Responsabilité délictuelle, l’utilisateur du certificat électronique

By 25 June 2013

Responsabilité délictuelle (l’utilisateur du certificat) – Section 2 :

Nous avons vu précédemment que le prestataire de service de certification et le signataire, porteur du certificat, étaient liés par un contrat. En revanche, les relations entre l’utilisateur du certificat (le destinataire) et le prestataire ne ressortent pas du domaine contractuel. Ainsi, le destinataire qui serait victime d’un dommage (en relation avec l’utilisation d’un certificat) pourra engager la responsabilité civile délictuelle du prestataire sur le fondement de l’article 1382 du Code civil.

Sur le modèle de la responsabilité civile contractuelle, le destinataire devra démontrer l’existence d’une faute, d’un préjudice et d’un lien de causalité entre la faute et le préjudice.

Contrairement à la responsabilité civile contractuelle, le destinataire devra apporter la preuve du dommage dû à la faute du prestataire. En effet, il ne pèse pas sur le prestataire d’obligation de moyen ou de résultat dans la mesure où les parties ne sont liées par aucun contrat. Ainsi, la loi du 13 Mars 2000 et le décret du 30 Mars 2001 déterminent les obligations du prestataire à l’égard du destinataire. De plus, le manquement aux obligations contractuelles, c’est-à-dire vis-à-vis de l’émetteur peut avoir des incidences sur le destinataire. Ainsi, la faute à l’égard de l’émetteur pourra permettre, dans certains cas, de justifier le dommage subi par le destinataire97.

96 B.Liard, « La responsabilité des prestataires de services de certification », Comm. com. électr., Nov. 2002, n°26, p. 14.

La preuve de la faute sera vraisemblablement difficile à rapporter. En effet, la signature électronique met en œuvre des dispositifs informatiques complexes, c’est pourquoi, il sera la plupart du temps nécessaire de recourir à une expertise judiciaire. De plus, le destinataire n’a pas accès au système et infrastructures du prestataire, si bien qu’il ne pourra pas directement démonter la faute du prestataire.

Alors, pour faciliter l’administration de la preuve par le destinataire, la directive n°1999/93/CE du 13 Décembre 1999 prévoit en son article 6 une responsabilité quasi automatique – presque une garantie – du prestataire délivrant des certificats qualifiés dans la mesure où ce sera à ce dernier de démontrer une absence de négligence de sa part. Ces dispositions sont donc, à priori, favorables aux utilisateurs de la signature électronique, et le prestataire semble astreint à un régime particulier de responsabilité.

Toutefois, il dispose de certains moyens de s’exonérer de sa responsabilité. Le prestataire pourrait opposer au destinataire le non respect fautif des limites98 d’utilisation du certificat. Cependant, quelques inquiétudes peuvent naître de l’absence de dispositions fixant une « ligne de conduite » à tenir par le destinataire. En effet, les limitations contenues dans le certificat pourraient ne pas être opposables au destinataire dans la mesure où aucun contrat ne le lie avec le prestataire.

Alors, le destinataire auquel ne pourrait être reproché aucune faute n’aurait qu’à prouver son préjudice réparable, c’est-à-dire direct et certain. Il est possible d’envisager dès maintenant certains des préjudices qui pourraient être subis par le destinataire : virus ou vice de conception entraînant un défaut dans le certificat, certificat erroné entraînant une erreur sur la personne, etc. Les exemples sont nombreux.

Le préjudice subi par le destinataire doit lui être propre, c’est-à-dire que celui-ci ne peut pas se prévaloir du préjudice subi par le signataire.

Ainsi, la responsabilité délictuelle exclu toute limitation de la responsabilité, par exemple à un montant fixé au prix du certificat. Ceci serait contraire à l’ordre public, et le prestataire devra réparer entièrement le préjudice subi par le destinataire.

Ainsi, on peut en conclure que l’activité de prestataire de services de certification soit, sur de nombreux points, risquée. En effet, ce sont des acteurs à responsabilité aggravée car celui qui subit un dommage peut engager la responsabilité du prestataire sans avoir à prouver sa faute. Le prestataire va donc devoir offrir certaines garanties financières, ou souscrire à une assurance civile professionnelle.

Alors, la solution pourrait être la contractualisation du rapport entre le prestataire et le destinataire. Cette solution permet d’en revenir à la responsabilité contractuelle et de limiter l’indemnisation au préjudice prévisible lors de la conclusion du contrat. De plus, cela peut permettre de limiter contractuellement la responsabilité du prestataire.

97 Voir en ce sens, mais dans le domaine médical, un exemple de l’application de la responsabilité d’un débiteur contractuel à l’égard des tiers victimes d’une inexécution contractuelle, Cass. Civ. 1ère, 13 Fév. 2001 : KCP G, II, 10099, note C. Lisanti-Kalczynski.

98 Les limites du certificat sont généralement définies par le montant maximal autorisé pour une transaction, ou la date de validité entre autres.

Toutefois, une clause limitative ou élusive de responsabilité visant le destinataire ne pourra pas être insérée dans le contrat liant le prestataire et le signataire. En effet, l’article 1165 du Code civil pose le principe de l’effet relatif des contrats. Une telle disposition ne saurait donc s’imposer à un tiers tel que le destinataire. Alors, le li en contractuel recherché pourrait naître de l’utilisation du certificat. En effet, l’acceptation puis l’installation du certificat du signataire par le destinataire pourrait être l’occasion pour le prestataire de soumettre cette procédure à l’acceptation d’un contrat d’adhésion ayant pour finalité de limiter la responsabilité du prestataire.

Toutefois, ce serait soumettre la signature électronique à une nouvelle contrainte, cette fois-ci supportée par le destinataire, qui risque de nuire à son développement.

Conclusion  :

A l’issue de notre étude, nous pouvons en conclure que la signature électronique doit être perçue comme le prolongement de l’écrit papier. Ce type de signature s’inscrit dans la continuité et ne révolutionne rien en soi. Cependant, les possibilités offertes par la reconnaissance des signatures électroniques sont nombreuses. A titre d’exemple, la société Deedgital a récemment mis au point un logiciel de création de contrats électroniques. Pendant que l’internaute passe une commande via son explorateur internet, le logiciel crée des séquences vidéo qui seront ensuite signée numériquement. Les conditions générales de vente y seront également insérées. Le fichier peut alors jouer le rôle de contrat électronique selon l’article 1316 du Code Civil.

Enfin, il apparaît selon nous que le succès de la signature électronique est conditionné par la simplicité de sa mise en œuvre. Or ce n’est pas le cas actuellement.

En effet, la procédure fait intervenir beaucoup trop d’acteurs (tiers certificateur, tiers archiveur, tiers horodateur, autorité d’enregistrement, autorité de certification, …) et beaucoup trop de textes, tant législatifs que réglementaires, qui, toutefois, paraissent nécessaires. Il faut, ainsi, tendre vers la simplification car le modèle ne serait, selon certains experts, pas viable économiquement. De même, tout cet échafaudage juridico-technique ne repose aujourd’hui, de facto, que sur la cryptographie à clés asymétriques. Or, lorsque l’on connaît la vitesse avec laquelle l’état de l’art est susceptible d’évoluer en informatique, ainsi que la rapidité quasi exponentielle avec laquelle la puissance de calcul des ordinateurs augmente, on est en droit de douter de la pérennité du système. La preuve en est que le protocole SSL- Secure Socket Layer-, utilisé pour les paiements en ligne et le commerce électronique, a été cassé par des chercheurs suisses. Certes ce protocole a été rapidement patché pour combler la faille découverte, mais cela démontre la fragilité des systèmes.

Ainsi, technicité et sécurité risquent d’être les deux obstacles majeurs au développement de la signature électronique. Cependant, la solution se trouve peut être dans le recours à la biométrie. Ce procédé pourrait, en effet, modifier le rôle du prestataire de services de certification qui n’aurait qu’à certifier la coïncidence entre les données biométriques et l’identité de la personne, à moins que ces services soient gérés par le biais des nouvelles cartes d’identité nationale dématérialisées, ce qui ferait de l’Etat le plus grand prestataire de services de certification de France.

Dès lors, le problème de la sécurité persiste : à l’image des contrefaçons de cartes bancaires par captation des données contenues par la bande magnétique, il pourrait être possible par un expert en informatique de capter les données biométriques de l’individu pour usurper son identité, ce qui apparaît extrêmement grave.

Lire le mémoire complet ==> (La signature électronique)
Mémoire de DESS de droit du Multimédia et de l’Informatique
Université de droit, d’économie et de sciences sociales – Paris II Panthéon-Assas