signature électronique

LA SECURITE DU COMMERCE SUR INTERNET

Le développement des nouvelles technologies de l’information et de la communication a permis l’apparition d’internet, et celui-ci a permis la mise en place du commerce en ligne, autrement appelé, commerce électronique.

 C’est la loi pour la confiance dans une économie numérique, du 21 juin 2004, qui définit le commerce électronique dans son article 14 comme « l’activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou services ».

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Toutefois, l’immense majorité des contrats conclus dans le commerce électronique s’exécutent dans le monde matériel ; donc souvent des biens corporels qui sont livrés par une personne physique. Et c’est bien parce qu’ils s’exécutent à distance, qu’ils doivent impérativement respecter les conditions de sécurité et de confidentialité. En effet, lorsqu’on réalise un achat sur internet, la plupart du temps, on transfert des données personnelles, données qui peuvent être extrêmement sensibles et que si elles ne sont pas protégées, elles peuvent impacter gravement la vie privée d’une personne

C’est la raison pour laquelle, certaines dispositions concernant la sécurité des paiements, la protection des consommateurs et également, la signature sécurisée des contrats électroniques ont été adoptées.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


I. La signature électronique

En vertu de l’article 1367 aliéna 2 du code civil, « Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité de la signature assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État ».

Depuis le règlement européen n° 910/2014 du Parlement européen relatif à la signature électronique (règlement eIDAS), on distingue 3 niveaux de signatures : la signature simple, la avancée et la qualifiée.

Les signatures électroniques ne bénéficiant pas d’une présomption de fiabilité sont la signature électronique simple et avancée.

Qu’est-ce une signature simple ?

Cette signature est définie par le règlement eIDAS du 23 juillet 2014 comme « des données sous forme électronique qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ». Il faut savoir que cette signature est la plus utilisée, dans la vie courante, puisqu’elle est rapide et efficace.

Toutefois, elle a ses limites, notamment pour la signature numérisée. En effet, la Cour de cassation a rendu un arrêt en date du 17 mai 2006 (Cass. Soc. N° 04-46.706) où elle estimait que la signature manuscrite était scannée apposée sur une lettre de licenciement n’avait pas de valeur probatoire et était donc irrégulière. Par là, il faut comprendre que la signature simple ne permet pas de garantir que la personne qui rédige et appose sa signature est bien la personne qui était présente pour s’engager. Par conséquent, elle apparaît comme la moins fiable puisqu’elle ne permet pas d’authentifier avec certitude la personne qui signe le document ni l’intégrité des données signées.

Ensuite, il y a la signature avancée.

Qu’est-ce une signature avancée ?

L’article 26 du règlement eIDAS prévoit que la signature électronique avancée doit respecter certaines exigences

-Il est nécessaire que la signature soit liée au signataire de manière univoque

-Elle doit identifier le signataire

-Elle doit avoir été créée à l’aide de données de création de signatures électroniques

-Elle doit être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

En revanche, la signature électronique, qui elle bénéficie d’une présomption de fiabilité, est la signature qualifiée. L’article 1er du décret n° 2017-1416 du 28 septembre 2017 énonce ainsi que « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée ».

L’article 3 du règlement eIDAS de 2014 définit la signature qualifiée comme « une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signatures électroniques qualifiée, et qui repose sur un certificat qualifié de signature électronique ».

 Ce certificat est en quelque sorte une carte d’identité électronique qui doit permettre d’établir un lien entre la personne et sa signature. Il est délivré par un prestataire de service de confiance qui obtient son agrément auprès de l’ANSSI. Ce certificat doit contenir des mentions obligatoires comme l’identité et la signature du prestataire de services de certification électronique.

Cependant, la jurisprudence a admise que même si une signature électronique ne bénéficie pas d’une présomption de fiabilité, elle pourra être admise par le juge si leur fiabilité technique est démontrée. En effet, dans un arrêt en date du 6 avril 2016, la Cour de cassation a confirmé la décision des juges du fond de considérer comme fiable une signature qui n’a pas été effectuée conformément aux techniques fixées par décret.

En cas de contestation de la fiabilité d’une signature électronique qualifiée, il appartiendra à celui qui conteste de prouver que la signature n’est pas fiable. Dès lors, la charge de la preuve est inversée.

II. Sécurité des paiements en ligne

Aujourd’hui, pour effectuer un achat en ligne, il est nécessaire de passer par une opération de paiement, et celle-ci doit être sécurisée et confidentielle.

L’article L. 133-3 du code monétaire et financier dispose qu’une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire.

A l’heure actuelle, il existe plusieurs moyens de paiement électroniques :

1.Paiement par carte bancaire en ligne ou par e-carte bancaire

La banque attribue à son client un numéro de carte à usage unique, cela évite la circulation du numéro de la carte bancaire. Concernant la sécurité, le prestataire doit s’assurer que les dispositifs de sécurité personnalisés de la carte ne soient pas accessibles à d’autres personnes. Le titulaire de la carte s’oblige à rembourser à la banque, les sommes qui sont représentatives des achats.

2.La monnaie électronique

La monnaie électronique n’est pas à confondre avec la cryptomonnaie. La monnaie électronique est une valeur monétaire stockée sous forme électronique sur un support tel qu’une carte prépayée ou tout autre support informatique, représentant une créance sur l’émetteur et qui est émise contre la remise de fonds aux fins d’opérations de paiement.

3.Portefeuille électronique (e-wallet)

C’est l’exemple de PayPal ou ApplePay, et c’est un  système dans lequel sont stockées des données personnelles, coordonnées et des données bancaires.

4.Cryptomonnaies ou actifs numériques

Elles fonctionnent grâce au Blockchain, le bitcoin naturellement.

Ils sont considérés comme des « tokens » les jetons non fongibles, tout instrument contenant sous forme numérique des unités de valeurs monétaires pouvant être transférées ou conservées dans le but d’acquérir en biens ou services, mais ne représentant pas des créances sur la méthode.

Il convient toutefois de préciser que les paiements faits sur bitcoin sont faits dans un but lucratif ; en France le paiement d’argent s’effectue en euro (art. 1343-3 du Code civil).

III. Protection des consommateurs

Les consommateurs sont aussi protégés lorsqu’ils effectuent des achats en ligne. La plupart des opérations nécessitent une authentification forte. Celle-ci s’entend comme une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement

La loi impose le remboursement immédiat pour toute transaction effectuée sans authentification forte. Toutefois, en cas de fraude à la carte bancaire, le porteur peut obtenir le remboursement des débits frauduleux et des frais occasionnés en s’adressant auprès de sa banque. L’établissement de crédit doit rembourser le payeur le montant de l’opération immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé. En cas de perte, de vol, etc. , le payeur supporte les conséquences avant d’avoir formé opposition même s’il y a un plafond de 50 euros.

Cependant, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier.

Selon une jurisprudence de la chambre commerciale de la Cour de cassation, la faute du porteur de carte ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Com. 18 janvier 2017, n° 15-18.102).

La victime du hameçonnage peut voir sa responsabilité engagée pour négligence grave s’il a reçu un courriel frauduleux et communiqué des données sensibles. La négligence grave doit s’apprécier in abstracto aux regards d’indices et au regard d’un utilisateur normalement attentif aux caractéristiques d’un courriel frauduleux.

Par ailleurs, les personnes dont les données personnelles font l’objet d’un traitement bénéficient de plusieurs droits :

-Droit d’accès (article 15 du RGPD)

-Droit de rectification (article 16 du RGPD)

-Droit à l’oubli (article 17 du RGPD)

-Droit à la limitation du traitement (article 18)

-Droit à l’opposition

Aussi, le responsable de traitement doit s’assurer dans un premier temps que les données traitées sont bien protégées dès la conception de l’outil numérique concerné (Privacy by design). Il aura alors recours à certaines techniques très spécifiques telles que la pseudonymisation ou la minimisation des données – selon la CNIL “le principe de minimisation des données prévoit que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”.

Les pratiques commerciales déloyales sont interdites. Selon l’article L. 121-1 du code de la consommation est considérée comme déloyale une pratique commerciale contraire aux exigences de la diligence professionnelle et qui altère ou est de nature à altérer de manière substantielle le comportement économique du consommateur

Sont des pratiques déloyales, des pratiques trompeuses et dangereuses.

Les pratiques trompeuses sont visées à l’article L. 121-2 et L. 121-3 du code de la consommation et sont interdites, car regardées comme déloyales à l’égard des consommateurs, dans la mesure où elles reposent sur des allégations, indications ou présentations fausses ou de nature à induire en erreur le consommateur ou encore parce qu’elles se caractérisent par une ou des omissions.

La pratique dangereuse, elle, soit altère ou est de nature à altérer de manière significative la liberté de choix d’un consommateur ; soit elle vicie ou est de nature à vicier le consentement d’un consommateur ; soit elle entrave l’exercice des droits contractuels d’un consommateur (article L. 121-6 code de la consommation).

Toutefois, malgré toutes ces dispositions, la sécurité dépendra surtout du comportement du consommateur ou de l’utilisateur. Ce dernier doit, en effet, adopter certains mécanismes lorsqu’il surfe sur le net. Il est, ainsi, recommandé :

1) ne jamais communiquer des données sensibles (numéro de carte bancaire, identifiants personnels) en cliquant sur un lien envoyé par courrier électronique ;

2) toujours vérifier, dans la barre d’adresse du navigateur, l’adresse du site internet avant de saisir les informations demandées ;

3) toujours partir de la page d’accueil d’un site pour accéder aux autres pages, notamment celles où sont demandés des identifiants ;

4) lors de la consultation de sites sécurisés (sites bancaires, par exemple), s’assurer de l’activation du cryptage des données (l’adresse du site doit commencer par https et non par http)

5) en cas de doute, prendre contact directement avec l’entreprise concernée (votre banque, votre fournisseur d’accès à l’internet, etc.) pour lui signaler le message suspect.

Pour lire une version plus complète de la sécurité du commerce sur internet, cliquez

SOURCES :

https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-reglement-eidas/
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000035676246/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000032389405/

Signature électronique

Aujourd’hui beaucoup de contrats se concluent sur internet, c’est ainsi qu’une loi de mars 2000 a précisé que les écrits électroniques ont une valeur probante, de même la validité de la signature électronique a été reconnue. En effet, il a fallu aménager des moyens de sécurisation, de preuve afin de pouvoir contracter librement et sereinement sur internet.

La “signature électronique sécurisée” consiste en ” une signature électronique qui utilise outre un procédé fiable d’identification, qui est propre au signataire, qui est créée par des moyens que le signataire puisse garder sous son contrôle exclusif, et qui garantit avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable“.

Telle est la définition donnée par le décret d’application de la loi portant adaptation du droit de la preuveaux technologies de l’information et relative à la signature électronique.

Publiée au Journal Officiel le 13 mars 2000, la loi prévoit notamment que les écrits électroniques ont une valeur probante devant un tribunal, les contractants peuvent d’élaborer leurs propres règles de preuve privées, la validité de signature électronique est reconnue au même titre qu’une signature manuscrite si ” elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache” et “la fiabilité du procédé est présumée, jusqu’à preuve contraire, lorsque la signature est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans les conditions fixées par décret en Conseil d’Etat“.

Le Gouvernement avait préparé ce projet de décret qu’il a soumis à consultation publique à la fin de l’année 2000. Ce texte avait suscité beaucoup de commentaires, lesquels mettaient en exergue deux soucis majeurs à savoir celui d’assurer un certain niveau de sécurité et celui d’éviter un encadrement trop rigide.

Publié le 31 mars 2001 au Journal Officiel, le décret prévoit que ” la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat qualifié “.

 

I. Un dispositif sécurisé de création de signature électronique

Un dispositif de création de signature électronique (matériel ou logiciel) sera réputé sécurisé si un certain nombre de garanties sont prévues en ce qui concerne les données de création.

lles doivent être établies une seule fois, leur confidentialité doit être assurée, elles ne peuvent pas être déduites, elles ne peuvent pas être falsifiées, elles sont protégées par le signataire contre toute utilisation par des tiers. De plus, le dispositif ne doit pas altérer le contenu de l’acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.

Pour attester de la sécurisation du dispositif de création de signature électronique, celui-ci devra être évalué et certifié conforme

(1) soit par les services du Premier ministre chargés de la sécurité des systèmes d’information conformément à un arrêté à venir (probablement, la Direction Centrale des Systèmes de Sécurité et de l’Information, la DCSSI)

(2) soit par des organismes qui seront agrées par ces services,

(3) soit par un organisme européeen assimilé. Les services délivreront un certificat de conformité. Le contrôle de la mise en oeuvre de ces procédures d’évaluation et de certification sera assuré par un Comité directeur de la certification, prochainement institué par un arrêté du Premier ministre.

 

II. Un dispositif de vérification de signature électronique

Un dispositif de vérification de signature électronique (c’est-à-dire les éléments, tels que les clés publiques, utilisés pour vérifier la signature électronique) doit être évalué et peut également être certifié conforme. Ce dispositif devra ” permettre de garantir l’exactitude de la signature électronique, de déterminer avec certitude le contenu des données signées, de vérifier la durée et la validité du certificat électronique utilisé, l’identité du signataire etc. “. La vérification de la signature repose sur des certificats électroniques qualifiés.

Pour garantir l’identité du signataire, les certificats électroniques qualifiés devront d’une part comprendre un certain nombre de mentions obligatoires comme notamment ” l’identité du prestataire, le nom du signataire, la période de validité du certificat, les conditions d’utilisation du certificat etc. ” et d’autre part être délivrés par un prestataire de service de certification (PSC), lequel doit offrir un certain nombre de services (annuaire, révocation, horodatage des certificats etc.) et s’engager sur un certains nombre de garanties (délivrance, fiabilité et prévention contre la falsification des certificats, utilisation de systèmes, produits, procédures sécurisés, conservation des données, personnel qualifié etc.).

Un décret n° 2002-535 du 18 avril 2002 ( JO du 19 avril 2002) a crée une procédure de certification de la sécurité des produits et des systèmes des technologies de l’information.

Elle est effectuée selon les standards internationalement reconnus et s’appuie sur des centres d’évaluation agréés, qui effectuent des contrôles et des tests et rendent compte des résultats obtenus. Au vu de ces résultats, le certificat est délivré par le Premier ministre.

Un arrêté est paru le 31 mai 2002 désignant le Centre français d’accréditation (Cofrac) pour accréditer les sociétés qui évalueront, pour deux ans, les prestataires de certification électronique. Une liste à jour des organismes accrédités sera à la disposition du public. L’évaluation effectuée par ces organismes sera payé par le prestataire de services.

En conclusion, on pourra souligner que ces textes ne sont pas forcément limpides et laissent planer quelques zones d’incertitudes.

Par exemple, qu’entend-on par la notion de “vérificateur” ou n’aurait-on pas plutôt par définir cette notion dès l’introduction, les limitations de responsabilité et de garantie de ces prestataires seront-t-elle possibles en ce qui concerne les certificats, comment se concilie cette réglementation avec celle sur la protection des données personnelles etc. Tant de questions que la pratique mettra rapidement en exergue.

ARTICLES EN RELATION

Signature électronique : identité des contractants

L’arrivée d’internet a bouleversé le monde juridique, des nouveaux usages se sont alors mis en place, et le droit à du s’adapter. C’est ainsi que la signature électronique a naturellement pris place au sein de l’arsenal juridique français afin de pouvoir identifier son contractant sur internet.

Pour lire la suite, cliquez sur ce lien