entretien avec Nadia Vivien

 Avocat à la Cour

 Cabinet Gide Loyrette Nouel

 Médias, Informatique et Télécommunications

Au lendemain de la publication au J.O. du 31 mars 2001, du Décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du Code civil et relatif à la signature électronique, maître Nadia Vivien dresse un état des lieux de la réglementation relative à la signature électronique.

Fiscal on line : Pourriez-vous nous préciser les mécanismes et procédures sur lesquels reposent la signature électronique ?

Nadia Vivien : La signature électronique repose sur un système de cryptologie dit à clés asymétriques mettant en œuvre une paire de clés uniques liées logiquement entre elles. La clé privée sert à chiffrer le message, la clé publique à le déchiffrer. La clé privée est secrètement gardée par son propriétaire, tandis que la clé publique peut être librement distribuée à qui en a besoin (par le signataire lui-même ou par un tiers par le biais d'un annuaire).

Afin de comprendre le mécanisme, le plus simple est de partir d'une illustration concrète : Alice souhaite envoyer à Bob un message signé.

Du côté d'Alice : - Alice procède à une opération dite de "hash coding" (procédure de compression) sur le texte qu'elle souhaite signer et obtient un "résumé" de ce texte ; - Elle chiffre ce résumé avec sa clé privée ; - Elle obtient ainsi sa "signature électronique" ; - Elle envoie son document en clair accompagné de sa signature électronique à Bob.

Du côté de Bob : - Bob se procure la clé publique d'Alice directement auprès de cette dernière ou auprès d'un tiers (tiers certificateur) qui lui garantit que la clé publique en question appartient bien à Alice (certificat électronique) ; - Bob procède à une opération de "hash coding" sur le texte en clair qu'il a reçu d'Alice et obtient un "résumé calculé" de ce texte ; - Bob déchiffre la "signature électronique" (résumé chiffré avec la clé privée) au moyen de la clé publique d'Alice et obtient le "résumé attendu" ; - La comparaison entre le "résumé calculé" et le "résumé attendu" permet de garantir à Bob que c'est bien Alice qui lui a envoyé ce texte (authentification), qu'elle a bien effectué cet envoi (non-répudiation) et que les données du texte n 'ont pas été falsifiées (intégrité).

L'enjeu majeur de la signature électronique est de sécuriser l'ensemble de la chaîne du signataire au destinataire du message, afin d'éviter toute usurpation de la qualité du signataire et tout manipulation du document entre le moment où il a été envoyé et le moment où il est reçu par le destinataire.

Fiscal on line : Quelles sont les conditions requises pour qu'une signature électronique puisse être présumée fiable?

Nadia Vivien : Pour être présumée fiable au sens de la loi, la signature électronique doit répondre à un certain nombre de conditions visées dans le décret du 30 mars 2001 (pris en application de la loi du 13 mars 2000) :

- Elle doit être créée par un "dispositif sécurisé de création de signature électronique" (autrement dit un matériel ou un logiciel certifié) répondant à un certain nombre de critères. Notamment, le constructeur ou l'éditeur du dispositif doit assurer, par des moyens techniques appropriés, la confidentialité des données de création de signature afin d'éviter qu'un tiers n'utilise frauduleusement la signature électronique du signataire légitime. Il devra également faire en sorte que la clé privée du signataire ne puisse être trouvée par déduction à partir de la clé publique correspondante. Le dispositif utilisé ne devra entraîner aucune altération du contenu de l'acte à signer.

Le décret prévoit que les dispositifs de création de signature devront être certifiés conformes par les services du Premier Ministre ou par tout organisme désigné par un Etat membre de l'Union Européenne.

- D'autre part, la vérification de la signature doit reposer sur l'utilisation d'un "certificat électronique qualifié" délivré par un prestataire de service de certification (PSC) répondant à certaines exigences (notamment concernant les moyens techniques qu'il utilise ; les procédures de sécurité, de confidentialité et de conservation mises en place ; les services d'annuaire, de révocation de certificats proposés ; la procédure de vérification de l'identité de la personne à laquelle est délivrée un certificat…).

Le PSC a pour mission essentielle de formaliser le lien qui existe entre une personne physique ou morale et une paire de clés. Concrètement, il permet au destinataire de s'assurer que la clé publique qu'il reçoit de son partenaire émane bien de ce dernier et non de n'importe qui.

Aux termes du décret, le certificat qualifié doit comporter, outre l'indication de la clé publique du signataire, un certain nombre de mentions obligatoires, et notamment : l'identité et la signature électronique sécurisée du PSC, le nom du signataire ou son pseudonyme, la durée de validité du certificat, le cas échéant les limites à l'utilisation du certificat (par exemple, un montant maximum de transactions pour lesquelles le certificat peut être utilisé).

Le PSC devra préciser au moment de la déclaration de fourniture de moyens cryptologiques, s'il entend délivrer des certificats conformes à ces exigences. Un contrôle sera effectué par des organismes publics désignés par arrêté.

Fiscal on line : En l'état actuel de la législation française quelle est la valeur juridique d'une signature électronique?

Nadia Vivien : La loi du 13 mars 2000 ("portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique") a consacré la validité juridique de la signature électronique en modifiant les dispositions du Code Civil relatives à la preuve.

Auparavant, les tribunaux considéraient que seule une signature manuscrite portée sur un support papier avait une valeur juridique. Certaines décisions avaient certes reconnu la valeur juridique de la signature constituée par la frappe du code confidentiel à l'occasion d'un paiement par carte bancaire (arrêt Crédicas, Cass. Civ., 8 nov 1989), mais les parties avaient conclu préalablement une convention sur la preuve admettant ce mode de signature.

La reconnaissance de la validité de la signature électronique n'avait pas été étendue aux cas où aucune convention de preuve n'avait été préalablement signée entre les parties. Ainsi, dans une décision récente du 20 octobre 2000, la Cour d'Appel de Besançon a estimé qu'elle n'était pas en mesure d'apprécier la fiabilité du procédé qui avait été utilisé par un avocat pour signer informatiquement une déclaration d'appel tant que les décrets d'application de la loi du 13 mars 2000 n'étaient pas parus. De plus, la Cour a estimé qu'à la date de la création de la signature (en avril 1999), "aucun texte ne reconnaissait la validité du recours à la signature électronique".

Plus précisément, la loi du 13 mars 2000 a instauré une présomption de fiabilité, "jusqu'à preuve contraire", pour les signatures électroniques sécurisées répondant à certaines exigences précisées dans le décret du 30 mars 2001 (article 1316-4 du Code Civil). Ces exigences sont exprimées en termes de fonctionnalités générales à respecter (intégrité, fiabilité, imputabilité de la signature au signataire…), mais les spécifications techniques ne sont pas précisées dans le cadre du décret.

Autrement dit, la lecture du décret ne permet pas en tant que tel de déterminer si tel ou tel procédé technique de signature électronique répond aux conditions légales pour bénéficier de la présomption de fiabilité.

Pour les signatures électroniques qui ne répondraient pas aux critères fixés dans le décret, il appartiendra à la personne qui souhaite s'en prévaloir de rapporter la preuve que le procédé de signature utilisé est suffisamment fiable.

Fiscal on line : D'après vous, sur quels points la directive du 13 décembre 1999 a été convenablement transposée par la loi du 13 mars 2000 et le décret du 30 mars 2001 ?

Nadia Vivien : D'une manière générale, la loi et le décret pris en application de cette dernière transposent de manière assez fidèle les dispositions de la Directive européenne du 13 décembre 1999.

Fiscal on line : et en quoi la transposition demeure perfectible ?

Nadia Vivien : Le principal manque dans le décret a trait à la question de la responsabilité des prestataires de services de certification. En effet, les dispositions de la Directive relatives à la responsabilité des PSC n'ont pas été transposées pour le moment. Il s'agit pourtant d'une question très importante dans la mesure où toute la fiabilité du système repose sur la confiance témoignée à ces tiers certificateurs.

Le régime de responsabilité applicable devrait en principe être précisé dans le cadre des dispositions de la Loi sur la Société de l'Information (actuellement à l'état d'avant-projet de loi). On peut néanmoins regretter que l'examen de cette question cruciale pour le développement de la signature électronique ait été renvoyé à plus tard.

Par ailleurs, le décret, selon la technique bien connue des "poupées russes", renvoie à des arrêtés qui ne sont pas encore parus et qui seront fondamentaux pour permettre aux professionnels de se conformer à la loi du 13 mars 2000 et au décret.

A titre d'exemple, on ne connaît pas pour le moment quels seront les organismes et surtout selon quelles procédures ils évalueront et certifieront les dispositifs de création de signature. Le décret prévoit que ces points seront précisés par arrêté. De même, le décret prévoit un contrôle des prestataires de services de certification déclarant délivrer des certificats qualifiés par des organismes publics qui seront désignés par arrêté.

Certains ont soulevé aussi le risque d'homonymie dans la présentation des certificats. Une solution pourrait être de multiplier les informations personnelles sur le certificat attestant de l'identité des signataires, mais ceci ne manquera pas de poser des questions en termes de respect de la vie privée des personnes et de la réglementation française en matière de données nominatives (Loi du 6 janvier 1978).

A noter que le décret du 30 mars 2001 ne vise pas les actes authentiques. Un second décret d'application de la loi du 13 mars 2000 devrait paraître à ce sujet, ce qui devrait permettre aux notaires d'établir des actes authentiques à distance (contrats de mariage, actes immobiliers...).

Fiscal on line : Qu'en est-il de la responsabilité des prestataires de service de certification ?

Nadia Vivien : La Directive a prévu un régime spécifique de responsabilité des prestataires de certification. Selon la Directive, les Etats-Membres devront prévoir que la responsabilité du prestataire sera engagée en cas de préjudice subi par toute personne qui s'est fiée à un certificat présenté comme qualifié en ce qui concerne l'exactitude des informations qui y sont contenues et l'imputabilité de la signature au signataire à la date où le certificat a été délivré.

De même, dans le cas où il aurait omis de faire enregistrer la révocation d'un certificat, le prestataire devra être considéré comme responsable du préjudice causé à la personne qui se sera prévalue d'un certificat alors que ce dernier n'était plus valable. La Directive prévoit que le prestataire ne peut dégager sa responsabilité qu'en démontrant qu'il n'a commis aucune négligence, cette preuve "négative " étant toujours délicate à rapporter.

En France, dans l'attente du projet de loi sur la société de l'information qui devrait préciser le régime de responsabilité applicable au prestataire, c'est le droit commun de la responsabilité qui trouve à s'appliquer. Autrement dit, le prestataire de service de certification pourra voir sa responsabilité délictuelle engager envers le destinataire de la signature pour toute faute ou négligence qu'il aurait commis, dans le cadre des articles 1382 et 1383 du Code Civil. Par exemple, la responsabilité délictuelle du prestataire pourra être engagée s'il a omis d'enregistrer la révocation d'un certificat en temps voulu ou s'il a établi le certificat sans procéder à des vérifications suffisantes quant à l'identité du signataire. En revanche, le prestataire sera responsable contractuellement de tout manquement commis au préjudice de l'émetteur de la signature, dans la mesure où ces derniers auront préalablement conclu un contrat.

Fiscal on line : La législation française en matière de cryptologie peut-elle constituer un frein au développement de la signature électronique ?

Nadia Vivien : La législation française distingue deux catégories principales de moyens et prestations de cryptologie :

- les moyens et prestations de cryptologie permettant d'assurer des fonctions de confidentialité, c'est-à-dire les moyens et prestations de chiffrement des contenus ;

- les moyens et prestations de cryptologie ne permettant pas d'assurer des fonctions de confidentialité, regroupant essentiellement les produits utilisés pour l'authentification et le contrôle de l'intégrité de contenus non chiffrés.

Pour cette deuxième catégorie de moyens et prestations de cryptologie qui englobe la signature électronique, le régime est celui de la déclaration simplifiée pour la fourniture et un régime de liberté pour l'utilisation. Le prestataire de services de certification, dans la mesure où il est fournisseur de prestations de cryptologie, devra procéder à une déclaration auprès de la DCSSI (Direction Centrale de la Sécurité des Systèmes d'information). En revanche, le signataire ou le destinataire n'aura aucune formalité à effectuer.

Dans ces conditions, la législation française actuelle en matière de cryptologie ne devrait pas constituer un frein au développement de la signature électronique.

Fiscal on line : Connaissez-vous des exemples de législations étrangères ? Quels sont les points communs et les différences avec la législation française ?

Nadia Vivien : Aux Etats-Unis, la loi sur la signature électronique ("The Electronic Signatures in Global and National Commerce Act" ou "E-Sign Act") a été adoptée le 30 juin 2000 et est entrée en vigueur le 1er octobre 2000. Elle harmonise au niveau fédéral les dispositions disparates adoptées par les Etats. Le "E-Sign Act" pose le principe de la validité des signatures électroniques et plus généralement des contrats et autres documents sous forme électronique ou assortis d'une signature électronique (sous réserve de certains contrats comme les testaments, les modifications des contrats d'assurance...).

La loi contient de nombreuses obligations en matière d'information et de consentement des consommateurs. Le consommateur doit notamment consentir de façon expresse à la conclusion d'un contrat par voie électronique et être informé de la possibilité de le recevoir sous forme papier. Ce souci de protection du consommateur constitue une particularité de la réglementation américaine qui, au contraire, ne semble prévoir aucun mécanisme de certification par l'intermédiaire de tiers.

Au Japon, le Parlement a adopté le 31 mai 2000 la loi sur la signature électronique ("Electronic Signature and Electronic Signature Certification Business Law"). Cette loi entrée en vigueur le 1er avril 2001 reconnaît la validité des signatures électroniques, reconnaît l'opposabilité aux tiers des contrats passés par voie électronique et prévoit la création d'organismes de certification ("designated certification firms") désignés par les "Supervising ministries" (ministère de la Justice, ministère de l'Economie et des Finances).

Fiscal on line : Qu'en est-il de l'harmonisation des législations des Etats membres de la communauté européenne ?

Nadia Vivien : L'objet même de la Directive est de créer un cadre harmonisé concernant la reconnaissance de la signature électronique et d'éviter que des différences dans la législation des Etats-Membres ne viennent entraver la libre circulation des marchandises et des services dans le marché intérieur.

A l'heure actuelle, la Directive sur la signature électronique a été transposée notamment par le Royaume-Uni, l'Irlande, le Luxembourg, l'Espagne, l'Allemagne, l'Italie, le Danemark, la Finlande, l'Autriche et la Suède.

Fiscal on line : D'après vous quels seront les utilisateurs de la signature électronique sécurisée ?

Nadia Vivien : Plusieurs catégories d'utilisateurs pourront utiliser la signature électronique sécurisée :

- Les entreprises : la possibilité d'établir des transactions sécurisées à distance devrait permettre le développement du commerce "B to B". De même, les entreprises pourront de plus en plus accomplir leurs formalités fiscales en ligne. A titre d'exemple, le télépaiement de la TVA sera obligatoire à partir du 1er mai prochain pour les entreprises réalisant plus de 100 millions de chiffre d'affaire annuel (www.finances.fr).

- Les particuliers pourront utiliser la signature électronique pour passer des commandes en ligne, passer des ordres de bourse, authentifier leurs courriers électroniques.

Néanmoins, pour les particuliers, le coût de la signature électronique s'avèrera déterminant. Il faut tout de même rappeler que jusqu'à présent la signature était un acte totalement gratuit. Il est probable également que les particuliers choisiront de recourir ou non à la signature électronique en fonction de l'importance de l'acte ou du contrat à signer.

Fiscal on line : La signature électronique est-elle de nature à rassurer le cyber-consommateur et donc à favoriser le développement du commerce électronique ?

Nadia Vivien : La signature électronique est effectivement présentée par les pouvoirs publics comme de nature à rassurer les cyber-consommateurs et à développer le commerce électronique entre professionnels et consommateurs (on se souvient notamment du discours de Lionel Jospin du 26 août 1999 lors de l'Université d'été de la communication à Hourtin).

Il faut néanmoins nuancer cet optimisme dans la mesure où des études ont montré que le principal frein au commerce électronique pour les particuliers réside dans les craintes suscitées par les conditions de paiement en ligne. Ainsi, une étude récente du Crédoc (Centre de Recherches pour l'Etude et l'Observation des Conditions de vie) réalisée en septembre 2000 auprès d'un échantillon de 1.500 internautes montre que les principales réticences des consommateurs sont par ordre d'importance décroissante : la sécurité du paiement (67% des personnes interrogées), viennent ensuite le surcoût lié à la livraison (50%), la réutilisation possible des données personnelles (47%), les interrogations sur le services après-vente (44%), les délais de livraison (25%), l'absence de relation commerciale face à face (23%).

Le décollage tant attendu du commerce électronique dépendra donc en grande partie de la capacité à proposer des solutions de paiement sécurisées et fiables.

publié le 7 mai 2001