Intervention donnée le 2 juin 1999 dans le cadre du 13ème salon INFOSEC (Sécurité des systèmes d’information et des communications), sous le patronage du CLUSIF, et faisant partie des actes de la conférence.
RESUME
La Commission européenne mène actuellement différents travaux dans le domaine du commerce électronique. Elle a présenté récemment différents projets de directives couvrant tous les aspects juridiques du commerce électronique : signature électronique, contrats en ligne, monnaie électronique.
Parmi ces différentes propositions, celle concernant la signature électronique revêt une importance particulière : la validité juridique de la signature électronique est en effet une question clé. Concomitamment, un projet de réforme sur le droit français de la preuve vient d’être annoncé. Ces projets montrent que l’on tend incontestablement vers une reconnaissance de la valeur juridique du document électronique. Le projet de directive sur la signature traite également de la fourniture des services de certification qui ne sont dotés en droit français d’aucun statut spécifique.
INTRODUCTION
On assiste à une grande activité normative au niveau européen en ce qui concerne le commerce électronique. La Commission mène actuellement différents travaux dans ce domaine. L’objectif est celui d’une sécurité juridique optimale des transactions en ligne : les initiatives législatives se multipliant dans les états membres, la Commission souhaite mettre en place un cadre juridique harmonisé au niveau européen.
1. Pourquoi le droit européen ?
Dans une perspective de veille juridique sur le commerce électronique, il est important de connaître ces projets européens et les orientations qui s’en dégagent :
- la norme communautaire prime sur la norme nationale : le texte national devra tenir compte de la norme européenne ;
- les directives communautaires une fois adoptées entrent en vigueur dans un délai moyen de deux ans : le juge doit interpréter le droit national à la lumière du texte et de la finalité d’une directive même non encore transposée (arrêts 193/88 Fratelli Costanzo du 22 juin 1989, 152/84 Marshall du 26 février 1986, C-106/89 Marleasing du 13 novembre 1990, C-91/92 Faccini Dori du 14 juillet 1994);
- un règlement est directement applicable ;
- actions de lobbying : indication aux institutions compétentes de la position de l’entreprise à l’égard de leur projet ;
- une directive 83/189 du 28 mars 1983 prévoit une procédure d’information de la Commission dans le domaine des normes et réglementations techniques.
L’information sur le droit communautaire en cours d’élaboration permet d’anticiper la norme à venir.
2. Panorama des différents projets
Une des problématiques du commerce électronique est de créer les conditions de la confiance Cette confiance passe par la sécurité : sécurité technique mais aussi sécurité juridique.
Pour chaque règle juridique concernant le commerce électronique, il existe un texte européen en cours de discussion :
- Réglementation de la cryptographie
Proposition de règlement du Conseil du 15 mai 1998 instituant un régime communautaire unifié de contrôle des exportations à double usage (COM (98) 257, JOCE du 21 décembre 1998) : prévoit la suppression des restrictions existantes aux transferts intra-communautaires en ce qui concerne les produits de cryptologie, remplacées par une procédure de notification.
- Contrats
– Projet de directive sur un cadre commun pour les signatures électroniques du 16 juin 1998 (COM(98)297, JOCE du 23 octobre 1998) : vise à faire produire à la signature électronique des effets équivalents en matière de preuve, à la signature manuscrite et fixe les principes applicables à la fourniture de services de certification.
– Proposition de directive relative à certains aspects juridiques du commerce électronique dans le Marché intérieur en date du 18 novembre 1998 : cette proposition concerne différents domaines : établissement des prestataires et informations générales à fournir, communications commerciales, contrats par voie électronique, responsabilité des intermédiaires techniques, codes de conduite, règlement des différents.
- Sécurité des consommateurs
– Directive 97/7 du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance (JOCE du 4 juin 1997);
– Résolution du Conseil du 3 novembre 1998 sur les aspects de la société de l’information concernant les consommateurs : mise en avant de la nécessité de créer un climat de confiance pour les consommateurs. L’instauration de cette confiance repose sur l’offre dans le domaine des nouvelles technologies d’un niveau de protection équivalent à celui qui est assuré dans les transactions traditionnelles.
- Systèmes de paiement
– Recommandation de la Commission du 30 juillet 1997 concernant les opérations effectuées au moyen d’instruments de paiement électronique, en particulier la relation entre émetteur et titulaire : fixe des exigences minimales dans la relation émetteur/ titulaire de l’instrument en matière de formation du contrat, responsabilité, voies de recours, information du client (Recommandation 97/489, JOCE du 2 Août 1997).
– En date du 29 juillet 1998, deux propositions de directive concernant l’activité des institutions de monnaie électronique : ces projets visent à fournir un cadre réglementaire aux établissements émettant de la monnaie électronique. Les propositions définissent la monnaie électronique comme un montant monétaire stocké sur une carte à microprocesseur (carte prépayée ou » porte-monnaie électronique « ) ou sur une mémoire d’ordinateur (monnaie de réseau ou de logiciel) et qui est accepté comme moyen de paiement par des entreprises autres que l’émetteur.
Les projets de directives sur le commerce électronique, la monnaie électronique, la signature électronique sont disponibles sur le site Internet de la DG XV , en français et en anglais :
http://europa.eu.int/comm/dg15/fr/media/eleccomm/index.htm
Parmi ces projets, celui concernant la signature électronique est particulièrement important en matière de commerce électronique : il s’agit d’une question centrale. En effet, les implications juridiques de la signature numérique couvrent aussi bien la formation du contrat en ligne, que la preuve, le paiement, ou les opérations de banque électronique.
En outre, ce projet de directive s’articule avec une réforme en cours de préparation au niveau national sur le droit de la preuve.
1.VERS LA RECONNAISSANCE JURIDIQUE DU DOCUMENT ELECTRONIQUE
1.1. La problématique de la preuve électronique en milieu ouvert
La sécurisation des échanges est plus complexe à organiser en milieu ouvert.
Etat présent du droit de la preuve
Le droit français de la preuve s’organise autour de la référence à l’écrit et reste marqué par le principe de prééminence de l’écrit. Même si le contrat est valablement formé sans écrit du seul fait de l’échange des consentements des parties, la nécessité pour les parties de se ménager la preuve de leur contrat impose en réalité le recours à un écrit.
L’écrit au sens traditionnel, c’est le titre original revêtu d’une signature manuscrite et matérialisé dans un document papier. Un acte écrit est exigé pour toute convention dont l’objet vaut plus de 5 000 francs. Lorsqu’un écrit a été rédigé, on ne peut apporter la preuve contraire que par un autre écrit.
La signature est traditionnellement associée à une expression manuscrite fixée sur un document papier.
La signature n’est pas définie en droit français, même si le Code civil mentionne à plusieurs reprises l’obligation d’une signature : article 1322 sur les actes sous seing privé, article 1325 sur le contrat synallagmatique et la formalité du double original, article 1326 sur la reconnaissance de dette.
La signature remplit deux fonctions juridiques de base :
– identification de l’auteur ;
– manifestation de sa volonté (approbation du contenu de l’acte), adhésion personnelle du signataire au contenu du document.
Ce principe de la preuve écrite comporte un certain nombre d’exceptions.
Notamment, et ce principe est important pour les entreprises, les conventions de preuve sont parfaitement valables : les dispositions relatives à la preuve n’étant pas d’ordre public, il est possible pour les parties de prévoir dans un contrat les questions relatives à l’admissibilité et la valeur probante des documents numériques, et de décider que la preuve des contrats conclus s’effectuera par d’autres moyens que l’écrit.
La jurisprudence a reconnu la validité de telles conventions en matière de paiement par cartes bancaires (affaire Crédicas, 8 novembre 1989, D. 1990, 369).
C’est ce principe qui est utilisé pour l’EDI, Echange de Données Informatisées : un contrat cadre permet d’établir les conditions juridiques et techniques d’utilisation de l’EDI dans le cadre de relations commerciales et administratives. Les parties sont assurées de la validité et des effets juridiques des messages échangés.
Cependant, la validité de la preuve électronique et de la signature numérique reste contestable en dehors du cadre des conventions sur la preuve.
En outre, la liberté contractuelle n’est pas absolue :
– entre professionnel et non professionnel : la convention sur la preuve ne doit pas constituer une clause dite abusive (Article L 132-1 du Code de la consommation ; directive 93/13 du 5 avril 1993). Or, les moyens de preuve sont détenus par l’exploitant du système. Une recommandation de la commission des clauses abusives demande par exemple que soient éliminées des contrats » porteurs » proposés par les émetteurs de cartes, les clauses ayant pour objet ou pour effet » de conférer aux enregistrements magnétiques détenus par les établissements financiers ou bancaires une valeur probante en dispensant ces derniers de l’obligation de prouver que l’opération contestée a été correctement enregistrée et que le système fonctionnait normalement » (Recommandation n° 94-02 relative aux contrats porteurs des cartes de paiement, BOCCRF 30 mai 1995, p. 182).
– le cadre de la convention sur la preuve nécessite que les parties aient une relation préexistante : client/banque ; partenaires commerciaux. Or, on assiste en milieu ouvert à une dématérialisation du processus contractuel lui-même : dès l’accord des volontés, l’utilisation du service vaut adhésion dématérialisée à un contrat. En droit, le contrat peut naître du simple échange de consentements. Mais le problème de la preuve du contrat et de l’étendue de l’accord de consentement du cocontractant reste entier.
– les conventions sur la preuve ne sont pas opposables aux tiers (effet relatif du contrat). Or, il peut s’avérer nécessaire d’administrer la preuve d’un acte à l’égard d’un tiers au contrat (créancier du donneur d’ordre, bénéficiaire d’un virement).
– certains textes imposent des conditions de forme faisant référence explicite à l’écrit. Il en est ainsi de la directive sur les contrats à distance qui prévoit la confirmation par écrit ou sur un autre support durable de certaines informations relatives au contrat (article 5 de la directive). Or la définition du contrat à distance inclus les contrats conclus sur Internet. On peut citer également le formalisme du droit cambiaire (Cass. Com. 26 novembre 1996, JCP E 97, II, 906).
Une réforme du cadre juridique pour l’adapter aux nouvelles technologies apparaît inéluctable.
1.2. Le contrat en ligne
Il n’existe pas encore de texte définitif que ce soit au niveau européen ou en droit français, mais on tend incontestablement vers une reconnaissance de la valeur juridique du document électronique.
1.2.1. Le projet de directive sur les signatures électroniques
Cette directive vise à instituer un cadre juridique homogène et approprié à l’utilisation de ces signatures dans la Communauté. Elle définit un ensemble de critères qui constituent la base de la reconnaissance juridique de la signature électronique. Elle institue notamment le principe de non-discrimination entre signature électronique et manuscrite (article 5).
La signature n’est pas définie de manière abstraite, mais se rattache à des données :
La signature électronique est définie comme :
» une signature sous forme numérique intégrée, jointe ou liée logiquement à des données, utilisée par un signataire pour signifier son acceptation du contenu des données, et qui satisfait aux exigences suivantes :
(a) être liée uniquement au signataire ;
- permettre d’identifier le signataire ;
- être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;et
- être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectée. «
Ici, la signature électronique est conçue comme un moyen technique de sécurisation, et n’est pas définie par rapport à ses effets juridiques.
Dans la cadre d’une transmission de données, la signature électronique permet de vérifier l’origine des données (authentification) et de vérifier que les données n’ont pas été altérées (intégrité).
La directive s’applique aux réseaux ouverts. Elle n’a pas vocation à s’appliquer aux » groupes fermés » tels que réseau d’entreprise ou système bancaire, dans lesquels des relations contractuelles sont établies : pour ces utilisateurs, c’est la liberté contractuelle qui prévaut.
La directive se veut techniquement neutre.
La directive va obliger les Etats à modifier leur régime de preuve, puisque la directive vise à reconnaître à la signature électronique une valeur probatoire.
1.2.2. L’avant-projet de loi relatif à l’adaptation du droit de la preuve aux nouvelles technologies
On peut signaler une première étape vers la reconnaissance juridique de la signature électronique dans le décret relatif à la carte professionnelle de santé :
» Pour les applications télématiques et informatiques du secteur de la santé, la signature électronique produite par la carte de professionnel de santé est reconnue par les administrations de l’Etat et les organismes de sécurité sociale comme garantissant l’identité et la qualité du titulaire de la carte ainsi que l’intégrité du document signé. Ainsi signé, les documents électroniques mentionnés à l’article L 161-33 sont opposables à leur signataire « (Décret n° 98-271 du 9 avril 1998, JO du 12 avril 1998, p. 5714, nouvel article R 161-58 du Code de la sécurité sociale).
Une importante proposition vient d’être formulée par un groupe de travail dit » GIP droit et justice » en vue d’une prochaine réforme législative. Les propositions du GIP ont été reprises par la Chancellerie.
Les principales dispositions du projet :
(voir le texte ci-après en annexe)
– Nouvelle définition de la preuve par écrit qui englobe la preuve par écrit électronique ;
– Admissibilité comme mode de preuve de l’écrit électronique : la valeur probante de l’écrit électronique est toutefois soumise à certaines exigences : elle n’est reconnue qu’à condition que les moyens techniques utilisés donnent des assurances aussi bien en ce qui concerne l’identité de celui dont émane cet écrit, que sur la fiabilité de son mode de conservation ;
– Règlement des conflits entre une preuve électronique et une preuve sur support papier : le projet prévoit la prééminence de l’écrit sur support papier ;
– Consécration de la validité des conventions sur la preuve ;
– Définition de la signature et de la signature électronique. La définition de la signature souligne le double rôle de la signature : identification de l’auteur et manifestation du consentement à l’acte. La signature électronique doit reposer sur l’usage d’un processus fiable et permettant d’établir le lien avec l’acte sur lequel elle porte.
La disposition controversée de ce projet concerne le caractère subsidiaire de la preuve électronique par rapport à la preuve traditionnelle. Cette réserve est justifiée par le fait que les documents électroniques seraient aujourd’hui unilatéralement établis et archivés sans garantie de sécurité. La pleine reconnaissance de la valeur juridique du document électronique resterait subordonnée à une future intervention législative. Ceci est d’autant moins opportun que le projet prévoit que le juge a la possibilité de déterminer entre plusieurs titres le plus vraisemblable.
Enfin, cette réserve pourrait être incompatible avec les exigences des directives européennes sur la signature et le commerce électronique.
1.2.3 Le Contrat à distance
Le projet de directive sur la signature électronique ne couvre pas les autres aspects du contrat en ligne, liés à la conclusion et à la validité du contrat.
Mais un autre projet de directive concernant le commerce électronique vient compléter les dispositions du projet sur la signature électronique : c’est la proposition de directive relative à certains aspects juridiques du commerce électronique.
Ce projet de directive traite de différentes questions, dont celle des contrats par voie électronique.
– traitement des contrats par voie électronique (article 9):
Les Etats membres doivent veiller à rendre effectivement possible le recours aux contrats par voie électronique. Il s’agit pour les Etats de faire un examen systématique de leur réglementations susceptibles d’empêcher, limiter ou dissuader l’utilisation des contrats par voie électronique.
Pour appliquer effectivement cette obligation, les autorités nationales devront notamment :
– supprimer les dispositions qui interdisent ou limitent l’utilisation des voies électroniques ;
– ne pas donner au contrat par voie électronique un effet juridique faible qui reviendrait à favoriser en pratique l’utilisation des contrats sur support papier ;
– adapter les exigences de forme qui ne peuvent pas être remplies par voie électronique. Par exemple, des exigences relatives au support du processus contractuel : être sur » papier « , par » écrit « , envoyer une » lettre « , utiliser un » formulaire « , avoir un » original « , être » imprimé « .
Certains contrats pourront rester exclus de ce dispositif : contrats notariés notamment en ce qui concerne la France (immobilier, successions, donations, contrats de mariage).
– informations à fournir (article 10) :
Les modalités de formation d’un contrat par voie électronique doivent être expliquées par le prestataire de manière claire et non équivoque et préalablement à la conclusion du contrat. Il s’agit d’assurer » un consentement complet et éclairé de la part des parties. » Les professionnels peuvent déroger à cette exigence par contrat.
L’article 11 du projet traite également de la question du moment de conclusion du contrat en ligne.
Le projet de directive ne traite pas des questions relatives au contenu du contrat. Il faut se référer aux autres directives qui peuvent s’appliquer aux contrats en ligne, notamment la directive 97/7 sur la vente à distance. La Commission considère que les exigences d’information de la proposition sur le commerce électronique , en ce qu’elles concernent le processus de formation du contrat électronique, sont complémentaires des informations préalables que doit fournir le fournisseur au consommateur avant la conclusion du contrat à distance. De même, les obligations en matière d’information prévues par d’autres directives ne sont pas modifiées.
2. LES SERVICES DE CERTIFICATION
2.1 L’ébauche d’un cadre juridique pour les autorités de certification
Le projet de directive sur les signatures électroniques couvre également la question des tiers certificateurs. Il vise à instaurer une reconnaissance internationale des services de certification des signatures électroniques.
D’après une recommandation n° 509 de l’UIT-T, une autorité de certification est » une autorité chargée par un ou plusieurs utilisateurs de créer et d’attribuer leur clé publique et leur certificat. » Il a pour fonction de formaliser le lien qui existe entre une personne physique ou morale et une paire de clés asymétrique.
Dans la directive, les tiers certificateurs sont appelés » prestataires de services de certification » (PSC). Le PSC est définit comme : » toute personne physique ou morale qui délivre des certificats au public pour vérifier la signature électronique. «
Cette activité ne fait l’objet d’aucune réglementation spécifique en droit français, hormis en ce qui concerne la réglementation de la cryptologie. La directive, intégrée dans notre législation, donnerait un cadre juridique à ces services.
2.1.1. La fourniture de services de certification
La fourniture de services de certification ne pourra être soumise à aucune autorisation préalable.
Les états peuvent prévoir un processus de reconnaissance professionnelle, ou accréditation pour l’exercice de la mission de PSC. Cependant, la procédure d’accréditation repose sur le volontariat et n’aurait pas de caractère obligatoire.
Par ailleurs, l’annexe II de la directive fixe un certain nombre d’exigences auxquelles doivent satisfaire les PSC, parmi lesquelles :
- jouir du crédit nécessaire ;
- utiliser des systèmes fiables ;
- archiver les informations relatives aux certificats ;
- disposer de ressources financières suffisantes ;
- ne pas conserver la clé privée de signature cryptographique.
Une des fonctions assurées par une autorité de certification est d’émettre des certificats. Un certificat sert à l’identification du titulaire de la clé privée correspondant à la clé publique mentionnée dans le certificat pour la signature. Le projet définit le certificat agréé comme » une attestation numérique qui lie un dispositif de vérification de signature à une personne, confirme l’identité de cette personne « . Le certificat doit répondre à des exigences fixées par l’annexe I du projet de directive .
2.1.2 La responsabilité des PSC
Il doit exister des garanties juridiques pour le cas où le PSC manquerait à ses obligations. La question de la responsabilité du PSC est particulièrement sensible lorsque le certificat est erroné.
Le projet prévoit la responsabilité des PSC sur l’exactitude des informations certifiées par eux et sur l’imputabilité de la signature (article 6).
D’une manière générale, le PSC a l’obligation d’assurer la sécurité du système mis en place (voir les Exigences concernant les PSC, Annexe II).
2.1.3. Libre circulation des produits
Les services établis dans un Etat et les éventuelles accréditations délivrées par un Etat devront être reconnus dans les autres Etats. Les produits de signature électronique doivent pouvoir circuler librement sur le marché intérieur.
2.1.4 Aspects internationaux
Dans la perspective de la mise en place d’un système de reconnaissance mutuelle des signatures et certificats avec les pays tiers, le projet de directive prévoit les conditions pour que les certificats délivrés par un PSC d’un pays tiers soient juridiquement reconnus comme équivalents aux certificats délivrés par un PSC établi dans la Communauté européenne. En particulier, un PSC établit dans la Communauté pourra avaliser les certificats d’un PSC d’un pays tiers.
2.2 La cohérence avec la réglementation de la cryptographie
Il est difficile d’aborder la réglementation de la signature électronique et des services de certification sans évoquer la réglementation de la cryptographie : la cryptographie apporte la sécurité technique nécessaire à la signature, la fourniture de services de certification est liée aux techniques de cryptographie asymétrique.
La loi française du 26 juillet 1996 repose sur la dichotomie entre les fonctions d’authentification et d’intégrité, soumise à un régime plus libéral, et les fonctions de confidentialité, sur lesquelles l’Etat entend garder un contrôle étroit. Elle prévoit pour l’utilisation de la cryptographie forte à des fins de confidentialité le recours au système des tiers de confiance.
Dans sa conférence de presse du 19 janvier 1999 sur la Société de l’Information, le Premier ministre a annoncé la refonte de la législation adoptée en 1996. Il est notamment envisagé de supprimer le caractère obligatoire du recours aux tiers de confiance. D’ores et déjà, en attendant la modification législative annoncée, deux décrets et un arrêtés publiés le 17 mars dernier on relevé le seuil de la cryptologie dont l’utilisation est libre de 40 bits à 128 bits.
En tout état de cause, la question de la compatibilité de la réglementation française avec le dispositif communautaire se serait posée tôt ou tard.
2.2.1 La fourniture de produits de signature électronique
Un PSC serait aux termes de la loi française un fournisseur de prestation de cryptologie. Si la simple utilisation d’une signature électronique est libre, il n’en va pas de même pour la fourniture qui est soumise à la formalité de la déclaration préalable. Les fonctionnalités utilisées pour l’authentification et le contrôle de l’intégrité ne doivent pas permettre de chiffrer d’autres informations que les données nécessaires au contrôle d’accès, ni aucune autre information que celle nécessaire à l’authentification ou au contrôle d’intégrité des données elles-mêmes. Sinon, le produit relève de la formalité de la demande d’autorisation préalable.
Du point de vue technique et de la sécurisation des échanges, séparer l’authentification de la confidentialité est artificiel.
Dans le projet de directive, les deux aspects sont liés. Ainsi, les PSC doivent : » utiliser des systèmes fiables et des produits de signature électronique qui assurent une protection contre toute modification non autorisée desdits produits… ; ils doivent également utiliser des produits de signature électronique qui assurent la sécurité technique et cryptographique des processus de certification pris en charge par lesdits produits » ou encore « prendre des mesures contre la contrefaçon des certificats, et au cas où le PSC génère des clés privées de signature cryptographique, garantir la confidentialité au cours du processus de génération desdites clés » (annexe II, points e et f).
De même, la fonction d’autorité de certification est liée à la technique de la cryptographie asymétrique. Or, dans ce procédé, authentification et confidentialité sont liées sur le plan fonctionnel.
Le projet de directive indique que les états membres doivent veiller à ce que les produits de signature électronique conformes à la directive puissent circuler librement sur le marché intérieur. Il s’agit d’un rappel du principe de libre circulation.
Un produit de signature électronique librement commercialisé dans un autre pays de l’Union européenne doit pouvoir être fourni en France sans entrave.
Cependant, le nouveau décret n°99-199 du 17 mars 1999 substitue la formalité de la déclaration à celle de l’autorisation pour les produits de cryptographie mis en œuvre par un algorithme dont la clé est inférieure ou égale à 128 bits.
2.2.2 Tiers de confiance et autorité de certification
Le tiers certificateur joue un rôle dans la reconnaissance et la mise en œuvre juridique des signatures numériques, alors que le tiers de confiance vise à offrir un accès légal aux clés de chiffrement.
Il a été envisagé que les tiers de confiance puissent proposer à côté des services de gestion et de séquestre des clés privées, des services de certification. Or, le projet de directive sur les signatures prévoit que les PSC ne doivent pas stocker ou copier les clés privées de signature cryptographique à laquelle le PSC a offert des services de gestion de clés à moins que cette personne en ait fait explicitement la demande (Annexe II, point i). Dans le même sens, la définition de la signature électronique indique que la signature électronique doit être créée par des moyens que le signataire puisse garder sous son contrôle exclusif.
Au regard de ces dispositions, la confusion entre les fonctions de tiers de confiance et de tiers certificateur n’aurait pas été sans soulever certaines questions.
[Retour]