La signature électronique

Le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 « sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur » est applicable depuis le 1er juillet 2016 [1] . Il abroge la directive 1999/93/CE « sur un cadre communautaire pour les signatures électroniques » et instaure un nouveau dispositif juridique pour les échanges électroniques sécurisés au sein de l’Union européenne entre les citoyens, les entreprises et les autorités publiques.

L’objectif du règlement, aux termes de son article premier, consiste à « assurer le bon fonctionnement du marché intérieur tout en visant à atteindre un niveau adéquat de sécurité des moyens d’identification électronique et des services de confiance ». Ce meilleur fonctionnement du marché intérieur tient à la possibilité d’effectuer des transactions par voie électronique de manière aisée et rapide. À cet effet, « le règlement :

• a) fixe les conditions dans lesquelles un État membre reconnaît les moyens d’identification électronique des personnes physiques et morales qui relèvent d’un schéma d’identification électronique notifié d’un autre État membre ;
• b) établit des règles applicables aux services de confiance, en particulier pour les transactions électroniques ; et
• c) instaure un cadre juridique pour les services de signatures électroniques, de cachets électroniques, d’horodatages électroniques, de documents électroniques, d’envoi recommandé électronique et les services de certificats pour l’authentification de site internet ».

Créer un climat de confiance dans l’environnement en ligne est essentiel au développement des transactions électroniques. En effet, si les consommateurs, les entreprises et les autorités publiques n’ont pas confiance, notamment en raison d’un sentiment d’insécurité juridique, ils hésiteront à effectuer des transactions par voie électronique. Différents niveaux de signature électronique sont prévus par le règlement, mais en tout état de cause un socle commun pour les interactions électroniques sécurisées est nécessaire. Il implique la définition de schémas d’identification électronique ainsi que de services de confiance sur lesquels repose la signature électronique. En France, la mise en œuvre de ces services repose pour l’essentiel sur l’ANSSI [2] .

I. Deux niveaux de signature électronique

La définition de la signature électronique, à l’article 3.10 du règlement, est très générale. Il s’agit « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ».

La force juridique de la signature électronique est visée à l’article 25 du règlement. Celui-ci dispose que « L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée ». Deux niveaux de signature électronique sont en effet prévus : la signature avancée et la signature qualifiée.

La signature électronique avancée

Aux termes de l’article 26 du règlement, une signature électronique avancée doit « a) être liée au signataire de manière univoque ; b) permettre d’identifier le signataire ; c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable ».

La signature électronique qualifiée

Il s’agit d’une signature électronique avancée qui repose sur un certificat qualifié de signature électronique. Celui-ci est défini à l’article 3.15 du règlement comme « un certificat de signature électronique [3] , qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe 1 ».

D’après l’article 25 du règlement, l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite. Une telle signature, qui repose sur un certificat qualifié délivré dans un État membre, est reconnue dans tous les autres États membres. Le prérequis de ce dispositif tient toutefois notamment à l’existence d’un schéma d’identification électronique.

II. L’identification électronique

L’identification électronique (eID), visée aux articles 6 à 12 du règlement, est une composante de la signature électronique dont l’une des fonctions importantes réside dans l’identification du signataire. Signer électroniquement un document, c’est notamment s’identifier électroniquement en tant qu’auteur de ce document. Le règlement précise les modalités de la reconnaissance mutuelle des schémas d’identification électronique, les niveaux de garantie possibles, l’obligation d’une notification à la Commission, le régime de responsabilité applicable ainsi que le cadre d’interopérabilité des schémas d’eID et le principe d’une coopération entre États membres.

La reconnaissance mutuelle des schémas d’identification électronique

Aux termes de l’article 3.4, un schéma d’identification électronique est « un système pour l’identification électronique en vertu duquel des moyens d’identification électroniques sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales ». Par exemple, la fourniture aux citoyens de cartes d’identité électroniques constitue un tel schéma. Le principe de la reconnaissance mutuelle de ces schémas par les États membres est posé à l’article 6.1 : « Lorsqu’une identification électronique à l’aide d’un moyen d’identification électronique et d’une authentification est exigée en vertu du droit national ou de pratiques administratives nationales pour accéder à un service en ligne fourni par un organisme du secteur public dans un État membre, le moyen d’identification électronique délivré dans un autre État membre est reconnu dans le premier État membre aux fins de l’authentification transfrontalière pour ce service en ligne […] ».

Cette reconnaissance mutuelle, qui deviendra obligatoire à compter du 28 septembre 2018, suppose que des conditions soient remplies tenant au niveau de garantie offert par le moyen d’identification électronique concerné ainsi qu’à l’exigence d’une notification à la Commission.

Trois niveaux de garantie

L’article 8 du règlement prévoit trois niveaux de garantie : faible, substantiel et élevé. Le règlement d’exécution n° 2015/1502 du 8 septembre 2015 [4] fixe les spécifications de sécurité minimales pour chacun de ces niveaux, la reconnaissance mutuelle étant obligatoire seulement en cas de niveau substantiel ou élevé.

La notification à la Commission des schémas d’identification électronique

Lorsqu’ils notifient à la Commission un schéma d’eID, les États membres doivent fournir des informations afférentes [5] :

• au niveau de garantie et à l’entité qui délivre l’eID ;
• aux régimes de contrôle et de responsabilité applicables ;
• aux organismes qui gèrent l’enregistrement des données d’identification personnelle uniques.

Les circonstances, les formats et les procédures pour ces notifications ont fait l’objet d’une décision d’exécution de la Commission n° 2015/1984 du 3 novembre 2015 [6] .

La Commission publie au Journal officiel de l’Union européenne la liste des schémas d’identification électronique qui lui ont été notifiés, ainsi que les informations essentielles à leur sujet [7] .

L’État membre notifiant doit aussi veiller à ce qu’une authentification en ligne soit disponible afin de permettre à toute partie utilisatrice établie sur le territoire d’un autre État membre de confirmer les données d’identification personnelle reçues sous forme électronique [8] .

En cas d’atteinte à la sécurité d’un schéma d’eID ou de l’authentification, l’État membre notifiant est tenu de suspendre ou révoquer immédiatement cette authentification à l’échelle de l’UE, ou les éléments altérés en cause, et d’en informer les autres États membres ainsi que la Commission [9] .

Le régime de responsabilité applicable

Dans toute transaction entre des États membres où les obligations découlant du règlement ne sont pas respectées, plusieurs entités peuvent être tenues responsables, conformément aux dispositions nationales en matière de responsabilité, du dommage causé intentionnellement ou par négligence à toute personne physique ou morale : l’État membre notifiant, l’entité qui délivre l’eID, l’entité qui gère la procédure d’authentification [10] .

Interopérabilité et coopération

L’article 12.3 du règlement précise que le cadre d’interopérabilité des schémas d’eID nationaux doit satisfaire aux conditions suivantes :

• être neutre du point de vue technologique, donc ne pas favoriser une solution technique nationale particulière destinée à l’eID, et suivre dans la mesure du possible les normes européennes et internationales ;
• faciliter la mise en œuvre du principe du respect de la vie privée et garantir le traitement des données à caractère personnel conformément à la directive 95/46/CE.

Ce cadre d’interopérabilité comprend notamment les exigences techniques minimales liées aux niveaux de garantie ci-dessus mentionnés, ainsi qu’en matière d’interopérabilité. Il a fait l’objet d’un règlement d'exécution n° 2015/1501 du 8 septembre 2015 [11] .

La coopération entre États membres est visée à l’article 12.7 du règlement et a donné lieu à une décision d'exécution de la Commission n° 2015/296 du 24 février 2015 [12] .

III. Les services de confiance

Outre la définition de schémas d’identification électronique, les services de confiance sont le second élément clé pour la signature électronique.

Définition

Un service de confiance est défini à l’article 3.16 du règlement comme « un service électronique, normalement fourni contre rémunération, qui consiste :

a) en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services ; ou

b) en la création, en la vérification et en la validation de certificats pour l’authentification de sites internet ; ou

c) en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services ».

Un service de confiance est « qualifié » lorsqu’il satisfait aux exigences du règlement quant aux modalités de son émission par un prestataire qualifié et concernant les contrôles qui peuvent être exercés.

Les prestataires de services de confiance qualifiés

Chaque État membre établit, tient à jour et publie des listes de confiance qui comprennent les informations relatives aux prestataires de services qualifiés dont il est responsable, ainsi que les informations quant aux services de confiance qu’ils fournissent [13] . Afin de délivrer un certificat qualifié pour un service de confiance, le prestataire de services de confiance qualifié doit vérifier, « par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié » [14] . Cette vérification peut être effectuée par le prestataire en ayant recours à un tiers, par la présence de la personne physique ou du représentant de la personne morale concernée, ou à distance à l’aide de moyens d’identification électroniques (cf. ci-dessus paragraphe 2).

Qu’ils soient qualifiés ou pas, tous les prestataires de services de confiance sont tenus de prendre les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. À la différence d’un prestataire de services de confiance non qualifié [15] , un prestataire qualifié est présumé avoir agi intentionnellement ou par négligence, à moins qu’il ne prouve que les dommages causés par un manquement à ses obligations ont été causés sans intention ni négligence de sa part.

Un nouveau label de confiance de l’UE, dont les spécifications font l’objet du règlement d’exécution de la Commission n° 2015/806 du 22 mai 2015 [16] , permet de déterminer les services de confiance qualifiés fournis par les prestataires concernés. Ce label peut être utilisé par les prestataires pour indiquer de manière claire, simple et reconnaissable, les services de confiance qualifiés qu’ils fournissent. L’utilisation de ce label est assortie de l’obligation de rendre disponible, sur le site internet du prestataire, un lien vers la liste de confiance.

Les contrôles

Aux termes de l’article 17 du règlement, chaque État membre désigne un organe de contrôle ayant pour mission :

- le contrôle a priori des prestataires de services de confiance qualifiés établis sur le territoire considéré. Ceux-ci doivent se soumettre à un audit effectué à leurs frais, au moins tous les vingt-quatre mois, par un organisme d’évaluation de la conformité [17] .

- La prise des mesures, a posteriori et si nécessaire, en ce qui concerne les prestataires de services de confiance non qualifiés établis sur le territoire de cet État membre, lorsque l’organe de contrôle est informé que ces derniers ou les services qu'ils fournissent ne satisfont pas aux exigences du règlement.

Les organes de contrôle coopèrent en vue d’échanger les bonnes pratiques [18] et les États membres fixent le régime des sanctions applicables aux violations du règlement [19] .

IV. La mise en œuvre en France des services de confiance

Si l’ANSSI intervient à plusieurs titres dans la mise en œuvre du règlement n° 910/2014, des modifications législatives sont encore souhaitables pour en assurer pleinement l’application.

Les missions de l’ANSSI

En France, l'ANSSI est l'organe de contrôle pour les services de confiance et assure à cet égard les missions suivantes [20] :

• le contrôle complet a priori et a posteriori des prestataires de services de confiance qualifiés ;
• le contrôle a posteriori et sur saisie des prestataires de services de confiance non-qualifiés ;
• l’attribution et le retrait du statut « qualifié » aux prestataires de services de confiance qui en font la demande ;
• la conduite d’audits ou la requête d’évaluation de la conformité des prestataires de services de confiance qualifiés par des organismes d’évaluation ;
• la définition des modalités techniques de respect des exigences du règlement eIDAS ;
• l’analyse des rapports d’évaluation de la conformité ;
• la coopération avec les autres autorités nationales et les organes de contrôle établis dans les autres États membres, et l’établissement d’un rapport annuel à la Commission sur ses principales activités.

Par ailleurs, l’ANSSI a aussi en charge :

• l’établissement et la publication de la liste de confiance française ;
• la certification de conformité aux exigences du règlement des dispositifs de création de signature et de cachet électroniques qualifiés ;
• la tenue du catalogue des dispositifs de création de signature/cachet électronique qualifiés qu’elle a certifié conformes.

Des avancées législatives encore nécessaires

Il est un point sur lequel la réforme du droit des contrats [21] a été inopérante : la modification de l’article 1108-2 du Code civil. Cet article se rapporte en effet aux sûretés qui étaient en dehors de l’habilitation donnée au gouvernement pour légiférer.

Il résulte de cet article que les actes sous seing privé relatifs à des sûretés personnelles ou réelles, de nature civile ou commerciale, sont exclus de la signature électronique. Une telle exclusion n’a pas de raison d’être dans la mesure où l’article 25 du règlement n° 910/2014 donne à la signature électronique qualifiée un effet juridique équivalent à celui d’une signature manuscrite.