Rubrique Juridique

LE CONTRAT DE CERTIFICATION
DE SITES INTERNET

par Eric Barbry, avocat à la Cour, directeur du Département Internet de Alain Bensoussan - Avocats, président de l'Association Cyberlex et Laure Mosli Juriste du département internet

Présentation
Le commerce électronique autrement appelé " e-commerce " désigne les nouveaux modes et canaux de distribution qui découlent de l'informatisation de la société et permettent aux consommateurs et aux entreprises d'utiliser le réseau Internet, pour passer une commande de produits ou de services à distance.

Le commerce électronique doit être sécurisé et exige que les transactions commerciales puissent être conclues en toute confiance. Internet suscite en effet une nouvelle forme de "banditisme" se manifestant notamment par le détournement des numéros de cartes de paiement, le détournement d'informations sensibles à caractère confidentiel, l'usurpation de l'identité d'une personne ou bien encore la modification du contenu d'une commande passée en ligne.

Cette confiance peut être obtenue grâce à la technique de " certification " qui assure aux acteurs du commerce électronique plusieurs fonctions :
- l'authentification qui permet de s'assurer de l'identité d'une personne physique ou d'une personne morale ;
- l'assurance de l'intégrité des contenus des informations transmises en ligne qui permet de vérifier que le message, l'ordre ou l'acceptation de la commande n'ont pas été modifiés entre leur envoi et leur réception ;
- la confidentialité qui permet d'assurer un secret absolu quant aux flux d'informations électroniques sensibles transitant entre vendeur et acheteur ;
- la non-répudiation qui permet d'éviter que l'acheteur ou le vendeur remette en cause la transaction conclue à distance.

Le certificat offre donc un avenir au commerce électronique.
Les professionnels de la certification ne connaissent pas actuellement de statut spécifique, le système juridique français demeurant dans l'attente d'un décret d'application de la loi n°200-230 du 13 mars 2000 dont l'objet est de reconnaître la valeur juridique au document électronique ainsi qu'à la signature électronique.
Le décret sera par ailleurs un moyen de transposer les dispositions spécifiques à la certification prévues par la directive européenne adoptée le 13 décembre 1999.

Cependant les acteurs du commerce électronique n'ont pas attendu la finalisation d'un tel régime, pour exercer pleinement leur liberté contractuelle et proposer des prestations de certification au travers de nouvelles formes de contrats. S'assurer des services d'un organisme de certification nécessite la conclusion d'un contrat de délivrance de certificat qui peut, dans certains cas, être qualifié de simple contrat de prestation de service, ou de contrat de louage d'ouvrage lorsque des entreprises souhaitent se voir concéder un droit d'utilisation sur une plate-forme de certification ou bien encore de contrat de vente dans la mesure ou une entreprise veut se faire céder l'intégralité des droits sur une plate-forme de certification adaptée à ses besoins.

Objet du Contrat
Le contrat de certification peut avoir des objets différents. La certification peut en effet avoir pour objet essentiel de délivrer une signature électronique et/ou d'assurer des fonctions de confidentialité La signature électronique issue du certificat est une marque de l'identité de son titulaire.
Une telle signature peut établir avec certitude l'identité d'un site web d'une entreprise et/ou l'identité de personnes se connectant à un site web ce qui présente un intérêt majeur quand les accès à un site sont des accès réservés.
L'alinéa 2 de l'article 1316-4 du Nouveau code civil définit la signature lorsqu'elle est électronique comme un moyen qui " consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache (...). ".

Un tel procédé d'identification relève donc de la certification définit par la directive communautaire de décembre 1999 susvisée "comme étant une attestation électronique qui lie les données afférentes à la vérification de signature à une personne et confirme l'identité de cette personne".
Les prestations de certification peuvent également remplir des fonctions de confidentialité en rendant inintelligible pour des tiers des informations telles que celles contenues dans des bases de données d'entreprise ou des informations relatives aux coordonnées bancaires d'un client ou bien à d'opérations boursières.
Par conséquent, les types de certificat se distingueront quant aux services attendus par le client.

Le Contenu
Bien que les contrats de certification conclus doivent être le parfait reflet des prestations commandées, quelques points juridiques sont particulièrement importants.
Il est vivement conseillé aux entreprises qui souhaitent obtenir une plate-forme de certification d'établir ou de faire établir, préalablement à toute contractualisation avec un prestataire de service de certification, un cahier des charges consignant de manière précise les besoins du client, ce qui permettra de fournir des prestations de certification parfaitement adaptées aux besoins des entreprises clientes.

Ces entreprises auront, en outre, la possibilité de sélectionner ces organismes de certification par l'intermédiaire d'une procédure d'appel d'offres (pour les établissements publics) ou d'appel à proposition (pour les entreprises privées) lancé sur la base de ce cahier des charges qui pourront dans ces conditions contenir des prérequis juridiques.
Le prestataire sélectionné devra alors de manière très claire accepter, au sein du contrat, ce cahier des charges, document essentiel qui permet de mettre en place une procédure de validation communément dénommée par le terme de " recette " et dont l'objectif est de vérifier que les prestations fournies répondent effectivement aux besoins spécifiques du client.
La clause de recette est en principe l'une des clauses contractuelles essentielles; elle permettra au client d'émettre des réserves dans l'hypothèse où les prestations réalisées ne correspondent pas aux prestations commandées, ces réserves devront être actées et prises en compte par le prestataire. Les conséquences de l'absence d'une recette définitive, c'est-à-dire de l'absence de validation définitive des prestations réalisées, devront également être aménagées dans le corps du contrat. Une garantie relative à la continuité dans les prestations de certification est une clause également essentielle.

Les certificats peuvent en effet être une condition déterminante à la conclusion de certains contrats on-line effectuée dans des espaces tels que celui de la " market place " où les transactions commerciales peuvent avoir un fort impact économique.
Outre, la continuité du service, des prestations de maintenance (maintenance corrective, évolutive, préventive) peuvent être prévues et ce spécialement dans les contrat de développement et de cession de droits afférent à une plate-forme de certification adaptée spécifiquement aux besoins du client. Les clauses de garantie et de responsabilité sont également des clauses devant être rédigées avec soin.
Dans l'hypothèse d'un contrat de cession ou de concession de droits sur une plate-forme de certification, une organisation détaillée de la cession ou concession des droits de propriété intellectuelle devra être prévue.

Enfin, des engagements du prestataire, quant à la réversibilité du dispositif de certification, doivent être contractuellement prévus afin que le client puisse, toujours dans un souci de continuité du service, faire assurer dans les meilleures conditions les prestations de certification par un nouveau prestataire.

Questions en suspens
La principale question concerne les conséquences juridiques que pourra avoir la transposition en droit français des dispositions communautaires relatives au prestataire de service de certification.
La directive communautaire sur la signature électronique établit un cadre juridique aux services de certification.
L'annexe 2 de cette directive fixe des exigences concernant les prestataires de service de certification délivrant des certificats qualifiés, c'est-à-dire des certificats permettant de procurer des signatures électroniques dites " avancées " disposant d'un haut niveau de sécurité qui leur confère la même valeur juridique qu'une signature manuscrite.

L'optimisation juridique de tels contrats nécessite une prise en compte dès aujourd'hui de l'évolution de la législation à travers des dispositions spécifiques par lesquelles le prestataire s'engage à se conformer à ces évolutions législatives. [E.B./L.M, juillet 2000]