Signature électronique : décryptage

Publié le

La signature électronique permet, à l’aide d’un procédé cryptographique, de garantir l’intégrité du document signé et l’identité du signataire. Paradoxalement, la signature manuscrite inspire plus confiance que la signature électronique alors qu'elle n’est absolument pas vérifiée par le pouvoir adjudicateur dans le cadre des procédures d’appel d’offres et ce, contrairement à la signature électronique. Cette méfiance est due en grande partie à l’incompréhension vis-à-vis des concepts juridico-informatiques liés à la signature électronique.

Nous allons ici tenter de décrypter la signature électronique : après avoir abordé sa définition (I), nous expliquerons comment signer et avec quels instruments (II), puis comment vérifier la validité d’une signature électronique (III), les différentes catégories de signature (IV) et enfin nous examinerons la réglementation européenne en la matière (V).

I. Définition de la signature électronique

Le Code des marchés publics (CMP) ne propose pas de définition de la signature électronique ; la seule mention qui y est faite se trouve à l’article 48 : « L'acte d'engagement pour un marché ou un accord-cadre passé selon une procédure formalisée, lorsque l'offre est transmise par voie électronique, est signé électroniquement dans des conditions fixées par arrêté du ministre chargé de l'Économie ». L’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics vise de ce fait le Code civil puisque c’est dans celui-ci que la signature électronique est définie .En effet, l’article 1316-4 du Code civil, créé par la loi n° 2000-230 du 13 mars 2000, dispose que « la signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'État ».L’article 8 de l’ordonnance n° 2005-1516 du 8 décembre 2005 prévoit par ailleurs que « les actes des autorités administratives peuvent faire l’objet d’une signature électronique. Celle-ci n’est valablement apposée que par l’usage d’un procédé, conforme aux règles du référentiel général de sécurité mentionné au I de l’article 9, qui permette l’identification du signataire, garantisse le lien de la signature avec l’acte auquel elle s’attache et assure l’intégrité de cet acte ».En France, à compter du 18 mai 2013, l’aspect technique de la signature électronique sera fixé par le décret n° 2007-284 du 2 mars 2007 fixant les modalités d’élaboration, d’approbation, de modification et de publication du référentiel général d’interopérabilité ou RGS.

II. Comment signer électroniquement ?

La  signature électronique, pour être un procédé fiable d'identification, implique l’utilisation d’un certificat électronique de signature et d’un logiciel de signature. Le certificat électronique est un composant électronique (carte à puce, clé USB, logiciel) qui garantit :

  • l'identité de la personne signataire (carte d'identité) ; le certificat comprend l'identité du titulaire, la période de validité, la clef publique et la signature de l'autorité de certification, c’est-à-dire de l'entité qui a délivré le certificat ;
  • l'intégrité des documents échangés (protection contre toute altération) ;
  • l'assurance de non-répudiation (impossibilité de renier sa signature et le contenu de l'acte signé).

C’est l’autorité de certification (AC), véritable tiers de confiance, qui garantit la validité des éléments contenus dans le certificat.Un logiciel de signature est un outil qui permet d’apposer sa signature sur un document électronique. Il est aussi indispensable que le certificat. Les plateformes de marchés publics proposent en général gratuitement un logiciel de signature.En effet, selon la Commission des Nations unies pour le droit commercial international, une signature numérique est « une valeur numérique apposée à un message de données et qui, grâce à une procédure mathématique bien connue associée à la clé cryptographique privée de l'expéditeur, permet de déterminer que cette valeur numérique a été créée à partir de la clé cryptographique privée de l'expéditeur. Les procédures mathématiques utilisées pour créer les signatures numériques sont fondées sur le chiffrement de la clé publique. Appliquées à un message de données, ces procédures mathématiques opèrent une transformation du message de telle sorte qu'une personne disposant du message initial et de la clé publique de l'expéditeur peut déterminer avec exactitude : a) si la transformation a été opérée à l'aide de la clé privée correspondant à celle de l'expéditeur ; et b) si le message initial a été altéré une fois sa transformation opérée (...).« Contrairement à la signature manuscrite, la signature numérique, composée de chiffres, de lettres et d'autres signes, ne comporte aucun élément permettant de l'attribuer à une personne donnée. Chaque utilisateur doit donc établir avec certitude l'identité de ses correspondants. C'est pourquoi on recourt à des services de certification, souvent désignés comme "tiers de certification", qui disposent de la confiance de chacun et qui garantissent l'appartenance d'une signature à une personne » (in note de synthèse, rapport du Sénat du 1er décembre 1999  sur la signature électronique).

 

III. Comment vérifier une signature électronique ?

C’est le rôle des logiciels de vérification de signature, qui permettront d’imprimer un compte-rendu de vérification attestant de la validité de la signature électronique. L’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics indique que c’est l’opérateur économique ayant signé électroniquement qui doit fournir la procédure de vérification de la signature, sauf si la plateforme de dématérialisation – autrement dit le « le profil d’acheteur » – permet cette vérification.L’article 5 de l’arrêté prévoit que, pour être valide, une signature électronique doit permettre de vérifier :

 

  • l’identité du signataire ;
  • l’appartenance du certificat du signataire à l’une des catégories de certificats, utilisables jusqu’au 18 mai 2013, mentionnées sur les listes de confiance mises à disposition du public par voie électronique par le ministre chargé de la Réforme de l’État (sur les sites de la Direction générale de la Modernisation de l'État et de la Direction générale de la Compétitivité, de l'Industrie et des Services) et par la Commission européenne ;
  • le respect du format de signature (XAdES, CAdES et PAdES ou conforme au RGS) ;
  • le caractère non échu et non révoqué du certificat à la date de la signature ;
  • l’intégrité du fichier signé.

Le format de signature est un type de signature conforme à une syntaxe et à un langage informatique donné. Sur le plan des formats, par décision du 25 février 2011, la Commission européenne impose aux États membres d’accepter l'utilisation de formats de signature tels que XAdES (XML Advanced Electronic Signatures), CAdES (CMS Advanced Electronic Signatures), PAdES (PDF Advanced Electronic Signatures).

IV. Les différentes catégories de signature électronique

Selon le degré de fiabilité résultant des dispositifs techniques mis en place pour signer électroniquement, la force probatoire de la signature électronique sera plus ou moins importante. Il est important de noter qu’en cas de litige, c’est le juge qui appréciera souverainement le caractère probant de la signature et par là sa valeur juridique et ce, que la signature soit manuscrite ou électro­nique (C. pr. civ., art. 285 et s.).Les trois niveaux de signature électronique en vigueur en France, qui ont été mis en place par le décret n° 2001-272 du 30 mars 2001, sont :

  • la signature électronique simple (ou « ordinaire »), qui résulte de l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache (C. civ., art. 1316-4, al. 2) ;
  • la signature électronique sécurisée (ou « avancée »), qui est une signature électronique devant satisfaire aux exigences suivantes : être propre au signataire, être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable ;
  • la signature électronique présumée fiable (ou « qualifiée »), qui requiert trois conditions supplémentaires : l'exigence d'un dispositif sécurisé de création de signature électronique, la vérification de la signature et la possibilité d’une vérification grâce à l'utilisation d'un certificat électronique qualifié, c'est-à-dire lui-même sécurisé.

Dans cette seule hypothèse, la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire.Ces trois catégories de signature correspondent aux niveaux de sécurité * , ** ou *** étoiles conformes au RGS (référentiel général de sécurité) défini pour les certificats de signature. Ces niveaux de sécurité remplacent depuis l’arrêté du 15 juin 2012 les standards de certificat, décomposés en classe 1, 2 et 3 définis par le référentiel PRIS (politique de référencement intersectoriel de sécurité), qui ne seront plus utilisables à compter du 19 mai 2013.

V. Le cadre européen sur la signature électronique  

C’est la directive européenne 1999/93/CE du 13 décembre 1999 qui a établi, au niveau européen, le cadre juridique pour les signatures électroniques. Celle-ci a été transposée en droit français par la loi n° 2000-230 du 13 mars 2000 et son décret d'application n° 2001-272 du 30 mars 2001, modifié par le décret n° 2002-535 du 18 avril 2002.La directive européenne reconnaît deux catégories de signature électronique, toutes deux recevables en justice, qui se distinguent par leurs exigences techniques et leurs effets juridiques : la signature électronique dite « ordinaire » et la signature électronique « avancée ».La signature électronique « ordinaire » est définie par l'article 2 de la directive 1999/93/CE comme « une donnée sous forme électronique, qui est jointe ou liée logiquement à d'autres données électroniques et qui sert de méthode d'authentification », tandis que la signature électronique avancée est une signature électronique qui satisfait aux exigences suivantes :

  • être liée uniquement au signataire ;
  • permettre d'identifier le signataire ;
  • être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
  • être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable.

Cela implique un certificat qualifié et un dispositif sécurisé de création de signature comme l’impose l’article 5.1 de la directive.Il est à noter que la transposition de cette directive a donné lieu à des variations regrettables d’un pays à l’autre. Selon le rapport du Sénat du 1er décembre 1999 sur la signature électronique, les textes allemand et italien, par exemple, ne reconnaissaient que certaines formes de signature électronique et leur accordaient des effets différents. Afin de permettre d’ici 2015 la création d’un véritable marché unique du numérique qui permette l’utilisation transnationale des services en ligne, une proposition de règlement sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur a été soumis par la Commission au parlement européen en juin dernier. L’adoption d’un règlement européen au lieu d’une directive a pour objet d’éviter les divergences d’application afin de créer un réel marché intérieur du numérique. En effet, un règlement n’a pas à être transposé par les États et s’impose de façon immédiate aux États membres.Le futur règlement, suivant en cela les préconisations françaises (voir la note des autorités françaises en date de juillet 2011) de créer trois niveaux de signature, introduira une nouvelle forme de signature électronique. Outre la signature électronique « ordinaire » et la signature électronique « avancée », est prévue la signature électronique « qualifiée », laquelle est « une signature électronique avancée qui est créée à l'aide d'un dispositif de création de signature électronique qualifié et qui repose sur un certificat qualifié de signature électronique ». Cette nouvelle catégorie de signature électronique est la seule pour laquelle le règlement considère que « l'effet juridique (...) est équivalent à celui d'une signature manuscrite » et celle-ci sera reconnue et acceptée dans tous les États membres.Sources :