Actualités

Etienne Papin pour NEXT avocats

Chronique de juin 2020

Le confinement a conduit beaucoup d’entre nous à contracter en ligne pour des opérations dont les enjeux sont de plus en plus importants, tels que des compromis de vente ou des emprunts bancaires.

Nous avons tous découvert, plus ou moins interloqués, des processus de « signature électronique » proposés par la partie « forte » à la relation contractuelle : le professionnel face au consommateur, le banquier face à l’emprunteur, etc.

Mais qu’avons-nous réellement « signé » et avons-nous même réellement « signé » quoi que ce soit par ces processus qui relèvent parfois plus de la mystification que de la préconstitution d’une preuve écrite fiable ?

Un rappel de la législation s’impose avant de confronter les pratiques au droit.

La signature, la preuve et la fiabilité

Nous sommes dans un domaine juridique essentiel : celui du droit de la preuve. Il n’y a pas de système juridique fiable, il n’y a pas de procès équitable, bref il n’y a pas d’Etat de droit, sans un droit de la preuve exigeant.

Le code civil le sait parfaitement puisqu’il nous dit dans son article 1359 qu’au-delà de 1500 euros, les actes juridiques doivent être prouvés par écrit. S’il s’agit de prouver à l’aide d’un écrit électronique, alors l’article 1366 du code civil exige que puisse être « dûment identifiée la personne » dont émane l’écrit électronique et que cet écrit « soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».

En réalité, ces exigences existent depuis toujours pour l’écrit papier : identification et intégrité. Mais ce qui est formidable avec le papier, c’est que ce support multiséculaire résiste de manière remarquable à la falsification. Tel n’est malheureusement pas le cas dans le monde éphémère du numérique.

C’est pour doter le support numérique des qualités du papier que l’article 1367 du code civil a posé des conditions particulières de « fiabilité » à la signature électronique. Celle-ci doit, en effet, assurer de multiples fonctions : identification du ou des signataires ; manifestation du consentement au contenu de l’acte signé ; premier élément technique de la préservation de l’intégrité du document signé.

Cette « fiabilité » particulière que doit acquérir le document signé électroniquement est décrite par le décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique (ayant remplacé mutatis mutandis le décret n° 2001-272 du 30 mars 2001) lequel renvoie en fait au règlement « eIDAS » n°910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

Un point essentiel doit ici être souligné. La présomption de fiabilité du processus de signature électronique n’est acquise que si l’identité du détenteur de cette signature a été vérifiée : (i) soit par la présence en personne de la personne physique ; (ii) soit à l’aide d’autres méthodes d’identification reconnues au niveau national qui fournissent une garantie équivalente, confirmée par un organisme d’évaluation, en termes de fiabilité à la présence en personne.

Si l’une de ces exigences est respectée, on est alors en présence d’une signature électronique dite « qualifiée » permettant la constitution d’acte juridique électronique dont la force probante est équivalente au contrat papier. Uniquement dans ce cas, doit-on insister. Les textes sont donc exigeants, mais clairs.

Choses vues…

Sous l’appellation – galvaudée – de signature électronique, on voit en réalité de tout.

Le plus « basique » : on demande au signataire de dérouler à l’écran un PDF puis de cliquer pour prétendument « signer » le contrat affiché. Autant dire que le processus n’apporte rien en terme probatoire. Il n’y a ici aucune preuve écrite de constituée.

Dans une version un peu plus sophistiquée de l’opération, le signataire est invité à taper ses noms et prénoms qui s’affichent en bas du PDF dans une police de caractère imitant parfois l’écriture cursive. L’opération est réalisée le plus souvent sur la plateforme d’une société prestataire de service spécialisée dans la signature de documents en ligne. Qu’apporte exactement cette société aux parties au contrat ? C’est les plus souvent difficile à savoir.

Dans certains cas, le processus de « signature » sur cette plateforme entrainera la production d’un PDF effectivement signé électroniquement… mais par qui ? Lorsqu’on prend le soin de vérifier la signature électronique du PDF, on découvre parfois que la signature électronique n’est pas celle du signataire qui vient de dérouler le processus de signature mais celle de la société fournissant la plateforme de signature, voire d’un partenaire de cette société. Autrement dit, le processus n’apporte aucun élément pour se pré-constituer la preuve de l’identité du signataire, ce qui est pourtant l’un des deux éléments nécessaires pour disposer d’une signature électronique fiable. Au mieux le processus préservera l’intégrité du contenu du document signé. Mais ici encore, est-ce certain ? Conserver la preuve de l’intégrité d’un document signé électroniquement (ici pas par les signataires à proprement parler du contrat mais par la plateforme de signature en ligne) implique de répondre de manière scrupuleuse à un cahier des charges techniques complexe. Pour avoir idée de l’état de l’art en la matière, on pourra se référer à ce document de l’ANSSI : « Services de conservation qualifiés des signatures et des cachets électroniques qualifiés. Critères d’évaluation de la conformité au règlement eIDAS. Version 1.0 du 3 janvier 2017 ».

Etrange pratique qui produit un instrumentum électronique signé par aucune des parties au contrat, conservée dans des conditions inconnues (au moins pour une des parties au contrat qui se voit imposer la solution de signature et qui en découvrira les caractéristiques précises uniquement au moment d’un contentieux), au moyen d’une technologie choisie par l’une des parties au contrat, appliquée par un prestataire de service qui n’a rien d’un « tiers » puisqu’il est choisi et payé par l’une des parties au contrat…

Il arrive enfin, parfois, que des plateformes de signature en ligne proposent un processus de signature conduisant à la production d’un certificat électronique au nom du signataire. Pour autant, ici encore, l’approximation règne.

Au mieux, on arrive à la délivrance par la plateforme d’un certificat « éphémère » ou « OTP » (one time password) dont l’activation s’opère par le renseignement d’un code de quelques chiffres reçu quelques secondes avant de « signer » par SMS.

Il est, à cet égard, instructif de lire les conditions d’utilisation des plateformes de signature. On y découvre par exemple ceci :

« Conformément à l’article 1368 du Code Civil, le souscripteur et le fournisseur fixent les règles de preuves recevables entre eux dans le cadre du service de signature électronique. Le souscripteur et le fournisseur acceptent que les éléments d’identification utilisés dans le cadre du service, à savoir les OTP SMS ou Mail et les certificats à usage unique, qui sont utilisés dans le cadre du service, soient admissibles devant les tribunaux et fassent preuve des données et des éléments qu’ils contiennent ainsi que des procédés d’authentification et des signatures qu’ils expriment. ».

On éprouve ici un léger malaise conceptuel : peut-on accepter en ligne une convention de preuve sur la signature électronique à l’aide du même moyen de signature (au mieux) voire d’une simple case à cocher ? La convention a – par construction – pour objet de déroger aux règles du code civil mais peut-elle valablement être conclue en y dérogeant factuellement déjà ? Et surtout : pourquoi recourir à une convention de preuve si la preuve électronique est fiable ?

Le lien entre ce code reçu par SMS (et donc ce certificat électronique) et l’identité du signataire est pour le moins ténu, pour ne pas dire inexistant. On voit parfois des certificats éphémères délivrés au nom qui vient d’être renseigné en ligne par la personne, avec un code d’activation adressé par SMS sur le numéro de téléphone qui vient d’être déclaré en ligne par le prétendu « signataire » ! Si le numéro de téléphone en question est déjà en possession du professionnel qui entend obtenir la signature de son client, en cas de contentieux il faudra quand même s’en remettre à un processus de vérification d’identité – complexe, long et incertain – qui repose sur la capacité à obtenir de l’opérateur téléphonique l’identification que l’on espère fiable du titulaire du 06…

Pourtant, l’auteur de ces lignes confesse avoir été le témoin d’un acte de signature en ligne mené à son terme à l’aide d’un OTP adressé vers un numéro de téléphone qui n’était pas celui du signataire… Le lien d’identification entre titulaire du 06 et signataire est alors définitivement rompu.

L’incertitude ne règne cependant pas totalement au royaume de la signature électronique. Un premier service a été qualifié en décembre 2019 pour délivrer à distance des certificats électroniques qualifiés, avec un processus de vérification d’identité en ligne qui a été validé par l’ANSSI. Comment ? Mystère. La politique de certification de ce service n’est pas publiée. Il est regrettable qu’un mécanisme essentiel dans la reconnaissance d’une preuve civile ne puisse pas être porté à la connaissance des intéressés et ne demeurer connu que des seuls organismes en charge du processus de qualification.

Des tribunaux de moins en moins dupes

Tout ce que l’on vient de décrire n’est pas satisfaisant lorsque l’on entend se doter d’une preuve écrite fiable. A quoi bon dépenser de l’argent dans des systèmes de signature électronique si la preuve produite par le système ne résiste pas la contestation juridique ?

Or, les juges, et il faut le saluer, sont de moins en moins enclins à prendre pour argent comptant les déclarations de l’utilisateur ou du promoteur de la plateforme de signature électronique quant à l’adéquation du système de signature mis en œuvre avec les exigences de l’article 1367 du code civil.

On prendra deux exemples remarqués dans le petit monde de la signature électronique, car ils firent l’effet d’un pavé dans la mare.

La décision de la cour d’appel de Rouen du 31 Mai 2018 (n° 17/03404) d’abord.

Une banque produisait dans ce contentieux, en provenance de son prestataire de solution de signature en ligne, un document intitulé « fichier de preuve de la transaction », par lequel ce prestataire, « en qualité de prestataire de service de gestion de preuves », attestait que le fichier de preuve contenait un document signé électroniquement à une certaine date, que ce document comportait plusieurs éléments d’information dont le nom de l’utilisateur, son adresse mail, son numéro de téléphone et le code à usage unique utilisé pour la transaction et attestait également de la vérification de la signature et de sa validité.

La juridiction ne s’en contenta pas, en relevant justement que ce document ne contenait aucun élément de nature à caractériser le respect de l’ensemble des exigences prévues par le décret d’application de l’article 1367 du code civil (1316-4 au moment des faits) et que, dès lors, aucune présomption de fiabilité du procédé de signature électronique ne pouvait être invoquée par la banque. Elle fut donc déboutée faute de preuve.

Même circonspection logique de la cour d’appel d’Aix-en-Provence dans une décision du 26 septembre 2019 (n° 19/01866) dans une affaire dont le demandeur était également un organisme de crédit.

En l’espèce, remarquent les conseillers, l’établissement de crédit ne justifiait pas d’une signature électronique sécurisée obtenue dans les conditions fixées par le décret, dont la fiabilité est présumée. Il lui appartenait donc de prouver qu’il y avait eu usage d’un procédé fiable d’identification garantissant le lien de la signature identifiant le signataire avec l’acte auquel la signature s’attachait. Faute d’être en mesure de rapporter la preuve de cette fiabilité, l’établissement de crédit succomba dans ses demandes.

*

Qui est abusé dans l’état actuel des pratiques de signature électronique ? La société qui pense se préconstituer des preuves fiables ? Le particulier qui pense avoir effectivement signé un acte sous seing privé ? Les tribunaux qui ne connaissent pas tous les subtilités techniques de la signature électronique ? Un peu tout le monde ?

A l’heure de la dématérialisation accélérée par le confinement, il est temps que la loi européenne et française remette de l’ordre dans le grand bazar de la signature électronique.