La signature électronique

, par Amaya Geronimi, Annie-Claude Coze, Martine Le Grand

Le présent texte explore les principales questions soulevées par les perspectives de développement de la signature électronique : Qu’est ce que la signature électronique ? Quelles modifications apporte-t-elle en droit de la preuve ? Quelles sont ces conditions de validité ? Pour quelles applications ?

 I. Qu’est-ce que la signature électronique ?

Le développement des nouvelles technologies de l’information et de la communication et notamment de l’Internet (échanges de documents, achats en ligne, ordre en bourse…) et surtout la directive européenne du 13 décembre 1999 ont conduit le législateur à adapter le droit de la preuve.

Aussi, depuis la loi n° 2000-230 du 13 mars 2000 :
« Art. 1316-1. – L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité. »

La signature remplit deux fonctions juridiques principales : l’identification de l’auteur et la manifestation de son consentement.

Se pose alors la question de la fiabilité des opérations. En effet, comment garantir l’authenticité de la personne qui effectue l’opération ? Et comment garantir l’intégrité du document échangé ? Tel est l’objet du décret d’application de l’article 1316-4 du code civil relatif à la signature électronique du 30 mars 2001.

La technologie la mieux à même de répondre à ces exigences est fondée sur la cryptographie asymétrique. Aussi, le décret du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et systèmes des technologies et de l’information précise les conditions technologiques de fonctionnement de la signature électronique.

La signature électronique est recevable en justice et aura même force qu’une signature manuscrite comme preuve en justice, à la condition que :

  • le signataire soit identifié
  • l’écrit soit établi dans des conditions de nature à en garantir l’intégrité
  • l’écrit soit conservé dans des conditions à en garantir l’intégrité
  • l’écrit soit lié de façon indissociable à la signature

D’où la nécessité de la signature électronique fiabilisée.

 II. Définition technique : une signature électronique fiabilisée

La signature numérique s’appuie sur la cryptographie asymétrique. Elle repose sur l’utilisation d’un couple de clés, l’une privée, connue par son seul propriétaire, l’autre publique, liées l’une à l’autre. C’est l’algorithme asymétrique qui permet de les lier. En effet, ce qui est chiffré par l’une ne peut être déchiffré que par l’autre et vice-versa.

Mais rien ne permet de vérifier l’identité réelle de l’interlocuteur sur Internet. La solution consiste à joindre un certificat de clé publique qui garantit l’origine de la signature.

Ce certificat est délivré par l’autorité de certification, la DCSSI (Direction centrale de la Sécurité des Systèmes d’Information). L’autorité de certification peut faire appel à des prestataires de service pour fournir « certaines parties du service de certification. Cependant, l’autorité conserve toujours la responsabilité globale ».

Le certificat de signature doit contenir au minimum :

  • la version de certificat ;
  • un numéro de série ;
  • le nom du porteur et sa clef publique ;
  • l’algorithme utilisé ;
  • les dates de validité ;
  • le nom de l’émetteur, l’identification de la politique de certification et la signature de l’émetteur.

Le prestataire de service de certification a une définition plus large que l’autorité de certification. Ce peut-être par exemple : une autorité de certification, ses entités associées prises indépendamment ou non (autorité d’enregistrement, opérateur de certification) ; une autorité d’horodatage ; un tiers archiveur de documents signés ; un prestataire de services de publication (annuaire ou liste de révocation de certificats, liste d’autorités de certification reconnues). Par exemple, Chambersign propose des certificats électroniques, qui permettent l’authentification de la clé publique. Certplus intervient en tant qu’opérateur de services de certification. Certinomis propose une gamme de certificats (notamment SociéPoste référencé MINEFI et URSSAF pour les télédéclarations).

L’arrêté du 31 mai 2002 complète le dispositif : le Comité français d’accréditation (COFRAC) et les organismes d’un accord européen seront chargés d’accréditer pour une durée de deux ans les organismes qui procèderont à l’évaluation des prestataires. L’attestation s’effectuera aux frais des prestataires et est valable un an. Mais, en l’occurrence en terme d’accréditation pour le moment tout reste à faire ! Actuellement les premiers laboratoires accrédités sont les CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information) tels que : AQL - Groupe SILICOMP, CEACI (THALES - CNES), SERMA Technologies, CEA – LETI, Ernst & Young eLabel, Algoriel, Oppida.

La signature électronique peut être créée (et permettre ainsi la conservation de la clé privée) avec différents dispositifs :

  • une carte à puce
  • un détecteur d’empreinte digitale
  • un appareil à enregistrer la signature manuscrite
  • un logiciel installé sur disque dur
  • une clé USB

Les logicels de signature électronique :

logiciel / Éditeur Description Prix
Mysing du groupe Adesium Signature, cosignature et sursignature hiérarchique. Ne s’intègre pas à la messagerie 195 à 245 € HT la licence avec certificat de signature avancée
Mailscure de Baltimore Signature de mails sur S.Mime (Word, Excel, Outlook, Notes) 14 030 € pour 200 utilisateurs
RSA Keon Standalone Desktop de RSA Signature et chiffrement (navigateurs et clients de mails). 91,47 € HT la licence. 48,78 € HT la carte à puce
Safeware Sign Crypt d’Utimaco Safeware Signature, cosignature et sursignature hiérarchique (Word, Excel, Outlook, Notes, Acrobat, Composant SAP R/3. 90 e HT la licence Workflow. Certification ITSec 2+

Source : Chrystèle Besson, Décision Micro, le 21/08/2002 à 08h00

Aussi, vraisemblablement la signature électronique sera opérationnelle telle que définie par les textes réglementaires dans environ un an.

 III. Ses applications

Les usages professionnels

  • achat de paiement en ligne par Internet (« B to B ») : la signature électronique rendra accessible aux PME certains outils informatiques des grandes entreprises ;
  • passation d’ordre de bourse ;
  • opérations bancaires à distance (souscription à un contrat d’assurance-vie, PEL, Transferts financiers, lettres de change, etc.) ;
  • télédéclarations administratives (TVA, impôts, URSSAF…) ;
  • échange par courrier électronique de messages et de documents (convocation aux assemblées générales…) ;
  • établissement de contrats de travail à distance. Exemple de Vediorbis, société de travail temporaire qui utilise la signature électronique pour dématérialiser ses contrats de mise à disposition de travailleurs intérimaires ;
  • échange d’informations médicales entre professionnels de la santé ;
  • les actes notariés (après publication du décret « actes authentiques »).

Pour les particuliers

  • La télédéclaration d’impôts ;
  • Le commerce électronique, l’achat en ligne, et la carte EMV, « carte bancaire du futur », qui permettra également de faire de la signature électronique. Il sera possible de régler ses achats en utilisant un procédé de signature électronique ;
  • Les actes notariés (après publication du décret « actes authentiques » ; contrats de mariage, actes immobiliers...) ;
  • Les correspondances personnelles.
    En conclusion, la signature électronique devrait modifier la gestion des entreprises tant dans les domaines comptable, administratif, financier que commercial. Toutefois, trois ans après la parution de la loi au journal officiel, son développement en est encore au stade du projet dans de nombreuses entreprises !

Les sources :

Le Monde Informatique du 21/03/2003

Partager

Imprimer cette page (impression du contenu de la page)