Identification et signature électronique : tout change et rien ne change
L'entrée en vigueur du règlement européen n°910/2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur modifie le cadre juridique de la signature électronique à l'échelle européenne. Une petite révolution mais une révolution tout de même.
PublicitéLe 17 septembre dernier est entré en vigueur le règlement européen n°910/2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, adopté le 23 juillet 2014.
Ce règlement est un acte fondateur dans l'édification complexe du droit de la « relation électronique » entre deux personnes ou entre une personne et une autorité publique. Il abroge et remplace la directive 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques
La directive de 1999, introduite en droit français dès la loi du 13 mars 2000, a conduit à un morcellement important des législations européennes et un haut niveau de complexité. Parmi les problématiques majeures figure celle de la reconnaissance des signatures électroniques d'un Etat européen à l'autre. 15 ans après l'adoption de la directive, la commission européenne a fait le constat que, malgré la directive de 1999, les systèmes d'identification et de signature électronique étaient cloisonnés et manquaient d'interopérabilité entre les Etats européens.
La Commission européenne a donc choisi d'utiliser la forme juridique du règlement qui présente l'insigne avantage de ne nécessiter aucune transposition en droit national pour avoir force exécutoire. Le règlement du 23 juillet 2014 permettra donc normalement de garantir un haut niveau d'harmonisation des règles dans les Etats de l'Union européenne. Il en résultera que les services de confiance qualifiés dans un Etat membre et les moyens d'identification électronique délivrés dans un Etat membre seront nécessairement reconnus dans les 27 autres pays de l'Union européenne.
Pourtant, en dépit de l'environnement juridique nouveau que ce règlement construit, les changements pour les entreprises et les individus n'arriveront qu'à moyen terme.
L'arrivée du régalien dans l'identification électronique
Lors de l'adoption de la directive du 13 décembre 1999 sur un « cadre communautaire pour les signatures électroniques » la question fondamentale de l'identification du signataire avait reçu une solution privilégiant la réponse du « marché » à celle que pouvait fournir l'Etat.
La signature, comme le rappelle l'article 1316-4 du code civil, revêt une double fonction : elle manifeste le consentement au contenu du document sur lequel elle est apposée et elle sert également de moyen d'identification du signataire, en ce qu'elle est supposée être personnelle et unique. On ne peut d'ailleurs s'empêcher de s'étonner de l'importance des conséquences juridiques que l'on attache à la signature manuscrite et l'archaïsme que constitue le moyen mis en oeuvre.
Dans le système actuel de la signature électronique sécurisée, l'identité du signataire repose sur l'utilisation d'un certificat électronique dit « qualifié » qui est délivré en « face à face » au signataire par un prestataire de service de certification électronique « qualifié ». Ce prestataire est soumis à un processus complexe de qualification et d'accréditation.
PublicitéMais ce système présente des inconvénients : coût d'obtention du certificat (supérieur à 100 euros), durée de validité limitée dans le temps (en général 3 ans) qui impose des renouvellements fréquents, nombres des démarches à opérer pour se voir remettre en main propre le certificat, etc. Tout le monde peut en être témoin : la signature électronique telle qu'envisagée en 1999 et implémentée en droit français par la loi du 13 mars 2000 est un échec si l'on en juge par sa diffusion : si tout le monde dispose d'une signature manuscrite, presque personne ne dispose d'une signature électronique répondant aux critères de fiabilité posés par la loi.
Les acteurs de l'économie numérique ont avancé depuis 15 ans sans faire usage, autrement que de manière limitée, des technologies de signature électronique sécurisée. En 15 ans, l'internet s'est transformé, le commerce électronique a bouleversé l'économie et, bien souvent, l'authentification des acteurs dans la transaction en ligne repose sur des systèmes qui atteignent aujourd'hui leur limite : le consommateur n'a, en général, aucune garantie sur l'identité de son cybermarchand, le professionnel a lui recours à des comptes associant login et mots de passe. Le piratage par phishing (situation d'usurpation de « l'identité » d'un site web), le piratage par « ingénierie sociale » (situation d'usurpation de l'identité d'une personne privée en réinitialisant ses login/password) montrent aujourd'hui les limites des login/password pour s'authentifier.
Pourtant, disposer d'un dispositif fiable d'authentification apparaît aujourd'hui comme un enjeu majeur pour le développement continu des services en ligne.
L'ambition du règlement 910/2014 du 23 juillet 2014 est de permettre la création de moyens transfrontaliers d'identifications électroniques. L'objectif premier de la Commission européenne est que le dispositif d'identification électronique nécessaire à la relation avec les pouvoirs publics (notamment pour la soumission aux marchés publics ou dans le cadre des « guichets uniques » voulus par la directive services) puisse être reconnu dans tous les pays de l'Union européenne.
Les Etats membres vont pouvoir notifier à la Commission européenne ce que le règlement appelle un « schéma d'identification électronique ». Lorsqu'un schéma a été notifié selon les dispositions du règlement, celui-ci sera reconnu dans tous les Etats membres. Les institutions européennes espèrent que la reconnaissance mutuelle des moyens d'identification électronique facilitera la fourniture transfrontalière de nombreux services et permettra aux entreprises de mener des activités transfrontalières sans faire face à de nombreux obstacles dans leurs relations avec les pouvoirs publics.
La France est restée dans les « starting blocs » de l'identité numérique
Un « schéma d'identification électronique » consiste, par exemple, en la fourniture aux citoyens d'une carte d'identité électronique, sous la forme notamment d'une carte au format carte de crédit avec une puce. Plusieurs pays européens en disposent déjà : Allemagne, Espagne, Belgique, etc.
En France, la carte nationale d'identité électronique était initialement prévue pour 2009. La loi n°2012-410 du 27 mars 2012 relative à la protection de l'identité, prévoyant la mise en place de la carte d'identité électronique a fait l'objet d'une censure partielle par le Conseil constitutionnel dans sa décision DC n° 2012-652 du 22 mars 2012. Le Conseil constitutionnel a considéré que la création de la base de données biométriques envisagée par le système portait une atteinte disproportionnée au droit au respect de la vie privée par rapport au but poursuivi. Pour le moment, aucun calendrier de mise en place de la CNIe n'est connu.
Les autres apports du règlement
Le règlement énumère les services électroniques de confiance pour lesquelles les prestataires pourront être « qualifiés », s'assurant ainsi la reconnaissance de la validité de leurs services dans tous les Etats de l'Union.
Il s'agit des services de signatures électroniques, de cachets électroniques, d'horodatages électroniques, d'envoi recommandé électronique et d'authentification de site Web.
Les prestataires actuellement qualifiés en France pour fournir de tels services auront jusqu'à juillet 2016 pour obtenir leur nouvelle qualification conforme aux exigences de règlement européen. Cependant, les normes techniques sur la base desquelles les qualifications sont à obtenir doivent encore être publiées par la Commission européenne, et ce avant le 18 septembre 2015. La reconnaissance « trans-européenne » des schémas d'identification électronique ne devrait pas intervenir quant à elle avant 2018.
Terminons en soulignant une innovation majeure pour le droit français : le règlement crée la notion de « cachet électronique », que l'on peut présenter comme étant l'équivalent de la signature électronique pour une personne morale. Les personnes morales vont pouvoir signer des documents électroniques « directement » et non plus nécessairement par l'intermédiaire de la signature électronique d'un mandataire social.
Article rédigé par
Etienne Papin, Avocat associé du cabinet Feral-Schuhl / Sainte-Marie
Avocat au Barreau de Paris, Etienne Papin exerce dans les domaines du droit de l'informatique, de l'internet et des médias. Il conseille des SSII, éditeurs de logiciels, grandes entreprises et personnes publiques pour la rédaction et la négociation de leurs contrats informatiques. Il assiste également ces entreprises lors de procédures judiciaires. Il est associé du cabinet Feral-Schuhl / Sainte-Marie.
Suivez l'auteur sur Google+, Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire