Cours sur le droit du commerce electronique international

Télécharger

Cours sur le droit du commerce électronique international

I/ ECRIT, PREUVE ET SIGNATURE SOUS FORME ELECTRONIQUE

Partant de l'esprit originel régnant sur l'Internet (anarcho-libertaire) qui fonctionnait sur la base des principes de liberté et de gratuité, certains ont dit qu'il y avait un vide juridique, que les réseaux numériques étaient hors-la-loi. Le droit commun ne s'appliquerait-il pas aux activités sur les réseaux ? Il va sans dire qu'une telle assertion est totalement fausse, ne fût-ce que parce que les réseaux sont devenus des vecteurs mercantiles et qu'ils constituent un enjeu géopolitique majeur pour les États. De plus, comme l'ont souligné avec justesse sur


un plan général certains auteurs : " Les juristes savent d'instinct ce que les théoriciens leur démontrent chacun à sa manière : le " vide juridique " - le manque de règles de droit - n'existe pas. L'idée même est déraisonnable, car, à chaque instant, tout système juridique est apte à fournir des réponses à toutes les questions que ses utilisateurs se posent. " [22]. Le contenu juridique des droits nationaux en matière de commerce électronique s'inspire étroitement de sources internationales (A), cela souligne le rôle fondateur joué par la Commission des Nations Unies sur le Droit commercial international (C.N.U.D.C.I.) dans les domaines de l'écrit et de la signature (B). [23]

  1. A) Des sources juridiques internationales

Parler de l'émergence de règles juridiques transnationales du commerce électronique ne se discute plus [24]. La plupart des États considèrent, en outre, que l'adoption de textes législatifs sur certaine problématiques typiques du commerce électronique est devenue une nécessité. L'ampleur d'actions centrifuges, ainsi que la spécificité de la portée des règles ainsi édictées mérite d'être mise en relief.

Le droit du commerce électronique se caractérise par le pluralisme de ses sources ; Même s'il puise ses sources dans le droit du commerce international [25], il s'en différencie néanmoins, spécialement parce qu'il ne touche pas, en principe, aux transactions sous-jacentes et qu'il relève pour partie exclusivement du droit interne. Il ne se confond avec aucun droit tant celui de la propriété intellectuelle, de l'informatique ou celui des télécommunications, c'est un droit spécifique qui emprunte des parcelles de son contenu à de multiples domaines juridiques, sans pour autant s'arrêter aux traditionnelles distinctions droit privé-droit public [26]. Selon M. Bruno Oppetit, : " si l'on veut adopter une attitude de rigueur intellectuelle à l'égard des règles de droit spontanées dont la lex mercatoria offre une belle illustration, on n'échappe pas au dilemme suivant :

  • ou bien l'on s'en tient sans faiblesse au dogme du positivisme légaliste et on rejette alors ce soi-disant droit spontané dans le domaine des faits, voire du non-droit, (...)
  • ou bien l'on procède à un renversement complet de la théorie des sources et l'on décide de partir, non pas du caractère absolu et exclusif du principe de légalité, mais du pluralisme des sources, en admettant l'idée qu'il existe sur un même plan divers modes de production des règles de droit, qui sont tous originaire au même titre, (...), seul le monopole étatique étant récusé. " [27]

Les différents systèmes juridiques se fondaient sur des transactions basées sur des documents écrits, signés et papier et de nombreux obstacles juridiques risquaient d'entraver le développement du commerce électronique international. Nous prendrons le parti de ne point distinguer entre les sources formelles et les sources informelles, et dans le cadre des premières, entre celles d'origine publique et celles qui procèdent d'organismes privés [28]. Précisons toutefois qu'en matière de technologies de l'information, le droit suit la technique, la prégnance des normes et standards internationaux ; mais comment pourrait-t-il s'en abstraire totalement ? De sorte que les organismes de normalisation, à l'origine de nouvelles pratiques commerciales, impulsent de nouvelles règles, citons par exemple les normes et recommandations techniques édictées par l'I.S.O. (Organisation de standardisation Internationale), l'E.T.S.I. (Institut de Standardisation des Télécoms en Europe) ou l'Internet Engineering Task Force (I.E.T.F.).

Notre propos portera exclusivement sur les travaux actuels réalisés au sein de certaines organisations internationales dont l'impact sur les droits internes nous semble le plus concret. Toutefois, nous choisirons de ne pas focaliser notre attention sur le rôle et les travaux de certaines organisations internationales comme la Commission économique des Nations Unies pour l'Europe, Centre pour la facilitation des procédures et des pratiques dans l'administration, le commerce et les transports (C.E.F.A.C.T.) [29], l'O.C.D.E. [30], l'Organisation Mondiale du Commerce (O.M.C.) [31], la Chambre de commerce internationale (C.C.I.) [32], l'UNESCO, le Conseil de l'Europe [33] ou la C.N.U.C.E.D. Pour l'instant, leur action n'a pas eu d'incidence directe sur les systèmes juridiques sinon pour, et seulement dans certaines enceintes, inciter les Etats à l'inaction, c'est à dire favoriser la régulation par le marché et les pouvoirs privés économiques. Seules la C.N.U.D.C.I. et l'Union européenne ont contribué concrètement à l'harmonisation internationale des législations sur les notions étudiées [34].

  1. B) Le rôle fondateur de la loi-type de la C.N.U.D.C.I. sur le commerce électronique

Au premier chef, la Commission des Nations Unies pour le droit commercial international (C.N.U.D.C.I.) dès 1985, a demandé aux États membres et aux organisations internationales de réexaminer les exigences légales relatives à la valeur probatoire des enregistrements informatiques [35] et celles relatives à la "signature manuscrite ou de toute autre méthode d'authentification sur papier pour les documents commerciaux afin de permettre, le cas échéant, l'utilisation de moyens électroniques d'authentification "[36]. Ultérieurement d'autres problèmes juridiques altérant la sécurité, facteur indispensable au commerce électronique, sont apparus dans des domaines très variés : données nominatives, protection des consommateurs, formation des contrats, conservation des enregistrements informatiques [37], droit de propriété intellectuelle, noms de domaines, fiscalité, conflits de lois et de juridictions, arbitrage, exequatur, douanes, responsabilité des prestataires de services, diffusion de contenus illicites, sécurité et confidentialité des transactions en ligne, ... Or du fait du caractère international inhérent aux réseaux numériques, les organisations internationales sont intervenues chacune dans leur champ de compétence, avec plus ou moins de bonheur et de conviction, et plus ou moins tardivement.

Les travaux entrepris par la Commission au début des années quatre vingt dix se sont soldés par l'adoption de la loi-type sur le commerce électronique en 1996 [38]. Ils suivaient la loi type sur les virements internationaux. Eu égard à la nature de l'instrument [39], l'objectif était de proposer aux différents législateurs un ensemble de dispositions juridiques acceptables au niveau international, de façon à ce que les principaux obstacles au développement du commerce électronique soient éliminés et que leur adoption traduise une plus grande sécurité juridique. Ce texte, composé de dix sept articles et accompagné d'un guide juridique pour l'incorporation de la loi, se fonde sur quelques principes directeurs et d'autres dispositions [40]. Cependant, la portée juridique de cet instrument international ne saurait être minimisée. En effet, la présente loi-type connaît un large succès dans la mesure où elle a servi de modèle dans la grande majorité des Etats qui entendaient apporter une réponse aux problèmes juridiques du commerce électronique, spécialement aux questions de preuve, d'écrit et de signature électroniques. Sans doute, même s'il n'est pas question d'unification, mais d'harmonisation, l'effectivité est indéniable. L'élimination des principaux obstacles légaux s'en tient exclusivement à quelques aspects. La thèse que nous avancions avec M. Renaud Sorieul prend peu à peu de la consistance : en l'occurrence, les normes juridiques spécifiques procèdent d'une autorité internationale légitime et s'inscrivent dans les ordres juridiques internes sous la forme la plus achevée, la loi. Et cela se manifeste dans le respect de la souveraineté des États. Par ce biais, certaines dispositions de la loi-type régiront les pratiques commerciales et le marché. Précisons que nous prendrons le parti de limiter notre examen aux seuls principes directeurs et à leur traduction en droit français.

1°) Non-discrimination

Aux termes des articles 5 et 5 bis, " l'effet juridique, la validité ou la force exécutoire d'une information ne sont pas déniés au seul motif que cette information est sous forme de message de données " [41] et " qu'elle n'est pas incorporée dans le message de données supposé produire des effets juridiques, mais qu'il y est uniquement fait référence. " L'incorporation par référence est un facteur indispensable pour les communications électroniques car les messages ne contiennent que les informations essentielles aux transactions et renvoient le plus souvent à des dispositions juridiques extérieures (conditions générales, usages et pratiques du commerce, déclarations de pratiques de certification, chartes d'utilisation, codes de conduite,…) contenues dans des bases de données, des annuaires ou des glossaires. L'accès au texte intégral auquel il est fait référence dans le corps du message s'opère notamment par le biais des liens hypertextes. Pour la détermination de l'accessibilité du texte, certains critères pourraient être pris en compte : disponibilité, coût d'accès, intégrité, notification et avis des mises à jour [42].

Si l'on prend le cas des certificats électroniques d'identification, il faut avoir à l'esprit qu'ils sont émis par une Autorité de certification conformément à la norme X 509 (I.S.O./U.I.T.), ce qui suppose une taille limitée et des champs prédéfinis. Or, leurs effets juridiques ne peuvent être ni ambigus, ni incertains car le document extérieur auquel le certificat renvoi, contient les dispositions que le prestataire de service de certification s'engage à suivre, les règles que les abonnés et les tierces parties utilisatrices doivent respecter et des clauses juridiques telles que par exemple des clauses limitatives ou exonératoire de responsabilité, d'arbitrage, de loi applicable ou de tribunal compétent. D'où l'importance fondamentale de la validité juridique de telles incorporation électronique. On observera toutefois, que l'article 5 bis se contente de poser une règle de non discrimination et qu'il laisse aux droits nationaux le soin d'apprécier la validité et l'opposabilité de ces documents externes. En France, la jurisprudence impose, pour que le document auquel la clause fait référence soit opposable à l'autre partie, que celle-ci en ait eu connaissance et qu'elle l'ait acceptée, fût-ce tacitement notamment dans l'hypothèses où les parties entretenaient des relations anciennes et continues ou qu'il existe un usage [43]. De tels usages n'ont pas encore pu être consacrés ; tant s'en faut. Mais l'idéal serait que des termes du commerce électronique, unanimement reconnus au plan international, puissent acquérir le statut d'usage commercial à l'image des Incoterms ou des Règles et usances uniformes relatives aux crédits documentaires [44] de la Chambre de commerce internationale [45]. Ainsi la simple référence à un terme spécifique et accepté par les parties dans le cadre de leurs échanges contractuels ne pourrait plus être remise en cause.

2°) Neutralité technologique et médiatique

La définition retenue à l'article 2 pour le message de données ne se fonde pas sur l'utilisation d'une technologie de communication particulière. En effet, ce terme " désigne l'information créée, envoyée, reçue ou conservée par des moyens électroniques ou optiques ou des moyens analogues, notamment, mais non exclusivement, l'échange de données informatisées (EDI), la messagerie électronique, le télégraphe, le télex et la télécopie. " [46] L'idée sous-jacente consistait à couvrir l'utilisation de supports autre que le papier, sans discrimination à l'égard d'une technologie. En effet, une disposition de nature législative (lorsque un État l'adopte en tant que telle !) ne saurait faire une quelconque référence à une technologie ; à défaut, on risquerait d'avoir à modifier la loi dans un domaine où les technologiques évoluent à une vitesse inégalée, ce qui n'est pas sans influence sur les pratiques commerciales. La solution juridique retenue ne pouvait en aucun cas dépendre d'un état provisoire de la technologie [47]. Nonobstant, il ne fallait pas non plus imposer un formalisme excessif, c'est à dire plus contraignant pour la formation et la conservation des actes juridiques électroniques que pour des actes analogues dans un environnement papier [48].

3°) Équivalence fonctionnelle

Partant de l'analyse des fonctions juridiques fondamentales des notions d'écrit, de signature et d'original dans le contexte des documents papier, il a été décidé de les transposer dans l'environnement électronique [49]. C'est une voie médiane qui a été retenue par la C.N.U.D.C.I., située entre une orientation radicale consistant à créer de nouveaux concepts sans référence à ce qui existe et une voie tendant à redéfinir les concepts existant dans l'univers du papier. Ainsi, " dans leur tentative d'apporter une solution juridique à certains obstacles rencontrés par le commerce électronique, les auteurs de la loi-type se sont constamment référés aux situations juridiques connues dans le monde des documents-papier pour imaginer comment de telles situations pourraient être transposées, reproduites ou imitées dans un environnement dématérialisé. Les dispositions de la loi-type se sont donc constituées sur la base d'un inventaire des fonctions assurées, par exemple par l'écrit, la signature ou l'original dans les relations commerciales traditionnelles. [50]" Par la suite, cette approche a été reprise dans toutes les législations en vigueur (Singapour [51], République de Corée, Illinois, Missouri, Italie [52], Portugal [53], Autriche [54], Colombie, …), ainsi que dans les projets de lois aussi bien en Europe (France [55], Allemagne [56], Luxembourg, Royaume Uni, Espagne, Belgique, Irlande, Danemark) [57], que sur d'autres continents (Argentine et Maroc).

4°) L'incorporation en droit français

Lorsque l'on examine le projet de loi français portant adaptation du droit de la preuve aux technologies de l'information et relatif à la signature électronique [58], on constate que tout le raisonnement se fonde sur la sécurité des mesures techniques qui seront utilisées par les parties aux actes juridiques pour donner force probante aux écrits électroniques et définir la signature en général et la signature électronique en particulier. L'approche suivie est celle de l'équivalent fonctionnel.

L'écrit exigé à des fins de preuve (ce qui est sans incidence sur l'écrit exigé ad solemnitatem) se caractérise par sa neutralité technique et se définira comme suit : " La preuve littérale ou par écrit résulte d'une suite de lettres, de caractères, de chiffres ou de tout autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission. (article 1316 du code civil) " [59]. On regrettera, toutefois, que la notion d'accessibilité à tout moment par l'homme ait été supprimée au cours de l'élaboration du projet. Sans doute, cela s'explique-t-il par le fait que l'article suivant prescrit la conservation, ce qui semble impliquer la prise en compte de la durabilité de l'écrit électronique dès lors que l'intégrité est assurée. L'admission d'un écrit sous forme électronique en tant que preuve au même titre que l'écrit papier, est consacré sous réserve que " puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité (article 1316-1)" [60]. S'agissant du règlement des conflits de preuve littérale, question qui ne fait pour l'instant l'objet d'aucune disposition dans le code civil, le projet du nouvel article 1316-2 dispose : " Lorsque la loi n'a pas fixé d'autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable quel qu'en soit le support. " Cet article reconnaît définitivement, à la suite de la jurisprudence se fondant sur le caractère non impératif des règles sur la preuve [61], la validité des convention de preuve. De surcroît, il confère au juge le pouvoir souverain d'apprécier quelle est la preuve littérale qui est la plus vraisemblable [62], et ce, en fonction du cas d'espèce qui lui est soumis. Afin de lever toute équivoque quant à l'équivalence probatoire instituée entre l'écrit électronique et l'écrit papier, un article 1322-1 devrait être inséré après l'actuel article 1322 ; selon ses termes, " la même force probante est attachée à l'écrit sous forme électronique lorsqu'il constate des droits et obligations et qu'il est signé. " En revanche, l'original ne fait pas l'objet de disposition, contrairement à la loi-type [63]. On peut considérer qu'un tel article est superflu car au plan probatoire, l'original se confond avec l'écrit, imputable, intègre, signé. L'intégrité sous entend qu'elle s'apprécie à compter du moment où l'information a été créée pour la première fois.

Par ailleurs, le droit français ne comporte aucune définition de la signature, même si la jurisprudence en a précisé le régime et la validité depuis longtemps. Aussi, le projet d'article 1322-1 établit clairement la double fonction de la signature, conformément à l'approche préconisé par la C.N.U.D.C.I. : identification de la personne auteur de l'acte et manifestation de son consentement au contenu de cet acte juridique [64]. Cette définition vaut pour toute les formes de signature qu'elle soit manuscrite, électronique ou autre. Mais elle ne vaut que pour les actes juridiques et ne couvre pas ce que l'on appelle en pratique les signatures de serveur web au moyen d'un certificat numérique délivré par une Autorité de certification. Il en va de même des certificats d'éditeur pour les produits logiciels ou multimédia.

A la vérité, en droit interne d'importantes réformes sont en préparation (une loi cadre sur l'Internet est prévue pour courant de l'an 2000 [65]). Elle s'inscrivent directement dans le droit fil des préoccupations de la Commission européenne, spécialement la proposition de directive du Parlement européen et du Conseil relative à certains aspects juridiques du commerce électronique dans le marché intérieur ; la discussion est en cours [66]. Néanmoins, eu égard à la nature internationale du commerce électronique, il ressort que les lois et règlements et autres règles contractuelles s'inspirent étroitement de sources juridiques internationales.

II/ SIGNATURES ELECTRONIQUES ET AUTORITE DE CERTIFICATION [67]

En ce domaine encore, l'impulsion est à nouveau venue de la C.N.U.D.C.I. où les premiers projets de règles uniformes internationales sur les signatures électroniques ont été élaborés au cours de la seconde moitié de 1996. A la différence de la loi-type, ces règles se négocient toujours (A), mais la Commission européenne a vu son projet de directive aboutir à un accord politique très important au début de l'été 1999 (B).

  1. A) Les règles uniformes de la C.N.U.D.C.I. sur les signatures électroniques [68]

Dans la foulée de la loi-type, la Commission a décidé de poursuivre ses travaux dans le domaine des signatures électroniques, pierre angulaire de la sécurité des échanges électroniques. L'article 7 " Signature " de la loi-type dispose :

" 1) Lorsque la loi exige la signature d'une certaine personne, cette exigence est satisfaite dans le cas d'un message de données :

  1. a) Si une méthode est utilisée pour identifier la personne en question et pour indiquer qu'elle approuve l'information contenue dans le message de données ; et
  2. b) Si la fiabilité de cette méthode est suffisante au regard de l'objet pour lequel le message de données a été créé ou communiqué, compte tenu de toutes les circonstances, y compris de tout accord en la matière."

Ainsi, toute technologie ou méthode qui permet de réaliser les deux fonctions juridiques d'identification et d'approbation du contenu de l'acte, avec un degré de fiabilité suffisante sera reconnue comme remplissant les exigences d'une signature qui pourrait être contenues dans une loi. La formulation retenue laisse le pouvoir au juge du for d'apprécier si la méthode utilisée est fiable ou ne l'est pas. C'est pourquoi la C.N.U.D.C.I. a décidé de d'entreprendre l'élaboration de règles uniformes sur les signatures électroniques. A l'instar de ce qui a été fait dans le loi-type, il fallait surmonter la difficulté de conserver une approche neutre technologiquement ; or en 1996 (et aujourd'hui encore), les seules signatures électroniques sécurisés étaient les signatures numériques basées sur la cryptologie à clés asymétriques et des infrastructures à clé publique (I.C.P.). La C.N.U.D.C.I. suit une approche hybride :

  • elle reconnaît toutes les formes de signatures électroniques qui sont susceptibles de réaliser les fonctions de la signature avec un degré de fiabilité suffisant ;
  • et elle adopte des règles particulières pour les signatures numériques basées sur la cryptographie à clé publique et les autorités de certification, mais selon toute vraisemblance, la référence sera implicite. Cette démarche s'explique, d'une part, par le principe de neutralité technique, lequel induit des règles à caractère général, et d'autre part, par un souci de coller aux pratiques connues et sécurisées. Elle risque cependant de s'avérer délicate à mettre en œuvre dans un texte cohérent et entraînant des conséquences juridiques. C'est dans ces règles que le concept de " signature électronique renforcée " - repris dans le projet européen sous l'expression " signature électronique avancée ou qualifiée "- est naît. Une telle signature a pour but de créer une présomption simple de validité de la signature, considérée comme fiable. On peut cependant considérer que les esprits sont désormais mûrs pour parvenir à un consensus pour l'adoption d'un texte, dont la nature reste à définir, à l'aube du XXIème siècle. Il en va différemment du projet de directive européenne.
  1. B) Le projet de directive européenne sur les signatures électroniques

La date de commencement des travaux sur le projet soumis aux Etats (1) démontrent qu'il aura fallu moins de trois ans (soit environ quinze mois de gestation et dix neuf mois de négociations) pour que soient jetées et acceptées les bases juridiques de l'harmonisation européenne sur le sujet (2).

1°) Historique

La Commission européenne a fait une communication au Parlement européen, au Conseil, au Comité économique et social et au Comité de régions proposant une Directive sur un cadre commun pour les signatures électroniques [69].

La proposition s'inspirait étroitement des travaux entrepris à la C.N.U.D.C.I. et se situe dans le prolongement des initiatives européennes de l'année 1997, savoir :

  • la communication "une initiative européenne dans le domaine du commerce Électronique [70] ;
  • la conférence ministérielle européenne de Bonn des 6-8 juillet 1997, "Global information networks : realising the potential " ;
  • la communication du 8 octobre 1997 "Assurer la sécurité et la confiance dans la communication électronique " [71];
  • Conférence de Copenhague (audition internationale d'experts) des 23-24 avril 1998 ;
  • enfin, il convient de rappeler que la décision d'élaborer la proposition est intervenue lors d'une décision du Conseil des télécommunications du 1er décembre 1997. [72]

Selon le calendrier initial, la Directive devait être adoptée en novembre 1998 et être mise en œuvre par les États membres avant le 1er janvier 2001. En réalité, le texte devrait être adopté en seconde lecture par le Parlement européen en décembre 1999 et transposé dans les États membres dans les dix huit mois suivants son entrée en vigueur.

2°) Les bases juridiques et techniques de l'harmonisation européenne[73]

Après avoir énoncé vingt huit considérants, le projet de texte actuel se compose de quinze articles, suivis de quatre annexes dont le contenu est fondamental : elles touchent à la sécurité technique des signatures électroniques [74].

D'une façon générale, le texte accorde un maximum de liberté au marché sans pour autant résoudre les conditions de validité de la signature électronique dans des applications particulières. Il fixe une série d'instructions aux États membres tout en restant flexible ; sa plasticité le distingue. Le principe de neutralité technique a été retenu, ce qui somme toute, a toujours été la position de la France dans les instances internationales. Ceci explique pourquoi, le texte ne mentionne pas les signatures numériques mais dispose exclusivement sur les signatures électroniques. Cela étant, dans cette enceinte comme précédemment à la C.N.U.D.C.I., il est difficile de rester neutre au plan technique alors que les seules signatures sécurisées sont les signature numériques mises en œuvre dans le cadre d'infrastructures à clé publique et supposant l'utilisation de certificats numériques. Force est de constater que les autres techniques d'authentification aussi sûres que la signature numérique à clé publique n'existent pas encore ; à tout le moins des techniques de signatures dynamiques ou biométriques telles que PenOp si elles présentent des avantages sur le plan de leur simplicité d'utilisation, restent encore problématiques dans la mesure où la question du lien entre la signature et le message n'a pas encore été réglée, spécialement la " solidité " et la durabilité de ce lien. Comment, à supposer qu'il n'y pas eu de convention préalable, accorder une valeur juridique à signature dont l'"apposition " durable sur un acte juridique électronique ne peut être garantie ? Le lien doit être sûr ! Aucun risque ne doit entacher le consentement.

Deux objectifs fondamentaux peuvent être dégagés :

  • assurer la libre circulation des produits et services de signature électronique et la liberté d'établissement des prestataires.
  • attribuer un minimum d'effets juridiques aux signatures électroniques dans le marché unique.
  1. a) Régime des signatures électroniques

L'article 1 traite du champ d'application de la directive : faciliter l'emploi de la signature électronique et en assurer la reconnaissance juridique. Toutefois, en vertu de son § 2, cet article " ne couvre pas les aspects liés à la conclusion et à la validité des contrats et autres obligations légales lorsque des exigences d'ordre formel sont prescrites par la législation nationale ou communautaire. " Son but est d'exclure du champ d'application de la directive, le formalisme de certains actes juridiques (par exemple les actes authentiques).

Aux termes de sa définition (article 2), une signature électronique doit être sous forme numérique et être jointe ou liée logiquement aux données (messages) qu'elle est censée signer. Elle devrait avoir pour but d'assurer l'acceptation du contenu du message, ce qui est logique dans la mesure où la signature possède deux fonctions juridiques de base : identifier son auteur et consentir à l'acte. Mais des exigences minimales sont posées : la signature doit être liée uniquement au signataire et permettre de l'identifier, les moyens de sa création doivent rester sous son contrôle exclusif et enfin, elle doit assurer l'intégrité du message (fonction contrôle). Sont également définis les dispositifs de création et de vérification de signature.

Le principe de reconnaissance des signatures électroniques est établi à l'article 5. Cet article et les annexes constituent le cœur de la directive. Toutefois, aux termes de son § 1, les États doivent veiller à ce qu'elles " a) répondent aux exigences légales d'une signature à l'égard de données électroniques de la même manière qu'une signature manuscrite répond à ces exigences à l'égard de données manuscrites ou imprimées sur papier ; b) soient recevable comme preuves en justice. " Le principe de non discrimination est repris au § 2, ainsi la validité de la signature ne peut pas être contestée au seul motif qu'elle se présente sous une forme électronique ou qu'elle ne repose pas sur un certificat qualifié, voire même que ledit certificat a été délivré par un prestataire de services n'ayant pas reçu d'accréditation au sens de l'annexe II, ou encore que la signature n'a pas été créée au moyen d'un processus de signature sécurisé est repris au § 2.

La position européenne tend à assurer une base minimale d'harmonisation dans le marché intérieur, mais à notre avis, cela va à l'encontre de la sécurité générale du système. Des niveaux de sécurité hétéroclites risquent ainsi d'être validés et l'on pourra constater de très fortes disparités entre les États européens.

  1. b) Les prestataires de services de certification

Pour être habilité à émettre des " certificats qualifiés ", les " prestataires de services de certification " [75] auront l'obligation de remplir des conditions minimales de sécurité ; ces normes s'imposeront à eux tant en terme d'image, que de positionnement sur le marché de la confiance. Leur compétitivité en dépend. Des règles de responsabilité des prestataires sont prévues, notamment en matière de validité du contenu des certificats (article 6).

A ce titre, le projet prohibe l'instauration d'un système de licences individuelles obligatoires. Tout État qui aurait adopté une législation en ce sens devra modifier le régime juridique du contrôle des prestataires en ce sens. Il préconise cependant un système d'accréditation volontaire dont les exigences requises pour la délivrance de certificats " qualifiés " figurent à l'Annexe II.

Le texte laisse apparaître des lacunes, spécialement lorsque les prestataires de services sont appréhendés comme une entité unique, alors que plusieurs métiers coexistent : autorité de certification, opérateur de certification et autorité d'enregistrement. D'autres fonctions liées à la certification existent, spécialement la personne qui tient l'annuaire (ou liste de révocation) où sont publiés les statuts des certificats, voire même une autorité d'horodatage qui sera nécessaire pour certaines téléprocédures administratives. Effectivement, des prescriptions relatives aux délais sont obligatoires ce qui imprime un forte connotation juridique à la datation, y compris sous forme électronique.[76] Tout le monde connaît la référence au "cachet de la Poste faisant foi ", dans l'univers papier.

  1. c) Le projet de transposition en droit français

Anticipant la transposition de cette directive, le projet de loi modifiant le code civil est ainsi rédigé : " Lorsqu'elle est électronique, elle (la signature) consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'État. " Cet article pose une présomption de fiabilité du procédé de signature électronique qui respecte les conditions qui seront fixées par décret en Conseil d'État.

Ce décret régira un système d'accréditation volontaire des autorité de certification, conformément à la directive. Un organisme, inspiré de l'actuel COFRAC, délivrera en quelque sorte un label de qualité de la sécurité Il fixera les conditions de sécurité que devront remplir les prestataires de services de certification, pour que la présomption soit effective. Ainsi, à terme, il devrait y avoir deux ensembles de critères d'où découleront deux accréditations : - l'une pour les autorités de certification qui émettent des certificats de signature, et qui impose que la clé privée du signataire soit conservée et contrôlée par lui seul, même si c'est le tiers qui lui a fourni les moyens de générer son bi-clés - l'autre pour les tierces partie de confiance (séquestre de clés de chiffrement) qui doivent pouvoir reconstituer la clés privée du détenteur en cas de demande de sa part (ex : en cas de perte) ou des autorités compétentes pour être en mesure de déchiffrer le message (ex : sur commission rogatoire). Cela découle directement d'un principe de sécurité, bien connu en pratique, selon lequel il faut disposer de deux paires de clés distinctes lorsque l'on entend signer et chiffrer des messages.

Compte tenu du fait que ce sont les signatures numériques qui sont indirectement visées, c'est grâce d'une part, à la fonction de hachage que l'intégrité de l'acte est préservée, et d'autre part au certificat numérique contenant la clé publique du signataire garantissant ainsi son identité. En effet, un certificat est un message émis par une Autorité de certification qui établit un lien entre une paire de clé asymétrique et une personne préalablement enregistrée soit à des guichets, soit par une procédure en ligne [77].

0