Projet de loi Signature électronique

Rapports législatifs

Rapport n° 203 (1999-2000), déposé le 2 février 2000

Les informations clés

Nature

Rapport - Première lecture

ANNEXE 4

LES DOCUMENTS DE TRAVAIL DU SENAT

Série LEGISLATION COMPAREE

LA SIGNATURE ELECTRONIQUE

n° LC 67 - Décembre 1999

Ce document constitue un instrument de travail élaboré à l'intention des Sénateurs par la Division des études de législation comparée du Service des affaires européennes. Il a un caractère informatif et ne contient aucune prise de position susceptible d'engager le Sénat.

Le projet de loi français portant adaptation du droit de la preuve aux nouvelles technologies de l'information et relatif à la signature électronique tend à introduire une présomption de fiabilité au profit des signatures électroniques qui répondent à certaines conditions, lesquelles devront être précisées par décret en Conseil d'Etat.

Ce projet amène à s'interroger sur le régime juridique de la signature électronique chez nos principaux voisins. La présente étude couvre plusieurs pays européens ( Allemagne , Belgique , Danemark , Espagne , Italie, Luxembourg et Royaume - Uni ). Pour chacun de ces pays, elle vérifie si la signature électronique bénéficie de la reconnaissance législative et en analyse les effets juridiques. Elle examine ensuite, le cas échéant, les conditions de validité de la signature électronique. La directive européenne sur un cadre communautaire pour les signatures électroniques , adoptée le 30 novembre 1999, a également été étudiée, et les conditions de validité de la signature électronique dans les différents pays sous revue - qu'elles s'appliquent déjà ou qu'elles ne soient que prévues - ont été comparées aux dispositions prises au niveau européen.

L'examen de la situation dans ces sept pays fait apparaître que :

- l'Allemagne et l'Italie sont actuellement les seuls pays où un texte définit le régime juridique de la signature électronique ;

- les textes allemand et italien ne reconnaissent que certaines formes de signature électronique et leur accordent des effets différents ;

- les projets espagnol et luxembourgeois, ainsi que les avant-projets anglais, belge et danois, visent toutes les formes de signature électronique, mais ils divergent dans les effets qu'ils leur reconnaissent.

Qu'est-ce que la signature électronique ?

Le développement du commerce électronique est subordonné à l'existence de garanties sur la sécurité des transmissions de données et des paiements en ligne. Grâce à un système de chiffrement appliqué au message transmis, sans que ce dernier soit nécessairement lui-même chiffré, la signature électronique constitue une réponse au problème, car elle garantit l'authenticité et l'intégrité des données, ainsi que l'identité du signataire. Si la confidentialité est requise, il faut chiffrer le contenu du message.

De façon générale, le chiffrement consiste à rendre le texte d'un message illisible pour qui ne détient pas la clé de déchiffrement. Dans les systèmes de chiffrement symétriques, une seule clé sert à la fois à chiffrer et à déchiffrer les données. Elle doit être gardée secrète par les parties intéressées pour que la sécurité de l'information soit garantie. L'inconvénient principal réside dans le fait que l'expéditeur et le destinataire doivent convenir à l'avance de la clé et doivent disposer d'un canal sûr pour l'échanger.

C'est pourquoi les systèmes de signature électronique qui se développent depuis quelques années reposent sur des algorithmes de chiffrement asymétriques, où, de plus, chaque utilisateur dispose de deux clés, une clé publique et une clé privée. Ces deux clés sont elles-mêmes créées à l'aide d'algorithmes mathématiques. Elles sont associées l'une à l'autre de façon unique et sont propres à un utilisateur donné . Un message chiffré à l'aide d'un algorithme asymétrique et d'une clé privée, qui constitue l'un des paramètres de l'algorithme, ne peut être déchiffré qu'avec la clé publique correspondante, et inversement. La clé publique doit donc être connue de tous, tandis que la clé privée reste secrète , la carte à puce semblant être le meilleur support de stockage des clés privées. Lorsque l'algorithme de chiffrement asymétrique est utilisé seulement pour créer la signature électronique, les mêmes clés, privée et publique, sont utilisées, mais seulement pour vérifier l'authenticité et l'intégrité du message.

Ces signatures électroniques, obtenues par l'application d'algorithmes asymétriques, sont parfois qualifiées de numériques ou de " digitales ", par opposition aux signatures électroniques créées au moyen d'autres dispositifs.

Selon la Commission des Nations Unies pour le droit commercial international, une signature numérique est " une valeur numérique apposée à un message de données et qui, grâce à une procédure mathématique bien connue associée à la clé cryptographique privée de l'expéditeur, permet de déterminer que cette valeur numérique a été créée à partir de la clé cryptographique privée de l'expéditeur. Les procédures mathématiques utilisées pour créer les signatures numériques sont fondées sur le chiffrement de la clé publique. Appliquées à un message de données, ces procédures mathématiques opèrent une transformation du message de telle sorte qu'une personne disposant du message initial et de la clé publique de l'expéditeur peut déterminer avec exactitude : a) si la transformation a été opérée à l'aide de la clé privée correspondant à celle de l'expéditeur ; et b) si le message initial a été altéré une fois sa transformation opérée (...) "

Contrairement à la signature manuscrite , la signature numérique , composée de chiffres, de lettres et d'autres signes, ne comporte aucun élément permettant de l'attribuer à une personne donnée . Chaque utilisateur doit donc établir avec certitude l'identité de ses correspondants. C'est pourquoi on recourt à des services de certification , souvent désignés comme " tiers de certification ", qui disposent de la confiance de chacun et qui garantissent l'appartenance d'une signature à une personne. Comme le destinataire utilise la clé publique de l'expéditeur pour vérifier la signature électronique de ce dernier, la vérification suppose que le tiers certifie au destinataire que la clé publique qu'il utilise correspond bien à la clé privée de l'expéditeur signataire et que ce dernier est bien celui qu'il prétend être. Les tiers de certification délivrent donc des certificats d'authentification qui contiennent, d'une part, divers renseignements sur la personne dont on souhaite vérifier l'identité (nom, prénom, date de naissance...) et, d'autre part, sa clé publique. Ces certificats sont généralement réunis dans des bases de données mises en ligne sur le réseau Internet, ce qui permet à chacun d'y accéder facilement.

La signature numérique constitue donc un bloc de données créé à l'aide d'une clé privée ; la clé publique correspondante et le certificat permettent de vérifier que la signature provient réellement de la clé privée associée, qu'elle est bien celle de l'expéditeur et que le message n'a pas été altéré .

1) Seules l'Allemagne et l'Italie disposent de textes sur la signature électronique, mais des législations sont en préparation dans les autres pays

a) Depuis 1997, le régime juridique de la signature électronique est déterminé par une loi en Allemagne et par un décret en Italie

En effet, l'Allemagne a adopté en juin 1997 la loi sur la signature " digitale ", qui constitue en fait la troisième partie d'une loi générale sur la société de l'information et qui a été complétée par une ordonnance entrée en vigueur le 1 ^er novembre 1997.

En Italie, un décret du Président de la République, pris en 1997 en application de la loi Bassanini sur la réforme de l'administration publique, définit le régime juridique des documents informatiques, parmi lesquels la signature électronique. Les dispositions de ce décret qui concernent cette dernière ont été précisées au début de l'année 1999 par un décret du Président du conseil.

b) Dans chacun des autres pays, un projet de loi est actuellement en préparation ou en discussion

En Belgique, le gouvernement en fonction jusqu'aux élections législatives de juin 1997 avait adopté deux projets de loi : l'un visant à modifier certaines dispositions du code civil sur la preuve des obligations et l'autre concernant les tiers de certification. Seul le premier avait été déposé au Parlement, mais il est devenu caduc. Le gouvernement actuel a préparé un projet sur les tiers de certification, mais il ne l'a pas encore déposé au Parlement.

Le projet de loi danois sur la signature électronique est en cours d'élaboration. Un premier avant-projet de loi avait été rédigé au début de l'année 1998 et les parties intéressées avaient été consultées. Cependant, les désaccords entre les ministères de la Recherche et de la Justice ont conduit le gouvernement à attendre l'adoption de la directive pour rendre public un nouvel avant-projet de loi. De même, au Royaume-Uni, l'avant-projet de loi sur les moyens électroniques de communication, qui définit notamment le régime juridique de la signature électronique, a été rendu public en juillet 1999, et le projet de loi devrait être déposé au début de l'année 2000.

En revanche, en Espagne, le projet de loi sur la signature électronique est actuellement soumis à la commission compétente du Congrès des députés. Il devrait être adopté au cours des premières semaines de l'année 2000. Au Luxembourg, les dispositions relatives à la signature électronique font partie d'un projet plus large, qui concerne le commerce électronique et qui a déjà été déposé au Parlement.

2) Les textes allemand et italien ne reconnaissent que certaines formes de signature électronique et leur accordent des effets différents

a) La loi allemande et le décret italien ne traitent que de la signature électronique fondée sur un système de chiffrement asymétrique

Le domaine d'application des deux textes est limité aux signatures numériques, c'est-à-dire aux signatures électroniques créées à l'aide d'un procédé de chiffrement asymétrique .

Aucun de ces textes n'évoque les autres signatures électroniques, dont la valeur est donc laissée à l'appréciation du juge.

b) Les deux textes n'accordent pas les mêmes effets juridiques à la signature numérique

Le décret italien confère à la signature numérique les mêmes effets juridiques qu'à la signature manuscrite et prévoit qu'elle puisse remplacer n'importe quel signe, sceau, cachet, poinçon... Il prévoit même que, à l'image de la signature manuscrite, elle puisse être authentifiée par un officier ministériel.

En revanche, la loi allemande ne contient aucune disposition explicite sur la recevabilité en justice et sur la valeur probante de la signature numérique. Elle ne remet pas non plus en cause la liberté qu'a le juge d'apprécier les éléments de preuve qui lui sont soumis. Elle définit seulement les conditions dans lesquelles le destinataire peut être sûr de l'identité de l'émetteur et de l'intégrité des données transmises. Il paraît donc probable que, sauf dans les cas où une signature manuscrite est expressément exigée, le juge admettra la valeur probante des signatures numériques.

3) Les projets de loi espagnol et luxembourgeois, ainsi que les avant-projets anglais, belge et danois, visent toutes les formes de signature électronique, mais divergent dans les effets qu'ils leur reconnaissent

a) Les cinq projets s'appliquent à toutes les formes de signature électronique, indépendamment de la technologie retenue...

Reprenant plus ou moins fidèlement la formulation de la directive, les cinq textes définissent la signature électronique comme une donnée électronique qui sert de méthode d'authentification. Même s'ils paraissent avoir été rédigés pour s'appliquer aux signatures électroniques créées grâce à un procédé de chiffrement asymétrique, ils n'excluent a priori aucune autre forme de signature électronique et respectent donc le principe de neutralité technologique qui sous-tend la directive.

Malgré ce principe, certains textes ne sont pas destinés à s'appliquer à toutes les signatures électroniques. En effet, l'avant-projet de loi belge ne traite que de la signature électronique " avancée ", c'est-à-dire la signature électronique produite grâce à un dispositif qui est lié de manière unique et certaine au signataire et qu'il peut garder sous son contrôle exclusif. Il en va de même de l'avant-projet danois, qui, sans se référer explicitement à la signature électronique " avancée ", ne s'applique qu'aux signatures électroniques les plus fiables.

Par ailleurs, à l'image de la directive, les projets de lois espagnol et luxembourgeois établissent une distinction en fonction du degré de fiabilité des signatures électroniques : ils opposent en effet la signature électronique et la signature électronique " avancée ".

b) ... sans leur reconnaître la même valeur juridique

Comme la directive, les projets belge, espagnol et luxembourgeois considèrent comme équivalentes aux signatures manuscrites les signatures électroniques créées dans des conditions de sécurité optimales , c'est-à-dire les signatures électroniques " avancées " qui, de plus, sont associées à un certificat particulièrement fiable et sont créées par un dispositif sécurisé. En revanche, ils ne reconnaissent aucun effet juridique particulier aux autres signatures électroniques. Cependant, les projets espagnol et luxembourgeois précisent explicitement, tout comme la directive, qu'elles seront recevables en justice.

Les avant-projets de loi anglais et danois ne comportent pas la notion de signature électronique " avancée ". Le premier prévoit, de façon générale, la recevabilité des signatures électroniques, quelles qu'elles soient, mais laisse au juge le soin d'apprécier leur valeur probante, tandis que le second détermine seulement les conditions dans lesquelles les signatures électroniques peuvent être considérées comme sûres, sans remettre en cause la totale liberté du juge pour évaluer leur recevabilité et leur valeur probante.

* *

*

Outre ces divergences importantes dans son régime même, il faut souligner que les conditions de validité de la signature électronique, notamment celles qui se rapportent aux tiers de certification, sont assez différentes d'un pays à l'autre.

Ainsi, la loi allemande et le décret italien ne contiennent aucune disposition sur leur responsabilité. Il en va de même de l'avant-projet de loi anglais, qui est particulièrement libéral.

En effet, conformément aux recommandations de la commission parlementaire, il laisse les professionnels mettre en place un dispositif d'accréditation, alors que tous les autres textes, en vigueur ou en préparation, définissent un système d'accréditation obligatoire, au moins pour les tiers de certification qui délivrent les certificats les plus fiables.

LA SIGNATURE ELECTRONIQUE

Les thèmes associés à ce dossier

Recherche, sciences et techniques

Page mise à jour le 3 avril 2023

Partager cette page