Vérifiez le degré de fiabilité de votre signature électronique, les textes européens ont changé

Le Règlement Identification et services de confiance est fondamental pour la confiance dans les transactions numériques au sein du marché intérieur. Il touche directement, dans tous les Etats membres de l’Union européenne, à des domaines aussi variés que l’identification électronique étatique, les services de confiance : les signatures, les cachets, l’horodatage, les certificats d’authentification de site web, les documents ou les services d’envois recommandés électroniques… Concomitamment, il définit les conditions de cette Confiance en s’appuyant sur le régime des Prestataires de Services de Confiance (PSCo) et les modalités de leur contrôle.

Le Règlement eIDAS s’impose sur les textes nationaux et vient donc les remplacer ou les compléter sous peu. Ainsi, aujourd’hui – 1er juillet 2016, la directive 1999/93/CE sur un cadre communautaire relatif à la signature électronique et sur laquelle est fondé le cadre juridique français, est abrogée !

L’ANSSI, assisté d’un groupe d’experts, est actuellement en train de déterminer les conséquences technico-juridiques de l’entrée en vigueur effective du Règlement eIDAS en droit français.

Trois degrés de fiabilité de la signature électronique

Avant tout, il est important de rappeler que TOUTES les signatures électroniques peuvent être recevables devant les tribunaux et que leur distinction n’est effective que par rapport à leur degré de fiabilité. Ainsi, conformément à l’article 3 du Règlement eIDAS, trois degrés de fiabilité de la signature électronique peuvent être identifiés :

- "signature électronique", des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer. En s’appuyant sur le cadre juridique national, la signature électronique doit a minima permettre de disposer de l’identité du signataire (vérifiée ou déclarée de manière suffisamment fiable) et assurer l’intégrité du document (par le biais d’une signature numérique à la base des solutions de signature électronique mais aussi de cachet électronique), mais sans toutefois se limiter à ce seul aspect dans la mesure où la signature permet également de manifester la volonté du signataire de consentir à un acte ;

- "signature électronique avancée", une signature électronique qui satisfait aux exigences énoncées à l’article 26 [à savoir : a) être liée au signataire de manière univoque; b) permettre d’identifier le signataire; c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable. Ce type de signature devrait être largement déployé (constituant une bonne partie du marché actuel), étant précisé qu’il pourra s’appuyer sur des certificats à usage unique et/ou des procédés de signature électronique centralisée.

- "signature électronique qualifiée", une signature électronique avancée  qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique.

Quels effets juridiques ?

Aux termes du règlement (art. 25) « l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite », ce qui n’est pas expressément prévu dans le Code civil français. Cela ne signifie que le recours à une signature électronique qualifiée renversera la charge de la preuve lors d’une vérification d’écriture : elle serait - comme les signatures manuscrites - soumise aux articles 287 et 288-1 du Code de Procédure Civile.

Cela étant, "l’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée."

Que faire ?

Pas besoin de s’alarmer dès à présent et de consulter en urgence votre Prestataire de services de confiance pour que vos signatures électroniques soient d’ores et déjà considérées comme fiables au sens de ce Règlement. Le Règlement prévoit une période de transition pendant laquelle les certificats qualifiés AVANT la date du 1er juillet 2016 continuent à produire leurs effets juridiques (jusqu’à la date d’expiration du dernier certificat émis sous l’emprise de la directive 1999/93/CE) ainsi que ceux qui sont directement sous l’emprise du Règlement eIDAS. Les Prestataires de Services de Confiance disposent d’un an (jusqu’au 1er juillet 2017) pour transmettre un rapport d’évaluation de la conformité au Règlement eIDAS à l’organe de contrôle (ANSSI en France). A défaut, il ne serait plus considéré comme qualifié.

Si les actions ne doivent pas être menées dans l’urgence, il conviendra toutefois de déterminer avec votre Prestataire les conditions de migration vers le Règlement eIDAS. De plus, tous les actes d’exécution relatifs aux normes applicables en matière de signature électronique ne sont pas encore publiés (mais ne devraient pas tarder), ce qui laisse supposer quelques aménagements potentiels à prendre en compte pour votre Prestataire.

Et le BREXIT dans tout ça ?

Que faire si une entreprise a choisi une signature électronique qualifiée dans le cadre d’un procédé de contractualisation paneuropéen (censée être recevable par tous les Etats membres) pour pouvoir ouvrir tout le marché européen à l’aune du BREXIT ? Que se passera-t-il si une personne recourt à ce type de signature électronique, validée par le Règlement eIDAS, devant un juge anglais ? Cette question reste entière et nécessitera d’attendre les premières décisions de l’Union européenne.

Pascal AGOSTI, Avocat associé, Docteur en droit