Apparue à la fin des années 90, la signature électronique s’est durablement imposée depuis la crise sanitaire de la Covid-19. Elle s’inscrit dans le processus de digitalisation progressive de tous les secteurs d’activités, dont les professions juridiques qui ont déjà pleinement adopté, depuis la loi n°2004-575 du 21 juillet 2004, les contrats électroniques.
La signature électronique est un dispositif technique permettant de garantir l'intégrité d'un document électronique et d'en authentifier l'auteur. Mais est-elle réellement équivalente à une signature manuscrite ? Quelles sont les erreurs à ne pas commettre ? Quelles technologies assurent sa fiabilité ? Si la digitalisation constitue au premier abord une solution simple, efficace et abordable pour les entreprises ou les juristes, certaines spécificités propres à l’e-signature méritent d’être analysées afin de sécuriser les contrats sensibles et confidentiels.
La numérisation, une forte volonté d’harmonisation européenne
La signature électronique a été officiellement introduite en droit français par la loi n° 2000-230 du 13 mars 2000, transposition de la directive européenne 1999/93/CE, et portant sur l’adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique.
La création d’un cadre juridique à l’échelle européenne
Ce régime juridique a ensuite été réaménagé et consolidé, à l’échelle de l’Union européenne, par le règlement (UE) n° 910/2014 du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (dit règlement « eIDAS »). Entré en vigueur le 1er juillet 2016, il s’applique dans tous les Etats membres et a remplacé la directive 1999/93/CE susmentionnée.
Ce règlement instaure non seulement un cadre européen commun pour l’identification électronique entre citoyens, entreprises et autorités publiques, mais facilite également l’utilisation transfrontalière des services en ligne. Plus largement, il illustre la volonté d’améliorer la confiance dans les transactions électroniques, et de construire un véritable marché unique numérique qui soit le plus sécurisant et performant possible.
L’Union européenne se positionne une fois encore en tant que pionnière des régulations encadrant la digitalisation de la société. Plusieurs politiques répondant au même objectif sont en cours d’élaboration, parmi lesquelles la boussole numérique, présentée en mars 2021, qui définit une stratégie et un programme d’action pour encourager le passage au numérique dans l'UE d'ici à 2030. Par ailleurs, les objectifs fixés par le Conseil européen sur l’intelligence artificielle, l’économie des données, et la connectivité, font de l’Europe un acteur majeur de la digitalisation, novateur sur de nombreux aspects.
La France a transposé le règlement eIDAS le 28 septembre 2017 par le décret n° 2017/1416 relatif à la signature électronique. C’est pourquoi aujourd’hui, selon l’article 1367 du Code civil, la signature électronique consiste en l’usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. Mais comment s’assurer qu’une signature électronique est bien juridiquement équivalente à une signature manuscrite ?
Il convient au préalable de connaitre les différents acteurs des signatures électroniques. En effet, contrairement à une signature manuscrite, les signataires ne sont plus les seuls concernés. Interviennent maintenant des prestataires de services de confiance qui sont des organismes accrédités et habilités à fournir les services nécessaires à l’élaboration d’une signature électronique. Plus concrètement, ce sont toutes les entreprises qui fournissent des outils de signature et auxquelles incombent le respect des normes européennes. Peuvent être citées les sociétés américaines Docusign et Dropbox Sign ou encore les sociétés françaises Universign et Yousign.
L’Union européenne a souhaité encadrer ces prestataires grâce aux autorités de contrôle instaurées par le règlement eIDAS. A l’échelle européenne, il s’agit de l’Institut européen des normes de télécommunication (ETSI) et en France de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui a pour mission d’auditer à la fois les prestataires « qualifiés » et tous les outils et services que ces derniers proposent aux utilisateurs. Ces autorités établissent également une liste nationale de confiance (autrement appelée trust list) qui constitue, outre un indicateur clair pour les utilisateurs, un moyen de faciliter l’utilisation transfrontalière des signatures électroniques.
Les garanties offertes par la numérisation
Le règlement eIDAS insiste sur plusieurs principes clés qui sont au fondement même de la reconnaissance juridique de la signature électronique. Au premier rang se trouve le principe d’authentification, c’est-à-dire l’ensemble des processus électroniques qui permettent de confirmer l’identification électronique d’une personne physique ou morale. Cela signifie que l’identité du futur signataire doit être vérifiée et garantie avant même que ne survienne la signature, afin d’éviter tout risque d’usurpation. Il faut également s’assurer que la signature soit créée sous le contrôle exclusif du signataire identifié.
Il existe plusieurs moyens d’authentification. Celle-ci peut par exemple être effectuée avec confirmation d’un code reçu par SMS, par envoi d’un mot de passe à usage unique, par le téléchargement d’une pièce d’identité ou encore via une connexion FranceConnect. Plus le procédé utilisé est complexe et fiable, plus l’e-signature est juridiquement contraignante.
Egalement, toute signature doit respecter un principe d’intégrité et de traçabilité. Une fois le contrat signé électroniquement, il doit être scellé afin qu’il ne soit pas modifié, altéré ou détruit a posteriori, par des dysfonctionnements ou des cybercriminels. Plusieurs techniques peuvent être utilisées, notamment celle de l’horodatage qui consiste à apposer à un fichier une date fiable sous la forme d'un jeton d'horodatage. Ce dernier garantit à la fois l'existence d'un fichier à une date donnée et le fait qu’il n’ait pas été modifié depuis cette date. En outre, les signataires peuvent demander un document autoportant qui permet de rejouer de façon simple l’ensemble du processus, étape par étape, afin de vérifier que l’e-signature ne souffre d’aucune anormalité.
En pratique, une fois le contrat signé, les prestataires de services de confiance délivrent un fichier de preuve (aussi appelé fichier d’audit) qui doit être archivé avec le contrat. Il contient notamment le certificate of completion, qui comporte les caractéristiques du contrat signé, le nom des signataires et l’heure de signature. Des coffres-forts numériques existent afin d’assurer une conservation effective pendant toute la durée légale de conservation. L’intégrité des e-signatures et des contrats est un enjeu particulièrement important en raison des risques grandissants et protéiformes de la cybercriminalité.
Enfin, la signature électronique doit respecter le principe de non-répudiation, c’est-à-dire que le signataire ne doit pas pouvoir nier avoir signé le contrat. A cette fin, la technologie de cryptage utilisée permet de garantir qu’aucune contestation future ne sera possible, la signature étant retraçable intégralement par chiffrements.
Cette non-répudiation peut également aider à apporter la preuve du consentement du signataire, défini comme l’acquiescement qu’il donne au contrat et sa décision de ne pas s'y opposer. Il s’agit de montrer que celui-ci a effectivement donné son accord, et qu’il n’y a pas d’erreur sur son identité. Toutefois, la signature électronique souffre ici des mêmes limites qu’une signature manuscrite, les risques de vices de consentement ne pouvant être définitivement écartés. En effet, bien souvent, les solutions de signature électronique ne proposent comme protocole de consentement qu’une simple case à cocher ou la signature électronique en elle-même. Il reste difficile de déterminer par ces protocoles si le consentement est éclairé ou non.
La technologie au service de la sécurité
Le règlement eIDAS est organisé autour de trois niveaux de signature électronique qui correspondent à une fiabilité et une authenticité croissantes. Si chaque signature doit au minima garantir l’identification de l’auteur, son consentement et le lien avec l’acte, d’autres caractéristiques spécifiques viennent s’ajouter à chaque niveau.
Les différents niveaux de signature électronique
Le niveau 1 correspond aux signatures électroniques simples (SES) qui ne sont pas prévues directement par le règlement européen. Il s’agit de la signature électronique la plus utilisée, pour laquelle aucune condition de forme ou de fond n’est prévue. Par exemple, il peut s’agir du simple scan d’une signature, d’une case à cocher, ou de la signature sur la borne d’un livreur.
La SES ne bénéficie d’aucune force probatoire et ne peut être admissible en justice qu’en tant que commencement de preuve par écrit. Le règlement eIDAS précise néanmoins qu’il est interdit de prononcer l’irrecevabilité d’une signature électronique pour seul motif qu’elle ne présente pas les qualités d’une signature de niveau plus élevé. La croyance populaire selon laquelle le scan de la signature manuscrite suffit et équivaut à une signature manuscrite est donc erronée. Le scan est bien considéré comme une signature électronique mais n’offre aucune garantie véritable quant à son authentification, sa non-répudiation et son intégrité.
Le niveau 2 correspond aux signatures électroniques avancées (SEA) qui ne peuvent être qualifiées comme telles que si quatre conditions sont réunies :
- être liées au signataire de manière univoque ;
- permettre d’identifier le signataire ;
- avoir été créées à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
- être liées aux données associées à ladite signature de telle sorte que toute modification ultérieure des données soit détectable.
Les SEA ont une force probatoire renforcée ; elles peuvent être opposées en justice mais il reviendra au juge d’en apprécier la validité. Ainsi, plus les parties auront utilisé ou accumulé des procédés fiables d’authentification, plus l’e-signature aura de chance d’être admise. En cas de contestation, le juge devra examiner les preuves numériques et technologiques qui lui sont présentées, d’où l’importance du fichier de preuve susmentionné.
Le niveau 3 correspond aux signatures électroniques qualifiées (SEQ), le niveau de sécurité maximum qui permet de rendre contraignants les contrats de manière certaine. Outre le respect des critères de niveau 2, la SEQ doit d’une part reposer sur un certificat qualifié de signature, et d’autre part avoir été créée grâce à l’utilisation d’un dispositif de création de signature qualifié. Cette signature constitue un « service de confiance qualifié » qui doit expressément être certifié par une autorité de contrôle, sous peine de ne pas pouvoir être qualifiée de signature de niveau 3.
Les SEQ bénéficient en justice d’une présomption simple de fiabilité. La charge de la preuve s’en trouve inversée : si le signataire conteste la validité de sa présumée signature, c’est à lui qu’il incombera de prouver que la signature électronique est invalide. Le règlement eIDAS prévoit expressément que l’effet juridique d’une SEQ est équivalent à celui d’une signature manuscrite et fait l’objet d’une reconnaissance mutuelle entre les Etats membres. C’est finalement la seule e-signature qui est équivalente à une signature manuscrite, et qui est visée par l’article 1367 du Code civil.
Comment les praticiens peuvent-ils déterminer le niveau de signature électronique adéquat ? La loi impose parfois un niveau spécifique ; c’est le cas notamment des actes authentiques ou des statuts de sociétés commerciales[1], qui nécessitent des signatures qualifiées. De même, une signature avancée avec certificat qualifié doit être utilisée pour les appels d’offre des marchés publics[2].
Lorsqu’aucune obligation légale spécifique n’existe, il revient au praticien de choisir la signature la plus adaptée au contexte. L’ANSSI[3] recommande de procéder à une analyse des risques en prenant en considération les éléments suivants : vraisemblance du litige, gravité du litige, portée du document, et type de document.
Bien plus complexe et onéreuse, la signature électronique qualifiée ne doit pas être systématisée, surtout lorsque les spécificités du contrat et du secteur d’activité ne l’exigent pas. Il convient également de penser à l’expérience client en évitant toute contrainte non-nécessaire et en choisissant avec soin le prestataire de l’outil de signature. Le niveau 1 peut par exemple être utilisé lorsqu’il n’existe pas de risque particulier de litige ou que le contrat est à très faible enjeu. Au contraire, un contrat à dimension internationale, dont les implications financières sont élevées, et dont les signataires sont nombreux, aura la préférence d’une signature de niveau 3.
Les technologies de cryptographie et de hachage
Une signature manuscrite traduit la volonté non-équivoque de son auteur à consentir à un acte, par l’intermédiaire d’un procédé graphique. Au contraire, la signature électronique utilise, pour atteindre ce but, une série de chiffrements cryptographiés.
Comme le rappellent l’ANSSI[4] et la CNIL[5], la cryptologie signifie étymologiquement la « science du secret » et permet d’assurer l’intégrité et la confidentialité d’un message grâce à des techniques de clés et codes secrets. Toute signature électronique fonctionne via une clé cryptographique asymétrique, qui s’apparente à un algorithme mathématique associé à un ensemble de données. Il existe d’une part la clé privée, qui n’est détenue que par le signataire lui-même, et d’autre part la clé publique, qui peut être utilisée par toute autre personne, notamment pour vérifier l’authenticité de la signature. Plus le niveau de signature est élevé, plus la clé privée est protégée contre toute intrusion malveillante.
Ces deux clés, privée et publique, sont liées digitalement parlant, grâce à une fonction de hachage, qui permet d’associer à un contrat une empreinte numérique unique. Cette dernière se matérialise par une série, plus ou moins longue, de lettres et de chiffres. Si le document est modifié ou altéré après la signature, l’empreinte sera également modifiée de la même façon. La comparaison entre différentes empreintes numériques permet donc de s’assurer de l’intégrité du contrat.
En fonction des prestataires et des niveaux de signature, l’ANSSI rappelle que les algorithmes de cryptographie ou de hachage sont plus ou moins performants. Par précaution, il convient de s’assurer, auprès des prestataires, de la sécurité et de la robustesse des techniques utilisées. Cela passe notamment par la résistance du hachage face aux collisions (lorsque deux données distinctes ont une même empreinte), la longueur des empreintes (l’empreinte doit être plus petite que les données hachées pour en faciliter la conservation) et la résistance à la découverte des données hachées (réduire les probabilités de retrouver une donnée à partir de son empreinte). L’ANSSI publie des guides de sélection d’algorithmes cryptographiques afin de sécuriser au mieux les systèmes d’information.
Grâce à ce procédé cryptographique asymétrique, ce n’est donc plus la représentation manuscrite de la signature qui compte mais bien les chiffrements numériques associés. Il devient ainsi inutile de prêter attention à la ressemblance de la signature par rapport à son spécimen. Un dessin ou même un simple point suffirait à lier le consentement du signataire à l’acte. Si la tendance actuelle est de conserver l’aspect classique des signatures manuscrites pour les contrats numériques, il pourrait être envisagé dans le futur de s’en passer totalement.
Limites à l’impact de la signature électronique
La signature électronique présente encore certaines limites et peine à conquérir toutes les entreprises françaises.
Les difficultés pratiques soulevées par la signature électronique
Grâce aux technologies utilisées, le fonctionnement de l’e-signature s’éloigne radicalement d’une signature manuscrite classique. Certaines considérations pratiques ne sont donc plus abordées de la même façon. Les paraphes deviennent par exemple obsolètes puisqu’une signature électronique de niveau 2 ou 3 permet de jouer le même rôle qu’une reliure notariale. Il est techniquement garanti, grâce à l’horodatage, qu’aucune page du contrat électronique n’a été modifiée ou altérée à la suite de la signature. Le signataire devra seulement confirmer qu’il a bien lu l’intégralité du document en cochant une case dédiée.
Par ailleurs, les mentions manuscrites, obligatoires dans certains contrats comme les actes de cautionnement ou les reconnaissances de dette, ont également dû être repensées. L’article 1174 du Code civil prévoit maintenant que la mention manuscrite peut être inscrite sous forme électronique, à condition que cette apposition soit de nature à garantir qu'elle ne peut être effectuée que par le signataire. L’outil numérique doit donc permettre au signataire de recopier lui-même, par dactylographie (sur son clavier par exemple), la mention sur le document électronique.
Enfin, il est important de comprendre que le contrat numériquement signé ne peut être qualifié d’original qu’à condition d’être conservé sous forme électronique. L’impression papier d’un contrat électronique rend la technologie de l’e-signature inefficace et compromet sa qualité d’original.
En réalité, la principale difficulté pour les praticiens du droit réside dans la recevabilité des signatures électroniques d’un pays à l’autre puisque la signature électronique est utilisée pour signer tout type de contrat dans le monde entier. Si la reconnaissance mutuelle des signatures électroniques entre différents États est garantie au sein de l’Union européenne grâce aux SEQ, ce n’est pas automatique pour les autres pays. Chaque pays a adopté sa propre législation en matière de signature électronique. On peut en distinguer trois types[6] :
- les lois minimalistes : l'application des signatures électroniques comprend peu de contraintes légales, elles peuvent être utilisées pour presque tous les documents.
- Les lois dualistes : elles acceptent la plupart des signatures électroniques, mais différencient les technologies en privilégiant celles garantissant un niveau élevé de fiabilité. C'est l'approche adoptée par l'Union européenne.
- Les lois prescriptives : plus rares, elles n’agréent que certaines technologies, et exigent souvent l'utilisation de signatures électroniques équivalentes au niveau 3 du règlement eIDAS.
Dans le cadre d'une transaction impliquant des sociétés étrangères, il peut alors s’avérer déterminant d'examiner l'approche choisie par les différentes juridictions concernées afin de sélectionner le meilleur prestataire pour réaliser la signature électronique.
Un outil devenu incontournable et stratégique, mais encore ignoré par certaines entreprises
Correctement maitrisée, la signature électronique peut finalement être considérée comme plus fiable et sécurisante qu’une signature manuscrite classique. Le contrat est scellé au caractère près et aucune modification ultérieure ne peut intervenir. La signature électronique constitue donc un véritable atout d’efficacité et de sécurité pour les professions juridiques et les entreprises dans leurs relations contractuelles. Moins de déplacements, moins de documents imprimés, et un archivage 100% numérique.
Si cet outil se révèle incontournable, il est toutefois utilisé de façon inégale par les entreprises : 41 % des PME, 53 % des ETI, et seulement 25 % des TPE utilisent la signature électronique[7]. Malgré un faible coût et une facilité de mise en œuvre, un réel effort de digitalisation apparaît indispensable afin de généraliser son utilisation. Cependant, certaines études mettent en avant l’accélération du recours à la signature électronique. Selon markess by exaegis, 87% des entreprises en 2023 auront adopté une solution de signature électronique[8].
L’Union européenne n’a d’ailleurs pas dit son dernier mot : une nouvelle version du règlement eIDAS est en préparation pour s’adapter aux évolutions des marchés numériques et garantir des solutions d’identité électronique toujours plus fiables. L’accent sera mis sur un nouveau service d’identification unifié et sécurisé via la création d’un Portefeuille d’identité numérique européenne (European Digital Identity Wallet en anglais). Selon Anne-Laure Villedieu, cette révision du règlement eIDAS, actée le 3 juin 2021 par la Commission européenne, « devrait permettre aux petites et moyennes entreprises de sécuriser les échanges avec leurs prestataires et clients. Les plus grandes entreprises ou entités du secteur public, quant à elles, pourraient continuer à privilégier le développement de plateformes spécifiques »[9].
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute
[1] En vertu du décret n° 2019-1118 du 31 octobre 2019 relatif à la dématérialisation des registres, des procès-verbaux et des décisions des sociétés et des registres comptables de certains commerçants.
[2] En vertu de l’arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique et abrogeant l'arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics.
[3] Source : ANSSI, « Guide de sélection du niveau des signatures et des cachets électroniques », https://www.ssi.gouv.fr/uploads/2021/12/anssi-eidas-guide-niveau-signature.pdf.
[4] Source : ANSSI, « Guide de sélection du niveau des signatures et des cachets électroniques », https://www.ssi.gouv.fr/uploads/2021/12/anssi-eidas-guide-niveau-signature.pdf.
[5] Source : CNIL, « Comprendre les grands principes de la cryptologie et du chiffrement », 25 octobre 2016, https://www.cnil.fr/fr/comprendre-les-grands-principes-de-la-cryptologie-et-du-chiffrement
[6] Source : Adobe Sign, « Tour d’horizon mondial de la législation sur la signature électronique », Avril 2021, https://www.adobe.com/content/dam/dx-dc/pdf/fr/dc-esignatures-global-overview-fr.pdf
[7] Selon une enquête sur l’évolution des usages de la signature électronique en France, réalisée en janvier 2021 par YouGov pour Universign.
[8] Réf. préc., note 1
[9] A.-L. Villedieu, « Identité électronique et services de confiance - Bientôt du neuf ! », CMS Francis Lefebvre, 11 janvier 2022, https://cms.law/fr/fra/news-information/identite-electronique-et-services-de-confiance
