Vous souhaitez mettre un terme aux séances de signature interminables, aux préparatifs nocturnes et aux originaux égarés ? Suivez le guide.
Technologie et droit sont fortement imbriqués en matière de signature électronique : plus la technologie utilisée est performante, plus sa force probante est grande et sa sécurité juridique assurée. Grâce aux considérables évolutions technologiques et réglementaires récentes, il est aujourd’hui hypothétique de remettre en cause juridiquement une signature électronique fiable.
Certains l’ont bien compris : de nombreux secteurs d’activités en ont généralisé l’usage (assureurs, banques, notaires, par exemple) et la jurisprudence adopte une attitude pragmatique et bienveillante à son égard depuis plusieurs années (de nombreuses décisions de cour d’appel ont admis la signature électronique comme preuve depuis 2013, de même qu’une décision de la Cour de cassation en date du 6 avril 2016).
C’est donc en évaluant la solidité d’une technologie de signature électronique que l’on s’assure de sa force probante. Voici comment procéder.
Un bref rappel du cadre juridique
Depuis la réforme du droit des contrats de 2016, l’article 1367 alinéa 2 du code civil affirme la validité et la force probante de la signature électronique, sous condition de « fiabilité du procédé » utilisé. L’article 1366 impose quant à lui deux conditions pour donner à un document électronique la même force probante qu’un document papier : (i) identification de la personne dont il émane et (ii) établissement et conservation permettant d’en garantir l’intégrité. C’est le juge qui détermine si ces trois conditions sont remplies.
Le Règlement européen eIDAS du 23 juillet 2014 a créé un cadre technico-juridique harmonisé et robuste pour les « services de confiance » (comme la signature électronique). Applicable dans toute l’Union Européenne depuis le 1er juillet 2016, il instaure plusieurs types de signatures électroniques (Simple, Avancée, Qualifiée, selon de la fiabilité du procédé d’authentification) et s’accompagne de nombreuses nouvelles normes techniques obligatoires pour chaque type de signature (publiées par le European Telecommunications Standards Institute (ETSI)).
Le respect des normes réglementaires et techniques applicables à chaque type de signature est assuré par la certification délivrée par une autorité nationale de contrôle (en France, l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI)) à chaque prestataire avant le démarrage de son activité. Une fois certifiée, l’entreprise devient « Prestataire de Services de Confiance » (PSCo). Des audits réguliers sont mis en place par la suite.
Les différents types de signatures
Juridiquement, il n’existe aucune différence de validité entre des signatures « Simple », « Avancée » et « Qualifiée ». Leur recevabilité en justice ne peut être contestée dans aucun Etat de l’Union Européenne. La signature « Qualifiée » bénéficie simplement d’une présomption de fiabilité.
La signature « Simple » est, par défaut, celle qui ne répond pas aux exigences des catégories « Avancée » ou « Qualifiée ». La vérification de l’identité du signataire se traduit en général par l’envoi d’un code à usage unique (One-Time Password – OTP) sur le mobile du signataire après qu’il ait cliqué sur un lien reçu par email.
Le signataire dispose donc seul du code, à moins que sa boite mail ET son mobile aient été compromis.
La signature « Avancée » doit satisfaire les critères règlementaires suivants :
- être liée au signataire de manière univoque ;
- permettre d’identifier le signataire ;
- avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
- être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
En pratique, ces exigences sont respectées en combinant l’envoi d’un code OTP sur mobile avec un autre facteur permettant d’établir avec certitude l’identité du signataire, comme par exemple une vérification automatisée de pièce d’identité.
En plus du piratage de la boîte mail et du vol du mobile, la falsification d’une signature « Avancée » nécessiterait que le faussaire dispose a minima d’une copie de la pièce d’identité du signataire.
La signature « Qualifiée » correspond juridiquement à une signature « Avancée » avec des exigences techniques renforcées et requiert une vérification de l’identité du signataire en face-à-face (par rendez-vous physique ou visio-conférence). Les avantages de la signature électronique (mobilité, rapidité) sont largement amoindris par ce procédé, ce qui explique que la signature « Qualifiée » ne soit pas réellement utilisée à ce jour (la plupart des prestataires ne la proposent même pas).
Closd propose à ses utilisateurs des signatures de type « Avancé » fournies par DocuSign, leader mondial et Prestataire de Service de Confiance certifié par l’ANSSI. Pour ce faire, une triple authentification des signataires est mise en place par Closd :
- Espace personnel protégé par un mot de passe ;
- Vérification de pièce d’identité automatisée ;
- Code OTP envoyé par SMS.
Un dossier de preuve est également produit et archivé à chaque vérification d’identité et signature électronique.
Ces procédures satisfont les exigences légales et jurisprudentielles et assurent la validité et la force probante des signatures effectuées sur notre plateforme.
La technologie derrière la signature
Une signature électronique n’a aucune représentation graphique. L’image généralement apposée sur le document n’a qu’une valeur symbolique. La validité et la force probante résident dans les données numériques intégrées au document qui garantissent à la fois son intégrité et l’authentification du signataire :
- Un « certificat de chiffrement » émis par une autorité de confiance (le PSCo) qui prouve que l’identité du signataire a été préalablement et dûment vérifiée ;
- Une « empreinte » du document (matérialisée par une chaîne de caractères unique) permettant de s’assurer qu’il n’a pas été modifié depuis la signature (la moindre différence dans le document modifierait l’empreinte générée).
Une fois signé, c’est l’analyse du document par un lecteur PDF (type Adobe Acrobat Reader) qui permet de déterminer si la signature électronique est valide. Lorsque le document est ouvert, le lecteur PDF détecte les données numériques de signature et les vérifie :
- Il recalcule « l’empreinte » du document reçu et s’assure qu’elle correspond bien à l’empreinte du document calculée au moment de sa signature ;
- Il inspecte le « certificat de chiffrement » pour s’assurer qu’il est valable, donc que l’identité du signataire est certaine.
Si l’un de ces deux éléments est absent ou modifié, un message avertit automatiquement l’utilisateur que la signature n’est pas valide.
Pourquoi vous pouvez faire confiance aux technologies actuelles
Le règlement européen eIDAS a considérablement facilité les choses : la certification d’un prestataire de signature électronique par l’ANSSI est l’assurance du respect d’un jeu de normes réglementaires et techniques qui garantit la fiabilité du procédé au sens du droit français. En effet les exigences européennes relatives aux signatures « Avancées » et « Qualifiées » sont supérieures à celles des articles 1366 et 1367 du code civil. La liste à jour des PSCo est publiée sur le site de l’ANSSI et sur les « listes de confiance » de l’Union Européenne, consultables sur internet également.
La preuve de la fiabilité d’une signature électronique peut donc être aisément rapportée par :
- La certification du prestataire par l’ANSSI ; et
- Le faisceau d’indices constitué par les différentes techniques d’authentification du signataire décrites ci-dessus.
En ce qui concerne la vérification d’une signature électronique par le lecteur PDF, elle repose sur un principe de « chaîne de confiance ». Le certificat de chiffrement est validé par l’Autorité de Certification (CA) qui l’a émis (le prestataire de signature électronique), elle-même validée par une Autorité ayant un niveau de confiance plus élevé et ainsi de suite, jusqu’à atteindre une Autorité de Certification Racine (Root CA), ultime maillon de la chaine (généralement des entreprises privées jouant le rôle de tiers de confiance pour une multitude d’usages). Le lecteur PDF est en mesure de vérifier la fiabilité de chaque niveau : si l’un des maillons de la chaîne fait défaut, il ne validera pas la signature électronique.
Malgré tous ces éléments, les habitudes sont difficiles à changer car les freins face à ces dispositifs techniques sont essentiellement d’ordre psychologique. L’idée que l’on puisse authentifier un signataire à distance avec certitude a encore du chemin à faire. Une signature électronique fiable est pourtant plus compliquée à falsifier qu’une signature manuscrite. Par ailleurs, elle est le seul moyen fiable pour transmettre des originaux électroniquement : la jurisprudence rappelle fréquemment qu’un original scanné ne permet ni d’authentifier le signataire ni de manifester son consentement.