La loi sur la preuve et la signature électroniques : 20 ans déjà !

Il y a 20 ans, la loi sur la #preuve et la #signature électroniques était adoptée (loi du 13 mars 2000). Elle faisait suite à la directive européenne 1999/93 du 13 décembre 1999 sur la signature électronique. Ces deux textes, comme tant d’autres, se sont inspirés de la loi-type de la CNUDCI sur le commerce électronique adoptée en 1996. Depuis lors, les textes tant européens que français, les usages et pratiques du marché et la jurisprudence n’ont cessé d’évoluer. Et même, des travaux sont en cours au sein de la Commission des Nations Unies pour le Droit Commercial International (#CNUDCI) sur l’identité numérique et les services de confiance, dans la lignée du Règlement européen #eIDAS du 23 juillet 2014. Ceci étant, si la construction globale de cet écosystème a pris du temps, elle est désormais arrivée à maturité si l’on s’en tient au nombre d’actes juridiques signés.

Le nombre de transactions signées électroniquement ne cesse de croitre et de se généraliser. Outre les autres services de confiance tels que le cachet électronique ou l’horodatage, en France l’unité de mesure des signatures électroniques se compte en dizaines de millions. Les actes authentiques électroniques des notaires ont commencé en 2008 et leur passation, traditionnellement en présence physique du ou des notaires, vient d’être consacrée à distance en raison de l’épidémie de #Covid-19 (décret du 3 avril 2020) Les secteurs d’activité sont très variés : opérations de banque et finance, assurances, achats et ventes de marchandises et services ; le BtoB comme le BtoC, mais aussi la sphère publique, notamment les signatures dans les commandes publiques. Pourtant, certaines jurisprudences, certes minoritaires, restent encore hésitantes dans la mesure où il existe encore des juges qui éprouvent de la défiance face au progrès du numérique, s’inscrivant ainsi en contre des usages numériques et du « sens de l’histoire ». Le droit a consacré l’#équivalence juridique des supports utilisés sous réserve de respecter les fonctionnalités juridiques intrinsèques des instruments : écrit, signature, exemplaire original, copie, formalisme des mentions, etc. Ont été posées les fondations juridiques de l’écrit et de la signature électroniques aux articles 1316-1 et 1316-4 du code civil en alignant la valeur probatoire de l’écrit et de la signature électroniques sur celle du papier. Donc, double équivalence : fonctionnelle et des supports utilisés.

Après la loi du 13 mars, les textes d’application sur la preuve ont précisé la présomption de fiabilité attribuée à la signature électronique (Décret n°2001-272 du 30 mars 2001, désormais abrogé), l’évaluation et la certification de la sécurité des produits (Décret n°2002-535 du 18 avril 2002). Ensuite, la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) a introduit dans le code civil la validité des actes juridiques par les articles 1108-1 et suivants du Code civil en renvoyant tout simplement aux articles 1316-1 et 1316-4, comme d’ailleurs l’article relatif au nombre d’exemplaires d’originaux (ancien art. 1325, al .5 et nouvel art. 1375). Il reste que seuls les actes sous seing privé portant sur le droit de la famille et les sûretés réelles et personnelles étaient et sont encore exclus de la digitalisation, contrairement aux actes authentiques. Par la suite, le code de procédure civile a été modifié pour prendre en compte la vérification d’écriture électronique (art. 287 et 288-I du CPC).

En 2012, la Commission européenne a lancé le processus de révision de la signature en élargissant le périmètre du champ d’application et en changeant la nature juridique de l’instrument. Et le 23 juillet 2014, le Règlement eIDAS est né : il abroge la directive de 1999 et traite de la gestion d’identité numérique et des services de confiance (signature, cachet électronique, horodatage, envois recommandés et certificat d’authentification de site web). L’ordonnance du 10 février 2016 a changé la numérotation des articles du code civil sans grande modification sur le fond : les articles 1316-1 et 1316-4 sont devenus les articles 1366 et 1367. Dans le prolongement du règlement, le décret du 28 septembre 2017 pris en application de l’article 1367, dispose : « La fiabilité d'un procédé de signature électronique est présumée, jusqu'à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. Est une signature électronique qualifiée une signature électronique avancée, conforme à l'article 26 du règlement susvisé et créée à l'aide d'un dispositif de création de signature électronique qualifié répondant aux exigences de l'article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l'article 28 de ce règlement ». On observera en cet endroit le renvoi au règlement européen, alors qu’il n’en est rien pour les autres services de confiance étant donné que le règlement est d’application directe.

A ce stade, il est fondamental de rappeler que la loi et le règlement eIDAS n’exigent pas l’utilisation de la signature électronique qualifiée pour la validité et la preuve de l’acte juridique en cause. Ce niveau élevé de signature se contente d’établir une #présomption (simple) de fiabilité du procédé de signature utilisé. Sans le bénéfice de cette présomption, il appartiendra à celui qui se prévaut de la signature électronique d’en établir la fiabilité devant le juge.

La première véritable décision sur la signature est le jugement du Tribunal d’Instance d’Epinal du 12 décembre 2011, décision infirmée par la CA de Nancy du 11 février 2013. Elle concernait un crédit renouvelable souscrit à distance par un consommateur. La Cour, comme la grande majorité des décisions ultérieures, a reconnu la validité de la signature électronique du contrat. Mais il reste des juridictions du premier degré et d’appel qui, soulevant d’office une carence de la signature alors que le signataire n’était pas présent, ni représenté devant le tribunal et qu’il n’avait pas dénié sa signature, ont procédé à la réouverture des débats pour finalement rejeter la validité du contrat (ex : CA Rouen 31 mai 2018 et Aix-en-Provence 19 septembre 2019). Mais ces décisions n’étaient pas juridiquement fondées et procédaient à un raisonnement erroné pour notamment dire (Aix-en-Provence) que le signataire d’un financement d’une automobile, présent physiquement lors de la conclusion du contrat n’avait pas été identifiée. La solution procédait d’une motivation irrationnelle avec une solution interprétative défiant la lettre et l’esprit de la loi.

Depuis 2013, la jurisprudence a progressivement introduit des exigences pour apprécier la fiabilité du procédé de signature comme l’a précisé la Cour d’appel de Chambéry, 25 janvier 2018 : établissement d’un lien solide entre la signature électronique et l’acte auquel elle s’attache. Pour la banque, il est important de produire devant le juge le #fichier de preuve ou/et la synthèse dudit fichier, contenant le contrat signé et des éléments techniques (ex : attestation de fiabilité du prestataire, jeton d’horodatage, pièce d’identité, …). La Cour de cassation a reconnu pour la première fois la valeur juridique d’un contrat de complémentaire santé conclu en ligne (Cass. civ. 6 avril 2016).

Le fait le plus marquant consiste en l’usage dans la pratique de signatures électroniques dites « simples » dont la jurisprudence a largement reconnu la valeur juridique. Ces signatures, à l’instar d’ailleurs des signatures électroniques avancées du règlement eIDAS, ne bénéficient pas de la présomption de fiabilité instaurée à l’article 1367 du code civil (ancien art. 1316-4). A l’origine, le système de déploiement des outils de signature (dispositif de création de signature et certificat électronique) reposait sur la diffusion des procédés de signature fixés sur un équipement personnel (carte ou clé) ou installés sur le poste de travail du titulaire du certificat. Bref, un système de gestion « décentralisé ». Désormais l’usage consiste souvent en une gestion centralisée de la signature. C’est sur le serveur du prestataire de service (le PSCo) que s’opère la signature qui peut être couplée à un OTP SMS envoyé sur le mobile du signataire afin qu’il saisisse un code aléatoire valable pendant quelques minutes seulement. La nature ayant horreur du vide, les certificats éphémères (valable pour une durée de temps assez brève) se sont développés auprès des consommateurs en lieu et place des certificats « standards » (valables pour un, deux ou trois ans). Ce sont des signatures électroniques simples ou avancée, par conséquent qui nécessitent d’apporter la preuve de leur fiabilité. Ce phénomène s’explique sans doute par la faible diffusion de ces certificats dans le public et de l’absence actuelle de besoins de disposer d’un outil de signature alors que l’on ne signe qu’un nombre limité d’actes juridiques chaque année. La donne va sans doute changer lorsque les #services d’identification (carte d’identité électronique, identités électroniques issues de France Connect comme Alicem ou l’identité numérique de La Poste) seront en activité aussi bien pour les services publics que pour les relations commerciales.

Le règlement eIDAS introduit un important changement de paradigme en termes d’harmonisation juridiques des législations des Etats membres de l’UE. Une directive européenne fixe un plus petit dénominateur commun des règles et principes à transposer dans chaque droit national. Et les Etats sont libres de fixer des exigences supplémentaires en fonction de leur sensibilité et de leur tradition juridique. Le résultat n’a pas permis l’exportation de solutions de signatures électroniques développées et valables dans pays A vers un autre Etat membre. Avec le système des transpositions, chaque Etat adopte des dispositions légales et règlementaires créant des barrières à l’entrée des marchés de chacun. Un même système de contractualisation et de signature de contrats en ligne valable dans tout le marché unique semble désormais possible.

En effet, il en va différemment avec un règlement, les dispositifs de service de confiance qualifiés (ex : la création et le certificat de signature) sont reconnus dans tous les Etats membres et publiés sur une liste de confiance par la Commission européenne ; l’harmonisation s’effectue par le haut. On peut même dire qu’il y aura, à terme, une unification du droit.

Inscrit à l’article 60 de la loi #PACTE, le gouvernement travaille à l’introduction de la digitalisation des sûretés personnelles (caution) et réelles (gage et réserve de propriété) dans le cadre de la réforme du droit des sûretés. Il était paradoxal d’encourager la digitalisation des échanges numériques (contrats, paiements) et de ne pas autoriser la digitalisation des garanties nécessaires au financement des opérations telles que les achats de biens de consommation pour les particuliers (automobiles, meubles, équipements informatiques et autres).

Par ailleurs, la Commission des Nations unies pour le droit commercial international (CNUDCI) a lancé un important travail législatif (a priori une loi-modèle) sur la gestion de l’identité et les services de confiance. L’objectif est de disposer de règles juridiques sur le sujet, ce qui permettra au commerce international de se développer de façon harmonieuse. Les normes juridiques devront être complétées de normes techniques assurant la fiabilité et l’interopérabilité des systèmes et des services.

Là encore, les services d’identification électronique joueront un rôle fondamental en ce qui concerne notamment l’authentification des personnes, l’enregistrement des personnes pour l’acquisition de certificats, la « signature » des personnes morales (#cachet), l’usage des téléservices avec les collectivités publiques. La preuve et la signature électronique ont atteint leur majorité ce qui se traduit par la maturité du marché !