Signature électronique : précisions sur les conditions d'obtention de la présomption de fiabilité

Rappelons que l’article 1^er du décret n° 2001-272 du 30 mars 2001 (JO 31 mars) précisait déjà les modalités propres à la validité d'une signature électronique. Mais ce texte a été codifié par l’ordonnance n° 2016-131 du 10 février 2016, dans le respect du cadre fixé par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.
 
Le nouvel article 1367, alinéa 1^er, du Code civil, prévoit que : « La signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte ». Cette signature peut être manuscrite ou électronique. Dans ce dernier cas, elle doit répondre à un certain nombre de spécifications, définies au second alinéa de cet article 1367 : « lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'État ».  
 
Ce décret n° 2017-1416 du 28 septembre 2017 vient apporter des précisions sur les caractéristiques techniques du procédé permettant à une signature électronique de bénéficier de cette présomption de fiabilité.  
 
L’article 1^er de ce décret prévoit ainsi que « La fiabilité d'un procédé de signature électronique est présumée, jusqu'à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. Est une signature électronique qualifiée une signature électronique avancée, conforme à l'article 26 du règlement susvisé et créée à l'aide d'un dispositif de création de signature électronique qualifié répondant aux exigences de l'article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l'article 28 de ce règlement ».
 
Ce décret renvoie donc aux articles 28 et 29 de ce règlement, qui eux-mêmes laissent à l’annexe II dudit règlement, le soin de fixer les exigences précises applicables aux dispositifs de création de signature électronique qualifiés. Une annexe qui prévoit que :

« 1.

Les dispositifs de création de signature électronique qualifiés garantissent au moins, par des moyens techniques et des procédures appropriés, que : a) la confidentialité des données de création de signature électronique utilisées pour créer la signature électronique est suffisamment assurée ; b) les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être pratiquement établies qu’une seule fois ; c) l’on peut avoir l’assurance suffisante que les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être trouvées par déduction et que la signature électronique est protégée de manière fiable contre toute falsification par les moyens techniques actuellement disponibles ; d) les données de création de signature électronique utilisées pour créer la signature électronique peuvent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autres.

 

	2.	Les dispositifs de création de signature électronique qualifiés ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature.
	3.	La génération ou la gestion de données de création de signature électronique pour le compte du signataire peut être seulement confiée à un prestataire de services de confiance qualifié.
	4.	Sans préjudice du paragraphe 1, point d), un prestataire de services de confiance qualifié gérant des données de création de signature électronique pour le compte d’un signataire ne peut reproduire les données de création de signature électronique qu’à des fins de sauvegarde, sous réserve du respect des exigences suivantes : a) le niveau de sécurité des ensembles de données reproduits doit être équivalent à celui des ensembles de données d’origine ; b) le nombre d’ensembles de données reproduits n’excède pas le minimum nécessaire pour assurer la continuité du service ».

 
Ce décret est entré en vigueur le 1^er octobre 2017.