Cadre de sécurité des échanges électroniques

Publié le 01/10/2007 - Archimag

Vis-à-vis du juge, quel est le poids d’une archive électronique ? Le réflexe est encore bien souvent de vouloir produire devant le tribunal une preuve sur support papier. Pourtant les textes légaux apportent une réelle sécurité aux échanges électroniques.

Depuis la loi du 13 mars 2000, la législation concernant le document électronique s’est considérablement étoffée. A tel point qu’il n’est plus possible de dire qu’une entreprise qui s’oriente vers le tout électronique part à l’aventure. Impossible ici de détailler l’ensemble des dispositifs légaux et réglementaires (les sources sur le sujet sont nombreuses, voir en fin de guide). Rappel des grands principes.

Admission de la preuve électronique
La loi du 13 mars 2000 n’est pas le point de départ de la preuve électronique en France. Déjà auparavant, celle-ci est admise dans les relations commerciales. En matière civile, elle l’est pour les engagements inférieurs à 800 euros. En 1990, la loi de finances affirme que « les factures transmises par voie télématique constituent des documents tenant lieu de facture d’origine ». La loi de finances rectificative pour 1999 donne obligation aux entreprises dont le chiffre d’affaires est supérieur à 15 millions d’euros hors taxes de faire leurs déclarations d’impôts et de TVA par voie électronique.

Le 13 mars 2000, la loi élargit considérablement le champ d’admission de la preuve électronique en rendant la preuve littéralement indépendante de son support. Seules réserves : pouvoir identifier la personne dont émane l’écrit électronique, celui-ci étant « établi et conservé dans des conditions de nature à en garantir l’intégrité ». Corollairement, la signature électronique est juridiquement reconnue. Ecrit et signature électroniques sont donc applicables aux actes sous seing privé tels que gage, contrat d’édition ou cession de brevet. Le juge admet qu’un « écrit électronique non sécurisé constitue une preuve dès lors que la preuve est libre et que la sincérité du détenteur de l’écrit ne peut pas être suspectée » (à propos d’une déclaration de créance, cour de cassation, 4 octobre 2005).

Par ailleurs, toujours selon la loi de 2000, les actes authentiques et leur signature peuvent être dématérialisés. Sont concernés les actes passés devant notaire (donation, contrat de mariage, constitution d’hypothèque, etc.) ou devant un officier d’état civil, un préfet, un huissier, un commissaire-priseur…

L’étape suivante est celle de la loi du 21 juin 2004 (LCEN) : les écrits exigés pour la validité d’un acte juridique peuvent être établis et conservés sous forme électronique.

Archivage électronique : le support et son dispositif

L’archivage de certains documents d’entreprise peut être exigé dans un but probatoire, selon des durées de conservation légales propres à chaque type de document (1). La loi prévoit seulement qu’il est possible de présenter, comme commencement de preuve par écrit, une reproduction fidèle et durable de l’original (art. 1348 al. 2 du code civil). D’où la nécessité de démontrer au juge que les méthodes d’enregistrement donnent une restitution du message, sans altération, dans son format d’origine.

Quel en est la traduction technique ? Le disque optique numérique non réinscriptible est le support recommandé en priorité. Cependant, son utilisation doit être renforcée par un algorithme, moyen de détecter de façon logique toute falsification. C’est l’objet de la norme NF Z42-013 (prescriptions pour produire, stocker et restituer les documents électroniques avec toutes les garanties d’intégrité et de fidélité aux documents d’origine). A noter aussi les recommandations de la Cnil en matière d’archivage électronique.

Par ailleurs, en matière d’achat en ligne, pour des montants à partir de 120 euros, le cybermarchand a l’obligation de conserver l’écrit électronique qui constate la transaction, ceci pour une durée de dix ans ; il doit aussi en garantir l’accès au cyberconsommateur (art. 27 de la LCEN et décret du 16 février 2005).

Signature électronique présumée fiable

La signature électronique revêt deux fonctions : identifier le signataire et garantir l’intégrité de l’acte. La loi du 13 mars 2000 lui accorde une présomption de fiabilité « jusqu’à preuve contraire » (sous certaines conditions fixées par décret en conseil d’Etat). La signature doit être liée uniquement au signataire, permettre de l’identifier, être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et être liée aux données auxquels elle se rapporte afin que toute modification soit détectable. La présomption de fiabilité joue donc en faveur des tiers « prestataires de services de certification ».

Les décrets du 30 mars 2001 et du 18 avril 2002 précisent les conditions :

  • dispositif sécurisé de création de signature électronique

Matériels et logiciels de signature électronique sont considérés sécurisés s’ils garantissent « par des moyens techniques et des procédures appropriées » que :
– les données de création de signature électronique ne peuvent être établis plus d’une fois
– leur confidentialité est assurée
– les données ne peuvent être trouvées par déduction
– la signature électronique est protégée contre toute falsification
– les données peuvent être protégées de manière satisfaisante par le signataire contre toute utilisation par des tiers
– aucune altération du contenu n’en découle
– aucun obstacle n’empêche le signataire d’avoir connaissance de ce contenu.
La conformité de ces dispositifs est certifiée par les services du Premier ministre chargés de la sécurité des systèmes d’information ou par un organisme désigné par un Etat membre de la Communauté européenne.

  • dispositif sécurisé de vérification

Les dispositifs de vérification de signature électronique, tels les clés cryptographiques, doivent répondre à certaines exigences, notamment pour garantir l’exactitude de la signature.

  • certificat électronique qualifié

La vérification de la signature repose sur l’utilisation d’un certificat électronique délivré par un prestataire de services de certification. C’est une sorte de carte d’identité électronique, strictement nominative, établissant un lien entre le signataire et sa clé publique.

(1) Voir le guide pratique Archimag « records management et archivage » et son supplément sur les durées de conservation et les tableaux de gestion (sept. 2005).

Autres publications