Retour Communiqué de presse FnTC
François Devoret : « Les signatures électroniques n’ont pas toutes la même valeur juridique, mais elles ont toutes une valeur juridique »
Après avoir évoqué la plus-value de la signature électronique avec Cédric Mermilliod de Oodrive, le fonctionnement technique de la signature électronique avec Antoine Louiset de Yousign, et avoir analysé le cadre juridique de la signature électronique avec l’avocate Isabelle Renard, François Devoret, président et fondateur de Lex Persona répond à nos questions sur les différents niveaux de signature, leur raison d’être, et leurs différences.
Alors qu’il n’existe qu’un seul niveau pour la signature papier, pourquoi existe-t-il différents niveaux de signature électronique ?
La signature manuscrite présente en fait des particularités tout à fait remarquables : lors d’une signature manuscrite, un geste biométrique crée une griffe, unique, propre au signataire. Cette griffe sur un contrat en papier exprime un lien indissociable entre la personne et le document. L’intégrité et l’authenticité du document sont donc des paramètres capitaux.
L’authenticité d’un document manuscrit concerne surtout la griffe, alors que l’intégrité relève surtout de la coutume. C’est pour cette raison qu’il y a des paraphes à chaque page, et que, lorsqu’il y a des modifications, c’est précisé dans la marge « trois mots rayés » avec une date et une signature à côté de la rature. Le souci est de garantir l’intégrité du document papier. Dans un contrat, s’il y a des ratures, ou des soupçons sur d’éventuelles modifications, ça peut remettre en cause la valeur du texte.
Il y a également une autre particularité du document papier, c’est la notion d’« original ». Pour un contrat papier, c’est d’ailleurs souvent précisé « faits en deux originaux », alors qu’un document PDF peut être démultiplié à l’infini… La notion d’original n’existe pas a priori dans le monde informatique. C’est pourtant une notion très importante qui permet de garantir l’unicité du document.
En électronique, les garanties d’authenticité et d’intégrité sont plus compliquées à définir, et c’est pour cela qu’il y a plusieurs niveaux. Mais on arrive à des solutions : une signature qualifiée garantit par exemple le caractère original du document électronique. Si ce document est démultiplié, vous pourrez prouver que c’est le même.
Si l’on reprend tous les critères de la signature manuscrite, la signature qualifiée répond aux mêmes exigences d’authenticité, d’intégrité et d’originalité. Ce qui est paradoxal : on peut se dire qu’une signature manuscrite n’est pas très sûre a priori, et pourtant seul le plus haut niveau de signature électronique est soumis aux mêmes exigences.
Avec l’essor de la dématérialisation et des nouvelles technologies, il n’y a pas toujours besoin d’un tel niveau de sophistication, voilà pourquoi il existe des signatures de niveau inférieur, simple et avancé. Mais il ne faut pas oublier qu’eIDAS est un règlement européen, et que dans d’autres pays, les lois définissent différemment les niveaux de signature. Les pays européens peuvent par ailleurs créer d’autres niveaux que ceux définis par eIDAS, ou développer d’autres critères. En France par exemple l’article 1367 du Code Civil évoque le « consentement », alors que c’est une notion totalement absente du règlement européen…
Comment sont nés les différents niveaux de signature ?
Elles sont nées grâce à l’action de plusieurs entreprises. Les grands prestataires de signature électronique ont pesé pour mettre en avant leur savoir-faire, et pour que la règlementation soit adaptée à leurs pratiques. Imaginez si une loi avait dit que la signature simple n’avait aucune valeur ? Tous les prestataires qui en font auraient dû revoir leur modèle économique…
Le principe de base de la signature électronique, selon eIDAS, c’est la non-discrimination, c’est-à-dire que, selon ce règlement, une signature électronique est un dispositif que le signataire utilise pour signer. C’est donc très large, la signature peut prendre différentes formes : des initiales, un simple nom… Un mail avec notre nom en bas est considéré comme une signature, tout comme l’image de votre signature dans un document Word.
Pourtant toutes ces signatures n’auront pas juridiquement la même valeur…
Elles n’auront pas la même valeur juridique, mais elles auront quand même une valeur juridique. Le règlement européen interdit à un juge de considérer qu’un document comprenant une forme de signature n’est pas signé a priori. Il peut bien sûr remettre en cause la valeur de la preuve liée à cette signature, mais il ne peut considérer sans éléments que la signature n’est pas valable.
Pourquoi ne pourrait-on pas utiliser que les niveaux juridiquement fiables ?
C’est en contradiction avec le droit. Dans de nombreux pays, dont la France, il y a la question de la liberté de la preuve, notamment en droit commercial. Deux personnes qui se lient par un contrat peuvent très bien se mettre d’accord sur le choix d’une signature simple. Si on impose des niveaux de signature avancée ou qualifiée, il va donc falloir remettre en place tout un cadre législatif. Et comme je vous le disais, l’on n’a pas toujours besoin d’un niveau très sophistiqué de signature pour les actes de la vie quotidienne. Mettre en place des solutions trop contraignantes freinerait le développement de la signature électronique.
Pourquoi, en matière de signature électronique, la notion de « prestataire de services de confiance qualifié (PSCQ) » est-elle importante ?
Il y dans le règlement eIDAS, une notion de tronc commun. C’est-à-dire que vous ne pouvez pas délivrer de services qualifiés d’horodatage, de signature électronique ou de recommandé électronique si vous n’êtes pas un prestataire de service de confiance qualifié. Cette notion est définie par l’EN 319 401 qui liste les obligations qu’une entreprise doit satisfaire. L’entreprise doit ainsi obligatoirement délivrer un service qualifié pour être reconnue comme un prestataire de services de confiance qualifié.
Comment le grand public peut-il savoir quel niveau de signature il utilise ?
Il existe des services qualifiés de vérification de signature, généralement payants. Il est possible de recueillir des informations qui ne soient pas complétement fiables, car les services vérifiant les signatures ne sont pas toujours exhaustifs. Mais ce sont des problèmes qui se posent très peu alors que la signature électronique est de plus en plus utilisée au quotidien. Il faudrait plutôt favoriser la mise en place de politiques de signature autour des documents publiés, notamment pour les entreprises de presse, les chercheurs. Cela existe déjà pour le code informatique, les développeurs de logiciel signent électroniquement leur code pour garantir l’intégrité et l’authenticité des programmes mis à disposition en téléchargement.
Une nouvelle mouture de la règlementation eIDAS est en préparation. Faut-il s’attendre à des changements dans les niveaux de signature ?
Je ne crois pas, mais il y aura a priori une règlementation plus conséquente sur la signature à distance. Pour une signature avancée par exemple, il faut pouvoir garantir le contrôle exclusif de cette signature par le signataire. Lorsqu’on a une clé USB avec un certificat, c’est facilement vérifiable, mais c’est plus compliqué pour une signature à distance… Il y a un vrai besoin de législation sur ces sujets.
Qu’aimeriez-vous voir dans cette nouvelle mouture d’eIDAS ?
Lors de la consultation, Lex Persona prônait pour plus d’interopérabilité. Les standards sont parfois trop spécifiques selon les règlementations nationales. Il n’y a pas le même soin pris en termes de réalisations d’audit et de respects des standards selon les pays. En France, l’ANSSI est un acteur très pointu, alors que certains autres pays peuvent paraître plus laxistes. Une harmonisation est souhaitable.
eIDAS a par ailleurs une portée plus technique que juridique : la règlementation vise l’uniformisation des pratiques, mais il pourrait aussi y avoir, peut-être hors de ce règlement, une homogénéisation au niveau juridique concernant la signature électronique, et son utilisation.