif sécurisé de création de signature ne peuvent être considérées comme étant équivalentes, sur un plan juridique, à des signatures manuscrites que si les exigences applicables aux signatures manuscrites ont été respectées ; (21) afin de contribuer à l acceptation générale des méthodes d authentification électronique, il est nécessaire de veiller à ce que les signatures électroniques puissent avoir force probante en justice dans tous les Etats membres ; il convient que la reconnaissance juridique des signatures électroniques repose sur des critères objectifs et ne soit pas subordonnée à l autorisation du prestataire de service de certification concerné ; le droit national régit la délimitation des domaines juridiques dans lesquels des documents électroniques et des signatures électroniques peuvent être utilisés ; la présente directive n affecte en rien la capacité d une juridiction nationale de statuer sur la conformité aux exigences de la présente directive ni les règles nationales relatives à la libre appréciation judiciaire des preuves ; (22) les prestataires de service de certification fournissant des services de certification au public sont soumis à la législation nationale en matière de responsabilité ; (23) le développement du commerce électronique international rend nécessaire des accords internationaux impliquant des pays tiers ; afin de garantir l interopérabilité globale, il pourrait être bénéfique de conclure avec des pays tiers des accords relatifs à des règles multilatérales en matière de reconnaissance mutuelle des services de certification ; (24) pour accroître la confiance des utilisateurs dans les communications et le commerce électroniques, il est nécessaire que les prestataires de service de certification respectent la législation sur la protection des données et qu ils respectent la vie privée ; (25) il convient que les dispositions relatives à l utilisation de pseudonymes dans des certificats n empêchent pas les Etats membres de réclamer l identification des personnes conformément au droit communautaire ou national ; (26) les mesures nécessaires pour la mise en oeuvre de la présente directive sont arrêtées en conformité avec la décision 1999/468/CE du Conseil du 28 juin 1999 fixant les modalités de l exercice des compétences d exécution conférées à la Commission (JO 25

L 184 du 17.7.1999, p.23) ; (27) il y a lieu que la Commission procède, deux ans après sa mise en oeuvre, à un réexamen de la présente directive, entre autres pour s assurer que l évolution des technologies ou des modifications du contexte juridique n ont pas engendré d obstacles à la réalisation des objectifs qui y sont énoncés ; il convient qu elle examine les incidences des domaines techniques connexes et présente un rapport au Parlement européen et au Conseil à ce sujet ; (28) conformément aux principes de subsidiarité et de proportionnalité visés à l article 5 du traité, l objectif consistant à instituer un cadre juridique harmonisé pour la fourniture de signatures électroniques et de services connexes ne peut pas être réalisé de manière suffisante par les Etats membres et peut donc être mieux réalisé par la Communauté ; la présente directive n excède pas ce qui est nécessaire pour atteindre cet objectif, ONT ARRETE LA PRESENTE DIRECTIVE : Article premier : Champ d application L objectif de la présente directive est de faciliter l utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique. Elle institue un cadre juridique pour les signatures électroniques et certains services de certification afin de garantir le bon fonctionnement du marché intérieur. Elle ne couvre pas les aspects liés à la conclusion et à la validité des contrats ou d autres obligations légales lorsque des exigences d ordre formel sont prescrites par la législation nationale ou communautaire ; elle ne porte pas non plus atteinte aux règles et limites régissant l utilisation de documents qui figurent dans la législation nationale ou communautaire. Article 2 : Définitions Aux fins de la présente directive, on entend par : 1) "signature électronique", une donnée sous forme électronique, qui est jointe ou liée logiquement à d autres données électroniques et qui sert de méthode d authentification ; 2) "signature électronique avancée", une signature électronique qui satisfait aux exigences suivantes : a) être liée uniquement au signataire ; b) permettre d identifier le signataire ; c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; et d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable ; 26

3) "signataire", toute personne qui détient un dispositif de création de signature et qui agit soit pour son propre compte, soit pour celui d une entité ou personne physique ou morale qu elle représente ; 4) "données afférentes à la création de signature", des données uniques, telles que des codes ou des clés cryptographiques privées, que le signataire utilise pour créer une signature électronique ; 5) "dispositif de création de signature", un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la création de signature" ; 6) "dispositif sécurisé de création de signature", un dispositif de création de signature qui satisfait aux exigences prévues à l annexe III ; 7) "données afférentes à la vérification de signature", des données, telles que des codes ou des clés cryptographiques publiques, qui sont utilisées pour vérifier la signature électronique ; 8) "dispositif de vérification de signature", un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la vérification de signature ; 9) "certificat", une attestation électronique qui lie des données afférentes à la vérification de signature à une personne et confirme l identité de cette personne ; 10) "certificat qualifié", un certificat qui satisfait aux exigences visées à l annexe I et qui est fourni par un prestataire de service de certification satisfaisant aux exigences visées à l annexe II ; 11) "prestataire de service de certification", toute entité ou personne physique ou morale qui délivre des certificats ou fournit d autres services liés aux signatures électroniques ; 12) "produit de signature électronique", tout produit matériel ou logiciel, ou élément spécifique de ce produit destiné à être utilisé par un prestataire de service de certification pour la fourniture de services de signature électronique ou destiné à être utilisé pour la création ou la vérification de signatures électroniques ; 13) "accréditation volontaire", toute autorisation indiquant les droits et obligations spécifiques à la fourniture de services de certification, accordée, sur demande du prestataire de service de certification concerné, par l organisme public ou privé chargé d élaborer ces droits et obligations et d en contrôler le respect, lorsque le prestataire de service de certification n est pas habilité à exercer les droits découlant de l autorisation aussi longtemps qu il n a pas obtenu la décision de cet organisme. Article 3 : Accès au marché 1. Les Etats membres ne soumettent la fourniture des services de certification à aucune autorisation préalable. 2. Sans préjudice des dispositions du paragraphe 1, les Etats membres peuvent instaurer ou maintenir des régimes volontaires d accréditation visant à améliorer le niveau du service de certification fourni. Tous les critères relatifs à ces régimes doivent 27

être objectifs, transparents, proportionnés et non discriminatoires. Les Etats membres ne peuvent limiter le nombre de prestataires accrédités de service de certification pour des motifs relevant du champ d application de la présente directive. 3. Chaque Etat membre veille à instaurer un système adéquat permettant de contrôler les prestataires de service de certification établis sur son territoire et délivrant des certificats qualifiés au public. 4. La conformité des dispositifs sécurisés de création de signature aux conditions posées à l annexe III est déterminée par les organismes compétents, publics ou privés, désignés par les Etats membres. La Commission, suivant la procédure visée à l article 9, énonce les critères auxquels les Etats membres doivent se référer pour déterminer si un organisme peut être désigné. La conformité aux exigences de l annexe III qui a été établie par les organismes visés au premier alinéa est reconnue par l ensemble des Etats membres. 5. Conformément à la procédure visée à l article 9, la Commission peut attribuer, et publier au Journal officiel des Communautés européennes, des numéros de référence de normes généralement admises pour des produits de signature électronique. Lorsqu un produit de signature électronique est conforme à ces normes, les Etats membres présument qu il satisfait aux exigences visées à l annexe II, point f), et à l annexe III. 6. Les Etats membres et la Commission oeuvrent ensemble pour promouvoir la mise au point et l utilisation de dispositifs de vérification de signature, à la lumière des recommandations formulées, pour les vérifications sécurisées de signature, à l annexe IV et dans l intérêt du consommateur. 7. Les Etats membres peuvent soumettre l usage des signatures électroniques dans le secteur public à des exigences supplémentaires éventuelles. Ces exigences doivent être objectives, transparentes, proportionnées et non discriminatoires et ne s appliquer qu aux caractéristiques spécifiques de l application concernée. Ces exigences ne doivent pas constituer un obstacle aux services transfrontaliers pour les citoyens. Article 4 : Principes du marché intérieur 1. Chaque Etat membre applique les dispositions nationales qu il adopte conformément à la présente directive, aux prestataires de service de certification établis sur son territoire et aux services qu ils fournissent. Les Etats membres ne peuvent imposer de restriction à la fourniture de services de certification provenant d un autre Etat membre dans les domaines couverts par la présente directive. 2. Les Etats membres veillent à ce que les produits de signature électronique qui sont conformes à la présente directive puissent circuler librement dans le marché intérieur. Article 5 : Effets juridiques des signatures électroniques 1. Les Etats membres veillent à ce que les signatures électroniques avancées basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature : 28

a) répondent aux exigences légales d une signature à l égard de données électroniques de la même manière qu une signature manuscrite répond à ces exigences à l égard de données manuscrites ou imprimées sur papier, et b) soient recevables comme preuves en justice. 2. Les Etats membres veillent à ce que l efficacité juridique et la recevabilité comme preuve en justice ne soient pas refusées à une signature électronique au seul motif que : - la signature se présente sous forme électronique, ou - qu elle ne repose pas sur un certificat qualifié, ou - qu elle ne repose pas sur un certificat qualifié délivré par un prestataire accrédité de service de certification, ou - qu elle n est pas créée par un dispositif sécurisé de création de signature. Article 6 : Responsabilité 1. Les Etats membres veillent au moins à ce qu un prestataire de service de certification qui délivre à l intention du public un certificat présenté comme qualifié ou qui garantit au public un tel certificat soit responsable du préjudice causé à toute entité ou personne physique ou morale qui se fie raisonnablement à ce certificat pour ce qui est de : a) l exactitude de toutes informations contenues dans le certificat qualifié à la date où il a été délivré et la présence, dans ce certificat, de toutes les données prescrites pour un certificat qualifié ; b) l assurance que, au moment de la délivrance du certificat, le signataire identifié dans le certificat qualifié détenait les données afférentes à la création de signature correspondant aux données afférentes à la vérification de signature fournies ou identifiées dans le certificat ; c) l assurance que les données afférentes à la création de signature et celles afférentes à la vérification de signature puissent être utilisées de façon complémentaire, dans le cas où le prestataire de service de certification génère ces deux types de données, sauf si le prestataire de service de certification prouve qu il n a commis aucune négligence. 2. Les Etats membres veillent au moins à ce qu un prestataire de service de certification qui a délivré à l intention du public un certificat présenté comme qualifié soit responsable du préjudice causé à une entité ou personne physique ou morale qui se prévaut raisonnablement du certificat, pour avoir omis de faire enregistrer la révocation du certificat, sauf si le prestataire de service de certification prouve qu il n a commis aucune négligence. 3. Les Etats membres veillent à ce qu un prestataire de service de certification puisse indiquer, dans un certificat qualifié, les limites fixées à son utilisation, à condition que ces limites soient discernables par des tiers. Le prestataire de service de certification ne 29

doit pas être tenu responsable du préjudice résultant de l usage abusif d un certificat qualifié qui dépasse les limites fixées à son utilisation. 4. Les Etats membres veillent à ce qu un prestataire de service de certification puisse indiquer, dans un certificat qualifié, la valeur limite des transactions pour lesquelles le certificat peut être utilisé, à condition que cette limite soit discernable par des tiers. Le prestataire de service de certification n est pas responsable des dommages qui résultent du dépassement de cette limite maximale. 5. Les dispositions des paragraphes 1 à 4 s appliquent sans préjudice de la directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29). Article 7 : Aspects internationaux 1. Les Etats membres veillent à ce que les certificats délivrés à titre de certificats qualifiés à l intention du public par un prestataire de service de certification établi dans un pays tiers soient reconnus équivalents, sur le plan juridique, aux certificats délivrés par un prestataire de service de certification établi dans la Communauté : a) si le prestataire de service de certification remplit les conditions visées dans la présente directive et a été accrédité dans le cadre d un régime volontaire d accréditation établi dans un Etat membre ; ou b) si un prestataire de service de certification établi dans la Communauté, qui satisfait aux exigences visées dans la présente directive, garantit le certificat ; ou c) si le certificat ou le prestataire de service de certification est reconnu en application d un accord bilatéral ou multilatéral entre la Communauté et des pays tiers ou des organisations internationales. 2. Afin de faciliter les services de certification internationaux avec des pays tiers et la reconnaissance juridique des signatures électroniques avancées émanant de pays tiers, la Commission fait, le cas échéant, des propositions visant à la mise en oeuvre effective de normes et d accords internationaux applicables aux services de certification. En particulier et si besoin est, elle soumet des propositions au Conseil concernant des mandats appropriés de négociation d accords bilatéraux et multilatéraux avec des pays tiers et des organisations internationales. Le Conseil statue à la majorité qualifiée. 3. Lorsque la Commission est informée de l existence de difficultés rencontrées par des entreprises communautaires pour obtenir l accès au marché de pays tiers, elle peut, au besoin, soumettre au Conseil des propositions en vue d obtenir le mandat nécessaire pour négocier des droits comparables pour les entreprises communautaires dans ces pays tiers. Le Conseil statue à la majorité qualifiée. Les mesures prises au titre du présent paragraphe ne portent pas atteinte aux obligations de la Communauté et des Etats membres qui découlent d accords internationaux pertinents. 30

Article 8 : Protection des données 1. Les Etats membres veillent à ce que les prestataires de service de certification et les organismes nationaux responsables de l accréditation ou du contrôle satisfassent aux exigences prévues par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31). 2. Les Etats membres veillent à ce qu un prestataire de service de certification qui délivre des certificats à l intention du public ne puisse recueillir des données personnelles que directement auprès de la personne concernée ou avec le consentement explicite de celle-ci et uniquement dans la mesure où cela est nécessaire à la délivrance et à la conservation du certificat. Les données ne peuvent être recueillies ni traitées à d autres fins sans le consentement explicite de la personne intéressée. 3. Sans préjudice des effets juridiques donnés aux pseudonymes par la législation nationale, les Etats membres ne peuvent empêcher le prestataire de service de certification d indiquer dans le certificat un pseudonyme au lieu du nom du signataire. Article 9 : Comité 1. La Commission est assistée par le «comité sur les signatures électroniques», ci-après dénommé «comité». 2. Dans le cas où il est fait référence au présent paragraphe, les articles 4 et 7 de la décision 1999/468/CE s appliquent, dans le respect des dispositions de l article 8 de celle-ci. La période prévue à l article 4, paragraphe 3, de la décision 1999/468/CE est fixée à trois mois. 3. Le comité adopte son règlement de procédure. Article 10 : Tâches du comité Le comité clarifie les exigences visées dans les annexes de la présente directive, les critères visés à l article 3, paragraphe 4, et les normes généralement reconnues pour les produits de signature électronique établies et publiées en application de l article 3, paragraphe 5, conformément à la procédure visée à l article 9, paragraphe 2. Article 11 : Notification 1. Les Etats membres communiquent à la Commission et aux autres Etats membres : a) les informations sur les régimes volontaires d accréditation au niveau national, ainsi que toute exigence supplémentaire au titre de l article 3, paragraphe 7 ; 31

b) les nom et adresse des organismes nationaux responsables de l accréditation et du contrôle, ainsi que des organismes visés à l article 3, paragraphe 4 c) les nom et adresse de tous les prestataires de service de certification nationaux accrédités. 2. Toute information fournie en vertu du paragraphe 1 et les changements concernant celle-ci sont communiqués par les Etats membres dans les meilleurs délais. Article 12 : Examen 1. La Commission procède à l examen de la mise en oeuvre de la présente directive et en rend compte au Parlement européen et au Conseil pour le 19 juillet 2003 au plus tard. 2. Cet examen doit permettre, entre autres, de déterminer s il convient de modifier le champ d application de la présente directive pour tenir compte de l évolution des technologies, du marché et du contexte juridique. Le compte rendu d examen doit notamment comporter une évaluation, fondée sur l expérience acquise, des aspects relatifs à l harmonisation. Le compte rendu est accompagné, le cas échéant, de propositions législatives. Article 13 : Mise en oeuvre 1. Les Etats membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive avant le 19 juillet 2001. Ils en informent immédiatement la Commission. Lorsque les Etats membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d une telle référence lors de leur publication officielle. Les modalités de cette référence sont adoptées par les Etats membres. 2. Les Etats membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu ils adoptent dans le domaine régi par la présente directive. Article 14 : Entrée en vigueur La présente directive entre en vigueur le jour de sa publication au Journal officiel des Communautés européennes. Article 15 : Destinataires Les Etats membres sont destinataires de la présente directive. 32

ANNEXE I : Exigences concernant les certificats qualifiés Tout certificat qualifié doit comporter : a) une mention indiquant que le certificat est délivré à titre de certificat qualifié ; b) l identification du prestataire de service de certification, ainsi que le pays dans lequel il est établi ; c) le nom du signataire ou un pseudonyme qui est identifié comme tel ; d) la possibilité d inclure, le cas échéant, une qualité spécifique du signataire, en fonction de l usage auquel le certificat est destiné ; e) des données afférentes à la vérification de signature qui correspondent aux données pour la création de signature sous le contrôle du signataire ; f) l indication du début et de la fin de la période de validité du certificat ; g) le code d identité du certificat ; h) la signature électronique avancée du prestataire de service de certification qui délivre le certificat ; i) les limites à l utilisation du certificat, le cas échéant ; et j) les limites à la valeur des transactions pour lesquelles le certificat peut être utilisé, le cas échéant. ANNEXE II : Exigences concernant les prestataires de service de certification délivrant des certificats qualifiés Les prestataires de service de certification doivent : a) faire la preuve qu ils sont suffisamment fiables pour fournir des services de certification ; b) assurer le fonctionnement d un service d annuaire rapide et sûr et d un service de révocation sûr et immédiat ; c) veiller à ce que la date et l heure d émission et de révocation d un certificat puissent être déterminées avec précision; d) vérifier, par des moyens appropriés et conformes au droit national, l identité et, le cas échéant, les qualités spécifiques de la personne à laquelle un certificat qualifié est délivré ; e) employer du personnel ayant les connaissances spécifiques, l expérience et les qualifications nécessaires à la fourniture des services et, en particulier, des compétences au niveau de la gestion, des connaissances spécialisées en technologie des si- 33

gnatures électroniques et une bonne pratique des procédures de sécurité appropriées ; ils doivent également appliquer des procédures et méthodes administratives et de gestion qui soient adaptées et conformes à des normes reconnues ; f) utiliser des systèmes et des produits fiables qui sont protégés contre les modifications et qui assurent la sécurité technique et cryptographique des fonctions qu ils assument ; g) prendre des mesures contre la contrefaçon des certificats et, dans les cas où le prestataire de service de certification génère des données afférentes à la création de signature, garantir la confidentialité au cours du processus de génération de ces données ; h) disposer des ressources financières suffisantes pour fonctionner conformément aux exigences prévues par la présente directive, en particulier pour endosser la responsabilité de dommages, en contractant, par exemple, une assurance appropriée ; i) enregistrer toutes les informations pertinentes concernant un certificat qualifié pendant le délai utile, en particulier, pour pouvoir fournir une preuve de la certification en justice. Ces enregistrements peuvent être effectués par des moyens électroniques ; j) ne pas stocker ni copier les données afférentes à la création de signature de la personne à laquelle le prestataire de service de certification a fourni des services de gestion de clés ; k) avant d établir une relation contractuelle avec une personne demandant un certificat à l appui de sa signature électronique, informer cette personne par un moyen de communication durable des modalités et conditions précises d utilisation des certificats, y compris des limites imposées à leur utilisation, de l existence d un régime volontaire d accréditation et des procédures de réclamation et de règlement des litiges. Cette information, qui peut être transmise par voie électronique, doit être faite par écrit et dans une langue aisément compréhensible. Des éléments pertinents de cette information doivent également être mis à la disposition, sur demande, de tiers qui se prévalent du certificat ; 1) utiliser des systèmes fiables pour stocker les certificats sous une forme vérifiable de sorte que : - seules les personnes autorisées puissent introduire et modifier des données, - l information puisse être contrôlée quant à son authenticité, - les certificats ne soient disponibles au public pour des recherches que dans les cas où le titulaire du certificat a donné son consentement, et - toute modification technique mettant en péril ces exigences de sécurité soit apparente pour l opérateur. 34

ANNEXE III : Exigences pour les dispositifs sécurisés de création de signature électronique 1. Les dispositifs sécurisés de création de signature doivent au moins garantir, par les moyens techniques et procédures appropriés, que : a) les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu une seule fois et que leur confidentialité soit raisonnablement assurée ; b) l on puisse avoir l assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles ; c) les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d autres. 2. Les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer ni empêcher que ces données soient soumises au signataire avant le processus de signature. ANNEXE IV : Recommandations pour la vérification sécurisée de la signature Durant le processus de vérification de la signature, il convient de veiller, avec une marge de sécurité suffisante, à ce que : a) les données utilisées pour vérifier la signature correspondent aux données affichées à l intention du vérificateur; b) la signature soit vérifiée de manière sûre et que le résultat de cette vérification soit correctement affiché ; c) le vérificateur puisse, si nécessaire, déterminer de manière sûre le contenu des données signées ; d) l authenticité et la validité du certificat requis lors de la vérification de la signature soient vérifiées de manière sûre ; e) le résultat de la vérification ainsi que l identité du signataire soient correctement affichés ; f) l utilisation d un pseudonyme soit clairement indiquée ; et g) tout changement ayant une influence sur la sécurité puisse être détecté. 35

Annexe C Bibliographie C.1 Ouvrages et monographies Internet et le droit BERTRAND André, PIETTE-COUDOL Thierry Coll. Que sais-je?, n o 3504, Paris : Puf, 1999, 127 p. précisément p.51-60. Internet et commerce électronique BOCHURBERG Lionel Encyclopédie Delmas, Paris :éditions Dalloz, 1999, 334 p. Le droit à l épreuve de l Internet FERAL-SCHUHL, Christine Cyberdroit Paris : Dunod, 1999, 276 p. précisément p.154-170. Internet pour le droit GUINCHARD Serge, HARICHAUX Michèle, TOURDONNET Renauld (de) Coll. Connexion-Recherche-Droit, Paris : Montchrestien, 1999, 284 p. précisément p.182 et 212. Initiation à l Internet juridique PANSIER Frédéric-Jérôme, JEZ Emmanuel Coll. Droit@Litec - Paris : éditions Litec, 1998, 136 p. précisément p.78-80. Internet et la loi PIETTE-COUDOL Thierry, BERTRAND André Coll. Dalloz service, Paris : éditions Dalloz, 1997, 206 p. Internet et le Droit, Aspects juridiques du commerce électronique ITEANU, Olivier Paris : éditions Eyrolles, 1996, 228 p. précisément p.70-74. C.2 Sites Internet Loi n o 2000-230 du 13/03/2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique (J.O. du 14/03/2000, p.3968), diffusée sur le site Legifrance http://www.legifrance.gouv.fr/citoyen/officiels.ow?lalangue=fr Ministère de la justice : dossier sur la signature électronique http://www.justice.gouv.fr/actua/actua.htm#8 Assemblée-nationale : dossier sur le commerce électronique http://www.assemblee-nationale.fr/2/dossiers/comelect/ Sénat : dossier d actualité http://www.senat.fr/evenement/index.html 36

Le site du programme d action gouvernemental pour la société de l information http://www.internet.gouv.fr/francais/index.html Site de Sofian Azzabi sur la signature électronique et le droit de la preuve http://signelec.ifrance.com/signelec/ La lettre d information juridique sur la reconnaissance juridique de la signature électronique diffusée sur le site Infinédi. http://www.infinedi.com/juri04.html La lettre de l Internet juridique : La page sur la cryptographie et la signature électronique http://www.internet-juridique.net/cryptographie.html La Preuve de l existence d un contrat et Internet : brèves observations à propos d une proposition de loi, juriscom.net (16/07/1999) http://www.juriscom.net/droit/espace2/signelec2.htm Le juge et la preuve électronique : Réflexions sur le projet de loi portant adaptation du droit de la preuve aux technologies de l information et relatif à la signature électronique, juriscom.net (10/01/2000) http://www.juriscom.net/universite/doctrine/article7.htm Site Europa La Commission salue le nouveau cadre légal pour garantir la sécurité des signatures électroniques, http://europa.eu.int/comm/dg15/fr/media/sign/99-915.htm 37