Droit des affaires

Les contrats « digitaux »

Contrat digital

Le présent article aborde le sujet de la conclusion des contrats sous forme électronique (ou « digitale » en franglais branché), selon deux angles de lecture. Nous interrogeons tout d’abord le mode de conclusion de ces contrats, en analysant l’opposition apparente ou la complémentarité des différents articles du Code civil traitant du sujet ; puis nous abordons la problématique de leur opposabilité aux parties, au travers de la signature électronique, que nous analysons par le prisme de l’identification du signataire : établissement et preuve de l’identité numérique.

Pour lire la première partie de cet article « Autonomie ou complémentarité des articles 1127-2, 1174 et suiv.  et 1367 du Code civil ? », rendez-vous sur le site Village de la justice.

Le procédé fiable d’identification : une exigence juridique, mais des difficultés pratiques

L’identité, élément essentiel de la signature électronique

La définition de la signature donnée par l’article 1367 alinéa 1 du Code civil est indissociable de la notion d’identité : « La signature nécessaire à la perfection d’un acte juridique identifie son auteur. ».

Le texte va plus loin encore dans le cas de la signature électronique (article 1367 alinéa 2) : « Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. ».

Ainsi, faire signer une personne physique, c’est avant tout établir, contrôler, et pouvoir prouver a posteriori son identité, de manière fiable. C’est seulement lors du procès que la qualité de la signature électronique est réellement interrogée. Tant qu’il n’y a pas de remise en cause devant les tribunaux et que les parties au contrat sont d’accord et de bonne foi, la signature électronique est uniquement un sujet technique et ergonomique : c’est ainsi qu’elle est d’ailleurs majoritairement mise en avant par les prestataires de signature électronique.

Mais le chef de projet qui conçoit un service mettant en œuvre la signature électronique se doit d’avoir une approche juridique, et doit donc se demander avant tout comment, en cas de contentieux, son processus emportera la conviction du juge. Plusieurs cas se présentent.

Les conditions de fiabilité de l’identité du signataire

On note dans la jurisprudence récente une évolution, qui semble devenir constante, vers une réflexion du juge en deux temps :

  1. il vérifie si la signature électronique bénéficie de la présomption de fiabilité prévue par l’article 1367 alinéa 2 du Code civil et son décret d’application : s’agit-il d’une signature électronique « qualifiée » au sens du règlement eIDAS[1] ;
  2. à défaut, il vérifie si celui qui se prévaut de la signature du contrat rapporte la preuve de sa validité et donc de sa fiabilité[2].

Si la signature électronique correspond aux critères de présomption de fiabilité, cela sera suffisant par essence. Mais rappelons que cette signature électronique qualifiée requiert un contrôle d’identité du signataire en face à face, avec présentation d’une pièce d’identité originale, afin de lui délivrer un certificat de signature électronique qualifié, c’est-à-dire délivré selon des normes techniques contraignantes[3] et régulièrement auditées. Ce certificat qualifié doit en outre être mis en œuvre sur un dispositif qualifié de signature électronique, c’est-à-dire une carte à puce ou une clef USB répondant à des critères de fiabilité très forts[4]. Ce niveau de sécurité n’est, dans la pratique, jamais employé pour les signatures BtoC, qu’elles soient réalisées en agence ou via Internet.

Pour les niveaux simple et avancé de signature électronique, la fiabilité de l’identité doit donc être prouvée par la partie défenderesse. Le juge s’attache, pour valider ou invalider une signature électronique, à déterminer la fiabilité de l’identité du signataire à partir des éléments de preuve apportés par les parties.

Il faut distinguer trois étapes :

  1. l’établissement initial de l’identité, que l’on appelle « l’enregistrement » ou « enrôlement » du signataire ;
  2. le contrôle de cette identité au moment de la réalisation de la signature (authentification) ;
  3. la capacité, lors du contentieux, à apporter la preuve des deux premières étapes, au travers de ce que l’on appelle un « chemin de preuve ».

L’établissement initial de l’identité

Dans le cas des signatures de contrats BtoC, l’identité du signataire est établie, selon les cas d’usage :

  • par le cocontractant qui demande la signature avec son procédé : il convient alors de recueillir de manière satisfaisante la preuve de cette identité, via une pièce d’identité en vigueur, et d’en conserver la trace ;
  • ou par le prestataire de signature électronique, qui effectuera en général des contrôles à distance sur des copies de pièces d’identité.

A cette étape, il y a plusieurs points d’attention essentiels.

  1. Il faut s’assurer que la vérification réalisée sur les pièces d’identité soit effective et probante. Par exemple, si un commercial réalise ce contrôle en agence, il ne devra pas accepter un titre douteux même si cela lui permet de conclure une vente, car la vente risquerait d’être remise en cause[5].
  2. Il faut garantir la conservation des éléments recueillis à titre de preuve.
  3. Il faut recueillir non seulement l’identité du futur signataire, mais également l’adresse mail et/ou le numéro de téléphone mobile qui lui permettront ensuite de s’authentifier pour réaliser la signature : ces canaux de communication doivent faire l’objet d’une vérification, et cette vérification doit elle-même pouvoir être prouvée.

Le contrôle d’identité lors de la réalisation de la signature électronique (authentification)

Lors de l’acte de signature, un code d’authentification est envoyé au signataire sur le canal de communication recueilli lors de la phase précédente : un lien est envoyé par mail et/ou un mot de passe à usage unique est envoyé par sms.

Ce contrôle est en général réalisé par le prestataire de signature électronique, qui conserve la traçabilité des actions dont, en tant que tiers de confiance, il atteste de la sincérité.

A cette étape, les points d’attention sont les suivants :

  1. Il faut garder la trace des envois réalisés (mail, sms) et des actions du signataire (clic sur un lien, saisie du mot de passe…).
  2. Dans le cas des processus mettant en jeu plusieurs signataires (par exemple un crédit octroyé à un couple), il faut s’assurer qu’un des signataires n’a pas pu se substituer à l’autre, ce qui peut être complexe lorsque les pièces justificatives de l’un sont facilement accessibles à l’autre, ainsi que parfois les moyens de communication.

Le chemin de preuve

Sur la base des étapes ci-dessus, le chemin de preuve est constitué de l’ensemble des actions et des documents ayant contribué à réaliser et fiabiliser l’acte de signature électronique. Pour être efficace, il contiendra les éléments suivants :

  1. les conditions de l’établissement initial de l’identité du signataire : par quelle voie cela a été réalisé (présence en agence, envoi de pièces via Internet, relation préexistante…), quelle pièce d’identité a été contrôlée, la copie de cette pièce, quels canaux de communication ont été déclarés par le signataire et comment ils ont été vérifiés ;
  2. les conditions de contrôle de l’identité du signataire au moment où il a signé (traçabilité établie par le prestataire de signature électronique) : l’adresse mail où le lien de signature a été envoyé, la date et heure à laquelle il a cliqué sur ce lien, le numéro de téléphone auquel le code de signature a été envoyé par sms, la date et heure à laquelle il a ressaisi ce code ;
  3. les autres opérations techniques réalisées par le prestataire de signature électronique : génération d’un certificat au nom du signataire, apposition de la signature sur le document, etc.
  4. Au-delà de ces éléments relatifs à l’identité, le fichier de preuve s’attachera également à apporter la preuve du consentement du signataire : visualisation du contrat, respect des contraintes et délais (précontractuel / contractuel), texte correspondant aux cases de consentement qu’on lui a demandé de cocher, date et heure auxquelles il a réalisé ces actions…

Il est donc essentiel, pour mener à bien un projet de signature électronique, de concevoir dès l’amont un système capable non seulement de réaliser des signatures, mais surtout d’en apporter la preuve exhaustive. L’établissement du chemin de preuve ne peut pas être confié au seul prestataire de signature électronique, car il ne réalise qu’une partie des opérations de contrôle d’identité.

La convention de preuve, est une sécurisation juridique d’usage, des contrats électroniques adoubée par les articles 1356 et 1368 du Code civil.

C’est là que repose la sécurité de la signature électronique, et aussi une grande partie de sa complexité. L’aide d’un accompagnement expert, juridique et technique, est donc cruciale dans la phase de conception, afin de ne pas se mettre en situation de risque.

Par Maître Polyanna Bigle – Directeur du Département Sécurité Numérique du Cabinet Alain Bensoussan Lexing et Dimitri Mouton – gérant de la Sté DEMAETER – auteur de Sécurité de la dématérialisation (Eyrolles).

 

Pour en savoir plus :

 

Pour plus de précisions


[1] Règlement « eIDAS » n°910/2014 du 23 juillet 2014

[2] Cf CA Dijon Civ. 2ème, 28 06 2018, rep. n°17/01790 ; CA Rouen Ch. prox. 31 05 2018, rep. n° 17/03404 ; Cass. Civ. 1ère, 06 04 2016, n°15-10732 : « Mais attendu que le jugement retient que la demande d'adhésion sous forme électronique a été établie et conservée dans des conditions de nature à garantir son intégrité, que la signature a été identifiée par un procédé fiable garantissant le lien de la signature électronique avec l'acte auquel elle s'attache, et que la demande d'adhésion produite à l'audience porte mention de la délivrance de ce document par la plate-forme de contractualisation en ligne Contraleo, permettant une identification et une authentification précise des signataires en date du 25 mai 2011 ; qu'ayant ainsi effectué la recherche prétendument omise, la juridiction de proximité a légalement justifié sa décision ;» 

[3] ETSI EN 319 411

[4] DÉCISION D'EXÉCUTION (UE) 2016/650 DE LA COMMISSION du 25 avril 2016 établissant des normes relatives à l'évaluation de la sécurité des dispositifs qualifiés de création de signature électronique et de cachet électronique conformément à l'article 30, paragraphe 3, et à l'article 39, paragraphe 2, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS).

[5] Cf Cour d'appel d’Aix-en-Provence, Arrêt du 19 septembre 2019, Répertoire général nº 19/00418