Signature électronique : des garanties d’intégrité et d’authentification

Publié le 01/07/2009 - Mag Securs

La signature électronique a été consacrée par la directive européenne du 13 décembre 1999 , par la loi française de transposition du 13 mars 2000 et par son décret d’application du 30 mars 2001 pris pour l’application de l’article 1316-4 du Code civil et relatif à la signature électronique ainsi que par le décret du 18 avril 2002 et l’arrêté du 31 mai 2002 .

La loi française a instauré une présomption de fiabilité pour les solutions de signature électronique qui répondent à certaines contraintes spécifiques (I), étant précisé que les prestataires de services de certifications électroniques (PSCE) jouent un rôle déterminant dans ce dispositif (II).

I. Présomption de fiabilité à certaines conditions

Selon le code civil, la signature électronique consiste « en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans les conditions fixées par décret en Conseil d’État » (C. civ., art. 1316-4, al. 2). Ces conditions ont été précisées par le décret du 30 mars 2001.

La première condition consiste à recourir à une signature électronique « sécurisée ». Le législateur a opté pour un haut niveau de sécurité, reprenant la définition communautaire de la signature électronique « avancée » : celle-ci doit « être liée uniquement au signataire ; permettre d’identifier le signataire ; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure de données soit détectable ».
La présomption de fiabilité est ainsi posée en faveur des personnes qui auront recours soit à des produits correspondant à des normes mentionnées dans une liste publiée au Journal officiel des Communautés européennes, soit à des tiers, « prestataires de service de certification » .

La deuxième condition réglemente l’utilisation d’un dispositif « sécurisé » de création de signature électronique. Celui-ci (matériels ou logiciels destinés à mettre en application les données de création de la signature électronique) « ne peut être regardé comme sécurisé » que s’il garantit « par des moyens techniques et des procédures appropriées que les données de création de signature électronique (i) ne peuvent être établies plus d’une fois et que leur confidentialité est assurée ; (ii) ne peuvent être trouvées par déduction et que la signature électronique est protégée contre toute falsification ; (iii) peuvent être protégées de manière satisfaisante par le signataire contre toute utilisation par des tiers ». La conformité des dispositifs aux exigences énumérées ci-dessus doit être certifiée, soit par les services du Premier ministre chargés de la sécurité des systèmes d’information, soit par un organisme désigné par un État membre de la Communauté européenne. Le décret n° 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information détaille la procédure permettant de faire certifier un système de signature électronique. Trois étapes sont prévues : (i) le prestataire doit présenter sa demande auprès de la Direction centrale de la sécurité des systèmes d’information (DCSSI), (ii) puis faire évaluer son système par un centre agréé par le Premier ministre ; (iii) à la suite de cette évaluation, un rapport de certification sera, le cas échéant, accordé (la validité du certificat est alors de deux ans).

Enfin, la troisième condition consiste à vérifier que la signature repose sur l’utilisation d’un « certificat électronique qualifié » délivré par un prestataire de services de certification. Ce certificat est en quelque sorte une carte d’identité électronique qui doit permettre d’établir un lien entre une personne et sa clé publique. Il est strictement nominatif et il faut délivrer autant de certificats qu’il y a de personnes physiques habilitées à signer électroniquement .
Pour être « qualifié », le certificat électronique doit comporter un certain nombre de mentions obligatoires : « une mention indiquant que ce certificat est délivré à titre de certificat électronique qualifié, l’identité du prestataire de services de certification électronique ainsi que l’État dans lequel il est établi, le nom du signataire ou un pseudonyme, celui-ci devant alors être identifié comme tel, les données de vérification de signature électronique qui correspondent aux données de création de signature électronique, l’indication du début et de la fin de la période de validité du certificat électronique, le code d’identité du certificat électronique, la signature électronique sécurisée du prestataire de services de certification électronique qui délivre le certificat électronique » (Décr. no 2001-272, 30 mars 2001, art. 6). D’autres mentions sont facultatives, par exemple, l’indication de la qualité du signataire en fonction de l’usage auquel le certificat électronique est destiné ou encore les conditions d’utilisation du certificat électronique, notamment le montant maximum des transactions pour lesquelles ce certificat peut être utilisé. Par sécurité, le certificat électronique et la clé privée du signataire ne doivent pas être stockés directement sur le disque dur du signataire mais plutôt sur un support externe (CD-rom, carte à puce, clé USB, etc.).
II Rôle et responsabilités des prestataires de services de certification électronique

Deux textes encadrent les règles d’évaluation et de certification des PSCE ainsi que les conditions d’agrément des organismes habilités à procéder à ces évaluation et certification (Décr. no 2002-535, 18 avr. 2002, relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information – Arr. 26 juill. 2004, relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation ). Ces organismes sont eux mêmes accrédités par le Comité français d’accréditation (Cofrac) , et la Direction centrale de la sécurité des systèmes d’information (DCSSI) contrôle la délivrance des accréditations.

Le rôle des PSCE est déterminant puisqu’ils doivent assurer l’authentification par l’usage d’un certificat électronique. Ils ont, à ce titre, l’obligation « (i) d’enregistrer toutes les informations pertinentes concernant un certificat qualifié pendant le délai utile, en particulier pour pouvoir fournir une preuve de la certification en justice. Ces enregistrements peuvent être effectués par voie électronique, (ii) utiliser des systèmes fiables pour stocker les certificats » (Dir. 1999/93/CE, 13 déc. 1999).
L’article 6-II du décret d’application n°2001-272 du 30 mars 2001 prévoit également à leur charge l’obligation « de conserver, éventuellement sous forme électronique, toutes les informations relatives aux certificats électroniques qui pourraient s’avérer nécessaires pour faire la preuve en justice de la certification électronique ou d’utiliser des systèmes de conservation des certificats qui garantissent que l’introduction de la modification des données est réservée aux seules personnes autorisées à cet effet par le prestataire et que toute modification de nature à compromettre la sécurité du système puisse être détectée ».

Ainsi, leur responsabilité peut être engagée, conformément à la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). En effet, « sauf à démontrer qu’ils n’ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés dans chacun des cas suivants : (i) les informations contenues dans le certificat, à la date de sa délivrance, étaient inexactes ; (ii) les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes ; (iii) la délivrance du certificat n’a pas donné lieu à la vérification que le signataire détient la convention privée correspondant à la convention publique de ce certificat ; (iv) les prestataires n’ont pas, le cas échéant, fait procéder à l’enregistrement de la révocation du certificat et tenu cette information à la disposition des tiers » (art. 33). Leur responsabilité pourra cependant être écartée lorsqu’il sera établi que l’utilisateur aura fait du certificat un usage « dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé, à condition que ces limites figurent dans le certificat et soient accessibles aux utilisateurs ».

Enfin, la libre circulation au sein de l’Union européenne des services de certification est assurée. Il est en effet également prévu, hors de l’Union européenne, un mécanisme de reconnaissance des entreprises extérieures à l’Europe (dir. 13 déc. 1999, art. 7). Par conséquent, un certificat électronique délivré par un prestataire établi hors de l’Union européenne a la même valeur juridique que celui délivré par un prestataire établi dans un État membre de l’Union européenne, dès lors que le prestataire satisfait aux exigences précitées, que le certificat a été garanti par un prestataire de l’Union européenne ou qu’un accord auquel l’Union est partie l’a prévu.
Bilan.

Malgré un environnement juridique complet, le marché de la signature électronique a du mal à se développer, alors même que les échanges commerciaux sur internet se développent. Les principales applications se concentrent sur l’administration en ligne ou encore sur les services bancaires en ligne.
Dans un rapport en date du 15 mars 2006, la Commission européenne avait identifié plusieurs causes possibles au faible développement des solutions de signatures électroniques . Ses constats restent d’actualité, notamment lorsqu’elle observe que la technologie PKI (clé publique et clé privée) est nécessairement source de ralentissement à raison de sa complexité et de son coût. De même, le défaut d’interopérabilité technique au plan national et international est de nature à limiter les utilisations possibles des dispositifs de création et de vérification de la signature électronique. Dans le même esprit, l’absence, pour les transactions transfrontalières, de dispositions relatives à un dispositif permettant d’assurer la reconnaissance mututuelle des prestataires de services de certification constitue un frein, tout comme les difficultés techniques et les incertitudes juridiques qui entourent l’archivage des documents signés électroniquement.
Dans cette logique, elle préconise trois voies pour favoriser le développement de la signature électronique : sa généralisation dans l’administration en ligne, l’interopérabilité des solutions et des travaux de normalisation. D’ores et déjà, on peut observer que la signature électronique est visée dans plusieurs textes européens (la directive n°2001/115/CE relative à la facture électronique, des nouvelles directives sur les marchés publics ou encore de la décision de la Commission n°2004/563/CE concernant les documents électroniques et numérisés du 7 juillet 2004).

Autres publications