/reboot/media/3b2353c4-0a3d-11f0-ad69-7a41756b04df/3f1022d0-2d6c-11f0-804e-4e3df4547316/1-1-printer-paper-w1ck5b5z3za.jpg)
Signature électronique : impact au contentieux de la certification de la solution mise en œuvre
Les arrêts rendus début septembre 2020 par les Cours d’appel de Toulouse (CA Toulouse, 3ième Ch., 4 septembre 2020, RG n°19/01990) et de Lyon (CA Lyon, 6ième Ch., 3 septembre 2020, RG n°19/06466) accordent une place importante à la certification des solutions de signature mises en oeuvre. Mais encore faut‑il comprendre la portée de ces certifications et leur impact réel sur la fiabilité de la signature électronique.
Le point commun de ces deux arrêts est de mettre en avant la "certification" de la solution de signature pour accepter - ou refuser - de reconnaître une valeur au document signé électroniquement. Mais la façon dont la "certification" est comprise par les juges invite à une réflexion sur la portée exacte de ce mot magique.
En effet, la création d’une signature électronique à distance est une opération technique « invisible » pour l’utilisateur mais qui fait intervenir plusieurs domaines techniques complexes ( Livre blanc « Signature à distance – Etat des lieux et bonnes pratiques » - 2020 – Edité par le Club PSCO et l’AFAI) :
- Délivrance des certificats ;
- Protection des clés privées de signature ;
- Format et standard de la signature ;
- Création de signature ;
- Audit des prestataires.
Pour chacun de ces domaines, plusieurs niveaux de garantie sont définis, qui ont une terminologie différente et se mesurent à l’aune de normes et standards différents. Ainsi que le remarquent très justement les auteurs du livre blanc sur la signature à distance édité par le Club PSCO et l’AFAI, cette diversité « génère bien souvent des confusions sur la garantie globale offerte par la signature à distance ».
Ainsi, à titre d’exemple, les signatures dites « simples » sont le plus souvent générées via le cryptage du document à signer par un cachet personne morale ou un cachet d’horodatage, l’ensemble de la solution étant présentée par les fournisseurs comme irréprochable du fait que les cachets en question sont au niveau qualifié eIDAS. Mais à part assurer l’intégrité du document signé, que valent ces procédés en tant que signature électronique d’une personne physique ? Prouvent‑ils l’identité du signataire ? Assurent‑ils un lien entre le signataire et l’acte ? Oui, peut‑être, mais encore faut‑il que ce soit démontré, sans s’arrêter à l’apparente légitimité d’une « certification » qui n’a qu’un lointain rapport avec la fiabilité réelle du processus de signature pris dans son ensemble.
Il faut en conclusion se réjouir que les magistrats commencent à accorder de l’importance à la certification des processus de signature électronique qui leur sont soumis, car l’objectif même de la certification est d’apporter de la confiance. Mais encore faut‑il rester vigilant sur l’objet de cette certification, qui n’est pas nécessairement un gage de fiabilité du processus de signature électronique mis en œuvre.
/reboot/media/3b2353c4-0a3d-11f0-ad69-7a41756b04df/2d2a7000-2d69-11f0-8ec2-4e3df4547316/1-1-black-pencil-on-white-printerpaper-nn5l5gxkfz8.jpg)
/reboot/media/3b2353c4-0a3d-11f0-ad69-7a41756b04df/32e9c404-54ed-11f0-ad55-0a54e1453775/1-1-brown-metal-chain-with-white-background-ipuim-36tag.jpg)
/reboot/media/3b2353c4-0a3d-11f0-ad69-7a41756b04df/817c8966-34d2-11f0-b171-ca83f24d1f3e/1-1-traffic-light-on-stop-sign-xt1tpxqodcc.jpg)