La signature électronique

Etudes de législation comparée

Étude de législation comparée n° 67 -

LA SIGNATURE ELECTRONIQUE

Table des matières




NOTE DE SYNTHESE

Le projet de loi français portant adaptation du droit de la preuve aux nouvelles technologies de l'information et relatif à la signature électronique tend à introduire une présomption de fiabilité au profit des signatures électroniques qui répondent à certaines conditions, lesquelles devront être précisées par décret en Conseil d'Etat.

Ce projet amène à s'interroger sur le régime juridique de la signature électronique chez nos principaux voisins. La présente étude couvre plusieurs pays européens ( Allemagne , Belgique , Danemark , Espagne , Italie, Luxembourg et Royaume - Uni ). Pour chacun de ces pays, elle vérifie si la signature électronique bénéficie de la reconnaissance législative et en analyse les effets juridiques. Elle examine ensuite, le cas échéant, les conditions de validité de la signature électronique. La directive européenne sur un cadre communautaire pour les signatures électroniques , adoptée le 30 novembre 1999, a également été étudiée, et les conditions de validité de la signature électronique dans les différents pays sous revue - qu'elles s'appliquent déjà ou qu'elles ne soient que prévues - ont été comparées aux dispositions prises au niveau européen.

L'examen de la situation dans ces sept pays fait apparaître que :

- l'Allemagne et l'Italie sont actuellement les seuls pays où un texte définit le régime juridique de la signature électronique ;

- les textes allemand et italien ne reconnaissent que certaines formes de signature électronique et leur accordent des effets différents ;

- les projets espagnol et luxembourgeois, ainsi que les avant-projets anglais, belge et danois, visent toutes les formes de signature électronique, mais ils divergent dans les effets qu'ils leur reconnaissent.

Qu'est-ce que la signature électronique ?

Le développement du commerce électronique est subordonné à l'existence de garanties sur la sécurité des transmissions de données et des paiements en ligne. Grâce à un système de chiffrement appliqué au message transmis, sans que ce dernier soit nécessairement lui-même chiffré, la signature électronique constitue une réponse au problème, car elle garantit l'authenticité et l'intégrité des données, ainsi que l'identité du signataire. Si la confidentialité est requise, il faut chiffrer le contenu du message.

De façon générale, le chiffrement consiste à rendre le texte d'un message illisible pour qui ne détient pas la clé de déchiffrement. Dans les systèmes de chiffrement symétriques, une seule clé sert à la fois à chiffrer et à déchiffrer les données. Elle doit être gardée secrète par les parties intéressées pour que la sécurité de l'information soit garantie. L'inconvénient principal réside dans le fait que l'expéditeur et le destinataire doivent convenir à l'avance de la clé et doivent disposer d'un canal sûr pour l'échanger.

C'est pourquoi les systèmes de signature électronique qui se développent depuis quelques années reposent sur des algorithmes de chiffrement asymétriques, où, de plus, chaque utilisateur dispose de deux clés, une clé publique et une clé privée. Ces deux clés sont elles-mêmes créées à l'aide d'algorithmes mathématiques. Elles sont associées l'une à l'autre de façon unique et sont propres à un utilisateur donné . Un message chiffré à l'aide d'un algorithme asymétrique et d'une clé privée, qui constitue l'un des paramètres de l'algorithme, ne peut être déchiffré qu'avec la clé publique correspondante, et inversement. La clé publique doit donc être connue de tous, tandis que la clé privée reste secrète , la carte à puce semblant être le meilleur support de stockage des clés privées. Lorsque l'algorithme de chiffrement asymétrique est utilisé seulement pour créer la signature électronique, les mêmes clés, privée et publique, sont utilisées, mais seulement pour vérifier l'authenticité et l'intégrité du message.

Ces signatures électroniques, obtenues par l'application d'algorithmes asymétriques, sont parfois qualifiées de numériques ou de " digitales ", par opposition aux signatures électroniques créées au moyen d'autres dispositifs.

Selon la Commission des Nations Unies pour le droit commercial international, une signature numérique est " une valeur numérique apposée à un message de données et qui, grâce à une procédure mathématique bien connue associée à la clé cryptographique privée de l'expéditeur, permet de déterminer que cette valeur numérique a été créée à partir de la clé cryptographique privée de l'expéditeur. Les procédures mathématiques utilisées pour créer les signatures numériques sont fondées sur le chiffrement de la clé publique. Appliquées à un message de données, ces procédures mathématiques opèrent une transformation du message de telle sorte qu'une personne disposant du message initial et de la clé publique de l'expéditeur peut déterminer avec exactitude : a) si la transformation a été opérée à l'aide de la clé privée correspondant à celle de l'expéditeur ; et b) si le message initial a été altéré une fois sa transformation opérée (...) "

Contrairement à la signature manuscrite , la signature numérique , composée de chiffres, de lettres et d'autres signes, ne comporte aucun élément permettant de l'attribuer à une personne donnée . Chaque utilisateur doit donc établir avec certitude l'identité de ses correspondants. C'est pourquoi on recourt à des services de certification , souvent désignés comme " tiers de certification ", qui disposent de la confiance de chacun et qui garantissent l'appartenance d'une signature à une personne. Comme le destinataire utilise la clé publique de l'expéditeur pour vérifier la signature électronique de ce dernier, la vérification suppose que le tiers certifie au destinataire que la clé publique qu'il utilise correspond bien à la clé privée de l'expéditeur signataire et que ce dernier est bien celui qu'il prétend être. Les tiers de certification délivrent donc des certificats d'authentification qui contiennent, d'une part, divers renseignements sur la personne dont on souhaite vérifier l'identité (nom, prénom, date de naissance...) et, d'autre part, sa clé publique. Ces certificats sont généralement réunis dans des bases de données mises en ligne sur le réseau Internet, ce qui permet à chacun d'y accéder facilement.

La signature numérique constitue donc un bloc de données créé à l'aide d'une clé privée ; la clé publique correspondante et le certificat permettent de vérifier que la signature provient réellement de la clé privée associée, qu'elle est bien celle de l'expéditeur et que le message n'a pas été altéré .

1) Seules l'Allemagne et l'Italie disposent de textes sur la signature électronique, mais des législations sont en préparation dans les autres pays

a) Depuis 1997, le régime juridique de la signature électronique est déterminé par une loi en Allemagne et par un décret en Italie

En effet, l'Allemagne a adopté en juin 1997 la loi sur la signature " digitale ", qui constitue en fait la troisième partie d'une loi générale sur la société de l'information et qui a été complétée par une ordonnance entrée en vigueur le 1 er novembre 1997.

En Italie, un décret du Président de la République, pris en 1997 en application de la loi Bassanini sur la réforme de l'administration publique, définit le régime juridique des documents informatiques, parmi lesquels la signature électronique. Les dispositions de ce décret qui concernent cette dernière ont été précisées au début de l'année 1999 par un décret du Président du conseil.

b) Dans chacun des autres pays, un projet de loi est actuellement en préparation ou en discussion

En Belgique, le gouvernement en fonction jusqu'aux élections législatives de juin 1997 avait adopté deux projets de loi : l'un visant à modifier certaines dispositions du code civil sur la preuve des obligations et l'autre concernant les tiers de certification. Seul le premier avait été déposé au Parlement, mais il est devenu caduc. Le gouvernement actuel a préparé un projet sur les tiers de certification, mais il ne l'a pas encore déposé au Parlement.

Le projet de loi danois sur la signature électronique est en cours d'élaboration. Un premier avant-projet de loi avait été rédigé au début de l'année 1998 et les parties intéressées avaient été consultées. Cependant, les désaccords entre les ministères de la Recherche et de la Justice ont conduit le gouvernement à attendre l'adoption de la directive pour rendre public un nouvel avant-projet de loi. De même, au Royaume-Uni, l'avant-projet de loi sur les moyens électroniques de communication, qui définit notamment le régime juridique de la signature électronique, a été rendu public en juillet 1999, et le projet de loi devrait être déposé au début de l'année 2000.

En revanche, en Espagne, le projet de loi sur la signature électronique est actuellement soumis à la commission compétente du Congrès des députés. Il devrait être adopté au cours des premières semaines de l'année 2000. Au Luxembourg, les dispositions relatives à la signature électronique font partie d'un projet plus large, qui concerne le commerce électronique et qui a déjà été déposé au Parlement.

2) Les textes allemand et italien ne reconnaissent que certaines formes de signature électronique et leur accordent des effets différents

a) La loi allemande et le décret italien ne traitent que de la signature électronique fondée sur un système de chiffrement asymétrique

Le domaine d'application des deux textes est limité aux signatures numériques, c'est-à-dire aux signatures électroniques créées à l'aide d'un procédé de chiffrement asymétrique .

Aucun de ces textes n'évoque les autres signatures électroniques, dont la valeur est donc laissée à l'appréciation du juge.

b) Les deux textes n'accordent pas les mêmes effets juridiques à la signature numérique

Le décret italien confère à la signature numérique les mêmes effets juridiques qu'à la signature manuscrite et prévoit qu'elle puisse remplacer n'importe quel signe, sceau, cachet, poinçon... Il prévoit même que, à l'image de la signature manuscrite, elle puisse être authentifiée par un officier ministériel.

En revanche, la loi allemande ne contient aucune disposition explicite sur la recevabilité en justice et sur la valeur probante de la signature numérique. Elle ne remet pas non plus en cause la liberté qu'a le juge d'apprécier les éléments de preuve qui lui sont soumis. Elle définit seulement les conditions dans lesquelles le destinataire peut être sûr de l'identité de l'émetteur et de l'intégrité des données transmises. Il paraît donc probable que, sauf dans les cas où une signature manuscrite est expressément exigée, le juge admettra la valeur probante des signatures numériques.

3) Les projets de loi espagnol et luxembourgeois, ainsi que les avant-projets anglais, belge et danois, visent toutes les formes de signature électronique, mais divergent dans les effets qu'ils leur reconnaissent

a) Les cinq projets s'appliquent à toutes les formes de signature électronique, indépendamment de la technologie retenue...

Reprenant plus ou moins fidèlement la formulation de la directive, les cinq textes définissent la signature électronique comme une donnée électronique qui sert de méthode d'authentification. Même s'ils paraissent avoir été rédigés pour s'appliquer aux signatures électroniques créées grâce à un procédé de chiffrement asymétrique, ils n'excluent a priori aucune autre forme de signature électronique et respectent donc le principe de neutralité technologique qui sous-tend la directive.

Malgré ce principe, certains textes ne sont pas destinés à s'appliquer à toutes les signatures électroniques. En effet, l'avant-projet de loi belge ne traite que de la signature électronique " avancée ", c'est-à-dire la signature électronique produite grâce à un dispositif qui est lié de manière unique et certaine au signataire et qu'il peut garder sous son contrôle exclusif. Il en va de même de l'avant-projet danois, qui, sans se référer explicitement à la signature électronique " avancée ", ne s'applique qu'aux signatures électroniques les plus fiables.

Par ailleurs, à l'image de la directive, les projets de lois espagnol et luxembourgeois établissent une distinction en fonction du degré de fiabilité des signatures électroniques : ils opposent en effet la signature électronique et la signature électronique " avancée ".

b) ... sans leur reconnaître la même valeur juridique

Comme la directive, les projets belge, espagnol et luxembourgeois considèrent comme équivalentes aux signatures manuscrites les signatures électroniques créées dans des conditions de sécurité optimales , c'est-à-dire les signatures électroniques " avancées " qui, de plus, sont associées à un certificat particulièrement fiable et sont créées par un dispositif sécurisé. En revanche, ils ne reconnaissent aucun effet juridique particulier aux autres signatures électroniques. Cependant, les projets espagnol et luxembourgeois précisent explicitement, tout comme la directive, qu'elles seront recevables en justice.

Les avant-projets de loi anglais et danois ne comportent pas la notion de signature électronique " avancée ". Le premier prévoit, de façon générale, la recevabilité des signatures électroniques, quelles qu'elles soient, mais laisse au juge le soin d'apprécier leur valeur probante, tandis que le second détermine seulement les conditions dans lesquelles les signatures électroniques peuvent être considérées comme sûres, sans remettre en cause la totale liberté du juge pour évaluer leur recevabilité et leur valeur probante.

* *

*

Outre ces divergences importantes dans son régime même, il faut souligner que les conditions de validité de la signature électronique, notamment celles qui se rapportent aux tiers de certification, sont assez différentes d'un pays à l'autre.

Ainsi, la loi allemande et le décret italien ne contiennent aucune disposition sur leur responsabilité. Il en va de même de l'avant-projet de loi anglais, qui est particulièrement libéral.

En effet, conformément aux recommandations de la commission parlementaire, il laisse les professionnels mettre en place un dispositif d'accréditation, alors que tous les autres textes, en vigueur ou en préparation, définissent un système d'accréditation obligatoire, au moins pour les tiers de certification qui délivrent les certificats les plus fiables.

UNION EUROPEENNE

Le 13 mai 1998, la Commission a présenté la proposition de directive sur un cadre commun pour les signatures électroniques .

Le Parlement européen l'a approuvée le 13 janvier 1999, après avoir introduit quelques amendements. La Commission a donc présenté une proposition modifiée le 29 avril 1999, sur laquelle le Conseil a adopté une position commune. Le 27 octobre 1999, le Parlement européen a adopté quelques amendements formels à ce texte, sur lequel le Conseil s'est prononcé le 29 novembre 1999.

1) La reconnaissance juridique de la signature électronique

L'article premier de la directive énonce : " L'objectif de la présente directive est de faciliter l'utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique (...) ".

A l'article suivant, elle définit deux niveaux de signature électronique . Elle distingue en effet la " signature électronique ", qu'elle qualifie de " donnée sous forme électronique, qui est jointe ou liée logiquement à d'autres données électroniques et qui sert de méthode d'authentification ", de la " signature électronique avancée ", qui doit en outre satisfaire aux exigences suivantes :

" a) être liée uniquement au signataire ;

" b) permettre d'identifier le signataire ;

" c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; et

" d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable ".

2) Les effets juridiques de la signature électronique

D'après la directive, seules les signatures électroniques créées dans des conditions de sécurité optimale peuvent avoir la même valeur que les signatures manuscrites . En effet, cette équivalence est réservée aux signatures électroniques avancées " basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature ".

Toutefois, les autres signatures électroniques doivent pouvoir être reconnues en justice . Le seul fait qu'elles ne reposent pas sur un certificat qualifié, que le certificat n'ait pas été délivré par un tiers de certification agréé, ou qu'elles ne résultent pas d'un dispositif sécurisé de création de signature ne doit pas empêcher a priori qu'elles soient reçues comme preuves.

3) Les conditions de validité de la signature électronique

La recevabilité en justice des signatures électroniques et la qualification de signature électronique " avancée ", reposent sur des conditions relatives :

- aux certificats ;

- aux tiers de certification ;

- au processus de création de la signature électronique.

a) Les certificats

Les titulaires des certificats sont des personnes physiques qui peuvent, le cas échéant, agir pour le compte d'une personne morale. La directive ne mentionne aucune indication de durée de validité maximale pour les certificats.

L'annexe I de la directive énumère les exigences relatives aux certificats " qualifiés ". Ces derniers comportent nécessairement :

" a) une mention indiquant que le certificat est délivré à titre de certificat qualifié ;

" b) l'identification du prestataire de service de certification, ainsi que le pays dans lequel il est établi ;

" c) le nom du signataire ou un pseudonyme qui est identifié comme tel ;

" d) la possibilité d'inclure, le cas échéant, une qualité spécifique du signataire, en fonction de l'usage auquel le certificat est destiné ;

" e) des données afférentes à la vérification de signature qui correspondent aux données pour la création de signature sous le contrôle du signataire ;

" f) l'indication du début et de la fin de la période de validité du certificat ;

" g) le code d'identité du certificat ;

" h) la signature électronique avancée du prestataire de service de certification qui délivre le certificat ;

" i) les limites à l'utilisation du certificat, le cas échéant ; et

" j) les limites à la valeur des transactions pour lesquelles le certificat peut être utilisé, le cas échéant ".

b) Les tiers de certification

Si la fourniture de services de certification ne peut être soumise à une autorisation préalable, et peut être assurée par toute personne physique ou morale, les Etats membres doivent cependant instaurer un système de contrôle des tiers de certification. La directive prévoit par ailleurs que les Etats membres puissent, pour " améliorer le niveau du service de certification fourni ", instaurer un système d'accréditation.

L'annexe II de la directive définit les exigences concernant les tiers de certification qui délivrent des certificats agréés.

" Les prestataires de service de certification doivent :

" a) faire la preuve qu'ils sont suffisamment fiables pour fournir des services de certification ;

" b) assurer le fonctionnement d'un service d'annuaire rapide et sûr et d'un service de révocation sûr et immédiat ;

" c) veiller à ce que la date et l'heure d'émission et de révocation d'un certificat puissent être déterminées avec précision ;

" d) vérifier, par des moyens appropriés et conformes au droit national, l'identité et, le cas échéant, les qualités spécifiques de la personne à laquelle un certificat qualifié est délivré ;

" e) employer du personnel ayant les connaissances spécifiques, l'expérience et les qualifications nécessaires à la fourniture des services et, en particulier, des compétences au niveau de la gestion, des connaissances spécialisées en technologie des signatures électroniques et une bonne pratique des procédures de sécurité appropriées ; ils doivent également appliquer des procédures et méthodes administratives et de gestion qui soient adaptées et conformes à des normes reconnues ;

" f) utiliser des systèmes et des produits fiables qui sont protégés contre les modifications et qui assurent la sécurité technique et cryptographique des fonctions qu'ils assument ;

" g) prendre des mesures contre la contrefaçon des certificats et, dans les cas où le prestataire de service de certification génère des données afférentes à la création de signature, garantir la confidentialité au cours du processus de génération de ces données ;

" h) disposer des ressources financières suffisantes pour fonctionner conformément aux exigences prévues par la présente directive, en particulier pour endosser la responsabilité de dommages, en contractant, par exemple, une assurance appropriée ;

" i) enregistrer toutes les informations pertinentes concernant un certificat qualifié pendant le délai utile, en particulier, pour pouvoir fournir une preuve de la certification en justice. Ces enregistrements peuvent être effectués par des moyens électroniques ;

" j) ne pas stocker ni copier les données afférentes à la création de signature de la personne à laquelle le prestataire de service de certification a fourni des services de gestion de clés ;

" k) avant d'établir une relation contractuelle avec une personne demandant un certificat à l'appui de sa signature électronique, informer cette personne par un moyen de communication durable des modalités et conditions précises d'utilisation des certificats, y compris des limites imposées à leur utilisation, de l'existence d'un régime volontaire d'accréditation et des procédures de réclamation et de règlement des litiges. Cette information, qui peut être transmise par voie électronique, doit être faite par écrit et dans une langue aisément compréhensible. Des éléments pertinents de cette information doivent également être mis à la disposition, sur demande, de tiers qui se prévalent du certificat ;

" l) utiliser des systèmes fiables pour stocker les certificats sous une forme vérifiable, de sorte que :

- seules les personnes autorisées puissent introduire et modifier des données,

- l'information puisse être contrôlée quant à son authenticité,

- les certificats ne soient disponibles au public pour des recherches que dans les cas où le titulaire du certificat a donné son consentement, et

- toute modification technique mettant en péril ces exigences de sécurité soit apparente pour l'opérateur. "

La directive prévoit la responsabilité des tiers de certification pour tout préjudice causé par l'utilisation d'un certificat inexact ou invalide . Ils peuvent cependant dégager leur responsabilité en prouvant qu'ils n'ont commis aucune négligence.

c) Le dispositif de création de la signature électronique

Les dispositifs sécurisés de création de signature sont définis à l'annexe III de la directive :

" 1. Les dispositifs sécurisés de création de signature doivent au moins garantir, par les moyens techniques et procédures appropriés, que :

" a) les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu'une seule fois et que leur confidentialité soit raisonnablement assurée ;

" b) l'on puisse avoir l'assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles ;

" c) les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d'autres.

" 2. Les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer ni empêcher que ces données soient soumises au signataire avant le processus de signature ".

ALLEMAGNE

1) La reconnaissance législative de la signature électronique

La loi fédérale établissant les conditions générales pour les services d'information et de communication , adoptée le 13 juin 1997, comprend plusieurs parties. La troisième correspond à la loi sur la signature " digitale " , qui est entrée en vigueur le 1 er août 1997. Une ordonnance , entrée en application le 1 er novembre 1997, précise les conditions de mise en oeuvre de cette loi.

L'article 1 er de la loi sur la signature " digitale " définit l'objet de la loi, qui est " de poser les conditions générales auxquelles sont soumises les signatures digitales pour être considérées comme sûres et pour que les faux en signature digitale ou la manipulation des données puissent être établis de manière fiable ".

La loi sur la signature " digitale " définit donc les conditions techniques d'une transmission fiable des données électroniques , pour que le destinataire soit sûr de l'identité de l'émetteur et de l'intégrité des données transmises.

Elle ne traite que de la signature " digitale ", qui est fondée sur la cryptographie asymétrique et qu'elle définit à l'article 2 comme : " un sceau attaché à une donnée numérique qui est produit par une clé privée, qui authentifie le propriétaire de la clé et établit l'intégrité des données au moyen d'une clé publique correspondante fournie avec un certificat de clé, lequel est délivré par un prestataire de service de certification ou par l'autorité de contrôle ".

2) Les effets juridiques de la signature électronique

La loi ne contient aucune disposition explicite sur la recevabilité en justice et sur la valeur probante de la signature " digitale " . Elle ne remet pas non plus en cause le principe selon lequel le juge apprécie librement la force probante des éléments qui lui sont soumis.

Le code de procédure civile reconnaît cinq moyens de preuve, parmi lesquels " l'observation ". Or, la jurisprudence admet depuis plusieurs années que " l'observation " ne se limite pas à l'observation visuelle et qu'elle peut s'appliquer à des documents informatiques.

Comme le juge apprécie librement la valeur probante des éléments qui lui sont soumis et que la loi garantit la fiabilité des signatures " digitales ", parce qu'elles répondent aux critères qu'elle-même définit et que l'ordonnance précise, il paraît probable que les signatures " digitales " seront reconnues comme moyen de preuve, sauf dans les cas où la loi exige une signature manuscrite.

Le législateur allemand a souhaité pouvoir faire un bilan de la mise en oeuvre de la loi avant de reconnaître une équivalence entre la signature " digitale " et la signature manuscrite, conformément à l'article 5 de la directive. Cependant, le ministère de la Justice a déjà publié une note dans laquelle il propose que, pour certains actes juridiques requérant une signature manuscrite, l'équivalence soit reconnue.

Depuis le 1 er janvier 1999, un règlement administratif relatif à la comptabilité en matière de sécurité sociale autorise la signature " digitale " dans la mesure où elle est conforme à la réglementation en vigueur.

3) Les conditions de validité de la signature électronique

La qualification de signature " digitale " dépend du respect de conditions relatives :

- aux certificats ;

- aux tiers de certification ;

- au processus de création de la signature électronique.

a) Les certificats

L'article 2 de la loi définit le titulaire du certificat comme une personne physique .

Il prévoit, outre le certificat de clé, le certificat d'attribution, qui est " un certificat électronique séparé contenant de plus amples informations et qui fait expressément référence à un certificat de clé spécifique ".

L'article 7 de la loi, qui indique les informations que doit contenir le certificat de clé, ne correspond pas totalement aux exigences concernant les certificats " qualifiés " et figurant à l'annexe I de la directive.

La durée de validité des certificats ne peut excéder cinq ans.

b) Les tiers de certification

La loi réglemente l'activité des tiers de certification en instaurant des licences, qui sont délivrées par une autorité de contrôle . Il s'agit de l' Autorité de régulation pour les télécommunications et la poste , mise en place par la loi sur les télécommunications du 25 juillet 1996, et dont les membres sont désignés par le gouvernement fédéral, le Bundestag et le Bundesrat.

La loi n'interdit pas explicitement l'activité de tiers de certification non accrédités, mais cette activité se déroule alors en dehors du cadre de la loi. Les signatures associées ne bénéficient donc pas de la garantie de fiabilité définie par la loi.

Cet organisme veille également à ce que les tiers de certification respectent l'ensemble de la réglementation. Elle est aidée, pour les vérifications techniques, par des organismes (un public et trois privés) qu'elle désigne et qui lui rendent compte de façon très détaillée.

L'article 4 de la loi et l'article 1 er de l'ordonnance précisent les conditions que doivent remplir les tiers de certification et les obligations qu'ils doivent respecter. Elles sont analogues aux exigences posées par l'annexe II de la directive. En revanche, le législateur n'a pas introduit de dispositions spécifiques relatives à la responsabilité des tiers de certification , faute d'être parvenu à un consensus.

La loi impose aux tiers de certification le respect de mesures de sécurité et de dispositions d'ordre technique assorties de conditions qualitatives très strictes . L'article 14 décrit les composants techniques qui doivent être utilisés, notamment pour la production et l'archivage des clés, ainsi que pour la production et la vérification des signatures " digitales ". Des précisions sont apportées dans l'ordonnance par les articles 16 et 17. Ce dernier article fait référence à des normes techniques particulièrement précises. Ces dispositions ont été elles-mêmes complétées par la publication, en 1998, par l'Autorité de régulation pour les télécommunications et la poste, de deux catalogues de mesures techniques rédigés selon les conseils du Bureau fédéral pour la sécurité dans la technique d'information.

L'article 8 de l'ordonnance oblige le prestataire de service de certification à conserver les certificats qu'il a délivrés dans un registre public . Le certificat doit figurer au registre au moins pendant la durée de qualification de l'algorithme et des paramètres pertinents utilisés. L'Autorité de régulation pour les télécommunications et la poste publie la liste des algorithmes et paramètres pertinents qualifiés avec leur durée de validité. Celle-ci doit être d'au moins six ans, sauf problème particulier.

L'article 13 de l'ordonnance précise que l' ensemble des informations relatives aux mesures de sécurité et aux certificats doit être gardé au moins trente-cinq ans à compter de l'émission du certificat de clé et archivé de manière à être consultable à tout moment pendant cette période.

L'article 5 de l'ordonnance interdit l'archivage des clés privées par l'autorité de certification .

c) Le dispositif de création de la signature électronique

L'article 6 de l'ordonnance prévoit que le tiers de certification transmet la clé privée et les données d'identification au signataire en personne, qui en accuse réception par écrit . Dès cet instant, elles sont sous la garde personnelle du signataire .

En pratique, c'est une carte à puce qui contient la clé privée et les autres paramètres nécessaires à la création de la signature " digitale ". Le document électronique est signé en introduisant cette carte dans un lecteur spécial branché sur l'ordinateur et en tapant un code secret.

BELGIQUE

1) La reconnaissance législative de la signature électronique

Le gouvernement en fonction jusqu'aux élections législatives de juin 1999 avait déposé au Parlement, le 14 avril 1999, un projet de loi visant à modifier certaines dispositions du code civil relatives à la preuve des obligations, parmi lesquelles l'article 1322 relatif à la valeur probante des actes sous seing privé. Le projet introduisait une définition fonctionnelle de la signature et disposait que celle-ci pouvait être " un ensemble de données numériques pour autant qu'elle puisse être imputée à une personne déterminée et qu'elle établisse le maintien de l'intégrité de l'acte ". En reconnaissant une équivalence probatoire entre la signature manuscrite et la signature électronique, il transposait partiellement la directive et devait être complété par un autre projet sur les tiers de certification. Ce dernier avait été adopté en conseil des ministres, mais n'avait pas été déposé au Parlement.

Le gouvernement actuel n'a pas repris le texte déposé, qui est donc devenu caduc, et a choisi d'élaborer un projet de loi sur l'activité des prestataires de service de certification en vue de l'utilisation de signatures électroniques . Approuvé par le Conseil d'Etat, le projet de loi doit être signé par le Roi avant d'être déposé au Parlement.

Cet avant-projet de loi a pour objet de : " fixer les conditions générales d'accréditation des prestataires de services de certification (...) afin de renforcer la sécurité et la confiance dans l'utilisation de la signature électronique avancée en réseaux ouverts ".

Ce projet de loi ne vise que la signature électronique avancée , dont la définition, mentionnée à l'article premier, reprend celle de la directive.

2) Les effets juridiques de la signature électronique

L'avant-projet de loi relatif à l'activité des prestataires de service de certification en vue de l'utilisation des signatures électroniques reconnaît à certaines signatures électroniques créées dans des conditions de sécurité optimales la même force probante qu'à une signature manuscrite .

En effet, l'article 4-4 de ce texte prévoit " qu'une signature électronique avancée réalisée sur la base d'un certificat qualifié et créé par un dispositif sécurisé de création de signature est assimilée à une signature au sens de l'article 1322 du code civil ".

Cette catégorie de signatures électroniques avancées bénéficierait d'une assimilation automatique à une signature manuscrite. Leur valeur probante s'imposerait au juge.

En revanche, la valeur des autres signatures électroniques continuerait à être librement appréciée par le juge.

Il convient par ailleurs de rappeler que, en matière civile, l'article 1341 du code civil prévoit qu'" il doit être passé acte devant notaire ou sous signature privée, de toutes choses excédant une somme ou une valeur de 15 000 F ", (c'est-à-dire 2 500 FRF). Par conséquent, le juge civil est en mesure de rejeter un document au seul motif qu'il est signé électroniquement.

* *

*

La signature électronique est actuellement reconnue dans le secteur de la sécurité sociale par l' arrêté royal du 11 avril 1999 , qui prolonge jusqu'au 30 juin 2000 l'application de l'arrêté royal du 16 octobre 1998 portant dispositions relatives à la signature électronique, lequel s'applique à la sécurité sociale, conformément à l'article 38 de la loi du 26 juillet 1976 portant modernisation de la sécurité sociale et assurant la viabilité des régimes légaux de pension. Ainsi, certaines déclarations d'emploi sont signées électroniquement au moyen de certificats numériques proposés par des autorités de certification accréditées par la Banque Carrefour de la sécurité sociale, qui est l'organisme chargé de collecter, pour le compte de toutes les institutions de sécurité sociale, les informations relatives aux assurés sociaux et aux employeurs.

Par ailleurs, en septembre 1998, les administrations fédérales belges ont achevé de rédiger un protocole d'accord : Agora ou l'infrastructure nécessaire à l'utilisation de la signature électronique par les administrations fédérales .

3) Les conditions de validité de la signature électronique

L'avant-projet de loi relatif à l'activité des prestataires de service de certification en vue de l'utilisation de signatures électroniques prévoit que les effets juridiques de la signature électronique avancée dépendent du respect de conditions relatives :

- aux certificats ;

- aux tiers de certification ;

- au processus de création de la signature électronique.

a) Les certificats

Le texte traite du seul certificat " qualifié " , qui est fourni par un prestataire de service de certification accrédité et qui doit contenir les informations obligatoires mentionnées à l'article 12. Cet article reprend les dispositions de l'annexe I de la directive.

Le titulaire du certificat peut être une personne physique ou morale .

b) Les tiers de certification

L'avant-projet de loi prévoit que l'activité de certification puisse être exercée librement par une personne physique ou une personne morale . Il met en place un système facultatif d'accréditation des tiers de service de certification.

La plupart de ses articles ne s'appliquent qu'aux tiers de certification accrédités par l'administration de la qualité et sécurité du ministère des Affaires économiques , l'accréditation étant nécessaire pour la délivrance des certificats " qualifiés ".

Les conditions que les tiers de certification devront remplir pour obtenir et conserver l'accréditation sont inspirées directement de l'annexe II de la directive. Un texte réglementaire devra les préciser, ainsi que la procédure d'accréditation.

L'article 15 prévoit la responsabilité des tiers de certification accrédités pour tout préjudice subi par une personne qui s'est fiée au contenu d'un certificat " qualifié ". C'est donc le droit commun de la responsabilité qui s'applique aux tiers de certification qui délivrent des certificats ordinaires.

L'article 14 impose aux tiers de certification accrédités de conserver " toutes les informations pertinentes concernant le certificat qualifié pendant une durée de vingt ans , en particulier pour pouvoir fournir une preuve de la certification en justice ".

c) Le dispositif de création de la signature électronique

S'agissant des dispositifs sécurisés, l'avant-projet de loi reprend la formulation de l'annexe III de la directive.

De plus, il prévoit à l'article 20-1 que : " Dès le moment de la création des données afférentes à la création de signature, le titulaire du certificat est seul responsable de la confidentialité de ces données ".

DANEMARK

Immédiatement après l'adoption de la directive, le ministre de la Recherche a rendu public un avant-projet de loi sur les signatures électroniques , qui va faire l'objet d'une vaste consultation avant son dépôt au Parlement.

Comme le recommande la directive, cet avant-projet de loi traite de toutes les signatures électroniques, de quelque nature qu'elles soient. Son champ d'application diffère de celui de l'avant-projet de loi précédent, qui ne traitait que des signatures électroniques produites par un procédé de chiffrement asymétrique. Elaboré en 1998, ce texte avait été examiné par toutes les parties intéressées, mais le processus d'élaboration du projet avait été suspendu à cause de désaccords entre le ministère de la Justice et celui de la Recherche.

1) La reconnaissance législative de la signature électronique

L'article premier de l'avant-projet sur les signatures électroniques détermine l'objet de la loi : promouvoir l'utilisation sûre et efficace des moyens électroniques de communication en fixant les exigences auxquelles doivent satisfaire, d'une part, les tiers de certification " qualifiés " pour l'utilisation des signatures électroniques, et, d'autre part, les systèmes sécurisés de création de signature électronique.

L'article 4 définit la signature électronique comme " des données sous forme électronique, qui sont jointes ou liées logiquement à d'autres données électroniques grâce à un dispositif de création de signature et qui sont utilisées comme moyen d'authentification ".

L'avant-projet reprend donc, à quelques mots près, la définition de la directive, mais n'établit pas de distinction entre " signature électronique " et " signature électronique avancée ".

2) Les effets juridiques de la signature électronique

L'avant-projet de loi n'évoque pas explicitement les effets juridiques des signatures électroniques , car son objectif premier est de déterminer le régime juridique des tiers de certification qui délivrent des certificats " qualifiés ", ainsi que définir les systèmes sécurisés de création de signature électronique.

Il ne remet pas non plus en cause le principe selon lequel les juges apprécient librement la valeur probante des éléments qui leur sont soumis.

Cependant, comme les tiers de certification qui exerceront leur activité dans le cadre de la loi garantiront la totale fiabilité des certificats, le respect des règles de création sécurisée des signatures électroniques devrait permettre aux tribunaux de reconnaître la valeur probante de ces dernières.

La question de la valeur juridique des signatures électroniques devrait être traitée de manière explicite ultérieurement. En effet, à la suite de la consultation qui avait été organisée au début de l'année 1998 sur l'avant-projet de loi précédent, lequel déterminait non seulement le régime juridique des tiers de certification, mais également la valeur juridique de certaines signatures électroniques, il était apparu que ce second aspect posait de nombreux problèmes transversaux et supposait la révision de plusieurs lois dans des domaines différents (droit des obligations, de la consommation...). C'est pourquoi le ministère de la Justice a institué une commission sur ce sujet, dans laquelle le ministère de la Recherche est représenté.

3) Les conditions de validité de la signature électronique

La fiabilité de la signature électronique, dépend du respect de certaines conditions relatives :

- aux certificats ;

- aux tiers de certification ;

- au processus de création de la signature électronique.

a) Les certificats

L'avant-projet de loi définit les certificats d'une façon générale, mais ne traite que des certificats " qualifiés ". Cette appellation sera réservée aux certificats remplissant des conditions similaires, à quelques mots près, à celles qui figurent à l'annexe I de la directive.

Les certificats pourront être détenus par des personnes physiques ou par des personnes morales.

b) Les tiers de certification

L'avant-projet de loi consacre le principe du libre exercice de l'activité de certification par toute personne, physique ou morale, et oblige tous les tiers de certification à respecter la législation relative à la protection des données personnelles.

Pour le reste, l'avant-projet de loi ne traite que des tiers de certification qui délivreront des certificats " qualifiés ". Ces tiers de certification devront être accrédités par Telestyrelsen, qui est l' Agence nationale des télécommunications .

Telestyrelsen devra vérifier que les tiers de certification qui souhaitent délivrer des certificats " qualifiés " remplissent les conditions techniques, financières et humaines de sécurité et de fiabilité établies par l'avant-projet de loi et qui correspondent à celles de l'annexe II de la directive.

Ces tiers de certification auront l'interdiction de stocker ou de copier les éléments personnels qui permettent la création d'une signature électronique et dont ils auront pu avoir connaissance. Ils devront conserver pendant une période que l'avant-projet de loi qualifie de " raisonnable " tous les renseignements relatifs aux certificats.

L'avant-projet de loi prévoit également la responsabilité des tiers de certification qui délivrent des certificats " qualifiés " pour tout préjudice résultant du non-respect des règles qui leur seront imposées.

c) Le dispositif de création de la signature électronique

L'avant-projet de loi délègue au ministre de la Recherche le soin de prendre un règlement qui déterminera les conditions de la création sécurisée des signatures électroniques.

ESPAGNE

1) La reconnaissance législative de la signature électronique

Le 21 octobre 1999, le Congrès des députés a ratifié le décret-loi sur la signature électronique, manifestant ainsi son approbation pour qu'il soit déposé comme projet de loi et examiné en urgence. Le texte est actuellement soumis à l'examen de la commission de la justice et de l'intérieur. Son adoption définitive devrait avoir lieu avant les prochaines élections législatives de mars 2000.

Dans son exposé des motifs, le projet de loi sur la signature électronique précise qu'il vise, " dans le respect de la position commune relative à la directive sur la signature électronique, à établir une réglementation claire de son utilisation, en lui accordant pleine efficacité juridique et en prévoyant le régime applicable aux prestataires de service de certification ".

A l'article 2, le projet définit la signature électronique et la signature électronique " avancée ", en reprenant la même formulation que la directive.

2) Les effets juridiques de la signature électronique

Le projet de loi reprend les dispositions de la directive. Il prévoit en effet :

- l'équivalence de la signature manuscrite et de la signature électronique " avancée ", dans la mesure où elle se fonde sur un certificat qualifié et où elle a été créée par un dispositif sécurisé ;

- le non-rejet a priori de la valeur probante des autres signatures électroniques.

3) Les conditions de validité de la signature électronique

La recevabilité comme moyen de preuve des signatures électroniques et la qualification de signature électronique " avancée " reposent sur des conditions relatives :

- aux certificats ;

- aux tiers de certification ;

- au processus de création de la signature électronique.

a) Les certificats

Ils ne pourront être détenus que par des personnes physiques , et leur validité sera limitée à quatre ans .

Le projet de loi définit seulement le contenu des certificats " reconnus ", c'est-à-dire de ceux que la directive qualifie de " qualifiés ". Les certificats " reconnus " devront répondre aux mêmes critères que ceux posés à l'annexe I de la directive.

b) Les tiers de certification

L'activité de certification sera exercée par toute personne physique ou morale , sans que le projet de loi prévoie un quelconque système d'autorisation préalable.

Cependant, les tiers de certification devront se faire inscrire sur un registre spécifique, tenu par le ministère de la Justice. L'inscription ne sera réalisée qu'après la vérification de certaines conditions, particulièrement sévères pour les tiers qui délivreront des certificats " reconnus ". Ces derniers devront en effet remplir des conditions correspondantes à celles de l'annexe II de la directive.

Le projet de loi prévoit la responsabilité de tous les tiers de certification pour les préjudices résultant du non-respect des règles relatives à l'activité de certification. C'est pourquoi les tiers de certification qui délivrent des certificats " reconnus " devront disposer de ressources suffisantes pour pouvoir faire face à leur responsabilité. A cet effet, ils devront déposer une garantie auprès d'un établissement financier . Cette garantie sera limitée à 4 % du montant total des transactions susceptibles d'être réalisées grâce à leurs propres certificats . Le projet de loi prévoit qu'un règlement pourra abaisser ce pourcentage à 2 %. En l'absence de plafonnement du montant des transactions pour lesquelles les certificats pourront être utilisés, la garantie devra être d'au moins un milliard de pesetas (c'est-à-dire environ 40 millions de francs).

Les tiers de certification auront l'obligation de garder pendant au moins quinze ans toutes les informations relatives aux certificats " reconnus ".

L'activité de tous les tiers de certification sera contrôlée par le Secrétariat général pour les communications, qui dépend du ministère des Travaux publics .

Le projet de loi prévoit aussi que le gouvernement pourra établir, par décret, des systèmes facultatifs d'accréditation.

c) Le dispositif de création de la signature électronique

Le projet de loi reprend les dispositions contenues à l'annexe III de la directive.

Les tiers de certification pourront faire certifier par des organismes d'évaluation ad hoc les dispositifs de création sécurisée de signature électronique.

ITALIE

1) La reconnaissance législative de la signature électronique

L'article 15-2 de la loi n° 59 du 15 mars 1997 relative à la réforme de l'administration publique et à la simplification administrative (dite Loi Bassanini) affirme la valeur juridique des documents électroniques .

Il énonce en effet : " Les actes, données et documents constitués par l'administration publique et par les personnes de droit privé à partir d'outils informatiques ou télématiques, les contrats rédigés sous cette même forme, ainsi que leur enregistrement ou leur transmission informatiques, sont valables et produisent tous les effets juridiques au regard de la loi. (...) " .

Plus loin, le même alinéa prévoit que, dans le délai de six mois suivant l'entrée en vigueur de la loi, des dispositions réglementaires devront être prises pour déterminer les critères et les modalités d'application de ce principe.

Le décret n° 513 du 10 novembre 1997 , relatif aux critères et aux modalités de constitution, d'archivage et de transmission des documents informatiques et télématiques, pris par le Président de la République pour l'application de la disposition légale susmentionnée définit la signature " digitale " comme " le résultat de la procédure informatique fondée sur un système de clés asymétriques, une publique et une privée, qui permet au signataire, par l'intermédiaire de la clé privée, de garantir l'origine et l'intégrité d'un document informatique ou d'un ensemble de documents informatiques, et au destinataire, par l'intermédiaire de sa clé publique, de vérifier ces deux éléments ".

2) Les effets juridiques de la signature électronique

Dans certaines conditions, définies par le décret n° 513 du 10 novembre 1997, la signature " digitale " a la même valeur que la signature manuelle et peut également remplacer un sceau, un poinçon, un tampon, ainsi que n'importe quel autre signe ou marque.

Ce texte prévoit que, tout comme la signature manuscrite, la signature " digitale " peut être authentifiée par un officier ministériel : celui-ci, après vérification de l'identité de l'intéressé et de la validité de la clé utilisée, atteste que la signature électronique a été apposée en sa présence par son titulaire.

En revanche, le décret ne traite pas du tout des autres signatures électroniques.

3) Les conditions de validité de la signature électronique

Le décret pris par le Président du conseil des ministres le 8 février 1999 détermine toutes les modalités techniques (définition des algorithmes utilisés pour produire et vérifier les signatures, caractéristiques des clés, obligations des détenteurs de clés et des tiers de certification, contenu des certificats...) permettant l'application du décret n° 513. Il précise ainsi les conditions d'équivalence entre la signature " digitale " et la signature manuelle, déjà définies par le décret n° 513 du 10 novembre 1997.

a) Les certificats

La signature " digitale " doit être produite par une clé privée dont la clé publique correspondante, préalablement certifiée par un prestataire de service de certification agréé, est encore valable. Les titulaires des certificats sont des personnes physiques . Le décret de 1999 précise toutes les informations nécessairement présentes sur les certificats. Ces exigences correspondent à celles de l'annexe I de la directive. La validité de ces certificats ne peut excéder trois ans.

b) Les tiers de certification

Les articles 8 et 9 du décret de 1997, qui précisent respectivement les critères que doivent remplir les tiers de certification et les obligations qu'ils doivent respecter, sont similaires aux exigences posées par l'annexe II de la directive. L'article 8 prévoit en particulier qu'il doit s'agir de sociétés par actions dont le capital social est au moins égal à celui qui est exigé pour les établissements financiers .

C'est l' Autorité pour l'informatique dans l'administration publique , organisme indépendant créé par un décret de février 1993 relatif aux systèmes informatiques publics, qui vérifie que les tiers de certification remplissent les conditions requises. Dans le secteur public, l'activité de certification est réalisée par les administrations elles-mêmes.

Le décret de 1997 ne comporte aucune disposition sur la responsabilité des tiers de certification , mais celui de 1999 leur impose le respect de mesures de sécurité et de dispositions techniques très sévères (établissement d'un plan général de sécurité dont la structure est définie par le décret lui-même ; enregistrement de toutes les opérations réalisées sur un journal de contrôle, qui doit être conservé pendant au moins dix ans ; obligation pour le personnel de remplir les différentes fonctions énumérées par le décret lui-même et de détenir certaines compétences...).

Les tiers de certification doivent conserver les clés publiques pendant au moins dix ans.

c) Le dispositif de création de la signature électronique

Les clés privées, produites par leur titulaire ou par les tiers de certification, ne doivent pas l'être à l'aide du système sur lequel elles seront utilisées ensuite. Le dispositif de création des clés privées doit remplir des exigences analogues à celle de l'annexe III de la directive.

Les tiers de certification n'ont pas le droit d'archiver les clés privées, qui doivent être conservées à l'intérieur d'un dispositif électronique ad hoc , les informations nécessaires à leur utilisation devant être stockées séparément.

LUXEMBOURG

1) La reconnaissance législative de la signature électronique

Le projet de loi relatif au commerce électronique , adopté par le gouvernement le 10 mars 1999, traite des multiples aspects du commerce électronique. Son titre II, De la preuve et de la signature électronique , prévoit de reconnaître cette dernière.

Le gouvernement luxembourgeois envisage d'introduire une définition de la signature dans le chapitre du code civil relatif à la preuve littérale des obligations. En cela, il s'inspire des travaux menés par la France. En effet, le régime probatoire luxembourgeois est très proche du nôtre.

Le projet de loi prévoit d'insérer dans le code civil un nouvel article 1322-1 définissant la signature par ses deux fonctions essentielles : l'identification du signataire et son adhésion au contenu de l'acte .

Le même article précise que la signature pourrait être manuscrite ou électronique, et définit la signature électronique comme " un ensemble de données liées de façon indissociable à l'acte, qui en garantit l'intégrité (...) ".

Le projet de loi adopte donc une approche neutre sur le plan technologique. Toutes les technologies peuvent être employées, dès lors qu'elles permettent la réalisation des fonctions caractéristiques de la signature.

2) Les effets juridiques de la signature électronique

Ils figurent dans la partie du projet de loi qui est consacrée aux autorités de certification. Seules les signatures électroniques créées dans des conditions de sécurité optimales auront la même valeur que la signature manuscrite . L'article 17 du projet de loi prévoit en effet qu'" une signature électronique créée par un dispositif que le signataire puisse garder sous son contrôle exclusif et qui repose sur un certificat agréé " émis par un prestataire de service de certification accrédité bénéficie automatiquement des conséquences juridiques attachées à la signature au sens du code civil. Elle sera considérée comme équivalente à une signature manuscrite : elle sera recevable en justice et le juge ne pourra remettre en cause sa valeur probante intrinsèque.

En revanche, la signature électronique qui ne satisfait pas à ces exigences ne bénéficiera pas de cette équivalence automatique . En effet, si l'alinéa 2 de l'article 17 prévoit qu'elle soit recevable en justice (" Une signature électronique ne peut être rejetée par un juge au seul motif qu'elle se présente sous forme électronique "), la personne qui s'en prévaut devra convaincre le juge qu'elle répond à la définition fonctionnelle du code civil en apportant la preuve de la fiabilité de la technique utilisée . A défaut, l'acte auquel elle est attachée pourrait servir de commencement de preuve par écrit ou d'indice à l'appui d'une preuve par présomption.

* *

*

La loi du 22 décembre 1986 sur la preuve des actes juridiques reconnaît déjà aux enregistrements informatiques en matière civile la même force probante qu'aux écrits sous seing privé sous certaines conditions.

3) Les conditions de validité de la signature électronique

Le projet de loi relatif au commerce électronique prévoit que les effets juridiques de la signature électronique dépendent de conditions relatives :

- aux certificats ;

- aux tiers de certification ;

- au processus de création de la signature électronique.

a) Les certificats

Le projet de loi envisage deux catégories de certificats : les certificats " agréés ", qui correspondent aux certificats " qualifiés " au sens de la directive, et les autres certificats. La plupart des dispositions du projet ne concernent que les certificats " agréés ".

Qu'il soit " agréé " ou non, un certificat peut être détenu par une personne physique ou morale . Le projet de loi ne comporte aucune mention explicite sur la durée de validité des certificats.

Le contenu des certificats " agréés " sera déterminé par un règlement, qui devra correspondre à l'annexe II de la directive. Les certificats " agréés " devront en particulier comporter l'indication de leurs dates d'émission et d'expiration.

b) Les tiers de certification

Le projet de loi consacre le principe du libre exercice de l'activité de certification par toute personne physique ou morale . Il oblige les tiers de certification à tenir " un registre des certificats disponibles au public, accessible en permanence par voie électronique ".

Cependant, la délivrance des certificats " agréés " sera réservée aux tiers de certification accrédités, ainsi qu'à ceux qui ne sont pas accrédités, mais qui " satisfont aux exigences de sécurité et de fiabilité déterminées par un règlement grand-ducal ". Ce règlement devrait reprendre les termes de l'annexe II de la directive.

Les tiers de certification seront surveillés par l' Autorité nationale d'accréditation et de surveillance , qui sera également chargée de délivrer une accréditation à ceux d'entre eux qui en font la demande. Le ministère de l'Economie devrait être désigné comme Autorité nationale d'accréditation et de surveillance .

Le contenu de l'accréditation sera variable en fonction des critères de fiabilité du demandeur (garanties financières, techniques...) et du domaine dans lequel il souhaite exercer son activité.

Le projet de loi prévoit la responsabilité de tous les tiers de certification , qu'ils délivrent ou non des certificats " agréés ", lorsque l'utilisation d'un certificat entraîne un dommage.

L'article 21 du projet de loi oblige les tiers de certification au " secret concernant tous les renseignements qui leur sont confiés dans le cadre de leurs activités professionnelles . " Le secret professionnel sera d'ordre public, et sa violation sera sanctionnée pénalement. Ces dispositions sont inspirées de la loi modifiée du 5 avril 1993 relative au secteur financier.

* *

*

Au début de l'année 1999, la Chambre de commerce luxembourgeoise s'est engagée dans un partenariat avec la société Globalsign pour délivrer des certificats numériques. Globalsign joue le rôle d'autorité de certification : elle émet des certificats numériques reposant sur la cryptographie à clé publique, les signe à l'aide de sa clé privée et en assure la gestion. La Chambre de commerce tient les fonctions de tiers certificateur en garantissant notamment la vérification des données relatives à l'établissement du certificat numérique.

c) Le dispositif de création de la signature électronique

Le projet de loi prévoit que le titulaire du certificat est " responsable de la confidentialité et de l'intégrité du dispositif de création de signature qu'il utilise ". Par ailleurs, il renvoie à un règlement grand-ducal qui précisera " l'objet et le niveau de sécurité des dispositifs de création de signature ". Ce règlement transposera l'annexe III de la directive.

ROYAUME-UNI

1) La reconnaissance législative de la signature électronique

Le 5 mars 1999 , le ministère du Commerce et de l'Industrie a publié un document de consultation intitulé Construire la confiance dans le commerce électronique, dans lequel il indiquait comment il entendait moderniser la législation, notamment pour permettre la reconnaissance de la signature électronique. Une synthèse des réponses a été faite en juin 1999.

Le 23 juillet 1999, le gouvernement a publié l' avant-projet de loi sur les moyens électroniques de communication . Cet avant-projet se compose de quatre parties. La première traite de tous les prestataires des services dans le domaine de la cryptographie, parmi lesquels les tiers de certification. La seconde, qui est consacrée aux moyens de faciliter le commerce électronique, définit le régime juridique de la signature électronique.

L'avant-projet a été soumis à une consultation qui a pris fin le 8 octobre 1999. Le document de consultation de mars 1999 et l'avant-projet de loi ont donné lieu à deux rapports de la commission du commerce et de l'industrie de la Chambre des communes, publiés respectivement en mai et novembre 1999.

L'article 7 de l'avant-projet définit la signature électronique, lorsqu'elle est utilisée à des fins judiciaires, comme un bloc de données électroniques :

" a) qui est incorporé ou logiquement associé à un message électronique ; et

b) qui vise à être ainsi incorporé ou associé afin de servir à établir l'authenticité ou l'intégrité du message ou les deux ".

Le gouvernement estime qu'" il ne serait pas sensé d'imposer une équivalence entre les moyens traditionnels de communication et les moyens électroniques d'un seul coup ". Par conséquent, afin de permettre l'utilisation des nouvelles technologies de l'information et de la communication, il indique qu'il a choisi de se faire déléguer par la loi en préparation les pouvoirs de procéder de façon progressive à toutes les mises à jour, législatives ou réglementaires, nécessaires pour faciliter le développement du commerce électronique. Ainsi, des textes réglementaires pourront ultérieurement prévoir que les moyens électroniques de communication et d'archivage pourront remplacer les écrits, les communications postales, les signatures manuscrites, les sceaux, les témoignages.

D'après le discours du trône du 17 novembre 1999, qui présente le programme législatif du gouvernement, le projet de loi sur les moyens électroniques de communication devrait être déposé au début de l'année 2000 .

2) Les effets juridiques de la signature électronique

Dans son document de consultation, le gouvernement proposait l'instauration d'une présomption réfutable : la signature électronique, dans la mesure où elle aurait répondu à certains critères techniques et où elle aurait été confortée par un certificat délivré par un tiers de certification agréé, aurait identifié correctement le signataire et établi l'intégrité des données. Elle aurait donc été considérée comme équivalente à la signature manuscrite.

Ce point avait fait l'objet de vives critiques, notamment de la part de la commission parlementaire, car il renversait le système traditionnel de la charge de la preuve.

Dans son avant-projet de loi du 23 juillet 1999, le gouvernement a abandonné cette proposition. L'article 7 indique que " dans tout procès, une signature électronique incorporée ou logiquement associée à un message électronique donné, ainsi que la certification d'une telle signature, sont toutes les deux recevables comme preuves de tout élément relatif à l'authenticité ou à l'intégrité du message ".

Le même article précise qu'une signature est considérée comme certifiée si quelqu'un -avant ou après la transmission du message- a établi que la signature ou le procédé de création de la signature sont des moyens valables d'établir l'authenticité et/ou l'intégrité du message.

La loi laisserait donc aux tribunaux le soin d'apprécier la valeur d'une signature électronique, mais le gouvernement a l'intention de clarifier ce point ultérieurement.

Certains commentateurs s'interrogent sur l'utilité de cet article 7, puisque la recevabilité des signatures électroniques est déjà reconnue par la jurisprudence.

3) Les conditions de validité de la signature électronique

La recevabilité en justice de la signature électronique est liée au respect de conditions relatives :

- aux certificats ;

- aux tiers de certification ;

- au processus de création de la signature électronique.

a) Les certificats

L'avant-projet de loi de juillet 1999 mentionne les certificats sans autre précision. Ce point devrait être précisé lors de la mise en place du système d'accréditation des tiers de certification.

b) Les tiers de certification

L'avant-projet de loi du 23 juillet 1999, dans son article premier, oblige le secrétaire d'Etat au Commerce et à l'Industrie à tenir un registre de tous les prestataires des différents services liés à l'utilisation de la cryptographie. Cette obligation vaut en particulier pour les tiers de certification accrédités. L'article 2 impose au ministre de veiller à ce que des dispositions relatives à l'octroi de l'agrément, au règlement des litiges, à la modification et au retrait de l'agrément, et établissant certains principes, comme ceux de la libre accréditation et de la variabilité du contenu de l'accréditation soient prises . Le secrétaire d'Etat pourrait toutefois confier cette mission à un tiers.

Ainsi, le gouvernement a abandonné l'idée, développée dans son document de mars 1999, de mettre en place un système d'accréditation par voie réglementaire. En ceci, il a suivi la recommandation de la commission parlementaire, qui lui conseillait de s'en remettre à l' autorégulation des milieux industriels et de n'intervenir qu'en cas d'échec. Le gouvernement a donc décidé de faire confiance à un consortium industriel, l'Alliance pour le commerce électronique. Celui-ci devrait établir, en relation avec le ministère du Commerce et de l'Industrie, un schéma d'accréditation avant la fin de l'an 2000.

Le gouvernement a également décidé de ne pas prendre de dispositions sur la responsabilité des tiers de certification, mais il attend de ces derniers qu'ils expliquent clairement à leurs clients l'étendue et les limites de leurs responsabilités.

Par ailleurs, en mars 1999, le gouvernement a annoncé qu'il renonçait à la proposition que les tiers de certification fussent accrédités à la seule condition d'avoir mis en place un système obligeant le signataire à confier sa clé privée à un tiers pour la fournir à la police sous certaines conditions , notamment lors d'enquêtes criminelles. En effet, ce point avait été vivement contesté par les industriels, les groupes de défense des libertés publiques et les experts en informatique. La commission parlementaire avait également critiqué ces dispositions. Dans son rapport de novembre 1999, elle met d'ailleurs en garde le gouvernement contre toute tentative de rétablissement du système. Elle indique qu'elle restera vigilante à ce sujet lors du dépôt du projet de loi.

c) Le dispositif de création de signature électronique

Il ne figure pas dans l'avant-projet de loi. Il devrait être mis en place par voie de consensus dans les milieux industriels.




Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page