Signature électronique : et si on parlait du « lien » ?

Date : Publié par

L'approche conceptuelle

Cette approche nous replonge dans le concept même de signature, dont il faut rappeler qu'il n'existait aucune définition dans le Code civil avant la loi n° 2000‑230 du 13 mars 2000, tant la chose paraissait évidente. Pour donner à la signature électronique même valeur juridique qu'à la signature manuscrite, il a fallu s'interroger sur les caractéristiques de la signature manuscrite, qui bien sûr identifie son auteur mais aussi est indéfectiblement liée à son support, littéralement incrustée dans celui‑ci et ne pouvant en être retirée sans dommage. Il fallait donc que ce lien fût une qualité intrinsèque de la signature électronique, et les textes d'application européens et français sur la signature électronique ont avalisé le recours aux infrastructures cryptographiques à chiffrement asymétrique, permettant de créer pour un document électronique signé l'équivalent du lien entre l'encre et le papier.

 L'approche technique

Cette approche suppose de plonger dans les étapes de création d'une signature électronique via une infrastructure dite à « clé publique », ou PKI (public key infrastructure), mettant en œuvre des techniques de chiffrement asymétrique. 

Supposant le signataire de l'acte préalablement identifié, le document sous forme électronique fait tout d'abord l'objet d'une opération cryptographique consistant à créer une « empreinte », ou « hash » de celui‑ci. Cette empreinte est unique pour un document donné et elle permet de s'assurer que celui‑ci a conservé son intégrité car si le document est modifié, l'empreinte change.

L'empreinte du document est ensuite codée avec la clé privée du signataire, qui est unique. Le couple clé privée/clé publique est généré par le prestataire de services de confiance soit pour un certain temps, soit pendant un laps de temps très court correspondant à l'opération de signature et l'on parle alors de « certificat » à la volée.

Techniquement, la « signature électronique » est le fichier résultant du codage de l'empreinte avec la clé privée du signataire. Ce fichier est unique pour un document donné et un signataire donné, et il est indéfectiblement lié à la fois au document via son empreinte, et au signataire via sa clé privée.

Le critère d'« univocité » mentionné par l'art.26 du Règlement eIDAS et figurant parmi les critères de la signature avancée signifie qu'une même signature électronique ne peut pas être générée pour deux signataires différents.

Cette subtilité est importante car implicitement, elle signifie qu'une signature électronique ne peut pas être de niveau avancé si elle n'a pas été générée avec un couple clé privée/clé publique (et donc un certificat électronique), nominatif. Cette caractéristique différencie la signature avancée de la signature simple, souvent produite  par codage de l'empreinte du document avec la clé privée d'un cachet électronique attribué au prestataire de service de confiance. Dans un tel cas l'univocité de la signature n'est pas garantie car si un document standard (par exemple des conditions générales) est signé par un signataire A et par un signataire B, le fichier signature électronique sera exactement le même. Il sera au contraire différent si chaque signataire utilise une clé privée/un certificat nominatif puisque chaque clé étant unique, le fichier signature en résultant ne sera pas le même pour A et pour B.

 L'approche opportuniste

L'approche technique est à l'heure actuelle totalement ignorée par le juge français, ce qui n'a rien de surprenant dans la mesure où elle revêt une indéniable complexité. Pour le juge, il y a lien dès lors qu'il existe une référence commune entre le document signé et le fichier de preuve.

Pourquoi pas : puisque le fichier de preuve généré par le prestataire de services de confiance est nécessairement lié à la transaction et mentionne l'identité du signataire, le fait que sur ce fichier figure la référence du document signé peut être vu comme le lien entre l'acte et la signature identifiant son auteur de l'Art. 1367 Al. 2 du code civil.

Contrairement à l'approche technique, ce type de lien existe quel que soit le niveau de signature eIDAS, que celle‑ci soit simple, avancée ou qualifiée, dès lors que le fichier de preuve remplit cette attente.

Il s'agit d'une approche opportuniste car elle ne repose pas sur une réalité technique, et pourrait même à la limite faire l'objet de manipulations frauduleuses. Mais elle a le mérite d'être facile à comprendre et elle est largement adoptée par les acteurs du domaine, qu'il s'agisse des prestataires de confiance, des professionnels qui mettent en œuvre le parcours de signature, ou des juges.

 Et au final ?

Au final, nous pensons que la compréhension correcte du lien mentionné dans les textes juridiques français et européens définissant la signature électronique est l'approche technique. Cette réflexion ne revêt actuellement guèred'enjeu dans la mesure où les litiges sur la signature électronique portent sur de faibles montants et ne font pas l'objet d'un examen rigoureux du dispositif par des experts judiciaires spécialisés dans ce domaine. Il est pour l'instant trop tôt pour savoir comment les choses vont évoluer, mais peut‑être vaut‑il la peine de garder à l'esprit ces quelques subtilités…

À lire également

La signature scannée est une pratique douteuse

Date : Publié par
La Cour de Cassation a rendu le 13 mars 2024 (Chambre commerciale, 22-16.487) un arrêt très intéressant sur les limites du recours à la signature scannée pour attester de l'identité et du consentement de son auteur.

Coup de canif dans l'obligation d'information du RGPD

Date : Publié par
Par un arrêt rendu le 14 février 2024 (Chambre sociale, n° 22-23.073) la Cour de Cassation a entaillé le caractère prétendument absolu du droit des personnes à être informées des traitements de données personnelles les concernant.

La signature électronique simple : pas si simple que ça

Date : Publié par
La Cour d'Appel de Versailles, dans un arrêt rendu le 28 novembre 2023 (CA Versailles, n°22/06599, Caisse d'Epargne et de Prévoyance IDF c/M.X), a refusé de reconnaître la réalité de la signature électronique simple d'un contrat de prêt personnel. Il ne s'agit pas d'un rejet, en soi, de la signature électronique de niveau simple, mais bien plutôt d'une sanction des nombreuses lacunes et imprécisions de l'argumentaire de la banque en l'espèce.