Aujourd’hui beaucoup de contrats se concluent sur internet, c’est ainsi qu’une loi de mars 2000 a précisé que les écrits électroniques ont une valeur probante, de même la validité de la signature électronique a été reconnue. En effet, il a fallu aménager des moyens de sécurisation, de preuve afin de pouvoir contracter librement et sereinement sur internet.

La « signature électronique sécurisée » consiste en  » une signature électronique qui utilise outre un procédé fiable d’identification, qui est propre au signataire, qui est créée par des moyens que le signataire puisse garder sous son contrôle exclusif, et qui garantit avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable« .

Telle est la définition donnée par le décret d’application de la loi portant adaptation du droit de la preuveaux technologies de l’information et relative à la signature électronique.

Publiée au Journal Officiel le 13 mars 2000, la loi prévoit notamment que les écrits électroniques ont une valeur probante devant un tribunal, les contractants peuvent d’élaborer leurs propres règles de preuve privées, la validité de signature électronique est reconnue au même titre qu’une signature manuscrite si  » elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » et « la fiabilité du procédé est présumée, jusqu’à preuve contraire, lorsque la signature est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans les conditions fixées par décret en Conseil d’Etat« .

Le Gouvernement avait préparé ce projet de décret qu’il a soumis à consultation publique à la fin de l’année 2000. Ce texte avait suscité beaucoup de commentaires, lesquels mettaient en exergue deux soucis majeurs à savoir celui d’assurer un certain niveau de sécurité et celui d’éviter un encadrement trop rigide.

Publié le 31 mars 2001 au Journal Officiel, le décret prévoit que  » la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat qualifié « .

I. Un dispositif sécurisé de création de signature électronique

Un dispositif de création de signature électronique (matériel ou logiciel) sera réputé sécurisé si un certain nombre de garanties sont prévues en ce qui concerne les données de création.

lles doivent être établies une seule fois, leur confidentialité doit être assurée, elles ne peuvent pas être déduites, elles ne peuvent pas être falsifiées, elles sont protégées par le signataire contre toute utilisation par des tiers. De plus, le dispositif ne doit pas altérer le contenu de l’acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.

Pour attester de la sécurisation du dispositif de création de signature électronique, celui-ci devra être évalué et certifié conforme

(1) soit par les services du Premier ministre chargés de la sécurité des systèmes d’information conformément à un arrêté à venir (probablement, la Direction Centrale des Systèmes de Sécurité et de l’Information, la DCSSI)

(2) soit par des organismes qui seront agrées par ces services,

(3) soit par un organisme européeen assimilé. Les services délivreront un certificat de conformité. Le contrôle de la mise en oeuvre de ces procédures d’évaluation et de certification sera assuré par un Comité directeur de la certification, prochainement institué par un arrêté du Premier ministre.

II. Un dispositif de vérification de signature électronique

Un dispositif de vérification de signature électronique (c’est-à-dire les éléments, tels que les clés publiques, utilisés pour vérifier la signature électronique) doit être évalué et peut également être certifié conforme. Ce dispositif devra  » permettre de garantir l’exactitude de la signature électronique, de déterminer avec certitude le contenu des données signées, de vérifier la durée et la validité du certificat électronique utilisé, l’identité du signataire etc. « . La vérification de la signature repose sur des certificats électroniques qualifiés.

Pour garantir l’identité du signataire, les certificats électroniques qualifiés devront d’une part comprendre un certain nombre de mentions obligatoires comme notamment  » l’identité du prestataire, le nom du signataire, la période de validité du certificat, les conditions d’utilisation du certificat etc.  » et d’autre part être délivrés par un prestataire de service de certification (PSC), lequel doit offrir un certain nombre de services (annuaire, révocation, horodatage des certificats etc.) et s’engager sur un certains nombre de garanties (délivrance, fiabilité et prévention contre la falsification des certificats, utilisation de systèmes, produits, procédures sécurisés, conservation des données, personnel qualifié etc.).

Un décret n° 2002-535 du 18 avril 2002 ( JO du 19 avril 2002) a crée une procédure de certification de la sécurité des produits et des systèmes des technologies de l’information.

Elle est effectuée selon les standards internationalement reconnus et s’appuie sur des centres d’évaluation agréés, qui effectuent des contrôles et des tests et rendent compte des résultats obtenus. Au vu de ces résultats, le certificat est délivré par le Premier ministre.

Un arrêté est paru le 31 mai 2002 désignant le Centre français d’accréditation (Cofrac) pour accréditer les sociétés qui évalueront, pour deux ans, les prestataires de certification électronique. Une liste à jour des organismes accrédités sera à la disposition du public. L’évaluation effectuée par ces organismes sera payé par le prestataire de services.

En conclusion, on pourra souligner que ces textes ne sont pas forcément limpides et laissent planer quelques zones d’incertitudes.

Par exemple, qu’entend-on par la notion de « vérificateur » ou n’aurait-on pas plutôt par définir cette notion dès l’introduction, les limitations de responsabilité et de garantie de ces prestataires seront-t-elle possibles en ce qui concerne les certificats, comment se concilie cette réglementation avec celle sur la protection des données personnelles etc. Tant de questions que la pratique mettra rapidement en exergue.

ARTICLES EN RELATION

• La preuve
• Commerce électronique
• Facture électronique
• Dématérialisation des commandes publiques