Utiliser la signature électronique
à titre personnel :
quels risques, quelles garanties?
- Mardi 18 juin 2002 -

La signature électronique n'est pas réservée aux professionnels. Elle va aussi pénétrer l'univers des particuliers, notamment pour leurs relations avec leur banque, leur assureur, ou la sécurisation de leurs achats en ligne. Tour d'horizon.

Les détracteurs de la signature électronique ont soutenu que celle-ci présentait un danger pour les consommateurs au motif que ceux-ci seraient moins conscients de la portée de leur engagement lorsqu'il passe par l'intermédiaire de l'ordinateur que lorsqu'il est matérialisé par la main, le stylo, et le papier. Quoi de plus facile en effet que de cliquer sur une case pour passer une commande, après être passé à toute vitesse sur des conditions générales que l'on ne lit pas?

Cet argument n'est pas faux s'agissant de transactions non sécurisées, pouvant être exécutées à l'aide de quelques clics de souris, et pouvant même être réalisées par n'importe qui ayant accès à l'ordinateur familial. Mais il en va tout autrement si l'on utilise une véritable signature électronique. La série d'étapes attachée à l'acquisition et à la mise en œuvre des "outils" permettant de signer électroniquement est de nature à renseigner suffisamment les personnes d'une part sur la sécurité attachée à la signature électronique, et d'autre part sur les engagements qu'elle traduit.

Nous retracerons ci-dessous chacune de ces étapes afin d'attirer l'attention sur les points essentiels de chacune et les précautions afférentes, avant d'aborder les risques en eux même, tant pour celui qui signe que pour celui qui se fie à une signature électronique.

1 - Comment choisir son certificat de signature électronique en maîtrisant ses risques?
Le choix d'un certificat de signature électronique
Le choix d'un fournisseur de certificats par un consommateur pourra prendre en compte les critères suivants :
- la clarté des explications fournies quant aux garanties de sécurité et aux garanties juridiques apportées,
- la méthode d'identification du signataire (la fiabilité du certificat sera d'autant plus grande que les modalités d'identification sont fiables. A cet égard, une identification par e-mail, ou par envoi postal de documents d'identité, présente des garanties nettement inférieures à une identification "face à face" au cours de laquelle le demandeur de certificat prouver votre identité.
- la limite des transactions pouvant être effectuées sur le certificat : elle permet d'adapter le certificat à l'usage projeté et présente une véritable garantie de sécurité,
- le caractère acceptable du contrat d'abonnement,
- l'existence d'une couverture d'assurance.

La compréhension du contrat d'abonnement
Avant d'utiliser une signature électronique, un contrat d'abonnement doit être conclu avec le fournisseur du certificat. Le décret du 30 mars 2001 contient des dispositions précises au regard des mentions que doit contenir le contrat d'abonnement, et le fait pour un prestataire (même non qualifié) de les respecter est incontestablement un gage de qualité. Ces dispositions sont les suivantes, et doivent être communiquées par écrit :
- modalités et conditions d'utilisation du certificat ;
- prestataire qualifié ou non ;
- modalités de contestation et de règlement des litiges

S'agissant d'un contrat en général non modifiable, on s'assurera qu'il ne contient pas de clauses abusives. Ces clauses, visées par l'article L. 132-1 du Code de la Consommation, sont par exemple celles qui limitent à l'excès les droits du consommateur en cas d'inexécution de ses obligations par le professionnel, ou qui permettent au professionnel de modifier unilatéralement les termes d'un contrat.

La convention de preuve
Si le certificat est amené à être utilisé pour les ordres et transactions avec une seule entreprise (assurance, par exemple), il n'est pas rare que celle-ci souhaite doubler le dispositif d'un contrat appelé "convention de preuve", dont la loi a reconnu la validité et qui règle les modalités d'administration de la preuve entre les parties au delà des dispositions légales. Par exemple, les conventions de preuve signées avec les établissements bancaires (et que nous sommes tous censés avoir lues et acceptées) stipulent que l'usage d'une carte magnétique et la composition concomitante d'un code confidentiel valent ordre de paiement. Ce type de convention a pour objet d'apporter des précisions sur l'utilisation des outils fournis et il est essentiel de les lire afin de comprendre dans quelles circonstances la responsabilité du porteur de certificat pourra être engagée.

Vérifier l'existence d'une couverture par une assurance
L'utilisation d'un certificat comprenant une garantie d'assurance est un véritable avantage car elle permet de régler rapidement les petits litiges. Les fournisseurs de certificats peuvent souscrire auprès d'assureurs spécialisés des assurances "dommage pour compte", qui permettent d'inclure dans chaque certificat délivré un capital d'assurance plafonné, dont le montant est adapté au niveau de confiance et de sécurité du dispositif. L'indemnisation est immédiate dès lors que le préjudice subi est quantifié, ce qui apporte une solution financière rapide aux sinistres isolés sans mise en cause de la technologie utilisée par l'Autorité de Certification ou des procédures de diffusion des certificats.

2 - Les risques liées à l'utilisation d'une signature numérique
Premier risque: la remise en cause de l'acte signé électroniquement.
Exemple : j'ai envoyé à ma banque un ordre de virement de 8.000 Euros le 31 mars pour couvrir un débit. La banque prétend ne jamais l'avoir reçu, bloque mes comptes et me facture des agios importants. Les textes sur le commerce à distance préconisent que les entreprises accusent rapidement réception des ordres passés par voie électronique, ce que font actuellement la plupart d'entre elles alors même que ce n'est pas encore obligatoire au regard des textes français. Dans un système utilisant la signature électronique, cet accusé de réception est signé par l'entreprise.

Il convient accepter cet accusé de réception en n'omettant pas de suivre les étapes essentielles de la vérification d'une signature numérique, et si possible garder une trace de l'accusé de réception envoyé par le prestataire, sur support informatique et/ou sur support papier. A condition de respecter ces précautions, un particulier est en mesure de faire valoir ses droits dans des conditions qui ne sont ni plus mauvaises ni meilleures que si sa preuve consiste en un fax avec accusé de réception "OK".

Deuxième risque : la falsification de sa signature numérique
Exemple : Vous constatez lors de la vérification de votre relevé de compte qu'un ordre de débit de 8.000 Euros a été passé au profit d'un tiers. Renseignements pris, cet ordre aurait été passé électroniquement en utilisant votre signature. Le maillon faible de la signature numérique est qu'elle peut effectivement être "imitée" dès lors qu'un tiers a la possibilité d'utiliser les moyens de création de signature d'une personne(avoir accès à son ordinateur ou à sa carte de signature, etc…).

Tout comme il est d'usage pour les moyens de paiement (carte bancaire, chéquier), il faut faire en sorte que ses moyens de signature ne puissent être détournés par un tiers. Si cela est le cas, et que le certificat de signature n'a pas été révoqué, il est à craindre que le préjudice reste à la charge du titulaire du certificat.

Hors le détournement des outils de signature, la falsification de signature électronique sera en pratique très rare car considérablement plus compliquée à mettre en œuvre que s'agissant d'une signature manuscrite : c'est bien pour cette raison que les prestataires qui fournissent des moyens de signature électronique se voient obligés par les textes à des exigences sévères en matière de sécurité et de choix de leur personnel.

3 - Se fier à une signature numérique, est-ce bien raisonnable?
Se fier à une signature électronique revêt une portée tout à fait différente de l'utilisation d'une signature électronique. Cela signifie tout d'abord se fier à un tiers de "confiance", qui a fourni au signataire de l'acte que l'on est censé accepter des moyens techniques pour apposer sa signature, et qui lui a délivré un certificat en s'étant préalablement assuré de son identité. C'est sur ce tiers que repose la confiance de ceux qui se fient à une signature électronique et c'est pour cette raison que les textes européens, et bientôt les textes français, mettent à sa charge une responsabilité aggravée.

S'agissant d'un particulier, les occasions les plus courantes qu'il aura d'être en position de se fier à une signature électronique seront :
- la vérification de l'accusé de réception envoyé par l'entreprise à laquelle il aura passé un ordre, ou une commande ;
- la vérification de la qualité d'un interlocuteur, par exemple dans les cas d'accès à une profession réglementée (avocat, médecin, expert comptable…).

Compte tenu de l'impossibilité pour le récepteur d'un message signé de vérifier de façon détaillée la fiabilité du tiers qui a fourni les moyens de signature, il est vraisemblable qu'on le considérera comme dégagé de toute responsabilité s'il s'est fié à tort à un message signé dès lors qu'il a pris soin de respecter les étapes suivantes :
- vérifier que le certificat électronique utilisé est en vigueur, et n'a pas été révoqué ;
- vérifier que les limites d'utilisation éventuellement portées sur le certificat ne sont pas dépassées.

Il n'est en conclusion pas plus dangereux d'accepter un document signé numériquement qu'un document papier portant une signature manuscrite envoyée par courrier.

[IRenard@augdeb.com]

A lire également :

Tous les articles de la rubrique juridique

Au sommaire de l'actualité