Article publié dans la Revue « Fiscalité Européenne et Droit International des Affaires » N° 125 (Année 2001)
Le développement du commerce en ligne contribue chaque jour davantage à rendre diffuse la localisation des partenaires économiques. Les entreprises qui se lancent dans l’aventure du e-business conservent, pour la plupart, des infrastructures de type traditionnel permettant sans difficulté cette localisation, mais il est constant que se développe parallèlement une économie nouvelle où règne une forme d’entreprise qui fait appel de façon quasi exclusive au réseau Internet pour ses échanges et possède de moins en moins d’éléments corporels permettant aux administrations ou aux consommateurs de les appréhender géographiquement.
Ce phénomène est en pleine expansion et la mobilité des protagonistes est toujours plus grande tandis que dans le même temps la faculté de trouver un moyen de les localiser s’amenuise.
Il s’agit d’une tendance qui paraît irréversible et qui suscite de grands débats sur le point de savoir à quels nouveaux critères il faudra à l’avenir se référer pour trouver un lien entre un fournisseur de produits ou de services et un lieu géographique précis.
L’impératif est avant tout fiscal et l’impulsion concernant ces réflexions est donnée par les Etats qui ne souhaitent pas voir tout un pan de la nouvelle économie du Net se soustraire ainsi à l’impôt en raison d’obstacles simplement technologiques.
Plusieurs pistes sont explorées afin de trouver le moyen d’ancrer ces cyber-entreprises dans le giron étatique. Au rang des suggestions émises jusqu’à présent se trouve l’idée d’utiliser, à titre d’indice pour le moins, la signature électronique qui vient de faire l’objet d’une remarquable reconnaissance officielle de la part du législateur français.
Le développement de ce nouveau type de transaction commerciale risque fort, en effet, de trouver ses limites dans la relative mais croissante insécurité qui règne en la matière.
La fiabilité des information échangées sur le Net n’est jamais garantie et les risques inhérents aux flux financiers de cette nature ont de quoi freiner les enthousiasmes des consommateurs.
L’attente de ces derniers en terme de sécurité est donc très forte et les acteurs du réseau ne pourront que prendre conscience de ce phénomène pour se plier ensuite à leurs exigences.
La sécurisation des transactions passe en premier lieu par l’identification des partenaires et par l’authentification des documents échangés. C’est dire si la reconnaissance de la signature électronique et le cadre juridique dans lequel elle s’inscrit constitue un enjeu majeur pour le commerce en ligne.
L’idée de se servir de cette technologie comme moyen de localisation des établissements commerciaux s’appuie sur le pari de l’adhésion massive de ceux-ci aux organismes proposant un protocole fiable de sécurisation des signatures électroniques. Ces organismes ont en effet le mérite d’être localisés et d’offrir un indice intéressant à qui veut situer géographiquement son partenaire.
C’est dans ce contexte qu’il nous a paru intéressant de faire le point sur l’état du droit positif en matière de signature électronique et notamment de décrire de façon précise l’apport de la loi du 13 mars 2000 relative à celle-ci.
L’assemblée Nationale a, en effet, adopté, le 29 février 2000, un projet de loi portant adaptation du droit de la preuve aux nouvelles technologies de l’information et relative à la signature électronique.
La loi n° 2000-230 du 13 mars 2000 est d’inspiration internationale. Depuis quelques années, un certain nombre d’Organisations Internationales se sont préoccupées de la reconnaissance du document et de la signature électronique. Le développement du commerce en ligne a bien sûr joué un rôle déterminant dans la réflexion qui s’est mise en œuvre sur ce sujet.
La première impulsion est venue de la Commission des Nations Unies pour le Droit Commercial International (CNUDCI). Une loi-type sur le commerce électronique a en effet été voté le 16 décembre 1996 par l’Assemblée Générale et un projet de règles uniformes sur la signature électronique est en cours d’élaboration.
Au niveau Communautaire, une directive fixant un cadre juridique pour les signatures électroniques a été adoptée le 13 décembre 1999.
En France, de nombreux travaux ont été effectués avant que le projet de loi ne soit déposé et notamment par le GIP » droit et justice « , groupe de travail constitué à la demande de la Chancellerie et qui fut à l’origine de la première version du texte de l’avant projet de loi.
La réforme est d’importance par l’amélioration qu’elle apporte dans la reconnaissance des nouvelles technologies sur le plan juridique, par le consensus politique qu’elle a suscité et par la clarté des textes adoptés.
Il convient d’envisager les modifications apportées aux règles de preuve avant de s’attacher à la particularité de la signature électronique en tant que telle et aux insuffisances de la loi qui en a reconnu la valeur probante.
LA REDEFINITION DE LA PREUVE LITTERALE
Si le droit Français est traditionnellement marqué par le principe de la prééminence de l’écrit, un contrat n’en est pas moins valablement formé du seul fait de l’échange des consentements et sans écrit. Toutefois, la nécessité pour les parties de se ménager la preuve de leur engagement impose le recours à celui-ci.
On peut définir l’écrit comme un » titre original revêtu d’une signature manuscrite et matérialisé dans un document papier « . La jurisprudence française a tout de même su aménager cette définition en acceptant notamment la validité des conventions de preuve. La Cour de Cassation s’est en effet prononcée dans ce sens à l’occasion d’un arrêt « Credicass » en date du 8 novembre 1989, relatif aux cartes de paiement et de crédit.
Elle a reconnu, en particulier, la valeur probatoire d’un document produit par télétraitement et en a fixé les conditions nécessaires : » l’écrit… peut être établi et conservé sur tout support, y compris par télécopies, dès lors que son intégrité et l’imputabilité de son contenu à l’auteur désigné ont été vérifiées ou ne sont pas contestées « .
La loi du 13 mars 2000 s’inscrit dans cette tendance du droit à recueillir et intégrer les progrès technologiques au fur et à mesure de leur émergence. Elle crée tout de même un bouleversement majeur du droit de la preuve.
Le texte modifie substantiellement le chapitre VI ( » De la preuve des obligations et de celle du paiement « ) du titre III ( » Des contrats et des obligations en général « ) du livre troisième du code civil. La section I conserve son intitulé » De la preuve littérale mais voit son contenu fortement modifié par l’introduction de la preuve électronique parmi les modes de preuves littérale. Le paragraphe I consacré aux dispositions générales contient un article 1316 modifié qui donne une définition de la preuve littérale ou preuve par écrit. Il dispose » La preuve littérale ou preuve par écrit, résulte d’une suite de lettres, de chiffres, de caractères ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient leurs support ou leurs modalités de transmission « .
La définition de la preuve par écrit est donc extensive, ce qui valide toutes les formes d’écrit y compris, mais non exclusivement, ceux sous forme électronique. La loi met fin à la confusion qui avait fini par se créer avec les âges entre l’écrit et le support papier. Le dictionnaire français est pourtant clair sur ce point en définissant l’écriture comme » une représentation de la parole et de la pensée par des signes » sans que ne soit évoqué un quelconque support papier. Avec cette nouvelle définition de la preuve littérale, l’écrit ne s’identifie plus au papier et son mode de transmission est inopérant.
C’est ainsi que la réforme, sans doute aussi par souci d’anticipation, se veut respectueuse du principe de neutralité technologique.
Si le texte impose que la suite de signes soit intelligible, cela ne veut pas dire pour autant que le cryptage soit exclu. Au contraire, celui-ci sera probablement fréquemment employé et considéré comme valable au regard des règles de preuve, à la seule condition qu’il puisse être déchiffré.
L’article 1316-1 ajoute que » L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions qui en garantissent l’intégrité « , ce qui consacre expressis verbis la preuve électronique.
Les articles 1316-2 et 1316-3 sont consacrés au problème du conflit de preuves. Il fallait en effet prévoir que l’introduction officielle d’un nouveau mode de preuve allait susciter des incertitudes quant à la hiérarchie entre celles-ci.
Ils précisent respectivement que » lorsque la loi n’a pas fixé d’autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu’en soit le support » et » L’écrit sur support électronique a la même force probante que l’écrit sur support papier « .
C’est donc l’absence de hiérarchie entre ces deux modes de preuve qui a eu la faveur des parlementaires, même s’il y eut débat sur ce point. Certains considéraient en effet que l’écrit électronique devait pouvoir être combattu par des présomptions graves, précises et concordantes. Cette position ne fut donc pas retenue et l’écrit électronique est doté de la même force probante que l’écrit sur support papier à la double condition toutefois que puisse être identifié celui dont il émane et que les conditions dans lesquelles il est établi et conservé en garantisse l’intégrité.
En cas de conflits entre ces deux modes de preuve, les textes prévoient que le juge déterminera souverainement et au cas par cas, en tenant compte des circonstances de l’espèce, la preuve littérale qui lui paraît la plus vraisemblable.
Un aménagement du texte de l’article 1326 du Code Civil fut également nécessaire pour tenir compte de l’évacuation de toute référence à l’écriture manuscrite traditionnelle. Ce texte prévoyait la mention manuscrite de la somme en toutes lettres et en chiffres pour les actes unilatéraux. Avec la loi nouvelle, les mots « de sa main » précédemment employés sont remplacés par les mots « par lui même ».
LA RECONNAISSANCE DE LA SIGNATURE ELECTRONIQUE
L’article 1316-4 alinéa 1er donne une définition de la signature en général : « La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose, elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte ».
Il s’agit là d’une définition neutre de la signature permettant à d’éventuelles évolutions technologiques d’être prises en compte par le droit de la preuve sans qu’il soit besoin d’avoir recours à une nouvelle réforme législative.
L’alinéa deux apporte tout de même une reconnaissance légale à la signature électronique :
« Lorsqu’elle est électronique, elle consiste en l’utilisation d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie dans des conditions fixées par décret en Conseil d’Etat ».
Il avait déjà été fait une place à la signature numérique en ce qui concerne les cartes de paiement. Valeur de signature était, en effet, reconnue à la saisie d’un code associé à une telle carte, mais cela uniquement en présence d’une convention de preuve. L’apport de la loi est de permettre l’émergence de ce nouveau type de signature sans convention préalable.
Il est toutefois nécessaire, selon le texte, que soit observé un certain nombre de conditions qui seront fixées par décret en Conseil d’Etat.
Ces décrets auront pour but de mettre en œuvre les dispositions de la directive européenne sur la signature électronique avancée et notamment celles relatives aux Prestataires de Services de Certification.
Cette directive européenne contient les fondements de la reconnaissance de la signature électronique. Elle vise en effet à faciliter son utilisation et à instituer un cadre juridique pour les services de certification. Son article 5 contient notamment la règle de non discrimination entre signature électronique et signature manuscrite.
La signature électronique y est définie comme « une donnée sous forme électronique qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification ».
Elle est donc conçue comme un moyen technique de sécurisation et ses effets juridiques ne sont pas envisagés. Seuls ses effets techniques sont pris en compte dans la définition donnée.
La loi française n’a pas repris cette définition technique comme nous l’avons vu.
La signature électronique avancée respecte plusieurs exigences à la fois. Elle doit être liée uniquement au signataire, permettre de l’identifier, être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable.
Il s’agit en réalité de ce que l’on appelle, dans le jargon informaticien, une signature numérique basée sur la cryptologie à clé asymétrique.
A la différence de la cryptologie à clé symétrique, où la même clé est utilisée pour chiffrer et déchiffrer le document et où la transmission de la clé au destinataire de celui-ci n’est pas sécurisée, la cryptologie asymétrique fait appel à deux clés différentes. L’utilisateur possède en effet une clé privée et une clé publique. La clé privée ne peut pas être découverte grâce à la clé publique. Ces méthodes de cryptage font appel à des calculs mathématiques très élaborés utilisant des nombres premiers générés par des algorithmes.
En signant son message avec sa clé privée, l’utilisateur permet au destinataire de vérifier son identité par simple « comparaison » avec la clé publique.
Pour vérifier l’intégrité du message et son caractère complet, une valeur calculée est associée au message par l’emploi d’une fonction mathématique. A la réception du message, le destinataire n’a qu’à comparer sa propre valeur à celle qui lui a été envoyée pour s’assurer que tout le document lui est parvenu et que celui-ci n’a pas été modifié.
Ce système repose sur la fourniture de clés publiques et l’intervention d’un tiers est nécessaire pour permettre l’administration de ces clés. Le tiers certificateur va jouer ce rôle de tiers indépendant et fournir la garantie que telle clé publique appartient bien à tel correspondant. Des réseaux de certification doivent donc se mettre en place et le tiers certificateur, personne publique ou privée émettra des certificats électroniques. Le certificat est une sorte de registre informatique revêtu d’une signature électronique qui identifie l’émetteur du certificat, identifie le souscripteur et lui donne sa clé publique.
Il s’agit, ni plus ni moins, d’une carte d’identité électronique fournie par un tiers indépendant et neutre. La signature électronique correspondant à un certificat est sensée appartenir à la personne mentionnée dans le certificat.
Il est alors possible d’identifier non seulement une personne, mais également de connaître sa profession, ses pouvoirs, sa capacité, ses qualifications etc.
La directive européenne vise à instaurer une reconnaissance communautaire des services de certification des signatures électroniques.
Selon une recommandation n° 509 de l’UIT-T, une autorité de certification est « une autorité chargée par un ou plusieurs utilisateurs de créer et d’attribuer leur clé publique et leur certificat ». Elle est donc chargée de créer le lien qui existe entre une personne et une paire de clés asymétriques.
Aux termes de la directive, les tiers certificateurs sont dénommés « prestataires de services de certification » (PSC), et sont définis comme étant « toute entité ou personne physique ou morale qui délivre des certificats ou fournit d’autres services liés aux signatures électroniques ». Elle définit encore le certificat comme « une attestation électronique qui lie des données afférentes à la vérification de signature d’une personne et confirme l’identité de cette personne ». Le certificat doit répondre à des exigences qui sont détaillées dans l’annexe I de la directive.
Les PSC pourront également fournir d’autres prestations de services comme l’horodatage, l’archivage ou des services de publication et de consultation.
Cette activité ne fait l’objet d’aucune réglementation spécifique en droit français mise à part la réglementation relative à la cryptologie et la directive, une fois intégrée dans notre droit, donnera un cadre juridique à ces services.
La cryptologie apporte la sécurité technique nécessaire à la signature électronique et la fourniture de services de certification est liée aux techniques de cryptologie asymétrique.
La loi française n°96-659 du 26 juillet 1996 qui réglemente la cryptologie fait le départ entre ce qui relève des fonctions d’authentification et d’intégrité et ce qui relève des fonctions de confidentialité sur lesquelles l’Etat entend garder un contrôle étroit. Elle prévoit pour l’utilisation de la cryptologie à des fins de confidentialité, le recours à des tiers de confiance.
Au cours d’une conférence de presse du 19 janvier 1999, le premier ministre a annoncé la refonte de la législation adoptée en 1996. Il est envisagé de supprimer le caractère obligatoire du recours à des tiers de confiance.
Pour le moment, deux décrets et un arrêté en date du 17 mars 1999 ont relevé le seuil de la cryptologie dont l’utilisation est libre de 40 bits à 128 bits.
Les PSC deviendront, aux termes de la loi française, des fournisseurs de prestation de cryptologie et de véritables agents de la preuve.
L’article 3 de la directive prévoit que la fourniture de service de certification ne pourra être soumise à aucune autorisation préalable, les Etats se contentant d’un processus d’accréditation volontaire des autorités de certification ou de reconnaissance professionnelle.
Les PSC doivent néanmoins répondre à certaines exigences qui sont fixées à l’Annexe II de la directive et parmi lesquelles on peut trouver :
– Assurer le fonctionnement d’un service d’annuaire rapide et sûr et d’un service de révocation sûr et immédiat,
– Vérifier par des moyens appropriés et conformes au droit national, l’identité de la personne à qui est délivré le certificat,
– Utiliser des systèmes fiables,
– Archiver les informations relatives aux certificats pendant le délai utile, en particulier pour pouvoir fournir la preuve de la certification en justice,
– Disposer de ressources financières suffisantes.
Pour le cas où les PSC manqueraient à leurs obligations, il est nécessaire qu’existent des garanties juridiques. Cette question de la responsabilité des PSC est particulièrement importante en cas de certificat erroné. La directive prévoit leur responsabilité sur l’exactitude des informations certifiées par eux et sur l’imputabilité de la signature à la date où le certificat a été délivré (article 6). Il appartient alors au prestataire de service de prouver qu’il n’a commis aucune faute.
D’une manière générale, le PSC est tenu d’assurer la fiabilité du système comme cela ressort des prescriptions de l’Annexe II de la directive.
Sur le plan international, un système de reconnaissance mutuelle des signatures et des certificats avec les pays tiers à la CE est prévu par la directive. Un PSC établit dans la Communauté pourra garantir les certificats d’un PSC d’un Etat tiers.
LES LIMITES DE LA REFORME
Les changements opérés par la réforme sont limités au domaine probatoire et d’ailleurs les modifications apportées par la loi du 13 mars 2000 sont insérées au Code Civil dans le chapitre relatif à la preuve. Rien n’est dit sur la validité même de tels actes et lorsqu’un écrit sur support papier est exigé ad validitatem comme c’est le cas par exemple en matière de démarchage à domicile, ou en matière de crédit à la consommation ou de crédit immobilier, la question n’est pas réglée.
Il en va de même pour les actes solennels qui nécessitent l’intervention d’un notaire comme le mariage ou les donations.
En ce qui concerne ces actes, les supports électroniques sont certes permis, l’article 1317 dispose, en effet, que » L’acte authentique est celui qui a été reçu par officiers publics ayant le droit d’instrumenter dans le lieu où l’acte a été rédigé « , or cet article a été doté d’un second alinéa ainsi rédigé : » Il peut être dressé sur support électronique s’il est établi et conservé dans des conditions fixées par décret en conseil d’Etat « .
Cependant, d’un point de vue pratique cette intégration des actes authentiques à la réforme ne sera pas facile à mettre en œuvre, ne serait-ce qu’en raison de l’exigence de conservation illimitée dans le temps de tels actes. Or le support électronique est d’une obsolescence trop rapide pour permettre une telle conservation.
La directive est d’ailleurs elle-même très claire sur la portée de son objet. Elle annonce en ses articles 1et 2 qu’elle ne couvre pas les aspects liés à la conclusion et à la validité des contrats ou d’autres obligations légales lorsque des exigences d’ordre formel sont prescrites par la législation nationale ou communautaire.
La mise en œuvre concrète de la réforme pose un certain nombre de problèmes liés notamment à la fiabilité des systèmes et à l’intégrité des données. Le marché des services de certification n’en est qu’à ses débuts et reste très orienté vers les entreprises. Les infrastructures à clés publiques sont complexes et onéreuses et donc peu utilisées.
La force probante de l’écrit électronique est notamment subordonnée à la condition qu’il soit conservé dans des conditions qui garantissent son intégrité. Or la question de cette conservation n’est pas résolue.
Il est nécessaire que cette conservation puisse être opérée sur des périodes couvrant la prescription des actes les plus courants, soit dix ans en matière commerciale. L’informatique ne poursuit pas cette finalité d’archivage correspondant à l’idée de pérennité de l’information et à la possibilité de la restituer intacte. Concrètement, il n’est pas sûr que l’on puisse accéder à la lecture d’un document établi dix ans plus tôt faute disposer du matériel et du logiciel adapté à la technique de cette époque.
Il existe également un risque important d’obsolescence du système de cryptologie et de la possibilité offerte par le progrès technologique de recalculer la clé privée à partir de la clé publique.
Le problème de l’archivage par les PSC est lui aussi problématique. Les PSC doivent archiver pendant un « délai utile », non pas l’intégralité des documents, mais uniquement le certificat correspondant à la signature électronique liée au document électronique.
L’AFNOR a publié des recommandations en vue d’assurer la conservation et l’intégrité des documents stockés par ces systèmes. Cette norme décrit les types de support à utiliser, à savoir les disques optiques non réinscriptibles dits « WORMS » . Cela suppose une certification ISO du système d’archivage.
Pour ce qui est de la durée de conservation, la norme prescrit la recopie périodique.
La haute technicité de ces opérations de conservation va sans doute entraîner leur unilatéralisation dans un premier temps, seul le fournisseur de produits ou de services y procédant en raison de l’incapacité de son cocontractant à y procéder lui-même. Les PSC offriront sans doute ensuite ce service supplémentaire.
Un autre problème est celui de la date. En matière informatique, la date indiquée dans un message ne présente aucune garantie tant il est aisé de modifier l’horloge interne de son ordinateur. Il est donc nécessaire d’avoir recours à des services d’horodatage des messages faisant appel à des protocoles permettant la synchronisation permanente des serveurs à des horloges de référence afin de garantir la date des actes juridiques électroniques. Là encore ces services d’horodatage pourront être proposés par les PSC.
En pratique cette réforme risque de n’avoir que peu d’impact sur le commerce en ligne contrairement aux attentes des parlementaires. Le respect des conditions posées par la loi pour la reconnaissance de l’écrit sous forme électronique suppose en effet que le fournisseur mette en place les procédures techniques adéquates pour conserver et sécuriser les données reflétant les opérations du commerce électronique. Cela suppose alors la généralisation des signatures sur Internet et donc la mise en œuvre effective des PSC, ce qui ne manquera pas d’engendrer un coût supplémentaire et un certain formalisme. Il est douteux que les menues opérations de la vie courante s’accommodent de ces complications.
Certains ont donc cru raisonnable de prédire que le commerce électronique comportera des sécurités à étage et que des millions d’opérations continueront à se faire « à découvert », c’est à dire avec risques.
La première décision judiciaire concernant la signature électronique a été rendue par la Cour d’Appel de Besançon le 20 octobre 2000. Elle abonde dans le sens de nos derniers propos dans la mesure où elle affiche une certaine réticence dans la reconnaissance d’une quelconque valeur à une signature électronique en raison de son manque de fiabilité. Elle se prononce contre la recevabilité d’une signature apposée par un avocat sur une déclaration d’appel comme preuve que le document émanait bien de cet avocat. Le procédé utilisé n’était pas suffisamment fiable aux yeux de la Cour pour permettre une identification certaine de l’auteur de la déclaration d’appel et ce, même si celui-ci était le seul à posséder le code informatique lui donnant accès à la signature en question.
Certes, les faits de cette espèce remontent au mois d’avril 1999 et la loi relative à la signature électronique leur est postérieure et n’est aucunement rétroactive, mais l’arrêt a le mérite de montrer la réticence des magistrats à se déterminer face à un nouveau mode de preuve dont ils ne maîtrisent pas toute la complexité. Ils ont en effet profité de ce que la loi en question n’était pas encore entrée en vigueur pour en écarter l’application sans rechercher d’autres moyens de preuve pour se convaincre de l’identité de l’auteur de la signature. Il nous enseigne également que les procédures de certification sont essentielles et qu’il n’y aura pas de démocratisation de la signature électronique sans un développement rapide et massif des Prestataires de Services de Certification. Dans cette optique, une simplification des protocoles de cryptologie s’impose eu égard aux remarques qui précèdent et l’on attend de connaître la teneur des prochaines décisions en la matière pour jauger le degré d’exigence des magistrats en matière de sécurisation des signatures électroniques.
L’arrêt de la Cour de Cassation qui ne manquera pas d’intervenir sur la question, l’arrêt de la Cour d’Appel de Besançon ayant été frappé d’un pourvoi, nous apportera peut être un début de réponse.
Cabinets FONTANEAU
Paris – Nice – Bruxelles