| |
|
|
|
|
|
A
travers cet exposé (rédigé à l'aide de nombreux
documents dont sénatoriaux), nous nous proposons de faire le point
sur une technique utile lors de l'authentification et de la vérification
de l'intégrité de documents électroniques transmis, ainsi
que l'identité du signataire: la signature digitale.
Celle-ci devrait se substituer progressivement à la signature manuelle,
du moins dans sa forme dite "sécurisée" (cf. plus
loin, la définition exacte).
Définition
et aspects techniques:
la signature électronique garantit l'authenticité, l'intégrité du message transmis (comme un scellé apposé aux données numériques), ainsi que l'identité du signataire, et ceci de cette façon:
les procédures
employées pour cette signature reposent sur un système à
base de clés liées entres elles, clé privée secrète
et clé publique connue de tous et consultable sur annuaire, s'appuyant
sur un chiffrement asymétrique.
Lorsqu'il n'est pas
nécessaire que le message soit crypté, on utilise les mêmes
clés pour vérifier l'authenticité et l'intégrité
du message: la valeur numérique apposée au message (la signature),
permet de vérifier (à l'aide de la clé publique) que
cette valeur a bien été générée par la
clé secrète correspondante du signataire (les clés sont
liées, et la clé publique a été chiffrée
à l'aide de la clé privée de l'expéditeur);
Le destinataire du
message peut donc savoir si le message a été contrefait, altéré
ou modifié.
Mais reste la provenance
de ce message qu'il faut garantir comme venant avec certitude de l'expéditeur
signataire: c'est le rôle des tiers de confiance, ou services de certification,
que sont les prestataires de service de certification.
Les certificats d'authentification
comprennent la clé publique ainsi que des données concernant
le signataire (état civil et qualifications de celui-ci) : ces renseignements
figurent sur des annuaires (situés sur Internet dans des bases de données,
sur lesquelles on peut s'inscrire en tant qu'auteur de signature) et dont
l'accès est aisé.
On a donc bien établi
un lien de confiance (certifié par une autorité) entre l'identité
réelle du signataire et sa clé publique (celle-ci, nous l'avons
vu, est liée de façon unique avec la clé privée
du signataire durant la période de validité de la signature,
qui correspond habituellement à la durée de la transaction,
ensuite il y a révocation efficace).
Aspects
juridiques:
Le caractère
pour le moins particulier, et les champs d'application de ce nouveau concept
de signature, la prétention qu'elle a de vouloir se substituer à
la signature manuscrite dans un certain nombre de cas, font que se posent
naturellement des questions et préoccupations d'ordre juridique.
Les difficultés
résident également dans le fait de l'harmonisation des juridictions,
notamment en Europe.
En effet, la
signature digitale devrait avoir la même valeur de preuve dans un consortium
donné.
On peut citer:
-la dématérialisation
des échanges et le droit de la preuve
-l'harmonisation
des législations entre les différents pays et en particulier
en Europe, où si l'on veut donner crédit à la signature
digitale, elle doit avoir la même valeur forte pour tous (travail de
réforme et de modernisation des législations).
-la valeur juridique
du message signé électroniquement.
l'objectif à atteindre
passe obligatoirement par une sécurisation accrue de la transaction
en ligne.
Nécessité
de modifier le droit Français:
==>En droit
civil, la preuve est apportée en principal par la signature
manuscrite sur support papier.
==>La prédominance
de la "preuve légale" dans le droit civil français:
dans ce cas, la loi
impose aux juges et parties, la pré constitution d'un document écrit,
et donc le législateur doit intervenir pour redéfinir de nouveaux
moyens de preuves, permettant l'introduction de la signature digitale comme
élément.
==>la recevabilité
de la preuve:
"les
moyens par lesquels une partie a le droit d'établir l'exactitude de ce qu'elle
allègue"
Parmi
les modes de preuve sont reconnues:
1)la force probante d'un
document (si elle est reconnue comme telle par le juge)
2)la prédominance
de la preuve écrite (acte notarié ou sous seing privé
signé des deux parties)
3)l'assimilation
de la preuve par écrit au support papier:
4)la charge de
la preuve:
la contrainte
à l'exécution d'une obligation à tiers, nécessite
de fournir la preuve, et vice-versa, le tiers contraint fournira la preuve
de la libération de son obligation (j'ai satisfait aux conditions requises,
et je suis donc libéré de mes obligations ou de ma peine: article
1315 du code civil "extinction de l'obligation").
l'inadaptation
du droit en vigueur aux échanges électroniques:
et
il est encore très contesté qu'un message électronique puisse avoir la même
valeur que son équivalent papier.
Le document électronique
est plutôt considéré comme "commencement de preuve
par écrit"
La loi freine
l'essor des échanges électroniques, principalement par le vide
juridique les concernant.
De façon
habituelle, l'écrit digital n'est pas admis comme preuve en tant que
principale, mais plutôt comme indice de preuve.
==>L'article
1341 du code civil exige la preuve "papier" dans les
conditions suivantes:
..actes sous seing privé
..engagements
> 5000 Francs
..actes "authentiques"
ou devant être rédigés en double exemplaires
Dans certains cas
cependant la preuve électronique sera considérée et aura
la même valeur que la preuve papier:
==>régime
de"liberté" de la forme de preuve pour des transactions
commerciales: "tous moyens de cette preuve, sauf exception prévue"
article 109 du code du commerce.
==>engagements
sur somme < 5000 Francs
==>loi du
11/02/94 autorisant la dématérialisation de la facture,
en comptabilité.
==>impossibilité
d'autres formes de preuves.
==>en sus
d'une preuve par écrit. (article 1347 du code civil: commencement
de la preuve par écrit)
cependant le projet
de loi a écarté cette proposition, en introduisant des divergences sur cette
question des exceptions à la preuve littérale.
Les recommandations
européennes sur les EDI (échanges de données informatisées):
l'objectif est la protection
des données échangées par voie électronique, avec
mise en oeuvre de la vérification de l'origine, de l'intégrité
des données, la non-répudiation de l'origine et de la réception
de ceux-ci ainsi que leur confidentialité, si elle est rendue nécessaire.
l'objectif des directives
européennes est de promouvoir l'utilisation des signatures digitales
, en leur donnant une reconnaissance juridique, ce qui implique d'une part
une harmonisation des juridictions sur ce sujet au sein de la communauté,
et la notion de "signature électronique avancée" aux
caractères suivants:
1)liaison univoque
et sans équivoque au signataire
2)possibilité
d'identification précise de l'expéditeur
Le
certificat "qualifié" émanant de telles signatures, doit permettre
l'équivalence stricte (au niveau juridique) entre la signature digitale et la
signature manuscrite et le fait qu'elle soit recevable comme preuve en justice.
La
tendance a été de ne pas retenir de conception hiérarchique de la preuve
(électronique, littérale, aux détriments de la première) et de retenir le poids
de la signature digitale comme force probante, quand cela était possible et
bien que les discussions aient été âpre à ce sujet.
La valeur probatoire
d'un document électronique, dépend:
-de son authentification
par une signature électronique "sécurisée"
-de la conservation
durable du message par son signataire.
Les textes de loi
Français:
1) La loi n°
2000-230 du 13 mars 2000:
"Adoption
du droit de la preuve aux technologies de l'information, et relative à la
signature électronique"
de cet article
de loi sont issus les articles 1316 à 1316-4 du code civil relatifs aux droits
de la preuve, et qui reconnaissent les fondements de la preuve fondée sur
l'authentification par signature digitale.
2)L'applicatif
par décret n° 2001 du 30 mars 2001:
C'est
le décret du conseil d'état qui couronne, certes un an après la loi, la
transposition des directives européennes (13/12/99) dans un cadre
communautaire.
L'échéance
du 19/07/2001 avait été retenue pour les divers états membres afin que chaque
pays ait le temps de légiférer.
La présomption
de fiabilité:
est liée au respect
d'un cahier des charges garantissant le haut niveau sécuritaire du
procédé employé pour la signature:
Principalement
cela doit garantir les exigences suivantes exigées par le conseil d'état:
1)dispositifs
sécurisés de création des signatures:
certifiés par
des instances ministérielles ayant en responsabilité la sécurité
des échanges et des systèmes d'information.
2)Certificats
électroniques:
qui émanent
de personnes physiques (pouvant agir pour des comptes moraux) et satisfont
aux critères suivants:
-mention "qualifiée"
-identité
précise du "prestataire de certification" et du signataire
-signature électronique
"avancée" du signataire
-qualités
du signataire
-CEC de contrôle
de création et vérification de signature
-définition
de la période de validité de la signature, sans limite imposée,
et durant le temps de la transaction.
-code d'identité
du certificat
-limites précisée
à la valeur du certificat et précisions sur l'objet.
Le décret impose
donc l'existence de "prestataires de service" qui devront satisfaire
aux exigences suivantes, concernant l'élaboration de leurs certificats:
-qualité de fonctionnement
du service d'annuaire (rapidité, révocation efficace, précision,
contrôle des identités)
-sécurité
technique et cryptographique des technologies employées pour la création
des signatures.
-mesures efficaces
anti-vandales
-sauvegarde des
certificats à des fins juridiques éventuelles.
-non enregistrement
des données afférentes aux signatures.
-assurances contractées
contre les dégâts causés.
Le prestataire de service
sera reconnu et certifié par des organismes ayant reçu une accréditation
(ce qui devrait concerner un petit nombre d'organismes choisis par le ministère).
Le
prestataire sera évalué a posteriori par des procédures de contrôle.
Tout ceci concoure à
faire de la création de signature électronique, un équivalent
de la preuve littérale, dans la mesure où elle est réalisée
dans les conditions précisées "optimales".
Dr Dominique Varvenne
Des questions? Un avis? Contact E-mail en cliquant ici
15/05/2001