Chaque
semaine, gros plan sur la loi et l'Internet
Utiliser
la signature électronique
à titre personnel :
quels risques, quelles garanties?
- Mardi 18 juin 2002 -
La
signature électronique n'est pas réservée aux professionnels.
Elle va aussi pénétrer l'univers des particuliers, notamment
pour leurs relations avec leur banque, leur assureur, ou la
sécurisation de leurs achats en ligne. Tour d'horizon.
par
Isabelle Renard,
Avocat associée August&Debouzy
|
Les
détracteurs de la signature électronique ont soutenu que celle-ci
présentait un danger pour les consommateurs au motif que ceux-ci
seraient moins conscients de la portée de leur engagement
lorsqu'il passe par l'intermédiaire de l'ordinateur que lorsqu'il
est matérialisé par la main, le stylo, et le papier. Quoi
de plus facile en effet que de cliquer sur une case pour passer
une commande, après être passé à toute vitesse sur des conditions
générales que l'on ne lit pas?
Cet argument
n'est pas faux s'agissant de transactions non sécurisées,
pouvant être exécutées à l'aide de quelques clics de souris,
et pouvant même être réalisées par n'importe qui ayant accès
à l'ordinateur familial. Mais il en va tout autrement si l'on
utilise une véritable signature électronique. La série d'étapes
attachée à l'acquisition et à la mise en uvre des "outils"
permettant de signer électroniquement est de nature à renseigner
suffisamment les personnes d'une part sur la sécurité attachée
à la signature électronique, et d'autre part sur les engagements
qu'elle traduit.
Nous retracerons
ci-dessous chacune de ces étapes afin d'attirer l'attention
sur les points essentiels de chacune et les précautions afférentes,
avant d'aborder les risques en eux même, tant pour celui qui
signe que pour celui qui se fie à une signature électronique.
1
- Comment choisir son certificat de signature électronique
en maîtrisant ses risques?
Le
choix d'un certificat de signature électronique
Le choix d'un fournisseur de certificats par un consommateur
pourra prendre en compte les critères suivants :
- la clarté des explications fournies quant aux garanties
de sécurité et aux garanties juridiques apportées,
- la méthode d'identification du signataire (la fiabilité
du certificat sera d'autant plus grande que les modalités
d'identification sont fiables. A cet égard, une identification
par e-mail, ou par envoi postal de documents d'identité, présente
des garanties nettement inférieures à une identification "face
à face" au cours de laquelle le demandeur de certificat prouver
votre identité.
- la limite des transactions pouvant être effectuées sur le
certificat : elle permet d'adapter le certificat à l'usage
projeté et présente une véritable garantie de sécurité,
- le caractère acceptable du contrat d'abonnement,
- l'existence d'une couverture d'assurance.
La
compréhension du contrat d'abonnement
Avant d'utiliser une signature électronique, un contrat
d'abonnement doit être conclu avec le fournisseur du certificat.
Le décret du 30 mars 2001 contient des dispositions précises
au regard des mentions que doit contenir le contrat d'abonnement,
et le fait pour un prestataire (même non qualifié) de les
respecter est incontestablement un gage de qualité. Ces dispositions
sont les suivantes, et doivent être communiquées par écrit
:
- modalités et conditions d'utilisation du certificat ;
- prestataire qualifié ou non ;
- modalités de contestation et de règlement des litiges
S'agissant
d'un contrat en général non modifiable, on s'assurera qu'il
ne contient pas de clauses abusives. Ces clauses, visées par
l'article L. 132-1 du Code de la Consommation, sont par exemple
celles qui limitent à l'excès les droits du consommateur en
cas d'inexécution de ses obligations par le professionnel,
ou qui permettent au professionnel de modifier unilatéralement
les termes d'un contrat.
La
convention de preuve
Si le certificat est amené à être utilisé pour les ordres
et transactions avec une seule entreprise (assurance, par
exemple), il n'est pas rare que celle-ci souhaite doubler
le dispositif d'un contrat appelé "convention de preuve",
dont la loi a reconnu la validité et qui règle les modalités
d'administration de la preuve entre les parties au delà des
dispositions légales. Par exemple, les conventions de preuve
signées avec les établissements bancaires (et que nous sommes
tous censés avoir lues et acceptées) stipulent que l'usage
d'une carte magnétique et la composition concomitante d'un
code confidentiel valent ordre de paiement. Ce type de convention
a pour objet d'apporter des précisions sur l'utilisation des
outils fournis et il est essentiel de les lire afin de comprendre
dans quelles circonstances la responsabilité du porteur de
certificat pourra être engagée.
Vérifier
l'existence d'une couverture par une assurance
L'utilisation d'un certificat comprenant une garantie d'assurance
est un véritable avantage car elle permet de régler rapidement
les petits litiges. Les fournisseurs de certificats peuvent
souscrire auprès d'assureurs spécialisés des assurances "dommage
pour compte", qui permettent d'inclure dans chaque certificat
délivré un capital d'assurance plafonné, dont le montant est
adapté au niveau de confiance et de sécurité du dispositif.
L'indemnisation est immédiate dès lors que le préjudice subi
est quantifié, ce qui apporte une solution financière rapide
aux sinistres isolés sans mise en cause de la technologie
utilisée par l'Autorité de Certification ou des procédures
de diffusion des certificats.
2
- Les risques liées à l'utilisation d'une signature numérique
Premier
risque: la remise en cause de l'acte signé électroniquement.
Exemple
: j'ai envoyé à ma banque un ordre de virement de 8.000 Euros
le 31 mars pour couvrir un débit. La banque prétend ne jamais
l'avoir reçu, bloque mes comptes et me facture des agios importants.
Les textes sur le commerce à distance préconisent que les
entreprises accusent rapidement réception des ordres passés
par voie électronique, ce que font actuellement la plupart
d'entre elles alors même que ce n'est pas encore obligatoire
au regard des textes français. Dans un système utilisant la
signature électronique, cet accusé de réception est signé
par l'entreprise.
Il convient
accepter cet accusé de réception en n'omettant pas de suivre
les étapes essentielles de la vérification d'une signature
numérique, et si possible garder une trace de l'accusé de
réception envoyé par le prestataire, sur support informatique
et/ou sur support papier. A condition de respecter ces précautions,
un particulier est en mesure de faire valoir ses droits dans
des conditions qui ne sont ni plus mauvaises ni meilleures
que si sa preuve consiste en un fax avec accusé de réception
"OK".
Deuxième
risque : la falsification de sa signature numérique
Exemple
: Vous constatez lors de la vérification de votre relevé de
compte qu'un ordre de débit de 8.000 Euros a été passé au
profit d'un tiers. Renseignements pris, cet ordre aurait été
passé électroniquement en utilisant votre signature. Le maillon
faible de la signature numérique est qu'elle peut effectivement
être "imitée" dès lors qu'un tiers a la possibilité d'utiliser
les moyens de création de signature d'une personne(avoir accès
à son ordinateur ou à sa carte de signature, etc
).
Tout comme
il est d'usage pour les moyens de paiement (carte bancaire,
chéquier), il faut faire en sorte que ses moyens de signature
ne puissent être détournés par un tiers. Si cela est le cas,
et que le certificat de signature n'a pas été révoqué, il
est à craindre que le préjudice reste à la charge du titulaire
du certificat.
Hors
le détournement des outils de signature, la falsification
de signature électronique sera en pratique très rare car considérablement
plus compliquée à mettre en uvre que s'agissant d'une signature
manuscrite : c'est bien pour cette raison que les prestataires
qui fournissent des moyens de signature électronique se voient
obligés par les textes à des exigences sévères en matière
de sécurité et de choix de leur personnel.
3
- Se fier à une signature numérique, est-ce bien raisonnable?
Se
fier à une signature électronique revêt une portée tout à
fait différente de l'utilisation d'une signature électronique.
Cela signifie tout d'abord se fier à un tiers de "confiance",
qui a fourni au signataire de l'acte que l'on est censé accepter
des moyens techniques pour apposer sa signature, et qui lui
a délivré un certificat en s'étant préalablement assuré de
son identité. C'est sur ce tiers que repose la confiance de
ceux qui se fient à une signature électronique et c'est pour
cette raison que les textes européens, et bientôt les textes
français, mettent à sa charge une responsabilité aggravée.
S'agissant
d'un particulier, les occasions les plus courantes qu'il aura
d'être en position de se fier à une signature électronique
seront :
- la vérification de l'accusé de réception envoyé par l'entreprise
à laquelle il aura passé un ordre, ou une commande ;
- la vérification de la qualité d'un interlocuteur, par exemple
dans les cas d'accès à une profession réglementée (avocat,
médecin, expert comptable
).
Compte
tenu de l'impossibilité pour le récepteur d'un message signé
de vérifier de façon détaillée la fiabilité du tiers qui a
fourni les moyens de signature, il est vraisemblable qu'on
le considérera comme dégagé de toute responsabilité s'il s'est
fié à tort à un message signé dès lors qu'il a pris soin de
respecter les étapes suivantes :
- vérifier que le certificat électronique utilisé est en vigueur,
et n'a pas été révoqué ;
- vérifier que les limites d'utilisation éventuellement portées
sur le certificat ne sont pas dépassées.
Il n'est
en conclusion pas plus dangereux d'accepter un document signé
numériquement qu'un document papier portant une signature
manuscrite envoyée par courrier.
[IRenard@augdeb.com]
A
lire également :
Au
sommaire de l'actualité
|