Réflexions sur le règlement grand-ducal du 1er juin 2001 sur les signatures, paiements et commerce électroniques
Publié le 22/01/2002 par Charles OSSOLA
Après avoir été le premier pays de l’Union européenne à transposer la Directive 1999/93/CE du 13 décembre 1999 du Parlement européen et du Conseil sur un cadre communautaire pour les signatures électroniques (J.O.C.E. 2000 L13, p.12) et la Directive 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information (J.O.C.E.,…
Après avoir été le premier pays de l’Union européenne à transposer la Directive 1999/93/CE du 13 décembre 1999 du Parlement européen et du Conseil sur un cadre communautaire pour les signatures électroniques (J.O.C.E. 2000 L13, p.12) et la Directive 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information (J.O.C.E., L 178/1 à 16 du 17 juillet 2000), le Grand-Duché de Luxembourg a adopté la loi du 14 août 2000 relative au commerce électronique (Mémorial A-96 du 8 septembre 2000, p.2176 – ci-après dénommée la « Loi »).
Nous pouvons retenir que la loi repose sur trois piliers:
-
La reconnaissance légale de la signature électronique (au sens de l’article 6 de la Loi, la signature électronique consiste en un ensemble de données, liées de façon indissociable à l’acte, qui en garantit l’intégrité et qui identifie celui qui l’appose et manifeste son adhésion au contenu de l’acte) ayant la même valeur probante que la signature manuscrite (modifications afférentes des dispositions du code civil et du code de commerce );
- a certification volontaire et forte des signatures électroniques par des sociétés et autorités de certification ( sécuriser le consommateur et/ou les opérateurs quant à l’intégrité et à la confidentialité des transactions);
- La protection du consommateur (informations préalables, support durable, droit de rétractation, protection des données nominatives, paiement électronique…)
C’est de surcroît une loi cadre qui est susceptible d’être modifiée aisément, puisqu’elle réglemente les principes de base, tandis que ses modalités d’application seront définies dans des règlements grand-ducaux d’application qui pourront être régulièrement adaptés à l’évolution technologique constante.
Le premier règlement grand-ducal d’application est celui du 1er juin 2000 relatif aux signatures électroniques, au paiement électronique et à la création du comité du commerce électronique (Mémorial A-71 du 22 juin 2001, p.1429 – ci-après dénommé le « RGD »).
Après avoir donné la définition de neufs concepts y repris en ses articles, le RDG est composé de cinq chapitres que nous allons étudier ci-après.
Exigences relatives au certificat
Sans vouloir entrer dans les détails des cinq catégories existantes de signatures électroniques au sens de la Loi, nous pouvons rappeler que la signature électronique peut être simple ou reposer sur un certificat qualifié permettant d’attester électroniquement le lien entre des données et une personne et confirme son identité. Ce certificat est délivré par des prestataires de service de certification, plus communément appelé les « PSC ».
Le RGD en son chapitre I définit les différentes informations ( identification du prestataire de service de certification, période de validité du certificat, code d’identité du certificat,…) que doit contenir un certificat qualifié. Il est à souligner qu’en droit luxembourgeois, l’utilisation de pseudonyme est permise (article 20 de la Loi ).
Exigences relatives aux PSC délivrant des certificats qualifiés
Le pendant du premier chapitre sur les exigences relatives au certificat qualifié est bien évidemment les exigences relatives à ceux qui les délivrent.
Des règles protectrices de la sécurité des transactions et des internautes sont imposées aux PSC afin que le professionnalisme de ces intervenants soit consacré. Il est impératif que la confiance soit donnée aux utilisateurs des services de la société de l’information.
Il est à noter que les PSC ont l’obligation d’identifier la personne à laquelle le certificat qualifié est délivré. Certains auteurs et/ou professionnels du secteur financier et bancaire se sont donc demandés si les établissements financiers soumis à l’obligation d’identification de leurs clients ne pouvaient faire appel aux PSC pour établir l’identité d’une personne et l’authentification de sa signature. Nous voyons les enjeux de cette question au regard de la fourniture « full on-line » de services financiers via internet.
La réponse de la CSSF est tombée le 27 décembre 2001 dans ses Recommandations sur les Services Financiers par Internet (recommandations, p.23) :
« Le professionnel financier ne saurait déléguer la responsabilité pour l’identification de ses clients, éludant ainsi son obligation de connaître ses clients avec la responsabilité que cette connaissance lui confère. Il ne saurait p.ex. se satisfaire d’un certificat établi par un tiers, quelle que soit sa qualité, attestant que ce tiers connaît l’identité du client, l’a vérifiée et dispose de la documentation requise.
Lorsque l’ouverture de compte pour un nouveau client se fait sur base d’une relation directe entre le professionnel financier et le client, mais à distance, c’est-à-dire sans que le professionnel et le client ne soient physiquement en présence l’un de l’autre, le professionnel doit veiller avec une attention particulière à recevoir non seulement toute la documentation requise, mais également des réponses complètes et satisfaisantes à toutes les questions qu’il sera amené à poser au client en vue de porter un jugement éclairé sur ce client et sur sa motivation.
Lorsque le professionnel du secteur financier délègue certaines opérations techniques ayant trait à l’identification de ses clients, il faut que cette délégation soit donnée dans un cadre défini de manière précise par la direction et à un partenaire professionnel qualifié.
La CSSF n’accepte comme délégués que :
- les établissements de crédit et autres professionnels du secteur financier, admis à exercer leurs activités au Luxembourg en vertu de la loi du 5 avril 1993;
- les établissements de crédit et autres professionnels du secteur financier admis à exercer leurs activités à l’étranger et soumis à une surveillance prudentielle par une autorité compétente, lorsque le professionnel financier luxembourgeois a conclu par écrit avec ce partenaire étranger un accord de coopération spécifique, définissant avec précision les tâches déléguées en tenant compte des normes luxembourgeoises. »
Ainsi, nous voyons que le certificat qualifié ne permettra pas de déléguer l’identification de son client par un établissement financier à un tiers, même s’il s’agit d’un PSC délivrant de tels certificats qualifiés, si ce dernier n’est pas lui-même un professionnel du secteur financier au sens de la loi modifiée du 5 avril 1993.
A ceux qui se demandent alors si le certificat qualifié délivré par un PSC ne relevant pas de ce secteur a une utilité, il suffit de leur rappeler que la signature électronique doit reposer sur un certificat qualifié pour avoir ipso facto la valeur d’une signature manuscrite (article 18 de la Loi ).
Exigences relatives aux dispositifs sécurisés de création de signature électronique
L’article 18 de la Loi énonce qu’une signature électronique créée par un dispositif sécurisé de création de signature que le signataire puisse garder sous son contrôle exclusif et qui repose sur un certificat qualifié, constitue une signature au sens de l’article 1322-1 du Code civil.
Le RGD précise cette notion de dispositif sécurisé de création de signature.
Paiements électroniques
L’article 68 de la Loi énonce que le titulaire d’un instrument de paiement électronique a l’obligation de notifier à l’émetteur – ou à l’entité désignée par lui – dès qu’il en a connaissance, la perte ou le vol de cet instrument ou des moyens qui en permettent l’utilisation, ainsi que toute utilisation frauduleuse; ainsi que la perte ou le vol de l’instrument de paiement électronique rechargeable.
Sauf dans les cas où il s’est rendu coupable d’une fraude ou de négligence grave, le titulaire d’un instrument de paiement électronique assume jusqu’à la notification prévue au paragraphe précédent les conséquences liées à la perte, au vol ou à son utilisation frauduleuse par un tiers, à concurrence d’un montant fixé par règlement grand-ducal.
Le RDG prescrit que ce montant est 150 euros.
Création du comité « commerce électronique »
Il est institué auprès du Ministère de l’Economie un organisme consultatif appelé Comité commerce électronique dont les diverses missions ont essentiellement pour objectif de faciliter la compréhension et donc la confiance dans la signature électronique.
Conclusions
Le droit du commerce électronique ne peut plus être qualifié de droit virtuel, puisqu’il repose dorénavant sur des textes spécifiques destinés à légiférer ou réglementer cette nouvelle pratique ou technique d’échanges.
Néanmoins, la tâche du législateur dans l’élaboration d’un cadre légal au commerce électronique n’est pas aussi simple, puisque certains acteurs du marché du commerce électronique préconisent une autorégulation, tandis que les consommateurs que nous sommes souhaiteraient une protection assurée par des dispositions légales ou réglementaires claires et précises.
Gageons que la technologie contribuera à renforcer la protection des consommateurs et des professionnels et espérons que l’approche contractuelle assurera un fonctionnement sain et protecteur de l’individu.
Plus d’infos
En consultant les textes commentés dans notre rubrique Législation, sur la page spéciale « Luxembourg« .