Le certificat de signature électronique: une pièce d’identité

By 25 June 2013

Le certificat : « pièce d’identité » dématérialisée – Section 2 :

Le certificat est au cœur du processus de signature électronique. Il est porteur d’une valeur juridique puisqu’il va permettre l’identification de la personne, mais il a également une définition technique. Selon la définition qui en est donnée par l’ « ISO », c’est « un objet informatique qui permet de lier de façon intangible une identité d’entité (une personne, une ressource) à certaines caractéristiques de cette entité ».

Le certificat est, ainsi, un message électronique par lequel un témoin privilégié, le certificateur, contrôle la concordance et l’adéquation entre l’identité du signataire et la clé publique. La loi du 13 Mars 2000 en son article 1316-1 suggère le recours au certificat dans la mesure où elle exige que la personne puisse être dûment identifiée, et dans son article 1316-4 lorsqu’elle ajoute que l’identité du signataire doit assurée.

Le certificat possède une structure interne, c’est-à-dire certains champs qui doivent –obligatoirement, pour lui accorder une force- être renseignés. Cette structure interne est définie par une norme internationale nommée recommandation X-509 V.3 de l’Union internationale des télécommunications. Cette norme a été reprise et développée par l’organisation de normalisation du monde Internet, l’Internet Engineering Task Force (IETF) qui a décliné la norme de certificats pour l’appliquer à la technologie de signature numérique. En pratique, l’utilisateur va transmettre sa clé publique au certificateur32. Après certaines vérifications sur l’identité et la capacité de la personne, le certificateur va garantir son identité en confectionnant puis émettant un certificat électronique qui contiendra la clé publique et les informations permettant l’identification de la personne. Aussi, pour assurer le destinataire que le certificat n’est pas un faux, le certificateur va devoir signer ce certificat de sa signature électronique.

32 Sauf le cas répandu où le certificateur sera aussi à l’origine du tirage du bi-clé, cas qui sera à notre avis majoritaire car beaucoup plus commode pour les utilisateurs.

Le décret du 30 Mars 2001 reconnaît deux types de certificats : le certificat électronique simple et le certificat qualifié. Le premier est un document qui se présente sous la forme électronique et qui atteste du lien entre les données de vérification de signature électronique et un signataire. Le certificat électronique qualifié doit répondre à une série de critères définis par le décret.

Selon le décret 2001-272 du 30 Mars 2001, le certificat électronique qualifié doit avoir été délivré par un prestataire capable de délivrer ce type de certificats et comporter certaines indications (article 6) telles que :

a) Une mention indiquant que ce certificat est délivré à titre de certificat électronique qualifié ;
b) L’identité du prestataire de services de certification électronique ainsi que l’état dans lequel il est établi ;
c) Le nom du signataire ou un pseudonyme, celui-ci devant alors être identifié comme tel ;
d) Le cas échéant, l’indication de la qualité du signataire en fonction de l’usage auquel le certificat est destiné ;
e) Les données de vérification de signature électronique qui correspondent aux données de création de signature électronique ;
f) L’indication du début et de la fin de la période de validité du certificat électronique ;
g) Le code d’identité du certificat électronique ;
h) La signature électronique sécurisée du presttaire de services de certification électronique qui délivre le certificat électronique ;
i) Le cas échéant, les conditions d’utilisation du certificat électronique, notamment le montant maximum des transactions pour lesquelles ce certificat peut être utilisé.

Il existe plusieurs catégories de certificats en fonction de la gravité des actes à passer. En général, on peut distinguer trois classes33, allant de la simple signature de mail sans portée juridique34 (qui ne requiert qu’une simple déclaration par courrier électronique), à la télédéclaration de TVA pour les personne morales (qui requiert la présence physique d’un agent assermenté c’est-à-dire un contrôle physique de la personne).

Ainsi, la certification et la gestion des certificats constituent «la pierre angulaire35» du système, car dans le cas d’un certificat qualifié, associé à d’autres conditions énumérées ci-dessous, la fiabilité de la signature sera présumée. La charge de la preuve sera alors inversée : il incombera à celui qui conteste le document de la rapporter. En effet, la présomption de fiabilité36 du procédé de signature électronique n’est accordée qu’à la triple condition que :

* La signature électronique mise en œuvre soit une signature sécurisée.
* Cette signature électronique sécurisée soit établie grâce à un dispositif de sécurisé de création de signature électronique.
* La vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié.

33 Dans les certificats dédiés à la signature électronique, c’est par exemple, ce que propose la société Certinomis.
34 On peut toutefois s’interroger sur la nécessité de signer un mail sans portée juridique?
35 Selon E. Joly-Passant, « Le décret du 30 Mars 2001 pris pour l’application de l’article 1316-4du Code civil et relatif à la signature électronique », Rev. Lamy Dt des Aff., Juillet 2001, n°40, p.21.
36 Article 2 du décret 2001-272 du 30 Mars 2001.

Selon l’article 3 du décret du 30 Mars 2001, seul le PSC qualifié peut délivrer une signature électronique sécurisée, car il est le seul à mettre en œuvre un dispositif de création sécurisé.

Ce dispositif doit, en effet, avoir été certifié conforme soit par un organisme désigné par un Etat membre37 de la communauté européenne, soit par un service du Premier Ministre, la Direction centrale de la sécurité des systèmes d’information (DCSSI) dans les conditions prévues par le décret du 18 avril 2002 38 . La certification sera l’aboutissement d’une longue série de vérifications et de tests. En effet, le procédé de création de signature électronique devra d’abord faire l’objet d’une évaluation, puis d’une certification par un centre d’évaluation, devant lui-même être préalablement agrée39.

Certains observateurs40 préconisaient, pour pouvoir réduire les coûts de la signature électronique, et ainsi la rendre accessible au plus grand nombre, de recourir au modèle de la « toile de confiance », ou « web of trust ». Ainsi, des particuliers pourraient s’identifier mutuellement pour former une toile de certificats. L’identité de chaque personne pourrait être vérifiée plusieurs fois par des personnes différentes, ce qui augmente alors les risques de vraisemblance de l’identification si les « certificateurs » son fiables. Le modèle serait ainsi similaire à celui qui a été mis en place grâce au logiciel « Pretty Good Privacy », ou PGP. En effet, le prestataire est, selon l’article 2 al. 11 de la directive du 13 Décembre 1999 41 , « toute entité ou personne physique ou morale qui délivre des certificats ou fourni d’autres services liés aux signatures électroniques ». L’exercice de l’activité de prestataire de services de certification n’est, en effet, soumis à aucune réglementation spécifique, à aucune autorisation préalable42. Ce système, bien qu’audacieux, reste utopique car il ne permet en aucun cas de s’assurer de l’identité de la personne, puisque l’identification ne peut se faire que par Internet, et sans aucun contrôle réel ni sérieux. Il reste inapplicable à l’échelle mondiale dans la mesure où l’on ne pourra pas, en pratique, aller rechercher la responsabilité d’un particulier -prestataire de services de certification- à l’étranger.

En revanche, ce système de « toile de confiance » pourrait être retenu pour un usage en entreprise : le responsable informatique pourrait, ainsi, certifier en interne tous les employés de l’entreprise, ce qui éviterait de recourir à un prestataire de services de certification externe pour l’obtention du certificat, et également permettre une meilleure gestion des certificats délivrés aux employés et une révocation plus rapide de ceux-ci en cas de départ de l’employé.

Ainsi, cela nous amène à se poser la question de savoir si une entreprise peut être son propre prestataire de services de certification43 ?

37 La signature s’inscrit donc dans un cadre trans-national, communautaire qui peut alors permettre une reconnaissance mutuelle du procédé entre les états membres.
38 Décret n°2002-535 du 18 Avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information.
39 Voir en ce sens l’article très détaillé de F. Coupez avec la participation de C. Gailliègue, « Vers une signature électronique juridiquement maîtrisée », Comm. com. électr. Nov. 2001, n°25.
40 Voir en ce sens un article anonyme sur le site http://parodie.com/monétique/signelec
41 Directive 1999/93/CE, 13 Déc. 1999 sur un cadre communautaire pour les signatures électroniques : JOCE L. 13, 19 janv. 2000, p. 12.
42 Art. 1 alinéa 11 du décret du 30 Mars 2000.
43 Voir en ce sens I. Renard, « Vive la signature électronique », Ed. Delmas, p.43

Certaines grandes entreprises – on pensera en particulier à La Poste – peuvent être amenées à signer électroniquement en recourant à leur propre prestataire de services de certification. Il convient, ici, de savoir si la preuve ainsi préconstituée aura une valeur ? Juridiquement, rien n’interdit à une entreprise d’être son propre prestataire de services de certification. Cependant, l’administration de la preuve risque d’en être rendue plus délicate, car la jurisprudence, sur le fondement de l’article 1315 du Code civil, en a déduit que « nul ne peut se constituer une preuve à lui même44 ». Cependant, on peut imaginer que le recours à son propre prestataire de services de certification puisse être envisageable dans le cadre d’un groupe de sociétés, dès lors que la filiale est une personne morale distincte. Il n’y aurait alors pas constitution de preuve à « soi-même ».

Cependant, la fragilité subsiste et rien n’empêche le juge de mettre en lumière les conditions dans lesquelles a été constituée la preuve pour faire application de la jurisprudence de l’article 1315 du Code civil. La preuve ainsi constituée demeure donc faible.

De plus, les exigences mises à la charge du prestataire de services de certification par le Décret du 30 Mars 2001 sont lourdes et un régime spécial de responsabilité est crée par le projet de loi sur la confiance en l’économie numérique.

Ainsi, rien ne semble interdire à une entreprise d’être son propre prestataire de services de certification mais la preuve ainsi obtenue risque de souffrir de faiblesses, et la nature des moyens à mettre en œuvre ne semble pas justifier cette solution.

44 Civ 1ère, 2 Avril 1996: Bull. Civ. I, n°170 ; D. 1996, Somm. 329 obs. Delebecque; Contrats Conc. Consom. 1996, 119, note Leveneur.

Lire le mémoire complet ==> (La signature électronique)
Mémoire de DESS de droit du Multimédia et de l’Informatique
Université de droit, d’économie et de sciences sociales – Paris II Panthéon-Assas