Temesis Pôle d'expertise au service des professionnels du Web

L'accompagnement qualité Web et accessibilité.

Accueil > Ressources > Articles > La signature électronique : série d’articles d’Anabelle Matigot > Les signatures éléctroniques : aspect juridique

La signature électronique : série d’articles d’Anabelle Matigot

Les signatures éléctroniques : aspect juridique

Auteur(s) : Anabelle Matigot

Publié le : 29 novembre 2007

Résumé :

La Loi sur la sécurité quotidienne (LSQ) autorise, depuis le 1er novembre 2001, la justice à lire des documents cryptés.
Cette loi reprend certaines des dispositions du projet de loi sur la société de l’information : elles concernent la durée de conservation des données de connexion ainsi que la mise à disposition des techniques de cryptologie.
Ce texte a, théoriquement du moins, une portée limitée dans le temps. Certains points ainsi votés devraient être appliqués seulement jusqu’au 31 décembre 2003, si le Parlement ne revient pas sur le texte entre temps.
Cette actualité législative est une bonne occasion pour s’interroger sur le devenir de la signature électronique, qui utilise les bases de la cryptologie. Depuis l’entrée en vigueur de la loi et du décret qui y sont consacrés, les textes complémentaires se font attendre pour que ce procédé soit totalement opérationnel en France.
Le système est complexe en termes de technicité et le vocabulaire est spécifique ; pourtant si la signature électronique n’est pas totalement opérationnelle aujourd’hui, il est indéniable qu’elle sera très utilisée dans les années à venir et qu’elle concernera tout le monde : les entreprises, les administrations, mais aussi les particuliers. Raison de plus pour essayer de comprendre maintenant comment ça marche...

 Introduction

Le but unique de cet article est d’informer sur l’aspect juridique d’un phénomène complexe et qui fait l’objet de peu d’explication grand public.

La loi française encadre désormais la signature électronique en lui reconnaissant une valeur juridique importante, puisqu’elle lui accorde la même que celle de la signature manuscrite.

Pourtant, si le principe est posé, il manque concrètement plusieurs arrêtés ministériels qui devront eux-mêmes mettre en place les modalités pratiques d’un système complètement opérationnel.

Ce système de "poupée-russe" et la lenteur avec laquelle les ministères concernés réagissent laissent à penser que la signature électronique sera plutôt pour après-demain que pour demain.

 Etat des lieux

Conformément à la directive européenne du 13 décembre 1999, la France a intégré dans sa législation l’écrit électronique.

De cette transposition du droit communautaire en droit interne sont nés deux textes :

Cette loi a crée dans le code civil de nouveaux articles : les articles 1316-1 à 1316-4 qui reconnaissent l’existence et la valeur juridique de la signature électronique en droit français.

On peut penser que la boucle est bouclée, mais il faut tout de même savoir que le décret d’application renvoie lui-même à une série d’arrêtés ministériels (du Premier Ministre et du Ministre de l’industrie ) qui seront pris dans les mois à venir. Ils permettront de mettre en place les modalités techniques qui feront de la signature électronique un système opérationnel.

Il est vrai que l’essentiel a été fait : la signature et l’écrit électroniques ont enfin une existence juridique.

Toutefois, comment la signature électronique va t’elle concrètement prendre sa place ? A qui devra t’on s’adresser pour en bénéficier ? Dans quelles conditions peut-on devenir un prestataire sur ce nouveau marché ?

Quel est l’état actuel de la concurrence dans ce domaine ?

L’existence d’un cadre législatif signifie t’il que toutes les offres seront analogues ?

Toutes ces questions ne peuvent être abordées qu’au regard du droit actuel, c’est-à-dire incomplet. Un état des lieux concernant les initiatives dans ce domaine est intéressant à effectuer et à suivre dans le futur, pour constater les comportements d’adaptation au marché des prestataires actuels et à venir.

Tout d’abord, il s’agit de définir la signature électronique, ce qui n’est pas chose aisée pour ceux qui comme moi ont des connaissances restreintes dans le domaine technique de l’informatique.

 Définition juridique de la signature électronique

La loi du 13 mars 2000 définit la signature :

"La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose."

Elle définit aussi la signature électronique, qui "consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache".

Concrètement, la signature permet d’authentifier avec certitude l’émetteur d’un message reçu mais aussi de garantir l’intégrité de ce message (pas de modification ou d’altération due au passage sur Internet ).

 Le fonctionnement de la signature électronique

Petit lexique de la signature électronique :

Cryptographie : méthode utilisée pour transmettre et échanger des messages de façon sécurisée.

Généralement appelée cryptographie à clé publique car elle repose sur le principe de paires de "clés asymétriques" ou "bi-clés", qui sont des clés de chiffrement.

Le chiffrement est le nom donné aux techniques mathématiques de (dé)codage des données.

Clé : chaque individu engagé dans une transaction électronique sécurisée est muni de deux clés.

Une clé dite "privée" : elle est secrète et conservée par son titulaire : le signataire.

Une clé dite "publique" : elle est transmise à tout interlocuteur sans restriction.

A chaque clé privée correspond une seule clé publique et inversement.

Un message codé avec une clé privée ne peut être décodé que par la clé publique associée et inversement.

Ces clés composent la signature électronique.

Certificat : les certificats électroniques sont des documents électroniques qui associent le nom d’une personne à une clé publique.

Pour utiliser en toute confiance une clé publique, il faut donc que celle-ci soit certifiée (accompagnée d’un certificat délivré) par une autorité de confiance, appelée autorité de certification (= prestataire de signature électronique).

Le certificat contient des mentions obligatoires et optionnelles :

Les certificats peuvent être "qualifiés".

Certificat qualifié : l’article 6 du décret du 30 mars 2001 énonce la possibilité pour les prestataires de signature électronique d’être reconnus comme qualifiés.

Quel est l’intérêt d’une telle procédure si le prestataire respecte la législation en matière de signature électronique ?

L’article 7 du décret dispose que "cette qualification vaut présomption de conformité aux dites exigences", c’est-à-dire aux exigences de l’article 6 qui met en place les mentions que doit contenir un certificat qualifié et les exigences qu’il doit respecter.

Tout l’intérêt réside dans la preuve de la conformité du certificat à la loi : en cas de litige, si le certificat est qualifié, ce sera à celui qui prétend que le certificat ne respecte pas les exigences de la loi de le prouver (c’est le jeu de la présomption).

Si le certificat n’est pas qualifié, en cas de litige, ce sera au prestataire de prouver que son certificat est conforme aux dispositions législatives dans ce domaine.

C’est ici que la législation est incomplète dans la mesure où cette procédure de qualification relève d’une autorité qui n’est pas encore créée (cf. article 7 du décret et schéma en supra).

Dispositifs sécurisés de création de signature électronique : Ce sont les systèmes que le prestataire de certification va mettre en place pour créer les signatures électroniques (établissement des clés).

Ces systèmes permettent de créer la signature à partir de données fournies par celui qui souhaite bénéficier de cette prestation et qui en sera l’unique titulaire.

C’est pour cette raison que l’utilisation de ces données est soumise à certaines obligations :

Ces systèmes ou dispositifs de création doivent impérativement être certifiés conformes aux critères de l’article 3 du décret : c’est une obligation pour le prestataire.

Qui se chargera de cette mission de certification ? Deux possibilités :

Dans tous les cas l’obtention de cette certification sera rendue publique (publication au J.O ?).

Le décret prévoit qu’un comité directeur, institué auprès du 1er Ministre, sera mis en place pour contrôler cette certification.

Dispositifs de vérification de signature électronique : Aucune définition n’est actuellement envisageable, avec la loi et le décret.

Conclusion :

Les informations que nous fournissent les textes actuels sont insuffisantes.

Au niveau pratique, d’abord, il est impossible de savoir à qui un titulaire de signature électronique va s’adresser pour vérifier l’authenticité d’une signature qu’il aurait reçue : va t’il s’adresser à son propre prestataire de signature électronique ou au prestataire de son correspondant ?

Ceci n’est qu’un exemple parmi d’autres des questions pratiques que soulève l’incomplétude actuelle de notre droit positif.

Au niveau juridique, ensuite, la responsabilité des acteurs et notamment des prestataires ne fait l’objet d’aucune disposition précise.

Cela est regrettable dans la mesure où des acteurs se positionnent sur le marché sans connaître l’étendue des obligations qui vont peser sur eux.

Mais qui sont les acteurs qui occupent effectivement aujourd’hui le marché ?

 Les acteurs actuels

Les acteurs de la signature électronique sont nombreux comme nous l’avons vu plus haut : comité, instance, organisme public... Tout ce qui relève des pouvoirs publics n’existe pas encore, faute de textes complémentaires.

Et pourtant, les prestataires de certification de signature électronique, également appelés autorités de certification ou tiers de confiance, se multiplient et engagent même déjà des campagnes d’"information", pour ne pas dire publicitaires.

Il est vrai que la déclaration et le paiement de la TVA par téléprocédure ont été rendus obligatoires pour les sociétés dont le CA hors taxes réalisé au cours de l’exercice précédent est supérieur à 100 millions de francs, obligation imposée par la loi de finances rectificative pour 1999 (loi du 30/12/1999 -article 41).

Cette téléprocédure utilise le système du certificat numérique, certificat qui pourra être par la suite utilisé pour tout acte économique sur Internet, avec des partenaires autres que l’administration.

Dès lors, on comprend mieux l’enjeu que représente cette obligation légale pour les prestataires de signature électronique : se positionner dès maintenant sur le marché de la sécurisation des échanges (et par-là de la signature électronique) apparaît comme un atout majeur, en termes de concurrence.

Une entreprise, qui aura utilisé avec succès le certificat de téléprocédure pour la TVA d’un prestataire, sera sans aucun doute prête à bénéficier des autres prestations proposées.

C’est le Ministère de l’Industrie et des Finances qui organise la TéléTVA, en référençant les certificats.

Ce référencement a pour objet d’homologuer les familles de certificats des autorités de certification (vérification de leur conformité à certaines dispositions).

Cette homologation rend alors les certificats utilisables pour la télé-déclaration de la TVA.

Liste des familles de certificats référencées par le MINEFI :

Autorité de certification Famille de certificats Procédure pour laquelle le certificat est référencé
BNP Paribas-Authority Entreprise Net-Identity TéléTVA
Certinomis SociePoste TéléTVA
Certplus DeclaraCert Entreprise TéléTVA
ChamberSign ChamberSign France Initio TéléTVA
Click and Trust Cyberplusbusiness

TVA en ligne

Banques Populaires

TéléTVA

TéléTVA
TéléTVA

Crédit Lyonnais Crédit Lyonnais Entreprise TéléTVA
Natexis Banques Populaires NXBP Relations Fiscales TéléTVA
SG Trust Services Sogen Trust TéléTVA

Liste des familles de certificats en cours de référencement au 30 juin 2001 :

Autorité de certification Famille de certificats Procédure pour laquelle le certificat est référencé
Certinomis Societis TéléTVA
Crédit Agricole CA Certificat TéléTVA
HSBC
(Anciennement CCF - MAJ 7 mars 2005)
HSBC Elys Certification TéléTVA
ICS Eurosign TéléTVA

NB : À propos de la procédure de référencement

Référencement et qualification

Le référencement doit être distingué de la qualification décrite au chapitre III du décret no 2001-272 du 30 mars 2001 relatif à la signature électronique. Cette qualification n’est pas encore entièrement définie puisqu’en attente d’un arrêté ministériel.

De même le ministère agissant en tant qu’Agence Autorité prononçant les référencements de certificats de fournisseurs, n’est pas et ne prévoit pas dans le cadre du référencement d’être un organisme accrédité par une instance désignée par arrêté du ministre chargé de l’industrie (cet arrêté n’est pas encore publié).

Le référencement est prononcé dans le cadre des téléprocédures du MINEFI et uniquement dans ce cadre. A ce titre, le MINEFI dégage toute responsabilité relative à l’usage des certificats référencés en dehors de ses téléprocédures (ex :la signature électronique).

Conclusion et perspectives :

Il semble qu’aucune information sur le succès (ou l’échec) de cette opération ne soit encore disponible. Il est donc impossible aujourd’hui de prédire l’avenir de ce système.

Que les infrastructures ne soient pas opérationnelles ou suffisantes, qu’il y ait un manque d’information et de sensibilisation, ou les deux, le retard qu’ont pris les administrations et le rallongement des délais montrent que le fonctionnement n’est pas encore parfaitement au point.

Opquast - SAS au capital de 111 766€ - 18, rue Lucien Granet 33150 - Cenon - France - +33 5 56 401 402