Evolution de la réglementation en matière de signature électronique

Décret n°2017-1416 du 28 septembre 2017

Par un décret en date du 28 septembre 2017, le droit interne français a intégré les nouvelles exigences du droit européen relatives à la signature électronique posées par le règlement européen du 23 juillet 2014.

Ce qu’il faut retenir : Par un décret en date du 28 septembre 2017, le droit interne français a intégré les nouvelles exigences du droit européen relatives à la signature électronique posées par le règlement européen du 23 juillet 2014, sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

Depuis le 1er octobre 2017 le principe est le suivant : la fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée.

Pour approfondir : Ce règlement européen, qui remplace la directive 1999/93/CE depuis le 1er juillet 2016, instaure un nouveau système pour les interactions électroniques sécurisées au sein de l’Union Européenne (UE) entre les entreprises, les citoyens et les autorités publiques.

Jusqu’au 1er octobre 2017, le régime de la signature électronique en droit français était, jusque-là, régi par l’ordonnance du 10 février 2016, portant réforme du droit des contrats, du régime général et de la preuve des obligations. Cette ordonnance, qui a remplacé l’article 1316-4 du Code civil par un nouvel article 1367, présumait fiable jusqu’à preuve du contraire toute signature électronique. Cette présomption supposait la réunion de trois conditions : (i) il fallait que la signature soit créée, (ii) que l’identité du signataire soit assurée, et (iii) que l’intégrité de l’acte soit garantie. Depuis le 1er octobre 2017, ces trois conditions sont modifiées avec le règlement communautaire, qui vient préciser les caractéristiques techniques de ce procédé : si la présomption de fiabilité du procédé est maintenue, les conditions de cette dernière sont modifiées.

  • Une signature électronique avancée

La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, sous la condition suivante : ce procédé doit mettre en œuvre une signature électronique qualifiée.

Pour la définition même de la notion de signature électronique qualifiée, le décret se réfère directement à l’article 26 du règlement européen. D’après cet article, une signature qualifiée est une signature qui répond à quatre exigences cumulatives :

    • être liée au signataire de manière univoque ;
    • permettre d’identifier le signataire ;
    • avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
    • être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

Ces quatre conditions posées par le règlement sont plus contraignantes que celles originellement prévues par le droit français et traduisent une volonté de sécuriser le mécanisme.

  • Un dispositif de création de signature électronique qualifié

Cette signature électronique avancée devra avoir été créée à l’aide d’un dispositif de création de signature électronique qualifiée.

Les exigences applicables à ce dispositif sont précisées à l’article 29, et son renvoi à l’annexe II du règlement.

Le dispositif doit garantir, par des moyens techniques et des procédures appropriées, la confidentialité  et la protection contre toute falsification, des données de création de signature électronique utilisées.

Par ailleurs, la génération ou la gestion des données de création de signature électronique pour le compte du signataire doit être confiée à un prestataire de services de confiance qualifié. Ce dernier ne pourra reproduire les données de création de signature électronique qu’à des fins de sauvegarde sous réserve des deux exigences suivantes :

    • le niveau de sécurité des ensembles de données reproduits devra être équivalent à celui des ensembles de données d’origine ; et
    • le nombre d’ensembles de données reproduits ne devra pas excéder le minimum nécessaire pour assurer la continuité du service.
  • Un certificat qualifié de signature électronique

Le dispositif doit enfin reposer sur un certificat qualifié de signature électronique dont la mise en œuvre est décrite à l’article 28, et son renvoi à l’annexe I du règlement.

Le certificat devra contenir un certain nombre d’indications obligatoires, notamment :

    • une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique ;
    • le nom du signataire ou un pseudonyme ;
    • les précisions sur le début et la fin de la période de validité du certificat ;
    • le code d’identité du certificat ; et
    • un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié…

Par ailleurs, les certificats qualifiés de signature électronique pourront comprendre des attributs spécifiques supplémentaires non obligatoires.

A rapprocher : Règlement n°910/2014 du 23 juillet 2014

Sommaire

Autres articles

some
Tenue des assemblées générales pendant la crise sanitaire
La loi relative à la gestion de la sortie de crise sanitaire en date du 31 mai 2021 a prorogé le régime dérogatoire de tenue des assemblées générales jusqu’au 30 septembre 2021.
some
La Cour de cassation renforce l’obligation de dépôt des comptes annuels auprès du greffe
En cas d’absence de dépôt des comptes annuels au greffe du tribunal de commerce, tout intéressé peut demander au président du tribunal d’enjoindre sous astreinte à une société par actions de procéder à ce dépôt, sans que ne puisse être…
some
Une décision accordant au dirigeant une rémunération contraire à l’intérêt social n’est pas nulle
En l’absence de violation de la loi, de fraude ou d’abus de majorité, la seule contrariété à l’intérêt social ne suffit pas pour annuler une décision des associés qui octroie une rémunération exceptionnelle à un dirigeant.
some
Absence de responsabilité personnelle du dirigeant dont la démission n’a pas été publiée
L’administration fiscale ne peut invoquer l’inopposabilité de la démission non publiée d’un dirigeant pour rechercher sa responsabilité, sauf à démontrer une gestion de fait de ce dernier.
some
Un membre du conseil de surveillance n’exerce pas une fonction de direction
Une interdiction de gérer n’est pas incompatible avec l’exercice d’un mandat de membre du conseil de surveillance d’une société anonyme car les membres d’un conseil de surveillance n’exercent qu’une mission de contrôle de la gestion de la société, et...
some
Etat d’urgence sanitaire et assouplissement des règles de réunion et de délibération des organes dirigeants et des assemblées
Pour aider les entreprises, le gouvernement a subséquemment adopté une ordonnance du 25 mars 2020 n° 2020-321 permettant un assouplissement des règles de réunion et de délibération des organes dirigeants et des assemblées pour permettre et faciliter la...