Cet article est également disponible en espagnol, allemand et anglais.
Un jugement récent d'un tribunal de California a eu des répercussions considérables, qui a déterminé qu'un document signé par l'intermédiaire d'une des grandes sociétés de signature électronique n'était pas recevable. Ce jugement, loin de remettre en cause tous les systèmes de signature électronique, est un exemple clair d'une chose sur laquelle Validated ID insiste toujours : la valeur des signatures électroniques réside dans les preuves obtenues lors du processus de signature et dans la capacité à les défendre dans un éventuel litige.
Avant d'analyser le cas spécifique, il convient de rappeler qu'il existe différents types de signatures électroniques au-delà des définitions légales de signature simple, avancée ou qualifiée (ou leurs dénominations équivalentes dans les différentes législations mondiales). Ainsi, on trouve des produits et services de signature numérique « traditionnels » basés sur l’utilisation de certificats numériques (centralisés ou locaux), des systèmes de signature électronique manuscrite (signature biométrique) ou des services de signature basés sur la collecte de preuves (signature à distance). Dans chacun de ces types de signatures, le poids juridique est centré sur des aspects différents et la pratique de la preuve est également différente dans chaque cas, de sorte que nous considérons qu’essayer de les « corseter » tous dans les concepts de signature simple, avancée ou qualifiée est une erreur, car, à l’exception de la signature qualifiée susmentionnée, mais peu utilisée, 99 % des signatures qui sont faites dans la pratique sont des signatures que, le moment venu, nous devrons prouver.
Le cas spécifique que nous analysons correspond au type de signature basée sur la collecte de preuves ou, comme nous aimons l'appeler, la signature à distance, qui se fonde sur la création d'un journal des preuves qui se produisent pendant le processus de signature, de sorte que, si à tout moment il est remis en question, les preuves peuvent être extraites et analysées pour déterminer si la signature peut réellement être attribuée à une personne.En principe, il s'agit de la procédure habituelle en droit : dans une procédure judiciaire, les parties doivent toujours faire valoir leurs droits sur la base de preuves. Si nous voulons prouver qu'une infraction a été commise ou, au contraire, que nous avons agi conformément à la loi, nous devons fournir des preuves pour appuyer ou renforcer notre thèse.
Le problème dans le cas de ce jugement est que les preuves recueillies dans la procédure sont peu nombreuses, peu concluantes et, comme il ressort du jugement, pas même présentées de manière adéquate dans la procédure judiciaire. Dans tout litige, des preuves peuvent être présentées pour établir la réalité d'un événement (dans ce cas, le client a consenti à un contrat). Si cette preuve se limite au fait qu’un courriel a été envoyé à un compte de messagerie et que quelqu’un a cliqué sur un bouton indiquant « signer », il est très difficile de prouver son statut d’auteur.
Dans le cas de VIDsigner Remote, le courriel n'est que le début, c'est une preuve de plus, mais pas la seule, ni la plus solide : dans notre cas, l'email est collecté, le moment exact de l'heure avec un service d'horodatage qualifié, l'IP du signataire, sa géolocalisation (si le signataire l'accepte expressément), son environnement technologique (OS, navigateur), il reçoit un SMS avec un code unique (vers son téléphone portable personnel) et enfin il doit le signer, bien qu'il ne s'agisse pas d'une preuve aussi forte que le SMS, elle fournit certaines présomptions (dans le service de signature analysé dans l'arrêt, le signataire peut décider de ne pas signer, mais simplement choisir une police à associer à son nom ou à ses initiales). La valeur juridique n'est donc pas dans le courriel, pas dans la rubrique, pas même dans le SMS, mais dans l'ensemble des preuves que nous saisissons dans un rapport que Validated ID remet au client pour qu'il puisse le défendre le moment venu.
Par conséquent, la clé ne réside pas dans le modèle de signature analysé, qui peut être décrit comme une signature fondée sur des preuves, mais dans sa mise en œuvre et, surtout, dans la quantité et la qualité des preuves recueillies au cours du processus. L'arrêt considère que les méthodes choisies au cours du processus ne sont pas suffisantes pour prouver l'authenticité de l'identité du signataire.
En d'autres termes, le juge précise, en l'espèce, que c'est à la partie défenderesse de prouver sa validité et qu'aucune autre preuve que l'adresse IP du signataire n'a été fournie.
Ce dernier point nous amène à analyser une autre différence fondamentale entre VIDsigner et d'autres services apparemment similaires : outre le fait que le système Validated ID est très scrupuleux quant à la quantité et à la qualité des preuves recueillies dans le processus, dans le cas où il faudrait prouver une signature, il garantit toujours l'accompagnement et le conseil juridique le plus approprié pour le client.