Nadia Antonin

1. Introduction

La signature électronique fêtant cette année ses dix ans en France, c’est l’occasion de faire le point. Mais avant d’entrer dans le vif du sujet, rappelons qu’il existe une différence entre signature électronique et signature numérique (voir glossaire). Les signatures numériques renvoient à une technologie identifiée alors que les signatures électroniques renvoient à des fonctions juridiques, à un procédé fiable d’identification permettant de garantir le lien avec l’acte auquel elle s’attache sans viser une technique particulière (sauf pour les signatures électroniques sécurisées - décret du 30 mars 2001).

2. Principales causes avancées pour expliquer « l’infortune » de la signature électronique.

Il n’existe pas de réponse simple à la question de savoir pourquoi le marché des signatures électroniques ne s’est pas développé plus vite.

• La complexité de la technologie Infrastructure à Clés Publiques (ICP) sur laquelle repose la signature électronique.

• Absence d’interopérabilité technique aussi bien au niveau national que transfrontalier et de son corollaire.

• Mauvaise compréhension des moyens de la signature électronique.

• Laproblématique de l’archivage : parler de problème d’archivage ne signifie pas qu’un acte signé électroniquement ne peut pas être archivé, mais que son intégrité ne doit pas reposer sur les seules propriétés de la signature chiffrée, dont la fiabilité future est incertaine.

• Obstacles psychologiques et sociétaux : crainte de la fraude notamment. La méfiance persiste.

• Les textes ne manquent pas, mais ils contiennent des recommandations plutôt que de véritables directives.

3. Les expériences positives

• A l’étranger

La Deutsche Postbank recourt désormais à la signature électronique pour ses opérations avec la clientèle. C’est le seul moyen d’assurer une sécurité complète des échanges dans un environnement Internet « ouvert » face aux menaces en forte croissance comme notamment l’hameçonnage ou « phishing ». Désormais, les courriels échangés entre la Deutsche Postbank et ses clients comportent un certificat numérique. C’est un peu l’équivalent d’une pièce d’identité électronique qui permet d’authentifier l’internaute à chaque connexion et donc de sécuriser les transactions.

• En France

• Au niveau des instances nationales de normalisation, les travaux confiés au Comité français d’organisation et de normalisation bancaires (CFONB) connaissent des avancées significatives. Ainsi, des groupes de travail sont chargés d’étudier la signature électronique avec notamment les problématiques liées à l’acceptation des certificats dans les applications bancaires ; la gestion des identités avec l’accent sur la Carte Nationale d’Identité Électronique ; les nouvelles technologies relatives aux paiements ou à l’authentification sur internet ou téléphone mobile ; la sécurité et l’archivage électronique.

• Depuis le 11 avril 2006 Finaref, société de crédit filiale du Crédit Agricole, propose à ses clients de souscrire à une assurance de compte ou de prendre une carte Visa en signant le contrat au moyen d’une signature électronique. D’autres établissements tentent également des expérimentations. La BNP Paribas propose ainsi à ses clients d’utiliser le certificat électronique pour les convocations aux assemblées générales d’actionnaires. La Banque Populaire de Champagne réfléchit également à la mise en place de la signature électronique.

• La toute première signature électronique d’un acte notarié conservé de façon dématérialisée dans le MINutier Électronique National des notaires (MINEN) : le 28 octobre 2008, la France signe le premier acte notarié dématérialisé au monde. Il est donc désormais possible, en passant par un notaire, de conclure un acte dématérialisé sans disposer de son propre certificat de signature électronique. Cela étant, fin 2008, seules 40 études notariales proposaient ce service à leurs clients.

• Dans la sphère publique, la légalité de l’utilisation de la signature électronique est incontestable depuis l’ordonnance du 8 décembre 2005.

Le manuscrit comme force de loi semble avoir de beaux jours devant lui si l’on en juge par les premières expérimentations de la signature électronique. La question se pose alors de savoir quelles seraient les solutions à envisager pour faire progresser la signature électronique.

4. Comment faire encore progresser la signature électronique ?

• Mise en œuvre de la signature qualifiée : la signature électronique est légale, mais elle peut être contestée. La signature qualifiée permet de renverser la charge de la preuve au contestataire.

• Définir un cadre d’interopérabilité : La Commission européenne encourage les travaux de normalisation pour promouvoir l’interopérabilité des systèmes de signature électronique à l’intérieur et au-delà des frontières¹ et l’utilisation de toutes sortes de technologies pour les signatures qualifiées dans le marché intérieur.

• Faire progresser les mentalités.

• Créer un ensemble de recommandations pour la gestion de la preuve.

• Quid de la mise en œuvre de la future carte d’identité électronique ? Dans une étude intitulée « Identité numérique et signature électronique » l’AFNOR, en collaboration avec la SSII Cap Gemini, le cabinet d’avocats Caprioli & Associés, la Caisse des Dépôts et Consignations et le prestataire de services de certification Keynectis, évalue à plus de quatre millions d’euros les gains que rapporterait une meilleure authentification des particuliers sur internet grâce à l’usage des certificats de la future carte d’identité électronique française (CNIE). Ce même rapport conclut que les signatures électroniques constituent l’un des enjeux majeurs du programme d’identité de l’État pour que ce projet participe pleinement au développement de l’économie numérique et des échanges sur internet.

5. Glossaire

Autorité de certification : Organisme ayant la confiance d’une ou plusieurs autres entités pour créer, attribuer et révoquer ou suspendre des certificats de clés publiques.

Certificat : Attestation électronique qui lie des données afférentes à la vérification de signature électronique à une personne et confirme l’identité de cette personne.

Certificat qualifié : Certificat électronique répondant aux exigences de l'article 6 du décret n° 2001-272 du 30 mars 2001 sur la signature électronique (ou aux annexes I et II de la directive européenne sur la signature électronique.

Clé privée : Partie non divulgable, et donc à usage exclusif de son détenteur, du jeu de clés nécessaire au bon fonctionnement d’un algorithme cryptographique asymétrique.

Clé publique : Partie divulgable du jeu de clés nécessaire au bon fonctionnement d’un algorithme cryptographique asymétrique.

Infrastructure à clés publiques (ICP) : Ensemble de composants, fonctions et procédures dédiés à la gestion de clés et de certificats utilisés par les services de sécurité basés sur de la cryptographie à clé publique.

Preuve : Ensemble de moyens servant à établir l’exactitude d’un fait ou l’existence d’un document juridique. L'administration en incombe à la partie qui se prévaut de ce fait ou de l'obligation dont elle se prétend créancière.

Signature électronique : Signature numérique répondant aux conditions définies par l’article 1316-4 du code civil, ce qui permet d’authentifier l’acte auquel elle est attachée et d’identifier son signataire.

Signature numérique : Valeur calculée à partir des données d’un message et de la clé privée de son signataire, permettant à la fois de garantir l’intégrité desdites données et la non-répudiation.

Note : La clé publique correspondant au message permet de s’assurer que cette valeur provient bien de la clé privée du signataire et, l’autorité de certification (AC) ayant délivré cette clé publique, garantit le lien avec l’identité du signataire.