Les certificats qualifiés de signature électronique

Les certificats qualifiés de signature électronique

Rapport du 117e Congrès des notaires de France - Dernière date de mise à jour le 31 janvier 2021
Le plus haut niveau de signature, la signature qualifiée, repose sur la délivrance d'un certificat répondant à des exigences techniques établies par la réglementation européenne (A) . Ces exigences techniques liées à la délivrance d'une signature qualifiée sont toutefois justifiées par les effets juridiques qui y sont attachés (B) .

Les textes

À l'inverse de la signature manuscrite, le certificat servant de support à la signature électronique doit répondre à des exigences techniques définies depuis fort longtemps. Dès 2010, s'appuyant sur un décret de 2001 D. no 2001-272, 30 mars 2001, pris pour l'application de l'article 1316-4 du Code civil et relatif à la signature électronique. Ce décret a été abrogé par le décret no 2017-1416, 28 sept. 2017, pris pour l'application de l'article 1367 du Code civil et relatif à la signature électronique. transposant la directive européenne 1999/93/CE du 13 décembre 1999, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) Agence assurant la mission d'autorité nationale en matière de sécurité des systèmes d'information. L'ANSSI a des homologues dans les autres pays européens, comme par exemple le Bundesamt für Sicherheit in der Informationstechnik (BSI) en Allemagne. énonce dans un référentiel général de sécurité (RGS) les contraintes techniques pour qualifier des puces électroniques conformes au décret de 2001. Ces dispositions s'appliquent aux prestataires de services de confiance les obligeant en conséquence à être qualifiés par l'ANSSI pour délivrer leurs services.
En 2014, un règlement européen sur l'identification électronique et les services de confiance pour les transactions électroniques est voté PE et Cons. UE, règl. (UE) no 910/2014, 23 juill. 2014, sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. . Il entre en application le 1er juillet 2016. Dès lors, les exigences techniques relatives aux certificats qualifiés de signature électronique sont définies à l'article 28 de ce règlement, ce dernier renvoyant à l'annexe 1 du même règlement. Au nombre de dix, et sans toutes les détailler, il faut relever que les certificats doivent contenir « un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés… » et des précisions « sur le début et la fin de la période de validité du certificat ».

Pour aller plus loin : Exigences applicables aux certificats qualifiés de signature électronique (Annexe 1 du règlement [UE] n 910/2014 du 23 juillet 2014)

Les certificats qualifiés de signature électronique contiennent :
a) une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique ;
b) un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l'État membre dans lequel ce prestataire est établi, et :
  • pour une personne morale : le nom et, le cas échéant, le numéro d'immatriculation tels qu'ils figurent dans les registres officiels,
  • pour une personne physique : le nom de la personne ;
c) au moins le nom du signataire ou un pseudonyme ; si un pseudonyme est utilisé, cela est clairement indiqué ;
d) des données de validation de la signature électronique qui correspondent aux données de création de la signature électronique ;
e) des précisions sur le début et la fin de la période de validité du certificat ;
f) le code d'identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié ;
g) la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat ;
h) l'endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé mentionnés au point g) ;
i) l'emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié ;
j) lorsque les données de création de la signature électronique associées aux données de validation de la signature électronique se trouvent dans un dispositif de création de signature électronique qualifié, une mention l'indiquant, au moins sous une forme adaptée au traitement automatisé.
En synthèse, le référentiel général de sécurité (RGS) et le règlement eIDAS cohabitent aujourd'hui. En matière de sécurité, l'ensemble des acteurs économiques français, entreprises et administrations françaises devront respecter les prescriptions du RGS et/ou de l'ANSSI. Dans tous les cas, les critères techniques liés aux certificats qualifiés de signature électronique devront répondre aux contraintes imposées par l'ANSSI en charge de la qualification sur ces deux référentiels. L'obtention d'une signature qualifiée par un prestataire est donc coûteuse, tout comme le maintien de la qualification obtenue. À titre d'exemple, l'Association pour le développement du service notarial (ADSN) consacre une part importante de son budget annuel pour répondre aux exigences de l'ANSSI, et c'est au prix de moyens humains importants que chaque année les audits sont passés avec succès et la qualification régulièrement reconduite.
Toutes ces contraintes très encadrées juridiquement présentent des intérêts majeurs pour les opérateurs, emportant d'importantes conséquences en pratique.

Les effets juridiques

– Valeur probatoire. – Les effets juridiques liés au niveau de signature qualifiée se mesurent surtout à la force probatoire qui y est attachée. En effet, toute contestation d'une signature autre que qualifiée fait peser la charge de la preuve sur celui qui la conteste. À l'inverse, une présomption de fiabilité est attachée à la signature qualifiée La force probatoire de la signature électronique sera plus amplement développée par la troisième commission : V. infra, nos et s. .

Toute contestation d'une signature autre que qualifiée fait peser la charge de la preuve de l'identité du signataire sur celui qui se prévaut de l'existence de cette signature.

La signature qualifiée : une signature dont la fiabilité est présumée

À la lumière du règlement eIDAS, et pour l'application de l'article 1367 du Code civil, le Gouvernement français a abrogé le décret du 30 mars 2001 par décret du 28 septembre 2017479. Il ressort de l'alinéa 1er de l'article 1er de ce dernier décret480 que pour se prévaloir de la présomption de fiabilité prévue au second alinéa de l'article 1367 du Code civil, le signataire d'un document électronique devra nécessairement utiliser une signature électronique qualifiée. Le second alinéa de l'article 1er du décret renvoie aux articles du règlement eIDAS sur la signature qualifiée.
Ainsi la réglementation française distingue deux catégories de signature électronique : les signatures électroniques qualifiées au sens du règlement eIDAS, qui peuvent se prévaloir de la présomption simple de fiabilité prévue à l'article 1367 du Code civil, et les autres. Par sa rédaction, cet article donne une caractéristique particulière à la signature qualifiée sans pour autant exclure l'existence des autres signatures électroniques. On peut en déduire que l'ensemble des systèmes de signature électronique non qualifiés peuvent être utilisés, sont reconnus par le Code civil, mais disposent d'une force probatoire qui ne repose que sur la technique, à l'inverse de la signature qualifiée dont la force probatoire bénéficie d'une présomption légale.
L'usage d'une signature électronique non qualifiée, fût-elle avancée, doit donc être fait avec prudence, la charge de la preuve de l'identité du signataire incombant, par voie de conséquence, à celui, débiteur ou créancier de l'obligation née de ladite signature, qui voudra se prévaloir de l'existence d'une telle signature.
Le praticien, « collecteur » de signatures, doit également veiller au niveau de signature électronique des documents sous seing privé qui lui sont adressés, notamment pour ce qui concerne les procurations sous seing privé adressées par ses clients481.
Il est en effet responsable de la fiabilité du procédé technique mis à disposition de ses clients et, dans l'hypothèse d'une mise en cause de sa responsabilité par une partie contestant sa signature, c'est à lui qu'incombera la charge de la preuve de cette fiabilité si le procédé utilisé n'est pas une signature électronique qualifiée.