La dématérialisation du consentement est au cœur de la société numérique de demain. Comme toute rupture sociétale, cette nouvelle technologie fait les frais d’incompréhensions et de positions dogmatiques. Une petite synthèse des points clés à connaître.
On peut facilement commencer par définir ce qui ne pourra prétendre être une signature électronique. La case à cocher, le double clic et la signature scannée sont des commencements de preuve mais en aucun cas des consentements formels car elles ne permettent à aucun moment de s’assurer du lien entre le consentement et le document, ni de la pérennité dans le temps de ce lien. On peut se satisfaire de cet état si le document à signer est toujours identique, comme des conditions générales ou un contrat de licence. En revanche cela sera largement insuffisant pour un document personnalisé, comme un contrat ou un mandat. La jurisprudence conforte cette position en soulignant le manque de fiabilité des cases à cocher ou signature scannée.
Pour contourner ces obstacles la signature électronique utilise la cryptologie. Une suite de nombre est produite en liant l’identité de la personne et le document qu’elle approuve. Cette suite de nombre est ensuite incluse dans le document signé, en général un PDF. Un document signé par un tel procédé ne contient généralement aucune représentation d’une signature manuscrite. Il propose en revanche un mécanisme de vérification de la signature électronique qui décèle toute modification du document dans le temps.
Pour s’assurer que le document réellement signé est bien celui qui a été montré au consommateur, le procédé de signature a recourt à une sorte de « notaire électronique ». C’est un tiers obligatoirement indépendant des parties au contrat, qui atteste par son procédé l’impossibilité de falsifier le document lors de la signature.
Enfin, pour s’assurer que l’identité de la personne utilisée correspond bien au signataire, on utilise une sorte de carte d’identité électronique appelée « certificat électronique ». Ce certificat est délivré par une autorité de certification. La directive Européenne 1999/93, distingue deux qualités de certificats
– Le certificat « qualifié » est un certificat remis après une vérification de l’identité avec des documents probants en général en face à face. Le certificat sera remis sur un support matériel protégé comme une carte à puce ou une clé USB cryptographique. Dans certaines conditions, les signatures émises à partir de ce certificat seront présumées fiables. En cas de contestation il appartiendra à celui qui remet en cause la signature d’en apporter la preuve.
– Le certificat « non qualifié » est un certificat remis après la collecte d’un faisceau de preuve d’identité plus ou moins fort en fonction de la connaissance mutuelle des parties signataires. Le certificat, dépendant d’une relation contextuelle, est non rejouable. On l’appelle certificat « éphémère », le procédé qui utilise un tel certificat est appelé « cloud signing ». Ce certificat ne bénéficie pas de la présomption de fiabilité, mais il ne pourra pas être refusé en justice au titre de preuve dès lors que le procédé permet d’identifier le signataire et de garantir le lien avec l’acte signé.
Les deux formes de certificats génèrent tous deux des signatures électroniques avancées. La directive précise même qu’il est interdit de retirer la qualification de signature électronique à un acte signé avec une signature avancée.
Si la présomption de fiabilité de la signature à certificat « qualifié» est intéressante, il convient de bien mesurer la difficulté de les mettre en œuvre. A ce jour la signature à certificat « éphémère » est la plus communément utilisée dans les relations à distance, comme le commerce électronique.
Avec le développement des méthodes d’identification forte, comme l’usage de code SMS non rejouable, et celui des réseaux sociaux, il ne serait pas étonnant de voir la qualité d’un faisceau d’identité électronique dépasser à terme celui des documents probant classique (de type carte d’identité). Ce qui provoquera une convergence des pouvoirs des certificats qualifiés et non-qualifiés, et peut être une bien meilleure protection de l’identité numérique que l’identité scripturale actuelle.
