Signature électronique : preuve des transactions financières sur l’Internet
Section 2 :
La signature électronique : technique d’identification et de preuve des transactions bancaires et financières sur l’Internet
515. La problématique
Le développement de l’Internet comme support de la prestation de services bancaires et financiers oblige les établissements offrant ces services à exercer une vigilance sans cesse accrue en matière de sécurité688.
Cette dernière concerne entre autres la protection physique et logique du système informatique mis en place par l’établissement, en vue notamment de lutter contre toute tentative d’accès non autorisé dans ce système.
Elle a également vocation à offrir des garanties d’authentification, d’intégrité, de confidentialité et de preuve des données bancaires et financières transmises par le réseau.
Il convient d’assurer l’étanchéité la plus complète afin de protéger les données personnelles des clients, la comptabilité bancaire et financière ainsi que les applications et les systèmes de traitement et de restitution des opérations.
De l’autre côté, le consommateur investisseur doit, lui aussi, pouvoir avoir confiance dans la non falsification du consentement qu’il émet.
Au delà de la question de sécurité technique, l’enjeu est d’assurer une protection juridique ayant comme composant des moyens fiables de preuve et d’identification.
516. Illustration
Pour reprendre l’exemple explicite de la convention de compte, le formalisme689 implique la fourniture de pièces permettant l’identification du souscripteur (photographie)690. Si elle est érigée à titre de formalisme obligatoire – sous peine de sanction –, il s’agit en fait d’une exigence indispensable à la conclusion de toute convention de compte.
Si les textes européens ne s’opposent pas à une identification dématérialisée, ils exigent que les parties puissent à tout le moins s’identifier de manière claire691. Or la solution retenue encore aujourd’hui, si l’on peut la regretter692, est celle de l’envoi d’une copie des pièces par courrier postal693.
Sans se satisfaire d’une telle situation, pourrait-on alors se suffire d’une numérisation des pièces et de l’envoi conséquent par courrier électronique ? Les exigences d’identification seraient-elles alors remplies ? Et, quant à la preuve de l’identité, celle-ci serait-elle assurée ?
688 D’ailleurs les derniers chiffres publiés montrent que le marché de la sécurité devrait croître d’environ 17,4% en 2005, v. Atelier groupe BNP Paribas, Solutions de sécurité : un marché en hausse de près de 17%, 28 novembre 2005, disponible sur : www.atelier.fr
689 Décret n°91-160 du 13 février 1991 précité.
690 Cette exigence n’est pas purement française, mais participe d’une volonté de lutte contre le blanchiment d’argent. Comp. article 4 de la loi belge du 11 janvier 1993 relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux, modifiée par la loi du 10 août 1998.
691 ROLLIN JACQUEMYNS L., VERBIEST T., L’offre de services et produits financiers sur Internet, RDAI/IBLJ, n°1, 2000, p.3-41.
692 Selon ROLLIN JACQUEMYNS L. : « Il serait bénéfique pour la libre circulation des capitaux que cette formalité puisse être remplie à distance. Et il semblerait que la technologie puisse apporter une solution à ce problème », Cahiers du CRID, n°16 p. 112.
517. Définition et différentes formes de signature électronique
Les spécialistes s’accordent généralement pour considérer que le terme de « signature électronique » désigne une notion générique englobant divers mécanismes techniques méritant d’être tenus pour des signatures dans la mesure où ils permettent, à eux seuls ou en combinaison, de réaliser certaines fonctions essentielles à cette institution juridique : identification de l’auteur de l’acte, manifestation du consentement au contenu de l’acte, maintien de l’intégrité du contenu du document, etc.
Sans vouloir exclure de nouvelles techniques de signature et sans prétendre être exhaustif, on peut regrouper ces mécanismes en quatre catégories: la signature manuscrite numérisée, le code secret associé à l’utilisation d’une carte, la signature biométrique et la signature digitale (ou numérique).
518. La signature manuscrite numérisée
Le mécanisme de signature électronique le plus sommaire est sans nul doute celui qui consiste à numériser une signature manuscrite.
Il saute aux yeux que la force du procédé, soit la simplicité, est aussi sa faiblesse: en effet, quiconque dispose d’un spécimen (papier) de signature ou d’un accès au système ou support magnétique sur lequel celle-ci est stockée peut, lui aussi, la reproduire avec le même succès.
C’est dire si le procédé, à lui seul, présente un degré de sécurité technique et, par conséquent juridique, pour le moins aléatoire.
Pour ces raisons, il est clair qu’il ne peut satisfaire aux exigences de preuve et d’authentification des opérations bancaires en ligne, à moins d’être combiné à l’usage de la cryptographie.
693 Article 321-54 et s. du RG AMF relatifs aux prescriptions et recommandations pour les prestataires de services d’investissements offrant un service de réception/transmission ou d’exécution d’ordres via l’Internet
694 LATRIVE F, Le paraphe à la main perd son monopole d’ultime preuve, Libération, 25 février 2000.
695 Généralement désigné par le sigle P.I.N., i.e. Personal Identification Number.
696 BONNEAU T, Droit bancaire, op. cit,. p 310 n°441.
519. L’utilisation combinée d’une carte et d’un code secret
« Le système des cartes bancaires français utilise bien une forme de signature électronique», précise Monsieur J.-P. BUTHION, chargé de mission au GIE Carte bancaire694.
Il rend possible des transferts de fonds et des paiements. Le code confidentiel695 joue alors le rôle de signature électronique696. A vrai dire, l’utilisation combinée d’une carte et d’un code ne peut être tenue pour une signature électronique au sens strict de la notion.
En effet, ces éléments associés constituent « bien plus un mécanisme d’autorisation d’accès à un système informatique propriétaire qu’un mécanisme de signature susceptible de permettre non seulement la réalisation des mêmes fonctions de la signature classique, mais également de réaliser ces fonctions dans la quasi- totalité des situations où se manifeste la signature classique, et ce, tant dans le cadre de réseaux ouverts que fermés »697.
Force est de reconnaître que les fonctions essentielles de la signature ne sont pas idéalement remplies698.
Plus fondamentalement, l’intérêt de la notion de signature électronique est de pouvoir considérer un document comme un acte sous seing privé, de sorte qu’il puisse bénéficier de la force probante attachée à ce type d’acte.
A cet effet, il est impérieux qu’à défaut de figurer physiquement sur le document, la signature lui soit au moins liée logiquement.
Or ce n’est pas le cas, la bande journal produite par le système pour attester l’opération ne contenant aucune trace du code secret699. Pour cette raison, la carte et le code ne peuvent, en eux-mêmes, être assimilés à une signature.
Dans le secteur bancaire, cet inconvénient est surmonté grâce aux conventions700 conclues entre organismes financiers ainsi qu’entre ceux-ci et leurs clients701.
520. Les signatures biométriques
La science biométrique s’intéresse aux caractéristiques physiques uniques des personnes, susceptibles de les identifier dans leur individualité702 703.
En particulier, leur utilisation courante à des fins de signature se heurte à divers obstacles pratiques : lourdeur et coût élevé de leur mise en œuvre qui nécessite un lecteur ad hoc permettant la numérisation du paramètre physique concerné.
Entre autres inconvénients, on mentionne également le fait que certains caractères physiques peuvent être sujets à des variations (la voix, l’influence du stress pour l’analyse de la dynamique de la signature…) et la réticence du public à l’usage de certains procédés.
Ces divers facteurs expliquent que les procédés de signature biométrique soient actuellement très peu utilisés dans les transactions sur les réseaux, même dans le secteur bancaire et financier.
Au demeurant, si les procédés biométriques permettent d’identifier l’auteur de la signature, on estime en général qu’ils ne garantissent pas nécessairement l’expression correcte de son consentement.
La certitude de l’animus signandi dépendra largement de la fiabilité du système technique et de la procédure d’ensemble dans laquelle s’intègre l’application.
697 PARISIEN S. et TRUDEL P., L’identification et la certification dans le commerce électronique, Québec : Ed. Yvon Blais Inc., 1996, p. 99.
698 AMORY B. et POULLET Y., Le droit de la preuve face à l’informatique et à la télématique : approche de droit comparé, DIT, 1985, pp. 11 et s.;. THUNIS X et SCHAUSS M., Aspects juridiques du paiement par carte, Cahiers du C.R.I.D., n° 1, E. Story-Scientia, 1988, n° 33 et s.; BUYLE J.-P., La carte de banque à piste magnétique, RDC, 1984, p. 663 et s.
699 BUYLE J.-P., La carte de paiement électronique, in La banque dans la vie quotidienne, Bruxelles, Ed. du Jeune Barreau, 1986, p. 471.
700 Dans le cas des Carte bleue en France aujourd’hui, c’est le GIE Carte bancaire qui sert de caution aux transactions. Commerçants et clients ont confiance, car la sécurité du système est garantie par un organisme identifié, habilité à distribuer les lecteurs.
701 Pour des exemples, THUNIS X. et SCHAUSS M., op. cit., pp. 46-47, n° 74 et 75 et les annexes.
702 Parmi d’autres procédés, on peut citer l’examen des empreintes digitales (dactyloscopie) ou des vaisseaux sanguins de la rétine de l’œil (rétinoscopie), la reconnaissance vocale ou encore la reconnaissance dynamique de la signature (analyse non du graphisme comme tel, mais de la manière dont il est tracé: vitesse, mouvements, pression sur la plume…). Pour autant que la particularité biométrique soit liée à un individu et que le lien établi soit sécurisé, ces méthodes peuvent remplir une fonction d’identification, pour des applications diverses (accès à des salles protégées, à des coffres, enquête criminelle, etc.), et notamment, à des fins de signature. Sauf exceptions (on songe bien sûr à l’analyse des empreintes digitales, mais aussi aux progrès notables de la reconnaissance vocale), la plupart de ces techniques en sont encore à un stade expérimental.
703 A ce sujet, SYX D., Vers de nouvelles formes de signature ? Le problème de la signature dans les rapports juridiques électroniques, DIT, 1986/3, pp. 143-144, n° 79 à 82.
521. La signature numérique ou digitale
La signature dite numérique ou digitale repose sur les procédés de cryptographie704. Pour éviter toute confusion, il convient de noter que ceux-ci peuvent servir non seulement à des fins de signature, mais aussi dans le but de garantir la confidentialité des échanges.
Cette dernière fonction, appelée chiffrement705, est généralement réalisée à l’aide de produits qui sont notamment fondés sur le Data Encryption Standard (DES)706.
Un tel procédé est surtout efficace dans les réseaux fermés; la nécessité de faire connaître la clé à son destinataire, avec les inévitables risques d’interception et de répudiation du message, entraîne qu’il est en revanche, à lui seul inadapté aux réseaux ouverts ou pour une utilisation à des fins de signature.
Le problème du partage des clés a été résolu par le développement de la cryptographie asymétrique, dite aussi « à clé publique ».
Celle-ci permet non seulement d’expédier des messages confidentiels dans de meilleures conditions de sécurité, mais aussi de réaliser des signatures numériques. Une application répandue de cryptographie à clé publique est le R.S.A707.
522. Précisions
Il apparaît important de fournir une explication708 du fonctionnement de la signature numérique709, fondé sur la cryptographie asymétrique, pour pouvoir comprendre les concepts et les enjeux de la directive européenne ainsi que des législations nationales qui transposent cette directive.
Dans un système à clé publique, la réalisation de la fonction d’identification suppose qu’une personne dispose de deux clés mathématiques complémentaires : une clé privée, dont le caractère secret doit effectivement être préservé, et une clé publique, qui peut être librement distribuée710.
Ces deux clés sont générées sur base d’une fonction mathématique telle qu’il est impossible dans un laps de temps raisonnable de déduire de la clé publique la clé privée correspondante.
La clé publique doit dès lors représenter une fonction irréversible de la clé privée qui permet de « signer » le message.
L’opération de décodage s’effectue, quant à elle, selon le principe de la complémentarité des clés : un message encodé avec une clé privée ne peut être décodé qu’avec sa clé publique complémentaire.
L’identité du signataire est confirmée par un certificat, émis par un PSC, qui atteste de l’identité du signataire et que la clé publique en question lui appartient effectivement711 712.
Reste à préciser que l’utilisation de la cryptographie à clé publique suppose l’organisation de la publicité des clés publiques et l’instauration d’un mécanisme de contrôle visant à s’assurer en permanence que celles-ci correspondent bien aux personnes qui s’en prétendent titulaires.
Cette double mission de publicité et de certification est actuellement assumée par un tiers certificateur (appelé « prestataire de service de certification » ou encore « autorité de certification »).
704 Pour une explication détaillée, v. PARISIEN S. et TRUDEL P., op. cit., pp. 93 à 113; HUBIN J., La sécurité informatique, entre technique et droit, Cahiers du C.R.I.D., n° 14, E. Story-Scientia, 1998, spéc. pp. 68-112.
705 Lequel consiste en la transformation d’un message dit «en clair» en une chaîne de caractères alphanumériques qui ne sont compréhensibles que pour la personne autorisée.
706 Il s’agit d’un système cryptographique à clé unique (ou à clé secrète) utilisant un algorithme qui, comme le suggère son nom, chiffre et déchiffre un message à l’aide d’une seule clé.
707 V. supra n° 168.
708 Pour plus de détails, v. PARISIEN S. et TRUDEL P., op. cit., pp. 93 à 113.
523. Plan
Ces précisions étant faites, la signature électronique apparaît théoriquement comme l’élément fondamental, la clé, permettant la conclusion des conventions bancaires en ligne, assurant l’identification et l’authenticité du consentement, c’est-à-dire finalement la preuve des transactions bancaires et financières sur l’Internet.
La mise en place d’un système financier dématérialisé et sécurisé tant pour les établissements de crédits que pour les investisseurs passe par la reconnaissance juridique de la signature électronique.
Aussi, les règles de droit en vigueur qui font obstacle à la recevabilité comme preuve des documents signés électroniquement (§1) peuvent-elles être surmontées, tant au niveau européen qu’au niveau national.
Au plan communautaire, la directive sur les signatures électroniques713 permet la reconnaissance légale du procédé (§2). Au niveau national (§3), la transposition assure notamment l’équivalence juridique entre la preuve littérale électronique et traditionnelle.
709 V. aussi le processus de création d’une signature digitale dans CAPRIOLI E. A, Sécurité et confiance dans le commerce électronique : Signature numérique et autorité de certification, JCP G., avril 1998, n°14, p.588, n°27.
710 Pour assurer la confidentialité d’un échange, l’expéditeur chiffrera le message à l’aide de la clé publique du destinataire, qui pourra uniquement le déchiffrer au moyen de sa propre clé secrète. Ainsi sera-t-il le seul à pouvoir prendre connaissance du message. Il va de soi que les deux fonctions peuvent être combinées pour l’envoi d’un message à la fois confidentiel et signé, ce qui sera généralement le cas pour les transactions financières.
711 Notons que, même si la probabilité est extrêmement faible, il est possible que deux messages différents aboutissent à une même empreinte.
712 Sur la fonction de hachage, remarquons que la réalisation d’un condensé du message à l’aide de la fonction de hachage irréversible n’est pas indispensable. En effet l’émetteur du message pourrait directement encoder le message avec sa clé privée sans nécessairement passer par la production du condensé. Néanmoins la fonction de hachage irréversible sera souvent utilisée pour des raisons informatiques dans un souci de gagner du temps : encoder avec la clé privée un condensé (fichier de petite taille) est plus rapide que l’encodage du message en clair (fichier de plus grosse taille).
