Tonnerre d’applaudissement pour… la signature éléctronique : mais qui est -elle vraiment ?

Les obligations de distanciation sociale ont placé plus que jamais la signature électronique au centre de notre quotidien. Cependant, la signature électronique est-elle valable ? et si oui, selon quelles conditions ?

Si vous souhaitez mettre en œuvre un procédé de signature électronique pour signer vos contrats à distance, celui-ci doit constituer un procédé fiable d’identification garantissant le lien entre la signature électronique obtenue et l’acte auquel elle se rattache, conformément à l’article 1367 du code civil.

Cet article précise que le procédé d’identification utilisé sera présumé fiable s’il respecte les conditions fixées par le décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique, lequel renvoie au Règlement de l’Union Européenne eIDAS n°910/2014 du 23 juillet 2014, et plus précisément à ses articles 26, 28 et 29.

Concrètement, pour obtenir une signature électronique présumée fiable, celle-ci devra constituer une signature électronique qualifiée au sens du Règlement eIDAS. L’effet juridique de la signature électronique qualifiée est en effet équivalent à celui d’une signature manuscrite.

L’obtention d’une signature électronique qualifiée est strictement encadrée (ceci est bien sûr justifié par le haut niveau de fiabilité de cette signature) : elle suppose l’utilisation d’un dispositif de création de signature électronique qualifié et l’obtention d’un certificat qualifié de signature électronique. Il est donc nécessaire de recourir à un prestataire de services de confiance qualifié et référencé par l’ANSSI pour se prévaloir d’une telle signature, puisqu’eux seuls peuvent délivrer un certificat qualifié de signature électronique selon le Règlement eIDAS.

Dans le cas où le dispositif employé ou envisagé pour obtenir une signature électronique ne saurait être présumé fiable faute de reposer sur l’intervention d’un prestataire de service de confiance qualifié, celui qui en prend l’initiative doit accepter de supporter la charge de la preuve de la fiabilité de ce procédé en cas de contestation par le signataire : cette fiabilité sera alors appréciée « in concreto » par le juge en cas de litige.

Ainsi, en cas de non recours à un prestataire de service de confiance qualifié pour obtenir une signature électronique qualifiée (comme par exemple Docusign ou Yousign, qui sont bien connus sur le marché), il est recommandé de satisfaire a minima aux exigences de l’article 26 du Règlement eIDAS permettant d’obtenir une signature électronique avancée (il s’agit de la deuxième catégorie de signature électronique, dont le niveau de fiabilité se situe en dessous de la signature électronique qualifiée et au-dessus de la signature électronique simple).

Pour obtenir un niveau de signature électronique dit « avancé », vous devrez vous assurer que la signature électronique obtenue grâce au protocole de signature que vous aurez choisi de mettre en place réponde aux exigences suivantes :

• la signature électronique doit être liée au signataire de manière non équivoque ;
• elle doit permettre d’identifier le signataire ;
• elle doit être créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ;
• être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

Enfin, nous rappelons qu’il demeure possible de rapporter la preuve d’un consentement à un acte par d’autres moyens et faisceaux d’indices qu’une signature (tels que l’exécution volontaire d’un contrat, par exemple).