Deux ans après la loi du 13 mars 2000 : la signature électronique sécurisée est juridiquement opérationnelle

La loi du 13 mars 2000 sur la signature électronique distingue les signatures électroniques simples et les signatures électroniques dites « sécurisées » ou « avancées » conformément à la directive européenne du 13 décembre 1999.

Seules ces dernières bénéficient d’une présomption de fiabilité (article 1316-4 du Code Civil), gage de sécurité, puisque la charge de la preuve incombe à celui qui conteste l’acte juridique (renversement de la charge de la preuve).

• Le décret du 30 mars 2001 a précisé les conditions nécessaires pour qu’une signature électronique soit présumée fiable.

Les exigences réglementaires sont des plus strictes : seules les signatures électroniques sécurisées¹ dont le dispositif de création est lui-même sécurisé² et certifié peuvent bénéficier de cette présomption de fiabilité.

• Le décret du 19 avril dernier relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information a défini les conditions de certification des procédures sécurisées.

Il a mis en œuvre une procédure particulière pour évaluer les procédés de création de signatures électroniques sécurisées (cf : actualité du 16 mai 2002 : Procédé de certification sécurisé pour les signatures électroniques).

Pour autant le dispositif législatif et réglementaire n’était pas encore apte à assurer la sécurité juridique des contrats numériques !

En effet, pour qu’une signature électronique puisse bénéficier de la présomption de fiabilité, encore faut-il que la « vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié » (article 2 du décret du 30 mars 2001).

• Les entreprises françaises sont enfin en mesure de passer des contrats signés électroniquement en toute confiance depuis le 8 juin 2002, date de publication de l’arrêté du 31 mai relatif à la reconnaissance de la qualification des prestataires de certification électronique et à l’accréditation des organismes chargés de l’évaluation.

En effet, l’arrêté du ministère de l’économie, des finances et de l’industrie du 31 mai dernier a désigné le COFRAC pour accréditer les organismes (centres d’évaluation) qui procèderont à l’évaluation des tiers certificateurs afin de reconnaître leur qualification.

Cette accréditation est accordée pour une durée de deux ans renouvelable.

Actuellement les premiers laboratoires accrédités sont les CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information) tels que : AQL – Groupe SILICOMP, CEACI (THALES – CNES), SERMA Technologies, CEA – LETI, Ernst & Young eLabel, Algoriel, Oppida.

Les tiers certificateurs qui demanderont à être reconnus comme qualifiés devront respecter les conditions cumulatives fixées par l’article 6, II du décret du 30 mars 2001.

Dès lors qu’ils sont qualifiés, leurs certificats électroniques seront présumés qualifiés et par conséquent la signature électronique sécurisée bénéficiera de la présomption de fiabilité.

Ainsi, les entreprises françaises disposeront désormais d’un outil fiable pour leurs contrats en ligne : la signature électronique sécurisée.

¹ 4 conditions définies à l’article 2 du décret du 30 mars 2001.

² Logiciel qui permet d’émettre des signatures électroniques et qui répond aux 7 conditions de l’article 3 du décret du 30 mars 2001.