Depuis le 1er octobre 2017, le principe est le suivant : la fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée.

Ce règlement européen, qui remplace la directive 1999/93/CE depuis le 1er juillet 2016, instaure un nouveau système pour les interactions électroniques sécurisées au sein de l’Union Européenne (UE) entre les entreprises, les citoyens et les autorités publiques.

Jusqu’au 1er octobre 2017, le régime de la signature électronique en droit français était, jusque-là, régi par l'ordonnance du 10 février 2016, portant réforme du droit des contrats, du régime général et de la preuve des obligations. Cette ordonnance, qui a remplacé l'article 1316-4 du Code civil par un nouvel article 1367, présumait fiable jusqu’à preuve du contraire toute signature électronique. Cette présomption supposait la réunion de trois conditions : (i) il fallait que la signature soit créée, (ii) que l’identité du signataire soit assurée, et (iii) que l’intégrité de l’acte soit garantie.

Depuis le 1er octobre 2017, ces trois conditions sont modifiées avec le règlement communautaire, qui vient préciser les caractéristiques techniques de ce procédé : si la présomption de fiabilité du procédé est maintenue, les conditions de cette dernière sont modifiées.

Une signature électronique avancée

La fiabilité d'un procédé de signature électronique est présumée, jusqu’à preuve du contraire, sous la condition suivante : ce procédé doit mettre en œuvre une signature électronique qualifiée.

Pour la définition même de la notion de signature électronique qualifiée, le décret se réfère directement à l'article 26 du règlement européen. D'après cet article, une signature qualifiée est une signature qui répond à quatre exigences cumulatives :

• être liée au signataire de manière univoque
• permettre d’identifier le signataire
• avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
• être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

Ces quatre conditions posées par le règlement sont plus contraignantes que celles originellement prévues par le droit français et traduisent une volonté de sécuriser le mécanisme. 

Un dispositif de création de signature électronique qualifié

Cette signature électronique avancée devra avoir été créée à l'aide d'un dispositif de création de signature électronique qualifiée.

Les exigences applicables à ce dispositif sont précisées à l'article 29, et son renvoi à l'annexe II du règlement. Le dispositif doit garantir, par des moyens techniques et des procédures appropriées, la confidentialité et la protection contre toute falsification, des données de création de signature électronique utilisées.

Par ailleurs, la génération ou la gestion des données de création de signature électronique pour le compte du signataire doit être confiée à un prestataire de services de confiance qualifié. Ce dernier ne pourra reproduire les données de création de signature électronique qu’à des fins de sauvegarde sous réserve des deux exigences suivantes :

• le niveau de sécurité des ensembles de données reproduits devra être équivalent à celui des ensembles de données d'origine 
• et le nombre d'ensembles de données reproduits ne devra pas excéder le minimum nécessaire pour assurer la continuité du service. 

Un certificat qualifié de signature électronique

Le dispositif doit enfin reposer sur un certificat qualifié de signature électronique dont la mise en œuvre est décrite à l'article 28, et son renvoi à l’annexe I du règlement.

Le certificat devra contenir un certain nombre d'indications obligatoires, notamment : 

• une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique
• le nom du signataire ou un pseudonyme
• les précisions sur le début et la fin de la période de validité du certificat
• le code d'identité du certificat 
• et un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié… 

Par ailleurs, les certificats qualifiés de signature électronique pourront comprendre des attributs spécifiques supplémentaires non obligatoires.

Par Eric Laugier, avocat et Naomy Haberkorn, élève avocat du département corporate - Cabinet SIMON ASSOCIES