Droit public IT
Signature électronique
Validité de la signature sous forme de Fac-similé
La pratique de l’apposition de la signature sous la forme d’un Fac-similé des décisions ministérielles de retrait de points et de retrait du permis de conduire a été validée par le Conseil d’Etat bien qu’il ne réponde pas à la question de savoir si une telle signature est présumée constituer un procédé fiable d’identification au sens de l’article 1316-4 du Code civil. Ainsi, par un avis rendu le 31 mars 2008, le Conseil d’état autorise l’apposition de la signature sous forme d’un Fac-similé s’agissant des décisions ministérielles de retrait de points et de retrait du permis de conduire. Le Conseil d’état s’est vu transmettre par le Tribunal administratif de Bordeaux la question de savoir si « l’utilisation systématique d’un Fac-similé de la signature de l’autorité compétente, apposé de manière automatique sur des décisions ministérielles […] était couverte par la présomption de fiabilité qui s’attache, selon le code civil, à la signature électronique ». En effet, l’article 1316-4 du Code civil prévoit que la signature électronique doit consister « en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » et que cette fiabilité « est présumée, jusqu’à preuve du contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garanti ». Or, l’article 2 du décret de l’application de cet article (décr. n°2001-272 du 30 mars 2001) dispose que « la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve du contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié ».
Bien que le Conseil d’état ne réponde pas à la question de savoir si l’apposition de la signature sous la forme d’un Fac-similé est présumée être un procédé fiable d’identification au sens de l’article 1316-4 du Code civil, l’avis retient que « l’apposition de la signature du sous-directeur de la circulation et de la sécurité routière au ministère de l’intérieur sur les décisions […], sous la forme d’un Fac-similé, procédé inhérent à un traitement automatisé des décisions, identifie l’auteur de la décision et atteste que l’ensemble des informations qui y sont rapportées ont été enregistrées sous l’autorité et sous contrôle du ministre de l’intérieur, dans des conditions prévues par le code de la route et que la notification de chaque décision intervient à l’issu de l’ensemble des étapes rappelées ci-dessus ».
Avis du Conseil d’Etat n°311095 du 31 mars 2008
Signature électronique : les premiers certificats «qualifiés» arrivent
Depuis la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique, le Code civil distingue la signature électronique dite « simple » de la signature électronique présumée fiable (art. 1613-4 al. 2 du Code civ.). Bien que la signature électronique « simple » soit largement plébiscitée, seule un procédé de signature électronique sécurisé peut être utilisé pour les actes authentiques (Décr. n°2005-972 et 973 du 10 août 2005). La signature électronique présumée fiable doit répondre aux exigences du décret du 30 mars 2001 et notamment à son article 2 : pour être présumée fiable une signature électronique doit être établie grâce à un dispositif sécurisé de création de signature électronique certifié puis vérifiée au moyen d’un certificat électronique qualifié.
Le certificat électronique qualifié doit répondre à une double exigence portant sur les informations qu’il doit contenir et sur le prestataire de services de certification électronique (PSCe) qui le délivre (art. 6 I et II du décr. du 30/03/2001). Contrairement au dispositif de création de signature électronique qui, pour être sécurisé, doit impérativement faire l’objet d’une procédure de certification, les PSCe peuvent se soumettre, volontairement, à une procédure de qualification (Arr. du 26/07/2004). Les prestataires qui fournissent des services techniques aux PSCe précités peuvent se soumettre à la même procédure de qualification, pour les exigences qui leurs sont applicables.
En l’absence de qualification, c’est-à-dire d’absence d’évaluation de la conformité des PSCe, par un organisme accrédité, aux exigences de l’article 6 II du décret du 30 mars 2001, les PSCe ne bénéficient pas de la présomption de conformité audites exigences, mais peuvent néanmoins délivrer des certificats qualifiés, conférant avec le dispositif sécurisé de création de signature électronique précité, présomption de fiabilité à la signature électronique. Les PSCe doivent néanmoins, dans le cadre de la formalité déclarative auprès du Premier ministre prévue à l’article 31 de la loi pour la confiance dans l’économie numérique pour la fourniture de prestations de cryptologie, indiquer qu’ils entendent délivrer des certificats électroniques qualifiés.
Les PSCe qui délivrent des certificats qualifiés sont responsables des préjudices causés aux personnes qui se sont fiées à leurs certificats, sauf à ce qu’ils démontrent qu’ils n’ont commis aucune faute intentionnelle ou négligence. Ils peuvent néanmoins indiquer dans leurs certificats des limites, y compris financières, à leur utilisation.
Les PSCe qualifiés selon l’arrêté du 26 juillet 2004 sont encore peu nombreux, puisque le site telecom.gouv.fr recense à ce jour la Banque de France et les Notaires de France, auquel s’ajoute Keynectis. Cette évaluation aux fins de qualification des PSCe porte sur la conformité aux exigences de l’article 6 du décret du 31 mars 2001, telles que précisées par le document AFNOR AC Z 74-400 « exigences concernant la politique mise en œuvre par les autorités de certification délivrant des certificats qualités » et par l’annexe à l’arrêté du 26 juillet 2004.
Quant aux certificats qualifiés, ils doivent être distingués du dispositif sécurisé de création de signature électronique soumis à la procédure de certification précitée ou encore de la liste des certificats référencés PRIS v1 (Politique de référencement intersectorielle de sécurité) dans le cadre de l’administration électronique. Pour autant, la fiabilité de la signature électronique ne repose pas exclusivement sur les PSCE, agissant comme autorité de certification.
La vérification de l’identité de la personne à laquelle un certificat électronique est délivré et de sa qualité, peut être déléguée par l’autorité de certification à l’autorité d’enregistrement, cette dernière devant alors formaliser sa politique en la matière, appelée « politique d’enregistrement ». Cette vérification peut se formaliser par le « face à face », peu adapté aux transactions en ligne ou la remise de justificatifs ou encore, par l’interconnexion avec une base de données administrative (« PRIS v.2.1 »), nécessitant alors d’observer une procédure de demande d’autorisation auprès de la Commission Nationale de l’Informatique et des Libertés (art. 25 I 5° de la loi n°78-17 du 6/01/1978).
Actualité du Minefi du 10 mars 2008
Produits disposant d’un certificat de conformité au décret n°2001-272 du 30 mars 2001
Catégories (familles) de certificats référencés PRIS v 1