Signature électronique : avec le décret, bientôt l'application

Après un demi-millénaire de règne incontesté, la signature "physique" n'aura bientôt plus le monopole de la valeur d'engagement. Le décret d'application de la loi sur la signature électronique a été publié samedi au Journal Officiel. Précisée par ce décret, même si divers arrêtés doivent encore la compléter, cette loi se place dans le cadre d'une directive européenne du 13 décembre 1999. Dès lors, le recours à des certificats sécurisés pour échanger des engagements par le biais des réseaux devient possible. Malgré les problèmes juridiques nationaux et internationaux à prévoir, le commerce électronique - entre autres - devrait ainsi bénéficier d'outils plus fiables.

La certification électronique appliquée à la signature
Le décret signé par le Premier Ministre apporte à la loi un certain nombre de précisions concernant les conditions d'utilisation et de sécurité de la signature électronique. En effet, le bouleversement juridique radical réside dans la reconnaissance de la validité juridique d'éléments non-matériels. La société Certinomis, spécialisée dans les solutions de sécurité et les certificats électroniques, a fondé son activité sur l'avènement d'une telle révolution. Didier Arpin, le directeur général, explique que "le texte se base sur la présomption de fiabilité de la signature". Or aujourd'hui, seuls les certificats électroniques permettent d'offrir la fiabilité tant recherchée, grâce aux systèmes de clés PKI (voir le dossier PKI de JDNet Solutions).
En effet, le décret définit notamment la notion de "prestataire de services de certification électronique qualifié". Pour qu'un fournisseur de certificats bénéficie de ce statut, il devra être "qualifié" comme tel par un "organisme de qualification" lui-même accrédité par "un comité directeur de la certification institué auprès du Premier Ministre". Mais le décret fixe d'ores et déjà les garanties que doivent donner les solutions de certification ou de vérification de signature électronique : confidentialité, protection de l'intégrité du contenu des documents signés, usage impossible par des tiers, et autres éléments concernant notamment l'identité du signataire.

Une mise en application progressive dans l'année
A la frontière du droit et de la technologie, "la nouveauté réside dans la valeur d'engagement" que permet de donner cette loi à un certificat électronique, explique Didier Arpin. Aussi le fait de certifier conforme tel ou tel prestataire nécessite la mise en place d'échelons supplémentaires. Le Comité directeur de la certification comme les organismes susceptibles de bénéficier de son agrément seront définis par des arrêtés du ministre de l'industrie et du Premier Ministre. Les certificats de conformité seront par la suite rendus publics et l'on saura enfin à qui s'adresser pour bénéficier de garanties maximales. Didier Arpin envisage que la procédure se termine "dans le courant de l'année... nous serons alors candidats au statut de prestataire qualifié immédiatement".
Mais Certinomis, pionnier sur ce créneau, s'inquiète tout de même du fait que "le décret amoindrit les dispositions de la directive européenne en matière de répudiation". Selon Didier Arpin, autoriser la génération de clés privées par des tiers, par exemple, risque de nécessiter l'apport d'une jurisprudence... "Pour notre part, nous ne voulons pas connaître les clés privées ; elles sont donc générées localement". Et Certinomis prend même une précaution non imposée par la loi en exigeant une vérification d'identité "physiquement, en face à face" lors de la délivrance d'un certificat pour la signature électronique de documents. Didier Arpin relève également "le manque de définition d'un outil de vérification de signature", peu explicite en effet dans le texte du décret. La volonté du gouvernement semble donc réjouir les acteurs du secteur bien qu'elle ne leur fournisse qu'un cadre encore incomplet.
[Pascal Bories, JDNet]