Avec la dématérialisation des échanges, la signature électronique est appelée à devenir la norme.
Officiellement reconnue en Europe et en France depuis les années 2000 (directive 1999/93/CE), les articles 1366 et 1367 du code civil posent la valeur légale de la signature électronique.
L’article 1366 du code civil dispose que : « L’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité. »
L’article 1367 du code civil dispose que « La signature nécessaire à la perfection d’un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte.
Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat. »
La Cour a considéré le 22/07/2021 (CA d’Orléans n° 20/001941) « qu’il n’y a pas lieu de comparer le graphisme de la signature dématérialisée avec celui de la signature manuscrite de celui à qui elle est attribuée, ce qui n’a pas de sens, mais seulement de vérifier que la signature électronique a été recueillie selon un procédé d’identification fiable ».
En d’autres termes, signer électroniquement a la même valeur légale que signer sur papier à condition d’utiliser un procédé fiable d’identification permettant de rattacher la signature à l’acte. La signature est le marqueur du consentement à tout acte juridique.
Son importance est à prendre en considération dans la mesure où en cas d’invalidité, c’est l’obligation contractuelle qui peut tomber.
En effet, la signature électronique doit respecter certains critères pour être valide :
- Garantir l’intégrité du document (protéger sa non-falsification ultérieure) ;
- Garantir l’identité du signataire (personne ne doit pouvoir signer à la place de la personne visée dans le document, il faut pouvoir retrouver son identité facilement) ;
- La signature doit être unique et ne doit pouvoir se dupliquer sur une autre.
Le règlement eIDAS n°910/2014 du 23 juillet 2014 a permis de poser un encadrement juridique et pratique en harmonisant les règles à l’échelle de l’Union Européenne et est venu définir plusieurs niveaux de sécurité à savoir : la signature simple (1), la signature avancée (2 et 3) et la signature qualifiée (4).
1 – LA SIGNATURE ELECTRONIQUE SIMPLE (SES) – Niveau 1
La signature simple constitue le niveau le plus faible en termes de sécurité et de fiabilité.
La signature simple est surtout utilisée dans les transactions courantes. Simple, économique et facilement accessible, c’est le cas de la signature manuscrite électronique, c’est-à-dire une signature manuscrite avec un stylet sur tablette électronique par exemple. Ce peut-être également la signature au doigt d’un document reçu sur un mobile et ouvert à partir d’un lien envoyé par SMS.
L’utilisation de ce mode comporte des risques puisque l’identité du signataire peut être difficilement garantie et qu’il n’y a pas de procédé de garantie de non-répudiation du document. Il n’y a pas d’intervention d’un tiers pouvant garantir le procédé d’identification des parties et garantir son lien avec l’acte et sa non-répudiation ni d’organe de contrôle. Les garanties sont déclaratives.
Ce niveau de sécurité peut être utilisé lorsqu’il n’y a pas de risque de conflits, de litiges et un faible enjeu financier.
Le juge ne peut la refuser au seul motif qu’elle soit électronique mais le demandeur devra rapporter la preuve de sa fiabilité en apportant des indices (identité du signataire, horodatage, etc.).
Dans un arrêt du 13 mars 2024, la Cour de cassation a considéré qu’une signature scannée n’est pas une preuve suffisante du consentement à une obligation. En d’autres termes, scanner une signature ne permet pas d’identifier la personne qui signe, ni de prouver qu’elle a accepté les obligations qui découlent du document.
- Pour résumer, la signature électronique simple constitue un véritable avantage en termes d’accessibilité et de coûts. Cependant, elle n’est pas reconnue au sein de l’Union Européenne. De même, elle présente une faible preuve de fiabilité, notamment quant à l’identité du signataire. Enfin, ce mode de signature n’est pas sécurisé, dans le sens où la signature ne fait l’objet d’aucune vérification.
2 – LA SIGNATURE ELECTRONIQUE AVANCEE (AES) – Niveau 2
La signature avancée (sans certificat qualifié) est légèrement différente de la signature simple.
Au même titre que le premier niveau, la signature avancée (sans certificat qualifié) ne fait pas appel à l’intervention d’un tiers ou à un organe de contrôle, cependant, ce type de signature répond à des exigences permettant l’identification du signataire pouvant donc servir d’élément de preuve complémentaire en cas de litige.
Le niveau avancé permet notamment :
- D’identifier le signataire ;
- De garantir le lien entre la signature et le signataire de manière non équivoque ;
- De détecter toute modification postérieure à la signature du document.
Il est possible de citer en exemple tout d’abord, la signature après vérification de l’identité du signataire via photocopie de la carte nationale d’identité.
En l’absence d’intervention d’un tiers garantissant le procédé d’identification, la fiabilité de la signature va donc dépendre des dispositifs et procédures de recueil et de vérification d’identité que le prestataire va mettre en place.
- La signature électronique avancée présente un coût plus important que la signature électronique simple. Néanmoins, les garanties qu’elle apporte sont légèrement meilleures. Pour rappel, elle ne repose sur aucun certificat, il sera donc difficile de prouver sa fiabilité, cela dépendra des garanties apportées par le prestataire. Par rapport à la signature électronique simple, le niveau de sécurité est plus élevé puisque les modifications ultérieures sont détectables, notamment car le prestataire intègre un système de traçabilité numérique complet dans certains cas. Cela peut par exemple être un horodatage de confiance apparaissant sur le document.
3 – LA SIGNATURE ELECTRONIQUE AVANCEE REPOSANT SUR UN CERTIFICAT QUALIFE (AES + CERTIFICAT) – Niveau 3
Le troisième niveau est celui de la signature électronique avancée reposant sur un certificat qualifié.
La preuve de la fiabilité de la signature électronique repose sur l’action d’un tiers indépendant et compétent (prestataire) et d’un organe de contrôle (en France, l’Agence Nationale de la Sécurité des Systèmes d’Information, ou ANSSI)
La mission des tiers de confiance (prestataire approuvé par l’ANSSI) consiste à délivrer un certificat qui établit pour les besoins d’un émetteur (personne physique ou morale) une paire de clés asymétrique – privée et publique (chiffrement – déchiffrement) – qui sert à cette dernière afin de crypter son message et créer la signature. Le tiers de confiance procède ensuite à la validation de ladite signature lorsque les données initiales sont similaires au document signé.
Cette preuve est facilitée par ce procédé en cas de litige. Le certificat doit être qualifié.
En d’autres termes, il garantit la fiabilité de la vérification de l’identité du signataire. C’est donc une attestation de l’identité du signataire qui est délivrée dans le cadre d’un processus qui garantit la validité de la signature, l’identité du signataire (nom, pseudonyme, n° RCS, etc.).
La vérification peut avoir lieu de différentes façons : à l’aide d’un dispositif de vérification d’identité (pièce d’identité et biométrie par exemple), en distanciel (référentiel prestataire de vérification d’identité à distance « PVID ») ou à l’aide d’une identité électronique préalablement établie par une vérification en face à face.
La certification PVID (Délivrée par ANSSI) garantie que les prestataires répondent à des exigences précises réduisant les risques d’usurpation d’identité. Il y a deux niveaux de garantie :
- Garantie substantielle : Elle assure un niveau de vérification de l’identité similaire à celui d’un face à face physique sur présentation de preuve d’identité : cela limite la plupart des erreurs ou tentatives de fraudes.
- Garantie élevée : Le niveau de sécurité est semblable à un face à face physique dans un service public lors de la délivrance d’un titre d’identité. Il écarte tout risque de fraude ou d’usurpation d’identité.
Ce certificat qualifié est donc délivré par un prestataire de services de confiance qualifié répondant aux exigences de la règlementation européenne.
La signature électronique avancée avec certificat qualifié repose sur l’utilisation d’un logiciel de signature qui présente un certificat qualifié remis au signataire. Il peut être remis lors d’un face-à-face physique, par un accès sécurisé (envoi d’un code SMS sur le portable/application mobile lié à l’identité du signataire lors d’un rendez-vous en face-à-face) ou en distanciel par un PVID certifié.
- La preuve de l’identité du signataire est facilitée par la présentation de ce certificat qualifié. Ce niveau reste toutefois contraignant dans le mécanisme de vérification d’identité. Il est utile d’utiliser ce niveau de sécurité lorsque la nullité de la signature pourrait avoir des conséquences juridiques ou financières importantes.
4 – LA SIGNATURE ELECTRONIQUE QUALIFIEE (QES) – Niveau 4
Il s’agit des trois premiers niveaux auquel s’ajoute un dispositif de création de signature électronique qualifié. C’est le plus élevé des niveaux de fiabilité. Il permet l’établissement d’une présomption de fiabilité renversant ainsi la charge de la preuve.
Seule la signature électronique qualifiée équivaut à la signature manuscrite en vertu du décret n°2017-1416 du 28 septembre 2017 et est reconnue dans tous les Etats européens. En pratique, la signature qualifiée pourrait être une clé d’authentification certifiée ou carte à puce certifiée ou effectué directement dans l’environnement du prestataire qualifié équipés de matériel cryptographiques certifiés sécurisant les accès afin de garantir l’authentification du signataire. Le coût est généralement élevé et le process contraignant.
La vérification peut avoir lieu de différentes façons en distanciel avec prestataire certifié PVID ou en face-à-face.
Ce mode de signature est seulement utilisé lorsque les exigences légales et financières le justifient (contrat d’assurance-vie, marché public, acte notarié, etc.).
CONCLUSION :
Concrètement, plusieurs éléments sont à prendre en compte afin de déterminer la signature la plus adaptée. Le choix du niveau de la signature électronique dépend effectivement de plusieurs critères.
Plus le risque de litige et l’enjeu financier est élevé, plus le niveau de sécurité doit être important.
Il faut se demander si le risque d’un litige est fort ou infime, estimer son niveau de gravité, connaître la portée du document (nationale, européenne, internationale) car la signature électronique n’est pas reconnue dans tous les pays, s’il existe des obligations règlementaires et le type de document à signer (sous seing privé, notarié etc.).
Les deux premiers niveaux sont surtout recommandés pour les usages courants sans risques particulier de fraude et ayant peu d’impact envers les tiers.
Les niveaux 3 et 4 nécessitent l’intervention d’un tiers de confiance (prestataire de solution de signature électronique) ce qui facilite la preuve de l’identité du signataire mais qui, par voie de conséquence est plus contraignant.
Dans tous les cas, lors du choix du prestataire de signature électronique, il faut prendre en compte les éléments suivants quant à la preuve de la fiabilité du document :
- Réception d’un code SMS/email afin de protéger l’accès au document ;
- Vérification de la pièce d’identité pour garantir l’identité du signataire ;
- Horodatage de confiance à titre d’élément de preuve de la fiabilité de la signature.
La commission européenne dresse la liste des prestataires de confiance pour chaque pays.
En France : https://eidas.ec.europa.eu/efda/tl-browser/#/screen/tl/FR
Le site Francenum énumère une liste des prestataires : https://www.francenum.gouv.fr/guides-et-conseils/pilotage-de-lentreprise/dematerialisation-des-documents/la-signature#solutions
SYNTHESE
Avant de choisir un type de signature, nous vous conseillons de prendre en compte les critères suivants dans la sélection de votre prestataire.
Le dossier de preuve doit être constitué lorsque la validité de la signature électronique se trouve remise en cause. Il est donc conseillé d’opter pour un mécanisme cryptographie de signature électronique à valeur juridique. Il devra apporter un maximum d’éléments visibles sur le document signé, représentant un faisceau d’indices attestant ainsi d’un certain niveau de fiabilité sur l’identité du signataire, d’un certain degré de sécurité du dispositif garantissant l’intégrité du document.
Dans tous les cas, il est conseillé qu’il apparaisse sur le document signé plusieurs éléments concordants relevant de l’identité du signataire.
Par exemple, il est possible de prendre en compte plusieurs éléments afin de déterminer un faisceau d’indices prouvant la validité de la signature électronique :