Signature électronique : et si on parlait du « lien » ?

L'approche conceptuelle

Cette approche nous replonge dans le concept même de signature, dont il faut rappeler qu'il n'existait aucune définition dans le Code civil avant la loi n° 2000‑230 du 13 mars 2000, tant la chose paraissait évidente. Pour donner à la signature électronique même valeur juridique qu'à la signature manuscrite, il a fallu s'interroger sur les caractéristiques de la signature manuscrite, qui bien sûr identifie son auteur mais aussi est indéfectiblement liée à son support, littéralement incrustée dans celui‑ci et ne pouvant en être retirée sans dommage. Il fallait donc que ce lien fût une qualité intrinsèque de la signature électronique, et les textes d'application européens et français sur la signature électronique ont avalisé le recours aux infrastructures cryptographiques à chiffrement asymétrique, permettant de créer pour un document électronique signé l'équivalent du lien entre l'encre et le papier.

 L'approche technique

Cette approche suppose de plonger dans les étapes de création d'une signature électronique via une infrastructure dite à « clé publique », ou PKI (public key infrastructure), mettant en œuvre des techniques de chiffrement asymétrique. 

Supposant le signataire de l'acte préalablement identifié, le document sous forme électronique fait tout d'abord l'objet d'une opération cryptographique consistant à créer une « empreinte », ou « hash » de celui‑ci. Cette empreinte est unique pour un document donné et elle permet de s'assurer que celui‑ci a conservé son intégrité car si le document est modifié, l'empreinte change.

L'empreinte du document est ensuite codée avec la clé privée du signataire, qui est unique. Le couple clé privée/clé publique est généré par le prestataire de services de confiance soit pour un certain temps, soit pendant un laps de temps très court correspondant à l'opération de signature et l'on parle alors de « certificat » à la volée.

Techniquement, la « signature électronique » est le fichier résultant du codage de l'empreinte avec la clé privée du signataire. Ce fichier est unique pour un document donné et un signataire donné, et il est indéfectiblement lié à la fois au document via son empreinte, et au signataire via sa clé privée.

Le critère d'« univocité » mentionné par l'art.26 du Règlement eIDAS et figurant parmi les critères de la signature avancée signifie qu'une même signature électronique ne peut pas être générée pour deux signataires différents.

Cette subtilité est importante car implicitement, elle signifie qu'une signature électronique ne peut pas être de niveau avancé si elle n'a pas été générée avec un couple clé privée/clé publique (et donc un certificat électronique), nominatif. Cette caractéristique différencie la signature avancée de la signature simple, souvent produite  par codage de l'empreinte du document avec la clé privée d'un cachet électronique attribué au prestataire de service de confiance. Dans un tel cas l'univocité de la signature n'est pas garantie car si un document standard (par exemple des conditions générales) est signé par un signataire A et par un signataire B, le fichier signature électronique sera exactement le même. Il sera au contraire différent si chaque signataire utilise une clé privée/un certificat nominatif puisque chaque clé étant unique, le fichier signature en résultant ne sera pas le même pour A et pour B.

 L'approche opportuniste

L'approche technique est à l'heure actuelle totalement ignorée par le juge français, ce qui n'a rien de surprenant dans la mesure où elle revêt une indéniable complexité. Pour le juge, il y a lien dès lors qu'il existe une référence commune entre le document signé et le fichier de preuve.

Pourquoi pas : puisque le fichier de preuve généré par le prestataire de services de confiance est nécessairement lié à la transaction et mentionne l'identité du signataire, le fait que sur ce fichier figure la référence du document signé peut être vu comme le lien entre l'acte et la signature identifiant son auteur de l'Art. 1367 Al. 2 du code civil.

Contrairement à l'approche technique, ce type de lien existe quel que soit le niveau de signature eIDAS, que celle‑ci soit simple, avancée ou qualifiée, dès lors que le fichier de preuve remplit cette attente.

Il s'agit d'une approche opportuniste car elle ne repose pas sur une réalité technique, et pourrait même à la limite faire l'objet de manipulations frauduleuses. Mais elle a le mérite d'être facile à comprendre et elle est largement adoptée par les acteurs du domaine, qu'il s'agisse des prestataires de confiance, des professionnels qui mettent en œuvre le parcours de signature, ou des juges.

 Et au final ?

Au final, nous pensons que la compréhension correcte du lien mentionné dans les textes juridiques français et européens définissant la signature électronique est l'approche technique. Cette réflexion ne revêt actuellement guèred'enjeu dans la mesure où les litiges sur la signature électronique portent sur de faibles montants et ne font pas l'objet d'un examen rigoureux du dispositif par des experts judiciaires spécialisés dans ce domaine. Il est pour l'instant trop tôt pour savoir comment les choses vont évoluer, mais peut‑être vaut‑il la peine de garder à l'esprit ces quelques subtilités…