| |
COMMERCE ELECTRONIQUE
Citation : Régime juridique du Prestataire de services de
confiance au regard de la directive du 13 décembre 1999, http://www.caprioli-avocats.com
Date de la mise à jour : mai 2003.
Régime juridique du Prestataire de services de confiance
au regard de la directive du 13 décembre 1999
contact@caprioli-avocats.com
Plan
I/ LES SIGNATURES ELECTRONIQUES
II/ OBLIGATIONS ET RESPONSABILITES
DES PRESTATAIRES DE SERVICE DE CERTIFICATION
A) Obligations du P.S.C.E.
B) Responsabilité du P.S.C.E.
La société de l’information et plus particulièrement le développement
du commerce électronique reposent sur la confiance. La sécurité
juridique et technique constitue un point crucial. Dans cette
optique, les interrogations liées à la force probante des écrits
électroniques se posaient avec de plus en plus d’acuité. La
preuve dont la finalité est toujours la même et vise directement
le juge puisqu'elle doit le convaincre de la vérité rapportée
est un élément essentiel dans tous les systèmes juridiques.
De façon plus précise, l’inadaptation du système probatoire
français quant à la force probante des écrits électroniques
constituait un obstacle fondé sur la prééminence de l’écrit
papier ainsi qu’un frein à la confiance attendue par les acteurs
de la société de l’information. Au niveau international, la
Commission des Nations Unies pour le Droit du Commerce International
adoptait en 1996 une loi-type et une autre loi type sur les
signatures électroniques a été adoptée par la CNUDCI en juillet
2001. Au niveau communautaire, la directive pour un cadre commun
sur les signatures électroniques (directive 1999/93/CE du 13
décembre 1999, JOCE n° L 13, 19 janvier 2000, p.12 s.) facilite
l'usage des signatures électroniques et consacre leur reconnaissance
juridique. En France, la loi du 13 mars 2000 définit désormais
la preuve par écrit sous forme électronique ainsi que le régime
de la signature électronique (V. notamment E. A. Caprioli, La
loi française sur la preuve et la signature électroniques dans
la perspective européenne, J.C.P. éd. G, 2000, I, 224 et Ecrit
et preuve électroniques dans la loi n°2000-230 du 13 mars 2000,
J.C.P. 2000, éd. E, Cah. Dr. Entr. n°2, Suppl. au n°30, p.1-
11). Les décrets n° 2001-272 du 30 mars 2001 (J.O., 31 mars
2001, p. 5070) et n° 2002-535 du 18 avril 2002 (J.O., 19 avril
2002, p. 6944) ainsi que l'arrêté du 31 mai 2002 (J.O. n° 132
du 8 juin 2002, p. 10223, v. à cet égard, D &P, février 2003,
p. 116, obs. E. Caprioli ) complètent les dispositions adoptées
par le législateur. La reconnaissance juridique des signatures
électroniques (I) s’accompagne ainsi de règles juridiques propres
aux prestataires de services de certification électronique (II).
I/ LES SIGNATURES ELECTRONIQUES
Alors que le code civil vise souvent la signature, aucune définition
n'en était donnée jusqu'à la loi du 13 mars 2000. Le juge et
la doctrine, en revanche, s'étaient penchés sur cette question
et pour l'essentiel, le législateur a repris fidèlement les
principes qu’ils avaient dégagés. En ce sens, l'art. 1316-4
alinéa 1 c. civ. donne une définition fonctionnelle de la signature
en général. Ainsi, la signature (qu'elle soit électronique ou
manuscrite) remplit deux fonctions juridiques de base : l’identification
de l’auteur de l’acte et l’expression du consentement du signataire
au contenu de l'acte. La définition des signatures électroniques
et surtout les conditions légales posées pour cette catégorie
de signature sont données à l'article 1316-4, al. 2 c. civ.
qui dispose : «Lorsqu’elle est électronique, elle (la signature)
consiste en l’usage d’un procédé fiable d’identification garantissant
son lien avec l’acte auquel elle s’attache. La fiabilité de
ce procédé est présumée, jusqu’à preuve contraire, lorsque la
signature électronique est créée, l’identité du signataire assurée
et l’intégrité de l’acte garantie, dans des conditions fixées
par décret en Conseil d’Etat». Le procédé de signature électronique
doit donc identifier le signataire, garantir le lien entre l’acte
et la personne dont il émane et assurer l’intégrité de l’écrit
signé. A l’heure actuelle, seules les signatures électroniques
basées sur la cryptologie à clé publique (à savoir les signatures
numériques) répondent aux exigences légales et plus particulièrement
à la garantie de la solidité du lien entre la signature et le
message. En effet, ce procédé assure l'intégrité du message
signé grâce à la fonction "hash" ou "contrôle" qui consiste
à faire avec un logiciel intégré dans le dispositif de signature
un abrégé du message ("condensé") que l'on chiffre à l'aide
de la clé privée de signature (connue du seul signataire pour
des raisons de sécurité évidente) et qui est logiquement lié
au message électronique ("empreinte"). Ce procédé a été retenu
par la directive européenne sous l’appellation « signatures
électroniques avancées » et par le décret du 30 mars 2001 pris
en application de l’article 1316-4 du code civil qui reprend
80% du texte communautaire. La directive reconnaît que la signature
électronique équivaut à la signature manuscrite si elle repose
sur un certificat agréé conformément à l’annexe I et créé par
un dispositif sécurisé de création de signature tel que décrit
à l’annexe III. Ainsi, l’originalité de la signature numérique
vient du fait que trois parties jouent trois rôles distincts
qui contribuent à la confiance : le signataire, le prestataire
de service de certification électronique (P.S.C.E.), le destinataire
(« la partie qui se fie »). Compte tenu du fait que ce sont
les signatures numériques qui sont indirectement visées, c’est
grâce d’une part, à la fonction de "hachage" (abrégé ou "contrôle")
que l’intégrité de l’acte est préservée, et d’autre part au
certificat numérique contenant la clé publique du signataire
que son identification est ainsi garantie et peut être vérifiée.
La sécurité dépend de la politique de certification de l’Autorité
de certification (P.S.C.E.) qui décrit les niveaux de confiance
souhaités et de la Déclaration des pratiques de certification
qui énonce les modalités concrètes pour y parvenir. Ces documents
de nature juridique et technique s'inspirent largement, pour
la plupart, des travaux internationaux réalisés à l'IETF (Internet
Engineering Task Force). Ce processus de normalisation s'inscrit
résolument dans une perspective technique et il s'apparente
à l'élaboration de véritables codes de conduite privée. Ces
documents-types, politique de certification (P.C.) et "certification
practices statement' ("C.P.S". ou D.P.C.), proviennent "d'ordres
spontanés et mûris" et sont les instruments de régulation de
l'activité de P.S.C.E.
Conformément à la directive, il est prévu un régime d’accréditation
volontaire des P.S.C.E.. L’obtention de l’accréditation sera
valable pour une durée définie dans le décret. Cette accréditation
emportera reconnaissance de la force probante de l'écrit électronique,
le procédé de signature utilisé étant présumé fiable. Or, le
décret n’établit pas un lien direct entre la présomption et
l’accréditation. Ceci étant, le décret, conformément à la directive,
traite principalement des certificats et des obligations générales
qui pèsent sur les P.S.C.E..
II/ OBLIGATIONS ET RESPONSABILITES
DES PRESTATAIRES DE SERVICES DE CERTIFICATION
Le certificat (art. 6 du décret relatif aux certificats qualifiés)
fait apparaître diverses indications relatives au P.S.C.E.,
au signataire et à des données qui lui sont propres (début et
fin de validité, limites d'utilisation et limites à la valeur
des transactions pour lesquelles il peut être utilisé, …). La
loi sur la société de l'information devrait quant à elle compléter
la loi du 13 mars 2000, car outre une réforme du régime de la
cryptographie (déjà modifié par la loi n° 2001-1062 du 15 novembre
2001 relative à la sécurité quotidienne, J.O., 16 novembre 2001,
p. 18215), elle devrait prévoir notamment le régime de limitation
de la responsabilité civile des P.S.C.E.E.
Pour émettre des « certificats qualifiés », les « prestataires
de services de certification » doivent fournir un certain nombre
de garanties dont les exigences sont prévues à l'annexe II de
la directive. Peu importe que le P.S.C.E. bénéficie d'une accréditation
volontaire ou qu'il se conforme à la directive sans passer par
le régime d'accréditation. Sans entrer dans le détail des prescriptions
de l'annexe II, nous signalerons que le P.S.C.E. doit utiliser
des systèmes et produits fiables tant pour leur fonctionnement
que pour la conservation des certificats (annexe II, f et l)
et employer du personnel qualifié (annexe II, e). Ces dispositions
sont reprises à l’article 6 du décret du 30 mars 2001.
En cas de litige, ils auront également à faire la preuve qu'ils
sont suffisamment fiables pour fournir des services de certification
(annexe II, a). Les P.S.C.E. doivent disposer des garanties
financières suffisantes pour fonctionner en permettant l'indemnisation
des utilisateurs autant que de besoin et notamment par le bais
de souscription d'une police d'assurance appropriée. S'agissant
de la communication et de la reconnaissance avec d'autres P.S.C.E.,
il conviendra que l'interopérabilité des systèmes de signatures
électroniques soit garantie, par exemple en respectant les normes
et les standards en vigueur. Pour que toutes les parties intéressées
aux services de certification (ex : les abonnés, les tierces
parties au contrat d'abonnement qui se fient aux certificats)
puissent être en mesure de les utiliser dans leurs opérations
en ligne, il est nécessaire que le P.S.C.E. leur procure une
information correcte "par un moyen de communication durable"
sur l'ensemble des services qu'il propose et dans une langue
compréhensible (en principe, au moins trois langues communautaires)
(annexe II, k). Cette information doit être faite par écrit
(elle peut être transmise par voie électronique) et doit également
porter sur les termes et conditions contractuels, spécialement
les procédures de réclamations et de règlement des litiges.
L'existence d'un régime d'accréditation volontaire doit figurer
sur le site. De la sorte, à notre avis, les personnes qui demandent
un certificat seront informées de la situation du P.S.C.E. (titulaire
ou non de l'accréditation).
Lorsque le P.S.C.E. fournit à son client des services de gestion
de clés, il ne doit ni stocker, ni copier les données afférentes
à la création de signature de celui-ci (Annexe II, j). Cette
exigence découle directement d’un principe de sécurité en vertu
duquel il faut disposer de deux paires de clés distinctes lorsque
l’on entend signer et chiffrer des messages. L'usage d'une seule
paire de clés à la fois pour la signature et pour le chiffrement
des messages aurait pour conséquence de créer le risque de voir
un tiers s'approprier ou reconstituer la clé privée de signature
d'une personne et qu'elle se fasse passer pour elle. Dans le
cas de signature numérique, la clé privée doit rester secrète
et sous le "contrôle exclusif" du signataire (art. 2-2 du décret
du 30 mars 2001). Pour les clés de confidentialité, en revanche,
le P.S.C.E. peut être conduit à les conserver dans l'hypothèse
où un client, suite à la perte de sa clé, demanderait au P.S.C.E.
de la reconstituer (service de recouvrement de clé de confidentialité)
pour être en mesure d'accéder à l'ensemble des fichiers qu'il
aurait antérieurement chiffrés.
Dans toute Infrastructure à clé publique (I.C.P.), l'enregistrement
des abonnés aux services de certification s'effectue par l'entremise
d'Autorités d'enregistrement (A.E.). L'enregistrement peut s'effectuer
soit en ligne et les pièces justificatives de l'identité sont
envoyées par la Poste (pièces d'identité, Extrait K-Bis, et
autres quittances attestant du domicile), soit de visu aux guichets
prévus à cet effet (sur présentation des pièces justificatives).
Cette opération est très importante car elle permet de vérifier
l'identité conformément au droit national (annexe II, d), la
capacité et les pouvoirs des personnes, de manière "à enregistrer
toutes les informations pertinentes concernant un certificat
qualifié" (annexe II, i). Cette entité ne souscrit pas d'engagement
juridique envers les clients, elle est uniquement en relation
contractuelle avec l'A.C. Cette dernière génère le certificat
numérique d'identification sous sa seule responsabilité et à
ce titre elle s'engage à remplir certaines obligations essentielles
(art. 6 § 1 et § 2), c'est à dire établir et garantir le lien
qui existe entre une personne et une paire de clés asymétriques
dont elle est titulaire. En outre, le P.S.C.E. crée et assure,
sous sa responsabilité, le fonctionnement d'un service d'annuaire
(rapide et sûr) et d'un service de révocation (sûr et immédiat)
(annexe II, b).
En France, le schéma d'accréditation et les conditions à remplir
découlent directement de la directive et de ses annexes ; ils
sont mis en œuvre dans le cadre du décret du 30 mars 2001 pris
en application de l'article 1316-4, al.2 c. civ. Et du décret
du 18 avril 2002.
Les États peuvent au demeurant contrôler les P.S.C.E. basés
sur leur territoire qui délivreront des certificats qualifiés
(article 6 § 3). Mais sur quoi portera ce contrôle dans la mesure
où tout système d'autorisation obligatoire est prohibé ? On
peut soutenir qu'un tel pouvoir relevant des États consiste
en la connaissance de l'existence de la personne qui exerce
une activité de P.S.C.E. et en l'imposition d'une déclaration
de fournitures de services de certification auprès d'un organisme
d'État (ex : en France, la D.C.S.S.I.). Ces modalités, particulières
à chaque État, sont dans un pays comme la France fixées par
voie réglementaire.
A) Obligations du
P.S.C.E.
Il convient de signaler que les dispositions de la directive
93/13/CEE du Conseil du 5 avril 1993 relatives aux clauses abusives
dans les contrats conclus avec les consommateurs s'appliquent
aux relations entre les P.S.C.E. et les "abonnés" (article 3,
§ 5).
Aux termes de l'article 8 de la directive, les États membres
doivent veiller à ce que les P.S.C.E. et les organismes responsables
de l'accréditation et du contrôle honorent les exigences posées
par la directive 95/46/CE du Parlement européen et du Conseil
du 24 octobre 1995 relative au traitement des données à caractère
personnel.
La directive prévoit des règles de responsabilité pour les P.S.C.E.
notamment eu égard au contenu des certificats (article 6). Cette
partie de la directive doit encore faire l'objet, en France,
d'une loi de transposition. En cas de préjudice, le P.S.C.E.
doit être responsable de l'exactitude des informations qu'il
inscrit dans le certificat au moment de sa date d'émission,
du lien entre le signataire et un bi-clé et enfin, de toute
omission d’enregistrement et de publication de la révocation
du certificat sur ses listes accessibles en ligne. Concernant
l’exactitude des informations que le certificat doit contenir,
il faut reconnaître qu'elles ne peuvent que résulter des pièces
fournies lors de l'enregistrement (ex : pièce d’identité, quittance).
En cas de falsification, tant matérielle qu’intellectuelle,
du ou des document(s), ou d'informations obsolètes, le P.S.C.E.
ne devrait pas être responsable des informations inscrites dans
le certificat. En effet, actuellement les enregistrements s’effectuent
le plus souvent en ligne et par l’envoi des pièces justificatives
par courrier. Mais ce problème de faux documents serait le même
dans le cadre des procédures d'enregistrement en face à face.
Le P.S.C.E. ne peut garantir que l’exactitude formelle des informations
au vu des pièces transmises et non leur exactitude sur le fond.
Dès lors, sa responsabilité ne peut être liée qu'à l’exacte
transcription dans le certificat des informations fournies par
l’abonné. Le titulaire du certificat devra, par conséquent,
communiquer au P.S.C.E. tous les changements affectant les informations
contenues dans le certificat. Le P.S.C.E. aura de la sorte la
possibilité d’établir toute inexactitude et être dégagé, le
cas échéant, de sa responsabilité.
En outre, comme le souligne une doctrine autorisée, "puisqu'une
obligation d'exactitude pèse sur le prestataire à ce moment
précis (la date de délivrance, art. 6 § 1, a), il (le P.S.C.E.)
doit veiller à ce que la date et l'heure d'émission puissent
être déterminées avec précision (annexe II, b de la directive)
». Cette disposition suppose que des services d'horodatage soient
opérationnels.
S'agissant à présent de la personne physique ou morale ou de
l'entité qui se fie raisonnablement au certificat (ou qui s'en
prévaut) (art. 6 § 1 et § 2), il faut comprendre que le tiers
doit vérifier non seulement la validité du certificat mais aussi
celle de la signature. Dans cette perspective, une partie qui
se fierait à un certificat sans consulter notamment la Liste
de révocation des certificats (annuaire publié en ligne) ou
les restrictions d'usage ou les valeurs limites contenues dans
le certificat n'aura pas le droit d'engager la responsabilité
du P.S.C.E.
B) Responsabilité
du P.S.C.E.
Selon l’article 6 § 3 "Les Etats membres veillent à ce qu’un
Prestataire de services de certification puisse indiquer, dans
un certificat qualifié, les limites fixées à son utilisation,
à condition que ces limites soient discernables par des tiers.
Le Prestataire de services de certification ne doit pas être
tenu responsable du préjudice résultant de l’usage abusif d’un
certificat qualifié qui dépasse les limites fixées à son utilisation"
et selon l’article 6 § 4 "dans un certificat qualifié, la valeur
limite des transactions pour lesquelles le certificat peut être
utilisé, à condition que cette limite soit discernable par des
tiers. Le Prestataire de services de certification n'est pas
responsable des dommages qui résultent du dépassement de cette
limite maximale.". Le terme « discernable » utilisé dans ces
deux paragraphes peut surprendre le juriste, voire le laisser
perplexe. Il signifie que les limites d’utilisation (ex : engageant
l’entreprise à l’exclusion de son employé en son nom personnel)
du certificat doivent être perçues de façon à éviter toute confusion.
Ainsi, il suffira que l’attention de la personne qui reçoit
un certificat et un message signé soit attirée par une indication
selon laquelle l’utilisation du certificat est limité, sans
qu’il soit nécessaire que ce soit tout le contenu de cette limite
lui-même qui soit affiché. Ensuite (art. 6 § 4), les Etats devront
exclure toute responsabilité du prestataire qui pourrait survenir
à la suite d’une utilisation du certificat au delà de la valeur
limite des transactions (montants maximum) établie selon le
certificat. Ces deux paragraphes doivent s’entendre comme étant
une exclusion de tous les préjudices tant directs qu'indirects.
En réalité, les P.S.C.E. se situent au cœur d’une Infrastructure
à clé publique (I.C.P.). Cette I.C.P. comprend plusieurs entités
qui ont des fonctions et des responsabilités distinctes. Plusieurs
métiers coexistent : Autorité de certification (A.C.), Opérateur
de certification et Autorité d’enregistrement, Services de publication
(annuaire ou liste de révocation des certificats ou des autorités
de certification reconnues). Il ressort de ce système que la
confiance dépend de l’ensemble des composantes de l’I.C.P. Néanmoins,
en cas de préjudice, c’est l’A.C. (le P.S.C.E.) qui sera responsable
vis à vis de ses clients et des personnes qui se fie à la signature
électronique. De la sorte, elle ne pourra exonérer sa responsabilité
en soutenant qu'une autre entité est responsable (ex : l'A.E.
pour la collecte des données relatives à l'enregistrement ou
l'opérateur pour les services de certification). Elle pourra
toutefois engager la responsabilité de cette dernière sur la
base des engagements contractuels souscrits entre elles au sein
de l’I.C.P.
La transposition des dispositions de l'article 6 de la Directive
a été prévue dans le projet de L.S.I. et, après modifications,
elle sera intégrée, en vue de son adoption par l'Assemblée,
à l'article 21 du projet de loi pour la confiance dans l'économie
numérique (v. l’avis n° 608 de Mme Michèle Tabarot, fait au
nom de la commission des lois, 11 février 2003, disponible sur
le site http://www.assemblee-nationale.fr). Le nouveau texte,
contrairement aux précédents, s'applique exclusivement aux certificats
présentés comme qualifiés et non à tous les certificats électroniques.
|
