La signature électronique : enfin une réalité juridique en Belgique
Publié le 06/11/2001 par Thibault Verbiest
Dans le cadre des relations commerciales sur les réseaux numériques tels qu’Internet, de nombreux documents électroniques peuvent être échangés (emails, formulaires de commande en ligne, envois de factures électroniques…). En cas de litige portant sur une transaction, les parties en présence devront prouver ce qu’elles allèguent, tâche délicate lorsque les éléments de preuve sont essentiellement…
Dans le cadre des relations commerciales sur les réseaux numériques tels qu’Internet, de nombreux documents électroniques peuvent être échangés (emails, formulaires de commande en ligne, envois de factures électroniques…).
En cas de litige portant sur une transaction, les parties en présence devront prouver ce qu’elles allèguent, tâche délicate lorsque les éléments de preuve sont essentiellement des do-cuments électroniques ou des impressions de ceux-ci. Or, il est essentiel pour l’avenir du commerce électronique d’assurer une parfaite sécurité juridique en la matière.
Pourquoi une réforme législative ?
Jusqu’à la réforme qui vient de s’achever, et que nous exposerons plus loin, il était sou-vent difficile, voire impossible, d’établir la preuve d’un acte juridique créé exclusivement par voie électronique. La cause provenait du caractère formaliste de notre droit de la preuve.
En effet, notre système probatoire, de tradition napoléonienne, est strictement réglemen-té. Seuls sont en principe admissibles les moyens de preuve repris aux articles 1341 et sui-vants du Code civil, le principe de base étant la prééminence de la preuve littérale (l’écrit ma-nuscrit) dès que l’objet de la transaction dépasse 15.000 francs.
L’existence et le contenu de l’acte juridique doivent être prouvés par un acte sous seing privé, à savoir un écrit original qui s’imposera comme acte sous seing privé pour autant que la signature soit reconnue.
Toutefois, ni l’écrit, ni la signature ne faisaient l’objet d’une définition légale. La signa-ture était généralement définie comme étant un graphisme personnel permettant d’établir la présence physique du scripteur à l’acte et par lequel une personne marque son consentement au contenu de l’acte.
Dans ces conditions, il était difficile de considérer un enregistrement électronique, un fax ou un courrier électronique comme un écrit parfait au sens de l’article 1341 du Code civil.
Toutefois, les règles de preuve précitées ne s’appliquent pas lorsque le défendeur est commerçant et a procédé aux opérations litigieuses dans l’intérêt de son commerce. La preuve entre et à l’égard d’un commerçant est donc libre.
A titre d’exemple, il a été considéré en France que les actes de commerce se prouvent à l’égard d’une banque en sa qualité de commerçante par toute voie de droit.
Le juge reste cependant maître d’apprécier la force probatoire de ce que lui rapportent les parties et reste libre « d’écarter telle ou telle offre de preuve lorsque le fait ne lui paraît pas pertinent ». Son pouvoir à cet égard est discrétionnaire.
La sécurité juridique, indispensable à l’essor du commerce électronique, n’est donc pas assurée. Certes, il est permis d’aménager contractuellement l’administration de la preuve (système EDI par exemple), mais, dans le cas de conventions sur la preuve conclues avec des consommateurs, la loi du 14 juillet 1991 sur les pratiques du commerce viendra restreindre la licéité de telles conventions dans la mesure où elle considère comme abusives les clauses limitant les moyens de preuve que le consommateur peut utiliser.
La Belgique n’était pas le seul pays de l’Union européenne dans cette situation. Les légi-slations de la plupart des autres Etats membres étaient également obsolètes.
C’est la raison pour laquelle la Commission européenne a tôt fait de lancer un chantier législatif afin que soit adoptée une directive européenne sur la signature électronique, gage d’harmonisation des législations des Etats membres en la matière et de promotion du com-merce électronique. La directive a été adoptée le 13 décembre 1999 (voir notre rubrique « lé-gislation »), et les Etats membres ont montré depuis lors un zèle tout particulier à la transpo-ser, tant les enjeux économiques sous-jacents sont importants…
Le nouveau régime
La Belgique a choisi (tout comme la France) de transposer la directive européenne en deux étapes.
La première étape consistait à modifier la notion de « signature » reprise à l’article 1322 du Code civil. Le but de cette première réforme fondamentale, réalisée par la loi du 20 octobre 2000 (voir notre rubrique « législation » ), était d’introduire dans notre droit de la preuve une définition « fonctionnelle » de la signature, c’est-à-dire définie par rapport aux fonctions qu’elle est supposée remplir, indépendamment de son support.
Ainsi est désormais également une signature « un ensemble de données électroniques pouvant être imputé à une personne déterminée et établissant le maintien de l’intégrité du contenu de l’acte ».
En droit de la preuve, il s’agissait plus fondamentalement de consacrer la « recevabilité » des signatures électroniques, à savoir qu’un juge ne peut plus écarter une signature électroni-que comme élément de preuve au seul motif qu’elle revêt une forme électronique (principe de non-discrimination consacré par la directive européenne).
Le juge doit examiner et apprécier la signature électronique, mais il n’est pas encore obligé de lui conférer « force probante ». Ce n’est en effet qu’à la condition qu’un document électronique ait « force probante » qu’il s’imposera au juge.
La seconde étape de la réforme avait précisément comme finalité d’assurer une force pro-bante à certaines signatures électroniques (principe d’assimilation de la directive euro-péenne).
Cette seconde étape vient d’être réalisée par l’adoption le 9 juillet 2001 de la « loi fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification » (publiée au Moniteur belge du 29 septembre 2001, disponible dans notre rubrique « législation »).
Quelques remarques préliminaires s’imposent : tout comme la directive européenne, la loi belge se veut neutre d’un point de vue technologique. Toutefois, il est certain qu’une techno-logie en particulier a été visée : la signature digitale fondée sur la cryptographie asymétrique et combinée à une certification électronique.
Sans l’avouer, cette technologie a reçu en quelque sorte un costume juridique sur mesure, car son utilisation était déjà courante, notamment dans les principaux logiciels de navigation (Internet Explorer et Netscape).
La loi contient également deux « mini-révolutions » juridiques dans la mesure où elle reconnaît la validité des pseudonymes dans les certificats électroniques et de la signature électronique des personnes morales.
La nouvelle loi octroie un statut juridique précis à deux catégories de signatures électro-niques :
-
des signatures électroniques que nous qualifierons de « simples » ;
-
et des signatures électroniques dites « avancées ».
La signature électronique « simple » est définie comme « une donnée sous forme électro-nique jointe ou liée logiquement à d’autres données électroniques et servant de méthode d’authentification ». Ce type de signature se retrouve au quotidien dans différentes technolo-gies (codes secrets, cryptographie symétrique ou asymétrique, signature biométrique, …).
Les signatures électroniques simples bénéficient du principe de non-discrimination, à savoir qu’elles ne peuvent être écartées au seul motif qu’elles revêtent une forme électronique.
La signature électronique « avancée », est définie comme une signature électronique qui satisfait aux exigences suivantes :
-
être liée uniquement au signataire ;
-
permettre d’identifier le signataire ;
-
être créée par des moyens que le signataire puisse garder sous son contrôle exclu-sif ;
-
et être liée aux données auxquelles elle se rapporte de telle sorte que toute modifi-cation ultérieure des données soit détectée.
Cette signature bénéficie d’un grand avantage : moyennant le respect de quelques condi-tions, elle acquiert force probante et peut être purement et simplement assimilée à une signa-ture manuscrite, dont elle devient ainsi l’égal (principe d’assimilation de la directive). Quelles sont ces conditions ? La signature électronique avancée doit reposer sur un certificat qualifié (cfr. ci-après) et être crée par un dispositif sécurisé de création de signature tel que décrit à l’annexe III de la loi.
Emergence d’un nouvel intermédiaire technique : le prestataire de services de certification (PSC)
L’internet aura permis l’émergence de nouveaux métiers d’intermédiation : fournisseurs d’accès, d’hébergement, organismes d’enregistrement de noms de domaine etc..
Les PSC font également partie de ces intermédiaires techniques nés avec le réseau, et leur avenir s’annonce prometteur. En effet, la directive européenne et la loi belge leur confèrent un rôle décisif dans le processus de sécurisation juridique des transactions conclues en ligne, puisque c’est eux qui, à certaines conditions, donneront force probante aux signatures électro-niques avancées (en pratique les signatures digitales).
La loi pose le principe de la liberté de fourniture des services de certification : nul presta-taire ne peut être contraint de se soumettre à un régime préalable d’autorisation.
Toutefois, les PSC qui délivrent des certificats qualifiés doivent communiquer certaines informations à l’administration : nom, adresse, coordonnées de contact, registre de com-merce, n° de TVA, ainsi que la preuve qu’une assurance a été souscrite afin de couvrir leurs obligations en matière de responsabilité.
En outre, le principe de liberté doit être relativisé, et ce pour deux motifs :
-
d’une part, la loi prévoit un régime libre d’accréditation des PSC. Même si ce régime n’est pas obligatoire, en pratique, il risque de devenir incontournable. En effet, l’accrédita-tion s’imposera probablement aux juges comme une présomption de fiabilité du presta-taire, dispensant ainsi l’utilisateur du certificat du fardeau de devoir prouver que les conditions légales ont été respectées lors de la certification. Précision intéressante : la loi prévoit que l’accréditation pourra aussi porter sur « d’autres services et produits délivrés par les prestataires de service de certification », ce qui devrait pouvoir viser notamment les services d’archivage électronique (à titre de preuve) des documents signés, activité qui n’est pas réglementée par la loi.
-
d’autre part, la loi instaure un contrôle des PSC, qui devra être précisé par arrêté royal. Ainsi, l’administration des Affaires économiques pourra notamment demander aux prestataires de service de certification, toutes les informations nécessaires à la vérification de l’observation, par ceux-ci, de la loi.
Le rôle du PSC
Le PSC délivre un certificat électronique qui atteste la réalité de certaines informations, dont en premier lieu l’identité du titulaire du certificat. Cette identification peut être assurée par un contact face-à-face entre le PSC et le demandeur de certificat, ce qui confère bien en-tendu un haut degré de sécurité .
La tâche d’identifier les demandeurs de certificats peut également être déléguée à une « autorité d’enregistrement », telle qu’une banque ou un Ordre professionnel.
L’identification peut également, selon la loi, être opérée autrement, du moment que le PSC utilise des moyens de vérification « appropriés » et « conformes au droit national » (an-nexe II de la loi).
En règle générale, le premier rôle du PSC consiste à attester le lien entre une personne et sa clef publique. Le PSC diffuse les certificats émis et maintient à jour le répertoire des certi-ficats en répertoriant les éventuelles suspension, révocation ou renouvellement ; s’il ne le fait pas, il peut engager sa responsabilité (cfr. infra).
Le PSC peut émettre deux types de certificats :
-
un certificat que nous appellerons « ordinaire » ;
-
et un certificat dit « qualifié ».
Le certificat « qualifié » est nécessaire pour que la signature électronique avancée qui repose sur lui bénéficie de la clause d’assimilation (cfr. ci-dessus) ainsi que d’une reconnais-sance internationale.
Le certificat qualifié doit contenir certains éléments (annexe I de la loi), dont la mention indiquant que le certificat est délivré à titre de certificat qualifié ; l’identification du presta-taire de service de certification ainsi que le pays dans lequel il est établi ; le nom du signataire ou un pseudonyme qui est identifié comme tel ; la possibilité d’inclure, le cas échéant, une qualité spécifique du signataire, en fonction de l’usage auquel le certificat est destiné, etc.
La responsabilité des PSC
La loi fixe un régime de responsabilité des PSC, qui ne vise que certains PSC. L’article 14 stipule en effet que le « prestataire de service de certification qui délivre à l’intention du public un certificat présenté comme qualifié ou qui garantit au public un tel certificat est res-ponsable du préjudice causé à tout organisme ou personne physique ou morale qui, en bon père de famille, se fie raisonnablement à ce certificat […] ».
Dans tous les autres cas, la responsabilité est celle du droit commun en fonction de la loi applicable.
Quelles sont les informations qui peuvent entraîner l’application de l’article 14 ? Le PSC répond de :
-
L’exactitude de toutes les informations contenues dans le certificat qualifié à la date où il a été dé-livré et la présence, dans ce certificat, de toutes les données prescrites pour un certificat qualifié.
-
L’assurance que, au moment de la délivrance du certificat, le signataire identifié dans le certificat qualifié détenait les données afférentes à la création de signature correspondant aux données afférentes à la vérification de signature fournies ou identi-fiées dans le certificat.
Les « données afférentes » sont, dans une architecture dite « PKI », les clefs pri-vées ou publiques.
Par ailleurs, un prestataire de service de certification qui a délivré à l’intention du public un certificat présenté comme qualifié est responsable du préjudice causé à un organisme ou à une personne physique ou morale qui se prévaut raisonnablement du certificat, pour avoir omis de faire enregistrer la révocation du certificat, sauf si le prestataire de service de certifi-cation prouve qu’il n’a commis aucune négligence.
Le PSC a donc l’obligation de mettre en place un système de révocation des certificats, dont l’annexe II de la loi précise qu’il doit être « sûr et immédiat » et doit permettre de dé-terminer avec précision la date et l’heure de révocation.
Le PSC peut, dans certains cas, limiter sa responsabilité. Il a ainsi la possibili-té d’indiquer dans un certificat qualifié:
-
les limites fixées à son utilisation, pour autant que celles-ci soient discernables par des tiers (mention sur le certificat à peine d’inopposabilité).
-
la valeur maximale des transactions pour lesquelles le certificat peut être utilisé, toujours sous réserve que cette valeur doit être discernable par les tiers (mention sur le certificat à peine d’inopposabilité).
La loi contient d’autres dispositions qu’il serait impossible de décrire dans le cadre de cette chronique, notamment au niveau de la reconnaissance des certificats délivrés par des PSC étrangers, ou des obligations à charge des PSC qui souhaitent mettre fin à leurs activités.
Nul doute que cette loi marque un tournant juridique, mais il est encore trop tôt pour dire si elle permettra réellement à la signature électronique de s’imposer dans le cadre du com-merce électronique « grand public »…
Droit & Technologies -