Article réservé aux abonnés Archimag.com

La signature électronique adopte un nouveau look

  • signature-962359_960_720.jpg

    La signature électronique souvent appelée « présumée fiable » perd son ancienne définition franco-française pour devenir la signature électronique qualifiée. (Pixabay)
  • La signature électronique de droit français adopte un nouveau look avec le décret nº 2017-1416 du 28 septembre 2017 relatif à la signature électronique, ainsi que l’ordonnance nº 2017-1426 du 4 octobre 2017.

    Le décret 2017-1416, pris pour application de l’article 1367 du Code civil (anciennement 1316-4 du Code civil), applique un nettoyage méticuleux des textes pour adopter - enfin - le même langage que celui du Règlement européen eIDAS (Règlement UE nº 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur), entamant l’homogénéisation du droit national avec le droit européen.

    Il apporte deux changements majeurs relatifs aux définitions des différents niveaux de signature électronique...

    L’article 2 du décret abroge l’ancien décret d’application nº 2001-272 du 30 mars 2001 et élimine ainsi les différences de niveau entre la conception européenne et la conception française de la signature électronique :

    • il n’existera maintenant plus de signature électronique « sécurisée », qui change de nom au profit de la signature électronique « avancée » ;
    • de plus, la signature électronique qualifiée définie au niveau européen sera présumée fiable dans le droit français.

    La signature électronique souvent appelée « présumée fiable » perd donc son ancienne définition franco-française pour devenir la signature électronique qualifiée prévue à l’article 3-12) du Règlement eIDAS.

    L’article 1 du décret reprend la définition du Règlement : « Est une signature électronique qualifiée une signature électronique avancée [conforme à l'article 26 du règlement susvisé], qui est créée à l'aide d'un dispositif de création de signature électronique qualifié [répondant aux exigences de l'article 29 dudit règlement], et qui repose sur un certificat qualifié de signature électronique [répondant aux exigences de l'article 28 de ce règlement]. »

    présomption de fiabilité

    Le droit français garde néanmoins quelques spécificités. Tout d’abord, l’article 25-2 du Règlement eIDAS pose un véritable principe d’équivalence : « L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite ».

    Le droit français va donc plus loin en conférant à la signature électronique qualifiée la présomption de fiabilité, dont ne dispose pas la signature manuscrite.

    Même si cette présomption de fiabilité est réfragable, c’est-à-dire que l’absence de fiabilité d’une signature électronique qualifiée doit pouvoir être combattue par toute preuve contraire, en pratique, cela nécessitera une expertise informatique complexe.

    Ainsi, devant un juge français, une signature électronique qualifiée sera reconnue comme équivalente à une signature manuscrite (sous-entendu sur support papier), mais apportera un niveau de sécurité juridique supérieur puisqu’elle sera présumée fiable jusqu’à preuve contraire apportée par la partie qui en conteste la validité.

    une signature électronique simple plus rassurante

    La deuxième spécificité tient au fait que l’article 1367 du Code civil maintient une définition française de la signature électronique dite « simple » différente de la définition européenne donnée par le règlement eIDAS, ce qui en fait, pour les puristes de la matière, une signature plus rassurante que la signature électronique dite simple européenne.

    En effet, la définition européenne n’est pas très exigeante puisqu’elle consiste selon la définition en « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ».

    Tandis que la définition française est la suivante : « Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache ».

    Cela signifie que sont exigés en droit français deux éléments qui doivent être garantis : un procédé fiable d’identification du signataire, et un lien technique garanti avec l’acte signé.

    Explication de texte de l’ordonnance

    On notera encore une nouveauté touchant le secteur public, qui pourrait passer inaperçue : une ordonnance nº 2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques vient abroger un dispositif obsolète et non utilisé de validation des certificats prévu à l’article 10 de l’ordonnance nº 2005-1516 du 8 décembre 2005.

    Mais que l’on se rassure pour certains, les niveaux des certificats électroniques de signature en étoile (* 1 étoile, ** 2 étoiles et *** 3 étoiles), prévus par le référentiel général de sécurité (RGS) pour les décisions de l’administration, demeurent applicables selon l’article L.212-3 du Code des relations entre le public et l’administration.

    On s’interrogera alors sur l’articulation quelque peu difficile du RGS avec l’article 27 du Règlement eIDAS sur les « Signatures électroniques dans les services publics ».

    un alignement qui doit se poursuivre

    Pour conclure sur ce nouveau look, si les niveaux de signature de droit commun français semblent s’homogénéiser avec les niveaux européens, c’est en gardant quelques spécificités « à la française ». Il est probable que l’alignement du droit national sur le droit européen se poursuive dans les mois à venir.

    Du point de vue pragmatique, pour les services implémentant la signature électronique, la réduction du nombre de définitions à prendre en compte permettra de mieux se concentrer sur la façon de mettre en œuvre la dématérialisation, plutôt que sur la complexité d’articulation des textes. Un bon point pour le législateur !


    Polyanna Bigle

    Avocat à la Cour

    Directeur du Département sécurité numérique – Alain Bensoussan Lexing

    Dimitri Mouton

    Gérant de Demaeter, cabinet de conseil en dématérialisation

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    Du big data aux données personnelles, la problématique data envahit les organisations. Pour la prendre en main, de nouveaux profils émergent, avec des dénominations telles que data scientist, chief data officer ou data protection officer. Des témoins révèlent leur parcours et apportent des conseils. Un sujet urgent s’impose à tous, celui de la protection des données personnelles (règlement européen RGPD). Les éditeurs de solutions de gestion de l’information s’emparent de la nécessité de conformité. Le président de l’Association française des correspondants à la protection des données à caractère personnel livre son point de vue. Les formations aux métiers de la data sont déjà en nombre.
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.

    Le chiffre du jour

    8
    C'est le nombre de pages vues sur la version francophone de Wikipédia en France.

    Recevez l'essentiel de l'actu !