Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La signature électronique adopte un nouveau look.

octobre 2017 par Polyanna Bigle, Avocat à la Cour, Directeur du Département sécurité numérique – Alain Bensoussan Lexing, Dimitri Mouton, Gérant de Demaeter, cabinet de conseil en dématérialisation

La signature électronique de droit français adopte un nouveau look avec le décret n°2017-1416 du 28 septembre 2017 relatif à la signature électronique, ainsi que l’ordonnance n°2017-1426 du 4 octobre 2017.

Explication de texte du décret :
Le décret 2017-1416, pris pour application de l’article 1367 du Code civil (anciennement 1316-4 du Code civil), applique un nettoyage méticuleux des textes pour adopter (enfin) le même langage que celui du Règlement européen eIDAS (Règlement UE n°910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur), entamant l’homogénéisation du droit national avec le droit européen. Il apporte deux changements majeurs relatifs aux définitions des différents niveaux de signature électronique.

L’article 2 du décret abroge l’ancien décret d’application n°2001-272 du 30 mars 2001 et élimine ainsi les différences de niveau entre la conception européenne et la conception française de la signature électronique :
- il n’existera maintenant plus de signature électronique « sécurisée », qui change de nom au profit de la signature électronique « avancée » ; et
- la signature électronique qualifiée définie au niveau européen sera présumée fiable dans le droit français.

La signature électronique souvent appelée « présumée fiable » perd donc son ancienne définition franco-française pour devenir la signature électronique qualifiée prévue à l’article 3-12) du Règlement eIDAS. L’article 1 du décret reprend la définition du Règlement : « Est une signature électronique qualifiée une signature électronique avancée [conforme à l’article 26 du règlement susvisé], qui est créée à l’aide d’un dispositif de création de signature électronique qualifié [répondant aux exigences de l’article 29 dudit règlement], et qui repose sur un certificat qualifié de signature électronique [répondant aux exigences de l’article 28 de ce règlement]. »

Le droit français garde néanmoins quelques spécificités. Tout d’abord, l’article 25-2 du Règlement eIDAS pose un véritable principe d’équivalence : « L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite ». Le droit français va donc plus loin en conférant à la signature électronique qualifiée la présomption de fiabilité, dont ne dispose pas la signature manuscrite.

Même si cette présomption de fiabilité est réfragable, c’est-à-dire que l’absence de fiabilité d’une signature électronique qualifiée doit pouvoir être combattue par toute preuve contraire, en pratique, cela nécessitera une expertise informatique complexe. Ainsi, devant un juge français, une signature électronique qualifiée sera reconnue comme équivalente à une signature manuscrite (sous-entendu sur support papier), mais apportera un niveau de sécurité juridique supérieur puisqu’elle sera présumée fiable jusqu’à preuve contraire apportée par la partie qui en conteste la validité.

La deuxième spécificité tient au fait que l’article 1367 du Code civil maintient une définition française de la signature électronique dite « simple » différente de la définition européenne donnée par le règlement eIDAS, ce qui en fait, pour les puristes de la matière, une signature plus rassurante que la signature électronique dite simple européenne. En effet, la définition européenne n’est pas très exigeante puisqu’elle consiste selon la définition en « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ». Tandis que la définition française est la suivante : « Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. ». Cela signifie que sont exigés en droit français deux éléments qui doivent être garantis : un procédé fiable d’identification du signataire, et un lien technique garanti avec l’acte signé.

Explication de texte de l’ordonnance :
On notera encore une nouveauté touchant le secteur public, qui pourrait passer inaperçue : une ordonnance n°2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques vient abroger un dispositif obsolète et non utilisé de validation des certificats prévu à l’article 10 de l’ordonnance n°2005-1516 du 8 décembre 2005. Mais que l’on se rassure pour certains, les niveaux des certificats électroniques de signature en étoile (* 1 étoile, **2 étoiles et *** 3 étoiles), prévus par le référentiel général de sécurité (RGS) pour les décisions de l’administration, demeurent applicables selon l’article L.212-3 du Code des relations entre le public et l’administration. On s’interrogera alors sur l’articulation quelque peu difficile du RGS avec l’article 27 du Règlement eIDAS sur les « Signatures électroniques dans les services publics ».

Conclusion :
Pour conclure sur ce nouveau look, si les niveaux de signature de droit commun français semblent s’homogénéiser avec les niveaux européens, c’est en gardant quelques spécificités « à la française ». Il est probable que l’alignement du droit national sur le droit européen se poursuive dans les mois à venir.

Du point de vue pragmatique, pour les services implémentant la signature électronique, la réduction du nombre de définitions à prendre en compte permettra de mieux se concentrer sur la façon de mettre en œuvre la dématérialisation, plutôt que sur la complexité d’articulation des textes. Un bon point pour le législateur !




Voir les articles précédents

    

Voir les articles suivants