Signature électronique : impact au contentieux de la certification de la solution mise en œuvre

Date : Publié par

Les arrêts rendus début septembre 2020 par les Cours d’appel de Toulouse (CA Toulouse, 3ième Ch., 4 septembre 2020, RG n°19/01990) et de Lyon (CA Lyon, 6ième Ch., 3 septembre 2020, RG n°19/06466) accordent une place importante à la certification des solutions de signature mises en oeuvre. Mais encore faut‑il comprendre la portée de ces certifications et leur impact réel sur la fiabilité de la signature électronique.

 

Le point commun de ces deux arrêts est de mettre en avant la "certification" de la solution de signature pour accepter - ou refuser - de reconnaître une valeur au document signé électroniquement. Mais la façon dont la "certification" est comprise par les juges invite à une réflexion sur la portée exacte de ce mot magique.

En effet, la création d’une signature électronique à distance est une opération technique « invisible » pour l’utilisateur mais qui fait intervenir plusieurs domaines techniques complexes ( Livre blanc « Signature à distance – Etat des lieux et bonnes pratiques » - 2020 – Edité par le Club PSCO et l’AFAI) :

- Délivrance des certificats ;

- Protection des clés privées de signature ;

- Format et standard de la signature ;

- Création de signature ;

- Audit des prestataires.

 Pour chacun de ces domaines, plusieurs niveaux de garantie sont définis, qui ont une terminologie différente et se mesurent à l’aune de normes et standards différents. Ainsi que le remarquent très justement les auteurs du livre blanc sur la signature à distance édité par le Club PSCO et l’AFAI, cette diversité « génère bien souvent des confusions sur la garantie globale offerte par la signature à distance ».

Ainsi, à titre d’exemple, les signatures dites « simples » sont le plus souvent générées via le cryptage du document à signer par un cachet personne morale ou un cachet d’horodatage, l’ensemble de la solution étant présentée par les fournisseurs comme irréprochable du fait que les cachets en question sont au niveau qualifié eIDAS. Mais à part assurer l’intégrité du document signé, que valent ces procédés en tant que signature électronique d’une personne physique ? Prouvent‑ils l’identité du signataire ? Assurent‑ils un lien entre le signataire et l’acte ? Oui, peut‑être, mais encore faut‑il que ce soit démontré, sans s’arrêter à l’apparente légitimité d’une « certification » qui n’a qu’un lointain rapport avec la fiabilité réelle du processus de signature pris dans son ensemble.

Il faut en conclusion se réjouir que les magistrats commencent à accorder de l’importance à la certification des processus de signature électronique qui leur sont soumis, car l’objectif même de la certification est d’apporter de la confiance. Mais encore faut‑il rester vigilant sur l’objet de cette certification, qui n’est pas nécessairement un gage de fiabilité du processus de signature électronique mis en œuvre.

À lire également

La signature scannée est une pratique douteuse

Date : Publié par
La Cour de Cassation a rendu le 13 mars 2024 (Chambre commerciale, 22-16.487) un arrêt très intéressant sur les limites du recours à la signature scannée pour attester de l'identité et du consentement de son auteur.

Le droit à la protection des données personnelles n'est pas un droit absolu

Date : Publié par
La chambre sociale de la Cour de Cassation a rendu le 8 mars 2023 un arrêt (Chambre sociale n°21-12.492) rappelant, au visa du point (4) de l'introduction du RGPD, que "le droit à la protection des données à caractère personnel n'est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité".