Introduction 1. Partant du constat du developpement du commerce electronique et de la necessite d’assurer un cadre juridique sur aux transactions electroniques, le gouvernement a presente un projet de loi visant a adapter le droit de la preuve aux technologies de l’information et relatif a la signature electronique. Ce projet de loi a ete presente comme un des volets essentiels de l’action du gouvernement pour adapter la legislation aux nouveaux enjeux de la societe de l’information.
Le texte adopte par la commission des lois du senat[1][1], apres avoir ete vote a l’unanimite par le Senat le 8 fevrier 2000, a ete adopte dans des termes identiques par l’Assemblee Nationale le 29 fevrier 2000[2][2]. La loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative a la signature electronique[3][3] vient ainsi d’etre adoptee. 2. Comme cela a ete souligne a de nombreuses reprises, la loi francaise s’inscrit dans un contexte international.
Depuis plusieurs annees, les organisations internationales se preoccupent de la reconnaissance du document et de la signature electronique. L’impulsion est venue de la Commission des Nations Unies pour le droit commercial international (CNUDCI). La loi-type sur le commerce electronique a ete adoptee le
Le projet de directive relative a certains aspects juridiques des services de la societe de l’information, et notamment du commerce electronique, qui traite entre autres questions des contrats par voie electronique (article 9), vient de faire l’objet d’un accord politique du Conseil de l’Union en date du 7 decembre 1999[6][6]. En France, le depot du projet de loi a ete precede de nombreux travaux[7][7], notamment ceux d’un groupe de travail constitue par le GIP « Droit et Justice »[8][8], a la demande de la Chancellerie, qui a elabore une premiere version du texte qui a servi de base a l’avant-projet de loi. . La preuve est un element essentiel de tout systeme juridique. Le droit francais de la preuve s’organise autour de la reference a l’ecrit et est marque par le principe de preeminence de l’ecrit. Meme si le contrat est valablement forme sans ecrit du seul fait de l’echange des consentements des parties, la necessite pour les parties de se menager la preuve de leur contrat impose en realite le recours a un ecrit. 4.
L’ecrit au sens traditionnel, c’est le titre original revetu d’une signature manuscrite et materialise dans un document papier. La jurisprudence a toutefois permis certaines evolutions. La validite des conventions de preuve a ainsi ete reconnue dans un arret du 8 novembre 1989 de la Cour de cassation[9][9] (affaire Credicas), a propos des cartes de paiement et de credit, et plus recemment, un arret remarque de la Chambre commerciale du 2 decembre 1997[10][10] a lairement enonce les conditions necessaires a la valeur probatoire d’un document produit par teletraitement a propos d’un acte d’acceptation de cession d’une creance professionnelle : « l’ecrit… peut etre etabli et conserve sur tout support, y compris par telecopies, des lors que son integrite et l’imputabilite de son contenu a l’auteur designe ont ete verifiees ou ne sont pas contestees. » 5. Cependant, cette jurisprudence n’etait pas applicable dans le cas de transactions conclues en « milieu ouvert », c’est-a-dire sans qu’un accord prealable ait ete conclu entre les parties.
En outre, l’utilisation des echanges electroniques n’est plus limitee au seul droit des affaires. De l’avis unanime de la doctrine, une reforme s’imposait, le droit en vigueur n’etant pas adapte aux echanges electroniques. 6. Le texte qui a ete adopte modifie les regles du Code civil relatives a la preuve, en consacrant la valeur probante de l’ecrit sous forme electronique, d’une part, et en introduisant la signature electronique dans notre droit, d’autre part. La loi est saluee comme constituant une avancee fondamentale du droit de la preuve.
Pourtant, l’apport de la loi reste limite au domaine de la preuve, et de nombreuses questions techniques devront etre resolues avant que l’ecrit electronique ne puisse se substituer effectivement aux echanges de documents sur « papier ». I. La preuve et la signature electronique A. Les apports de la loi a la reconnaissance juridique de la preuve electronique 7. La loi comporte deux volets particulierement novateurs : la redefinition de la preuve litterale et la consecration de la force probante de l’ecrit electronique. 1. La redefinition de la preuve litterale . Selon le nouvel article 1316 du Code civil : « La preuve litterale, ou preuve par ecrit, resulte d’une suite de lettres, de caracteres, de chiffres ou de tous autres signes ou symboles dotes d’une signification intelligible, quels que soient leur support et leurs modalites de transmission ». 9. La definition de la preuve par ecrit est donc extensive, ce qui valide toutes formes d’ecrits, y compris mais non exclusivement ceux sous forme electroniques. Traditionnellement, l’ecrit avait fini par se confondre avec son support papier.
Pourtant, le dictionnaire definit l’ecriture comme « une representation de la parole et de la pensee par des signes », sans qu’il soit fait reference a un quelconque support papier. La loi met donc fin a cette confusion : la preuve litterale est redefinie afin de la rendre independante de son support. La preuve litterale ne s’identifie plus au papier, ne depend ni de son support materiel, ni de ses modalites de transmission. La definition respecte ainsi le principe de neutralite technologique[11][11]. 10.
La suite de signes constituant l’ecrit doit etre ordonnee de maniere a etre intelligible : l’ecrit doit pouvoir etre produit de facon lisible et comprehensible par l’homme. Un texte peut etre crypte, mais il doit pouvoir etre dechiffre pour posseder une vocation probatoire[12][12]. 2. La consecration de la force probante de l’ecrit electronique 11. Selon le nouvel article 1316-1 : « L’ecrit sous forme electronique est admis en preuve au meme titre que l’ecrit sur support papier, sous reserve que puisse etre dument identifiee la personne dont il emane et qu’il soit etabli et conserve dans des conditions de nature a en garantir l’integrite ».
L’article 1316-3 precise : « L’ecrit sur support electronique a la meme force probante que l’ecrit sur support papier ». 12. Ainsi, le legislateur n’a pas voulu instituer de hierarchie entre support electronique et support papier. L’avant-projet de loi prevoyait que : « la preuve contraire peut etre rapportee contre un ecrit electronique sur le fondement de presomptions graves, precises et concordantes. Il s’agissait d’un point controverse, certains considerant que donner aux preuves informatiques la meme force probante qu’aux ecrits traditionnels sur support papier aurait ete premature[13][13], d’autres considerant au contraire que cela remettait en cause l’objectif meme qui etait poursuivi[14][14]. L’admission d’un ecrit sous forme electronique en tant que preuve au meme titre que l’ecrit papier est consacree a la double condition que puisse etre identifie celui dont il emane et que les conditions dans lesquelles il est etabli et conserve en garantissent l’integrite. 3. Pour les actes unilateraux, l’article 1326 du Code civil prevoyait la mention manuscrite de la somme en toutes lettres et en chiffres. Desormais, les mots « de sa main » sont remplaces par les mots : « par lui-meme ». 3. Reglement des conflits de preuve 14. Il est insere dans le Code civil un article 1316-2 precisant qu’il appartiendra souverainement au juge de determiner au cas par cas, en tenant compte des circonstances de l’espece, quelle est la preuve litterale la plus vraisemblable. 15.
Un arret recent de la 1ere Chambre de la Cour de cassation, en date du 15 fevrier 2000[15][15], rappelle que conformement aux articles 287, 288 et 289 du Nouveau code de procedure civile, lorsque la partie a laquelle on oppose un acte sous seing prive en denie l’ecriture et la signature, il appartient au juge de verifier l’acte conteste et de proceder a la verification d’ecriture au vu des elements dont il dispose, apres avoir, s’il y a lieu, enjoint aux parties de produire tous documents a comparer a cet acte. 4.
Consecration de la validite des conventions sur la preuve 16. Le legislateur a consacre la jurisprudence dite « Credicas »[16][16] qui avait reconnu la possibilite de passer des conventions sur la preuve. La loi n’a pas fixe les conditions de validite minimales de ces conventions. 17. Les principes relatifs aux clauses abusives sont toutefois parfaitement applicables : entre professionnel et non professionnel, la convention sur la preuve ne doit pas constituer une clause dite abusive[17][17]. Or, les moyens de preuve sont detenus par l’exploitant du systeme.
Une recommandation de la Commission des clauses abusives demande par exemple que soient eliminees des contrats « porteurs » proposes par les emetteurs de cartes, les clauses ayant pour objet ou pour effet « de conferer aux enregistrements magnetiques detenus par les etablissements financiers ou bancaires une valeur probante en dispensant ces derniers de l’obligation de prouver que l’operation contestee a ete correctement enregistree et que le systeme fonctionnait normalement »[18][18]. B. La signature electronique 1.
La reconnaissance juridique de la signature electronique ; La signature d’un point de vue fonctionnel 18. La signature n’etait pas definie en droit francais, meme si le Code civil mentionne a plusieurs reprises l’obligation d’une signature : article 1322 sur les actes sous seing prive, article 1325 sur le contrat synallagmatique et la formalite du double original, article 1326 sur la reconnaissance de dette. 19. La signature remplit deux fonctions juridiques de base : – identification de l’auteur ; – manifestation de sa volonte, approbation du contenu de l’acte. 20.
L’article 1316-4 introduit dans le Code civil une definition de la signature : « La signature necessaire a la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui decoulent de cet acte. Quand elle est apposee par un officier public, elle confere l’authenticite a l’acte ». Encore une fois, cette definition est neutre : elle vaut pour toutes formes de signature qu’elle soit manuscrite, electronique ou autre. Il s’agit d’une definition dite fonctionnelle[19][19] : le nouvel article donne une definition generale des onctions de la signature. ; La signature electronique 21. Le deuxieme alinea de l’article 1322-2 traite du cas ou la signature est electronique : « Lorsqu’elle est electronique, elle consiste en l’usage d’un procede fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilite de ce procede est presumee, jusqu’a preuve contraire, lorsque la signature electronique est creee, l’identite du signataire assuree et l’integrite de l’acte garantie, dans des conditions fixees par decret en Conseil d’Etat. » 22.
La validite de la signature numerique par saisie d’un code associe a une carte de paiement a ete reconnue dans le cadre de la jurisprudence sur les conventions de preuve[20][20]. Le texte va plus loin en consacrant la validite de la signature electronique en l’absence de toute convention prealable. La signature electronique sera presumee fiable des lors qu’elle remplira certaines conditions qui devront etre precisees par un decret en Conseil d’Etat. Ces decrets viseront a mettre en ? uvre les dispositions de la directive sur la signature electronique avancee, et notamment celles relatives aux prestataires de services de certification. 3. Cette directive vise a faciliter l’utilisation des signatures electroniques, a contribuer a leur reconnaissance juridique et a instituer un cadre juridique pour les services de certification. Elle definit un ensemble de criteres qui constituent la base de la reconnaissance juridique de la signature electronique. Elle institue notamment le principe de non-discrimination entre signature electronique et manuscrite (article 5). 24. La signature n’est pas definie de maniere abstraite, mais se rattache a des donnees (article 2). La directive distingue « la signature electronique » de « la signature electronique avancee ».
La signature electronique est definie comme « une donnee sous forme electronique qui est jointe ou liee logiquement a d’autres donnees electroniques et qui sert de methode d’authentification ». 25. Ici, la signature electronique est concue comme un moyen technique de securisation, elle n’est pas definie par rapport a ses effets juridiques, mais par rapport a ses effets techniques. Elle recouvre egalement des processus techniques d’authentification entre ordinateurs, qui n’ont pas necessairement de signification juridique. Cette definition technique de la signature n’a pas ete reprise dans la loi francaise. 6. La signature electronique avancee respecte les exigences suivantes : – « etre liee uniquement au signataire ; – permettre d’identifier le signataire ; – etre creee par des moyens que le signataire puisse garder sous son controle exclusif ; et – etre liee aux donnees auxquelles elle se rapporte de telle sorte que toute modification ulterieure des donnees soit detectable. » 27. La signature electronique avancee, telle qu’elle est envisagee par le texte de la directive, est la signature numerique basee sur la cryptologie a cle asymetrique.
Le contexte technologique de la signature electronique est en effet complexe. 28. Il existe deux grands types de cryptographie : – la cryptographie symetrique : la meme cle est utilisee pour chiffrer et dechiffrer l’information. Le probleme de cette methode est qu’il faut trouver le moyen de transmettre de maniere securisee la cle a son correspondant ; – la cryptographie asymetrique : ce n’est pas la meme cle qui crypte et qui decrypte les messages. L’utilisateur possede une cle privee et une cle publique. Il distribue sa cle publique et garde secrete sa cle privee.
La cle privee ne peut pas etre recomposee a partir de la cle publique. Les methodes de cryptage a cles asymetriques reposent sur des calculs mathematiques sophistiques utilisant des nombres premiers generes par des algorithmes. Il est facile de multiplier deux nombres premiers par exemple 127 et 997 et de trouver 126 619. Mais il est plus difficile de factoriser c’est-a-dire de retrouver 127 et 997 a partir de 126 619. 29. Comment ce systeme permet-il de gerer une signature ? L’utilisateur A signe avec sa cle privee son message.
Tout le monde peut verifier qu’il est bien l’auteur du message en comparant la signature du message avec la cle publique correspondant a l’expediteur ainsi identifie. 30. Pour verifier l’integrite du message transmis, le caractere exact et complet des donnees envoyees, on utilise une fonction mathematique qui associe une valeur calculee au message. Lorsque le destinataire recoit le message, il calcule sa propre valeur et la compare avec celle qui lui a ete envoyee : si les deux valeurs sont identiques, on est assure que les documents n’ont pas ete modifies. 31.
La combinaison de procedes d’authentification de l’expediteur et de verification de l’integrite de son message permet la creation de veritables signatures electroniques. Elle repose sur la mise en ? uvre d’outils informatiques. 32. Les procedes de cryptographie a cle publique fournissent ainsi une solution au probleme d’identification des interlocuteurs echangeant des messages en milieu ouvert. Ce systeme peut necessiter l’intervention d’un tiers : le tiers certificateur, dont le role va consister a administrer et publier les cles publiques[21][21]. 2. Les prestataires de services de certification 33.
Le tiers certificateur permet de s’assurer qu’une cle publique est bien celle du correspondant, et donc de verifier son identite et ses pouvoirs. En l’absence d’un reseau de certification, la question des echanges entre personnes qui ne sont jamais rentrees en relation auparavant reste entiere : comment ces personnes vont-elles echanger de maniere securisee leurs cles publiques, qui garantira que la cle donnee est bien celle de la personne annoncee et non pas celle d’un imposteur ? Sans certitude sur l’identite du cocontractant, la validite de la signature et donc de la transaction peut etre contestee.
Il existe actuellement des serveurs de cles publiques[22][22], mais qui ne fournissent pas toujours de garanties quant a la verification de l’identite des deposants. 34. Pour que le recours au systeme de cryptage a cle publique offre une securite juridique, des reseaux de certification doivent etre mis en place. Le tiers certificateur est un organisme, public ou prive, qui emet des certificats electroniques. Le certificat est un registre informatique revetu d’une signature electronique qui identifie l’emetteur du certificat, identifie le souscripteur et donne sa cle publique.
Il s’agit d’une sorte de carte d’identite electronique qui serait emise par un tiers independant et neutre. La signature electronique correspondant a un certificat est consideree appartenir a la personne mentionnee dans le certificat. 35. Un certificat peut permettre de verifier l’identite d’une personne, mais egalement ses pouvoirs et sa capacite, ses qualifications professionnelles (par exemple il sera possible de verifier si la personne est bien medecin, avocat… ), le pouvoir d’engager une societe.
La directive sur les signatures electroniques vise a instaurer une reconnaissance communautaire des services de certification des signatures electroniques. 36. D’apres une recommandation n° 509 de l’UIT-T, une autorite de certification est « une autorite chargee par un ou plusieurs utilisateurs de creer et d’attribuer leur cle publique et leur certificat. » Il a pour fonction de formaliser le lien qui existe entre une personne physique ou morale et une paire de cles asymetrique. 37. Dans la directive, les tiers certificateurs sont appeles « prestataires de services de certification » (ci-apres PSC).
Le PSC est defini comme : « toute entite ou personne physique ou morale qui delivre des certificats ou fournit d’autres services lies aux signatures electroniques. » La directive definit le certificat comme « une attestation electronique qui lie des donnees afferentes a la verification de signature a une personne et confirme l’identite de cette personne. Le certificat doit repondre a des exigences fixees par l’annexe I de la directive. 38. Le champ d’application de la directive est plus large que celui des seules autorites de certification qui delivrent des certificats lies a la signature electronique.
Les prestataires de la directive pourront fournir egalement des services d’horodatage, d’archivage, des services de publications et de consultation etc… Cette activite ne fait l’objet d’aucune reglementation specifique en droit francais, hormis en ce qui concerne la reglementation de la cryptologie. La directive, integree dans notre legislation, donnera un cadre juridique a ces services. > La fourniture de services de certification 39. La fourniture de services de certification ne pourra etre soumise a aucune autorisation prealable (article 3 de la directive).
Les etats peuvent prevoir un processus de reconnaissance professionnelle ou accreditation pour l’exercice de la mission de PSC[23][23]. Cependant, la procedure d’accreditation repose sur le volontariat et n’aurait pas de caractere obligatoire. Le decret regira le systeme d’accreditation volontaire des autorites de certification, conformement a la directive. 40. Par ailleurs, l’annexe II de la directive fixe un certain nombre d’exigences auxquelles doivent satisfaire les PSC, parmi lesquelles : – assurer le fonctionnement d’un service d’annuaire rapide et sur et d’un service de revocation sur et immediat ; verifier, par des moyens appropries et conformes au droit national, l’identite de la personne a laquelle le certificat est delivre ; – utiliser des systemes fiables ; – archiver les informations relatives aux certificats pendant le delai utile, en particulier pour pouvoir fournir une preuve de la certification en justice ; – disposer de ressources financieres suffisantes. > La responsabilite des PSC 41. Il doit exister des garanties juridiques pour le cas ou le PSC manquerait a ses obligations. La question de la responsabilite du PSC est particulierement sensible lorsque le certificat est errone.
La directive prevoit la responsabilite des PSC sur l’exactitude des informations certifiees par eux et sur l’imputabilite de la signature a la date ou le certificat a ete delivre (article 6). C’est au prestataire de service de prouver qu’il n’a commis aucune negligence. Or, une preuve negative est tres difficile a rapporter… D’une maniere generale, le PSC a l’obligation d’assurer la securite du systeme mis en place (voir les Exigences concernant les PSC, Annexe II). > Libre circulation des produits 42. Les services etablis dans un Etat et les eventuelles accreditations delivrees par un Etat devront etre reconnus dans les autres Etats.
Les produits de signature electronique doivent pouvoir circuler librement sur le marche interieur. > Aspects internationaux 43. Dans la perspective de la mise en place d’un systeme de reconnaissance mutuelle des signatures et certificats avec les pays tiers, la directive prevoit les conditions pour que les certificats delivres par un PSC d’un pays tiers soient juridiquement reconnus comme equivalents aux certificats delivres par un PSC etabli dans la Communaute europeenne. En particulier, un PSC etablit dans la Communaute pourra garantir les certificats d’un PSC d’un pays tiers. 44.
En conclusion, cette directive sur les signatures electroniques est tres technique. II. Les limites de la reforme 45. Le changement apporte par la loi est fondamental dans son principe, mais limite aux aspects probatoires, alors que de nombreuses questions concretes devront etre resolues avant la mise en ? uvre effective de la reforme. A. La loi ne concerne que les aspects probatoires 46. Les travaux legislatifs et les premiers commentaires soulignent que la loi ne concerne que les aspects probatoires et la signature des actes juridiques, mais non les questions touchant a la validite des actes[24][24].
Les dispositions de la loi sont inserees dans le Code civil a l’interieur des textes relatifs a la preuve. Lorsqu’un ecrit est exige sur support papier ad validitatem, la loi n’apporte aucune modification au regime actuel. Il en va ainsi par exemple des dispositions relatives au demarchage a domicile[25][25], des contrats de credit a la consommation ou de credit immobilier[26][26]. 47. Il en va de meme evidemment pour les actes solennels pour lesquels l’intervention d’un notaire est obligatoire, tels les actes de mariage ou les donations.
Certes, l’article 1317 du Code civil a ete modifie afin de preciser que l’acte authentiques peut etre dresse sur support electronique. Il est toutefois precise « s’il est etabli et conserve dans des conditions fixees par decret en Conseil d’Etat. » Les actes authentiques ont ete inclus dans le champ d’application de la loi sur proposition de la commission des lois du Senat[27][27], tout en renvoyant la question de sa mise en ? uvre pratique a des decrets. Il s’agit de ne pas exclure les actes authentiques des nouvelles technologies de l’information.
Cependant, les debats devant le Senat soulignent que les techniques necessaires a une dematerialisation des actes authentiques ne peuvent pas etre mises en oeuvre, l’acte authentique devant par exemple etre conserve pour une duree illimitee, alors que les techniques actuelles ne permettent de garantir la conservation des informations que pour une duree limitee, en raison de leur obsolescence rapide. La Ministre de la Justice a ainsi souligne que : « il est clair que le decret ne pourra etre publie rapidement. [28][28] » 8. Cette exclusion est conforme a la directive qui precise bien qu’elle ne couvre pas les aspects lies a la conclusion et la validite des contrats ou d’autres obligations legales lorsque des exigences d’ordre formel sont prescrites par la legislation nationale ou communautaire (article 1 al. 2). B. La mise en ? uvre concrete des principes prevus est necessaire 1. Les conditions de la force probante de l’ecrit et de la signature electronique sont liees a la fiabilite des systemes et a l’integrite des donnees 49.
La securite des systemes informatique constitue un enjeu essentiel et un debat permanent. Or, toutes les questions techniques essentielles a la mise en ? uvre des conditions posees par la loi sont loin d’etre reglees. 50. En premier lieu, le marche des services de certification n’en est encore qu’a ses debuts et reste tres oriente vers les entreprises. Les infrastructures a cles publiques sont complexes et onereuses, bien qu’elles soient apparues il y a deja une dizaine d’annees, et restent peu utilisees[29][29]. En second lieu, les aleas techniques sont nombreux en matiere informatique. 1. Par nature, la securite est le point faible des reseaux ouverts. Pour certains auteurs, « les preuves electroniques sont, aujourd’hui encore, trop unilateralement etablies et archivees, sans garantie de securite parfaite, ni meme de detection, contre les risques de fraudes, emanant d’employes indelicats, voire de tiers intrus… [30][30]». D’autres soulignent encore que la notion de fiabilite du support informatique est imparfaite et opere une discrimination entre utilisateurs institutionnels, entreprises et consommateurs[31][31].
La generalisation de l’utilisation de documents electroniques necessite au prealable la generalisation des moyens techniques de securisation. 2. La conservation 52. La force probante de l’ecrit electronique est notamment subordonne a la condition qu’il soit conserve dans des conditions de nature a en garantir l’integrite. La question de la conservation est indissociable de la question de la preuve et correspond a un besoin pratique reel. Comment se servir de la preuve electronique si la conservation afferente aux documents electronique n’est pas resolue ? 3. La conservation des moyens de preuve sur des durees couvrant la prescription des actes les plus courants, soit au moins jusqu’a a dix ans en matiere commerciale est donc fondamentale. Les donnees sous forme electronique doivent etre archivees dans des conditions offrant des garanties de securite contre toute alteration, modification ou destruction. L’archivage correspond a l’idee de perennite de l’information avec la possibilite de la restituer intacte. Or, l’informatique ne poursuit pas ces finalites.
L’enjeu consiste donc a fournir des garanties de securite tout en remplissant les fonctions juridiques traditionnelles attachees au papier, mais dans un univers informatique[32][32]. 54. Techniquement, il existe de nombreuses difficultes. Par exemple, compte tenu de l’evolution rapide des techniques, il est difficile de garantir que l’on disposera au moment voulu des interfaces logicielles et materielles requises pour acceder a la lecture du document electronique etabli dix ans plus tot.
De meme, compte tenu de la rapidite des progres technologiques, il existe un risque non negligeable que la technologie utilisee pour les cles de signature ne devienne obsolete, par exemple que la cle privee puisse etre recalculee a partir de la cle publique[33][33]. 55. Les prestataires de services de certification doivent enregistrer et archiver les informations pertinentes concernant un certificat pendant le « delai utile », c’est-a-dire le delai necessaire pour pouvoir fournir une preuve de la certification en justice. (point I de l’annexe II de la directive).
Cet archivage ne couvre pas les ecrits eux-memes revetus d’une signature electronique : cette conservation ne concerne que le certificat correspondant a la signature liee au document electronique. 56. L’AFNOR a publie des recommandations relatives a la conception et a l’exploitation de systemes informatiques en vue d’assurer la conservation et l’integrite des documents stockes dans ces systemes[34][34]. Cette norme fixe des directives techniques, des consignes d’exploitation, de securite, de tracabilite des documents numerises.
Elle decrit les types de support a utiliser, a savoir les disques optiques non reinscriptibles dits « WORMS »[35][35]. Cette norme suppose une certification ISO du systeme d’archivage. Concernant le probleme de la durabilite en longue periode des enregistrements, la norme preconise la recopie periodique (mais il faut pouvoir recopier a la fois les logiciels et les donnees). 57. Elle montre en tout etat de cause que la mise en ? uvre de moyens techniques d’archivage de documents electroniques offrant des garanties de securite et d’integrite est un metier eminemment echnique, relevant de professionnels de l’informatique. 58. La conservation des moyens de preuve risque pour une large part d’etre unilaterale, car les fournisseurs de produits et services seront souvent les seuls a pouvoir archiver sur de longues durees. Le cocontractant risque de ne pas disposer des equipements permettant de le faire de facon systematique, voire satisfaisante[36][36]. C’est la raison pour laquelle certains pensent que les prestataires de services de certification seront amenes egalement a proposer des services d’archivage[37][37]. . La date 59. Sauf texte special, la date d’un acte n’est pas une condition de validite de cet acte. Neanmoins, l’indication de la date d’un acte est une enonciation essentielle[38][38]. Le moment de conclusion du contrat marque le point de depart des effets de l’acte. Le temps influe egalement sur le droit lorsqu’il s’agit de determiner un delai[39][39]. Par exemple, il est courant qu’un contrat a duree determinee renouvelable par tacite reconduction puisse etre resilie dans un delai de quelques mois precedant la date anniversaire du contrat. 60.
Autre exemple, en matiere de marches publics, le delai de remise du dossier de candidature a un appel d’offres doit imperativement etre respecte. Il n’existe pas de dispositions particulieres dans le Code civil relativement a la force probante de la date a l’egard des parties contractantes. Entre les parties, les actes sous seing prive font foi de leur date, comme de leur contenu, jusqu’a preuve contraire. Or, en matiere informatique, la date indiquee dans un message ne presente aucune garantie. Il est aise pour l’utilisateur de modifier la date de l’horloge interne de son ordinateur.
Meme si l’horloge de son ordinateur etait correctement reglee au depart, elle doit etre regulierement remise a l’heure, car l’horloge « derive ». Le probleme s’accentue en cas d’equipements fonctionnant en reseau, comme c’est le cas sur Internet, car les differents ordinateurs intervenant lors d’une communication donnee peuvent avoir des dates differentes. 61. La securite des rapports contractuels peut en etre affectee. Surtout, chaque fois qu’une echeance imperative est calculee a partir d’une date, il est necessaire de pouvoir se referer a une date « certifiee ».
Il existe des protocoles qui permettent la synchronisation permanente des serveurs a des horloges de reference[40][40]. Il est donc necessaire d’avoir recours a des services d’horodatage des messages qui pourront garantir la date des actes juridiques sous forme electronique[41][41]. La encore, ces services d’horodatage pourront etre proposes par les prestataires de certification. C. Le texte permet-il de remedier aux difficultes liees aux transactions sur Internet ? 62. Les debats parlementaires soulignent que la loi va permettre d’offrir des garanties aux consommateurs sur Internet et dynamiseront le developpement du « cyber-commerce ».
En effet, les internautes francais seraient particulierement reticents a effectuer leurs achats sur Internet. En pratique, la loi risque d’avoir peu d’influence sur cette question. 63. L’achat en ligne de biens ou de prestations fait intervenir deux actes juridiques distincts : le paiement et le contrat de vente ou de services. S’agissant du contrat lui-meme, sauf pour certains contrats specifiques necessitant un formalisme particulier, aucune forme particuliere n’est requise pour la validite du contrat : c’est le principe bien connu du consensualisme qui couvre les contrats courants.
La conclusion de contrats par voie electronique est tout a fait possible, pourvu que soit adaptee l’expression du consentement. 64. Au niveau de la preuve du contrat, il faudrait respecter les exigences de la loi qui prevoit que l’ecrit sous forme electronique doit permettre d’identifier la personne dont il emane et qu’il soit etabli et conserve dans des conditions de nature a en garantir l’integrite.
Sur le deuxieme point, nous avons vu qu’elle suppose que les fournisseurs mettent en place les procedures techniques adequates pour conserver et securiser les donnees refletant les operations de leur commerce electronique. 65. Sur le premier point, seule l’utilisation d’une signature electronique permet aujourd’hui d’assurer cette fonction d’identification en l’absence de relation contractuelle prealable. Or, la generalisation des signatures electroniques sur Internet suppose la mise en ? vre effective des services de certification. Cette certification sera generatrice de cout et d’un certain formalisme. Comme le soulignent certains : « il est douteux que les menues operations de la vie courante s’accommodent de ces complications. On peut donc sans etre mage ou devin, prevoir que le commerce electronique comportera des securites a etage, et que des millions d’operations continueront de se faire a decouvert, c’est-a-dire avec risque, comme il en va des cheques et des cartes de credit. [42][42] 66. En realite, c’est le paiement sur Internet qui focalise les craintes des consommateurs. Le mode de paiement le plus couramment utilise sur Internet consiste a indiquer le numero apparent de sa carte bancaire, en general crypte avec le protocole SSL integre au navigateur. Beaucoup craignent que leur numero de carte ne soit intercepte et utilise a leur insu. Pourtant, le consommateur dispose d’un recours aupres de sa banque en cas d’utilisation frauduleuse de sa carte. 67.
L’echo donne par les medias a l’affaire Humpich[43][43], concernant cet informaticien qui aurait trouve une faille dans le systeme de securite des cartes a puces utilisees en France pour les cartes de paiement, bien qu’elle concerne un probleme different puisque lie au code confidentiel qui n’est pas communique dans le cadre d’un paiement en ligne, n’est pas fait pour rassurer le grand public. 68. La loi, qui est relative au probleme de la preuve, ne regle pas cette question de la crainte des piratages et de la necessaire securisation des systemes de paiement sur Internet.
Au demeurant, le titulaire du compte est deja lie par une convention de preuve avec sa banque. Ainsi, les conditions generales de fonctionnement des cartes bleues indiquent : « le titulaire du compte autorise la banque a debiter son compte au vu des enregistrements ou des releves transmis par le commercant, meme en l’absence de factures signees par le titulaire de la carte ou assorties d’un controle du code confidentiel, pour le reglement des achats de biens ou de prestations de services »[44][44]. 69. Cette pratique contractuelle est simplement confortee par la loi qui enterine la validite des conventions de preuve.
Sur la preuve du paiement, la loi n’apporte aucune modification majeure, la convention de preuve liant la banque au consommateur detenteur de la carte de credit et non celui-ci au commercant[45][45]. D. La coherence avec la reglementation de la cryptologie 70. Il est difficile d’aborder la reglementation de la signature electronique et des services de certification sans evoquer la reglementation de la cryptographie : la cryptographie apporte la securite technique necessaire a la signature, la fourniture de services de certification est liee aux techniques de cryptographie asymetrique. 1. La loi francaise n° 96-659 du 26 juillet 1996[46][46] repose sur la dichotomie entre les fonctions d’authentification et d’integrite, soumise a un regime plus liberal, et les fonctions de confidentialite, sur lesquelles l’Etat entend garder un controle etroit. Elle prevoit pour l’utilisation de la cryptographie forte a des fins de confidentialite le recours au systeme des tiers de confiance[47][47]. 72. La France dispose d’une reglementation complexe et de la plus stricte des pays developpes. Dans une conference de resse du 19 janvier 1999 sur la Societe de l’Information, le Premier ministre a annonce la refonte de la legislation adoptee en 1996. Il est notamment envisage de supprimer le caractere obligatoire du recours aux tiers de confiance. D’ores et deja, en attendant la modification legislative annoncee, deux decrets et un arretes publies le 17 mars 1999[48][48] ont releve le seuil de la cryptologie dont l’utilisation est libre de 40 bits a 128 bits. 73. Un prestataire de services de certification sera aux termes de la loi francaise un fournisseur de prestation de cryptologie.
Si la simple utilisation d’une signature electronique est libre, il n’en va pas de meme pour la fourniture qui est soumise a la formalite de la declaration prealable. Les fonctionnalites utilisees pour l’authentification et le controle de l’integrite ne doivent pas permettre de chiffrer d’autres informations que les donnees necessaires au controle d’acces, ni aucune autre information que celle necessaire a l’authentification ou au controle d’integrite des donnees elles-memes. Sinon, le produit releve de la formalite de la demande d’autorisation prealable.
Du point de vue technique et de la securisation des echanges, separer l’authentification de la confidentialite est artificiel. 74. Dans la directive, les deux aspects sont lies. Ainsi, les PSC doivent : « utiliser des systemes et des produits fiables qui sont proteges contre les modifications et qui assurent la securite technique et cryptographique des fonctions qu’ils assument ; » ou encore «prendre des mesures contre la contrefacon des certificats, et dans les cas ou le PSC genere des donnees afferentes a la creation de signature, garantir la confidentialite au cours du processus de generation de ces donnees » (annexe II, points f et g).
De meme, la fonction d’autorite de certification est liee a la technique de la cryptographie asymetrique. Or, dans ce procede, authentification et confidentialite sont liees sur le plan fonctionnel. 75. Le projet de directive indique que les etats membres doivent veiller a ce que les produits de signature electronique conformes a la directive puissent circuler librement sur le marche interieur. Il s’agit d’un rappel du principe de libre circulation. Un produit de signature electronique librement commercialise dans un autre pays de l’Union europeenne doit pouvoir etre fourni en France sans entrave.
Surtout, les etats membres ne doivent soumettre la fourniture des services de certification a aucune autorisation prealable (article 3. 1). 76. On peut se demander si le fait que le decret n°99-199 du 17 mars 1999 substitue la formalite de la declaration a celle de l’autorisation pour la fourniture de produits de cryptographie mis en ? uvre par un algorithme dont la cle est inferieure ou egale a 128 bits est suffisant au regard des exigences de la directive. 77. Les decrets d’application de la loi du 13 mars 2000 doivent mettre en ? vre les dispositions de la directive sur la signature electronique. Or, les prestataires de services de certification sont incontestablement des fournisseurs de services de cryptologie au sens de la loi du 26 juillet 1996. Est-il vraiment coherent de transposer la directive sur les signatures electroniques sans avoir mis en ? uvre, au prealable, la refonte annoncee de la legislation relative a la cryptologie ? Conclusion 78. Les prestataires de services de certification vont devenir de veritables agents de la preuve.
A cote des services de signature electronique proprement dits, ils devront proposer egalement des services d’horodatage et d’archivage, deux questions etroitement liees a la preuve des actes juridiques, voire meme des services de securite. 79. L’apparition d’un tiers certificateur dans la relation contractuelle afin d’assurer la preuve de l’acte conclu par voie electronique n’est pas sans rappeler l’acte authentique. La loi du 13 mars 2000 ne fait aucune reference a l’intervention des prestataires de services de certification qui interviennent dans le processus de signature electronique et dont le role est pourtant fondamental.
La question se pose de savoir s’il n’aurait pas fallu les mentionner dans le texte de la loi[49][49][50]. 80. La signature, fonction personnelle[51][50], reflet de la personnalite, va se trouver depersonnalisee et deleguee a un systeme informatique gere par un tiers, dans lequel l’utilisateur devra avoir toute confiance. L’intervention d’un tiers dans le processus de signature est un changement radical, dont toutes les consequences non plus juridiques, mais sociologiques, n’ont pas encore ete mesurees. ———————–
