Nous pensons souvent, à tort, qu’en Espagne (et dans le monde entier), les seules signatures électroniques valides sont les dénommées signature qualifiées, connues avant sous le nom de signatures reconnues. Mais ce n’est pas le cas, Il existe des signatures électroniques alternatives légalement valides et davantage utilisables. Le souci est de les reconnaître et d’évaluer correctement leur degré d’exploitation et de sécurité.
Que dit la loi?
Ne seront rejetés ni les effets juridiques, ni leur recevabilité en tant que preuves lors d’une procédure judiciaires d’une signature électronique par le simple fait qu’elle soit une signature électronique ou parce qu’elle ne remplit pas les conditions d’une signature électronique qualifiée.
Ceci devrait mettre fin à toute discussion sur la validité d’une signature électronique non qualifiée étant donné que comme répété lors de nombreuses occasions, toutes les signatures électroniques sont valides en principes.
Alors pourquoi les signatures non qualifiées génèrent-elles autant de doutes?
Les signatures qualifiées sont, de par la loi, mises sur la plus haute marche de sécurité juridique et ont des conditions claires:
- Signature avancée + certificat qualifié + appareil sûr de création de signature = signature qualifiée
Les autres signatures non qualifiées naviguent dans l’océan de preuves électroniques, ce qui n’est pas nécessairement mauvais, c’est ce qui arrive dans la plupart des marché, où c’est le client qui doit naviguer entre les différentes solutions existante et décider quelles est celle qui s’ajuste au mieux à ses besoins en toute confiance.
Qu’il existe un “océan de signatures non qualifiées” signifie que le client trouvera des produits ou des services très difficiles à défendre en jugement et donc de faible valeur juridique. Mais il trouvera aussi d’autres solutions très solides juridiquement car elles s’appuient sur un prestataire de services de confiance et apportent une quantité et qualité de preuves sur l’autorité d’une signature telle qu’elle peut même être davantage valides sur le plan procédural que les propres signatures qualifiées.
Comment pouvons-nous mesurer la qualité ou la solidité d’une signature électronique?
La réponse est simple: pas la quantité et la qualité de preuves électroniques apportées. Ainsi, ce n’est pas pareil si un tiers de confiance intervient lors du processus de signature ou non, de garantir au signataire que ce qu’il voit est ce qu’il signe ou non, d’utiliser des clés de cryptographie à usage unique ou aucune, d’utiliser des standards techniques ou non, d’utiliser l’horodatage ou non, que les signatures soit durables et validables durant toute la durée ou non, que des notaires interviennent comme partir du processus ou non, qui soient combinables avec les signature qualifiées ou non, etc.
Le choix entre une solution et une autre marque la différence entre continuer à nager dans le doute ou se tenir à sa bouée de sauvetage juridique qui offre les garanties nécessaires.
Pourquoi les signatures non qualifiées sont-elles nécessaires?
Il se peut que quelqu’un dise, ce qui arrive dans certains départements juridique, qu’il considère uniquement les signatures qualifiées comme étant valides, mais comme nous l’avons vu, il aurait tors étant donné que, du moins en Europe, les qualifiées ne sont pas les seules valides. Il serait plus honnête de dire : “je ne consens à analyser les garanties juridiques qu’offre cette signature non qualifiés”.
Le souci est, qu’importe la raison, refuser d’utiliser des signatures non qualifiées équivaut à, soyons réaliste, à se condamner à continuer d’utiliser du papier pour signer des documents dans la majorité des cas pratiques ; la signature qualifiée, bien nous en déplaise, 20 ans après sa première régulation légale, continue à traîner des problèmes qui la rende difficile à appliquer dans nombres de situations.
Voyons quelques exemples:
- Un patient se présente à l’hôpital pour qu’on lui réalise une intervention: il ne dispose pas d’un certificat digital ni d’un dispositif sûr sur le moment. Dans le meilleur des cas, il aura ses papiers d’identité mais il est plus probable qu’il ne les ait pas ou qu’ils soient expirés. Ce cas est applicable à n’importe quelle démarche à faire en présentiel: administration publiques (en bureaux), distribution, ou secteur privé, etc.
- Une assurance vend une police en ligne. Le client ne peut (ni ne veut) se déplacer à un bureau d’assurances et ne dispose ni d’un certificat digital, ni d’un dispositif sûr de création de signature. Ce cas s’applique à n’importe quelle démarche en ligne nécessitant une signature d’un contrat ou similaire.
Le nouveau Règlement eIDAS a marqué un grand pas en permettant que les clés et certificats de signature soit gardés par le prestataire et non par l’utilisateur. Ceci résout quelques soucis techniques, surtout ceux liés aux appareils de création de signature sûrs, mais cela ne résout pas le problème principal qui fait que la signature qualifiée ne soit pas un outil agile: pour faire une signature qualifiée il faut un certificat qualifié et pour obtenir un certificat qualifié il est nécessaire que le citoyen se présente physiquement devant une autorité de registre.
C’est ce que nous appelons “procédure d’inscription” et, ce qui complique la spontanéité nécessaire sur internet. Dans un monde idéal tous les citoyens seront en possession d’un certificat digital gardé par un tiers de confiance et accessible uniquement par le signataire. Mais nous en sommes très loin et je doute que cela arrive, ni que ce soit la solution à la réponse, c’est pourquoi il ne nous reste pas d’autre choix que de chercher des alternatives.
Penchons-nous à nouveau sur le cas pratique:
- Un future client réalise tout le processus d’achat sur internet, arrive le moment de signer le contrat et le système lui demande:
- « Êtes-vous en possession d’un certificat? »
- « Non »
- « Pouvez-vous vous déplacer au bureau d’une Autorité de certification pour en demander un et nous continuerons demain? »
- « Non »
- Fin de l’opération.
Quelles sont les options de signatures non qualifiées?
L’éventail est grand, mais il pourrait se résumer aux options suivantes dépendant des différents facteurs:
- Signature avancée basée sur un certificat qualifié. Si le problème se limitait au dispositif sûr (carte cryptographique ou HSM), et non à l’enrôlement de l’utilisateur, il serait possible d’opter pour l’utilisation de certificats sans appareil sûr de création de signature gardé par le prestataire. Il ne s’agit pas d’une signature qualifiée mais d’une signature avancée basée sur un certificat qualifié, garantissant beaucoup de garanties.
- Signature biométrique présentielle. SSi la démarche est présentielle, il est plus optimal d’utiliser des systèmes de signature biométrique qui apportent au monde digital toute la simplicité d’usage et coutume de la signature manuscrite traditionnelle. Pour que la signature soit défendable juridiquement il faut tenir en compte plusieurs facteurs : la collecte des données biométriques (surtout la pression de signature), le cryptage des informations biométrique, la garantie de ce qu’on voit c’est que qu’on signe, les clés de signature à usage unique, l’horodatage, les signatures durables, etc.
L’nconvénient dprincipal de ce type de signatures et qui le rende utilisable uniquement dans des environnements présentiels est que pour qu’une signature soit expertisable en procès, les données de la signature doivent être de qualité et compte sur une information précise comme la pression exercée lors de la signature ce qui la imite à certains appareils du marché qui normalement ne sont pas à disposition du signataire depuis son domicile.
- Signature biométrique à distance. Lorsque nous ne pouvons compter sur la présence du signataire, ni son inscription préalable (enrôlement), nous opterons pour des systèmes qui nous permettent de collecter les preuves suffisantes pour, démonter au moment venu qu’une personne concrète a bien vu le document en le signant et qu’elle et elle seule a bien apposer son consentement. Traditionnellement, on utilise des systèmes d’envoi de notifications à une adresse émail où le signataire, en cliquant sur le lien reçu, accède à la page du prestataire qui lui montre le document et recueille toutes les preuves (adresse IP, adresse email, …). Le processus finit en général par un « clic » du signataire acceptant l’opération de signature.
Ces systèmes sont très simples d’utilisation mais les preuves qu’ils apportent, en soi, sont difficiles à défendre en jugement par la difficulté de démontrer que ce fut bien cette personne et non une autre qui a accédé à l’émail et qui a signé en son nom. La sécurité du système s’améliore considérablement avec l’envoi d’un SMS au téléphone su signataire comme « double facteur d’authentification » et entre autres, comme c’est le cas du service VIDsignerainsi se complète juridiquement le processus de signature en y ajoutant à l’émail et au SMS l’obligation au signataire de réaliser une signature manuscrite sur son appareil. Dans ce cas, la signature biométrique réalisée n’est pas aussi qualitative que celle mentionnée ci-dessus et ne se suffirait pas en cas de procès, cependant c’est l’union des preuves : email + sms + signature manuscrite qui convertit cette signature en une preuve solide.
L’importance du prestataire
Ce qui démarque le nouveau règlement de signature eIDAS c’est a mise en valeur de la figure du prestataire de services de confiance (qualifié ou non). Si nous parlons de création de preuves électroniques, il est évident que l’usage de service d’un tiers à la transaction apporte davantage de confiance (d’où son nom) à la transaction et à la preuve.
L’utilisation de services de tierce personne pour la formalisation de transactions à teneur juridique n’est pas nouveau, les notaires assument ce rôle depuis des centaines d’années en tant que prestataires de services de confiance. La fonction tant des notaires, des cabinets ministériels (tant publics comme privés) et des prestataires de service de confiance électronique modernes est la même : apporter sécurité juridique, garantie de neutralité et responsabilité des parties.
Mettant de côté les avantages techniques qui permettent de plus en plus aux particuliers et entreprises de consommer des services basés sur le Cloud au lieu d’acquérir des produits, d’un point de vue juridique il est indéniable que l’usage de prestataires se convertit en un must.
Conclusions
Les procédures et démarches quotidiennes nécessitent de plus en plus que les solutions de signatures permettent de répondre de manière adéquate aux besoins de chaque cas et à la nécessité que la signature qualifiée de par ses caractéristiques spécifiques colle, ce qui n’est pas toujours simple.
La législation de signature électronique permet d’utiliser un autre type de signature non qualifiée pour ce genre de procédures, mais il faut être vigilant et sélectionner les outils capables de concilier de manière plus efficace les conditions d’utilisation et de sécurité juridique, tenant en compte que les signatures qui se collectent à l’instant pourraient être susceptibles d’être jugées en procès, auquel nous devrons nous rendre en totale confiance.
Chez VIDsigner nous avons toujours fait le pari de proposer des solutions utilisables à nos clients, mais avec la solidité maximale d’un point de vue juridique. De cette manière, au sein de notre éventail de possibilités de signature, différentes options s’adaptent aux besoins de chaque transaction.