La preuve sur internet: le cas de la vente en ligne

II : La consécration juridique de la signature électronique

174. Selon le Code Civil du Québec, une signature est l'apposition qu'une personne fait de son nom ou d'une marque qui lui est propre et qu'elle utilise pour manifester son consentement^136(*). La signature électronique est aujourd'hui possible tant techniquement que juridiquement (A). Dès que l'intégrité du document est assurée et que le lien entre la personne et la signature est maintenu, la signature lui sera opposable. Mais quelles sont les fonctions d'une telle signature? (B)

A- La consécration jurisprudentielle et législative

175. Devant un tribunal, il faudra aussi prouver l'identité de la personne partie à la vente en ligne. Actuellement, cela peut se faire avec la signature électronique qui est légalement reconnue (2). Avant le législateur, la jurisprudence s'était déjà prononcée en faveur de cette reconnaissance (1).

1- La consécration jurisprudentielle

176. La jurisprudence fut, dans un premier temps, réticente à la reconnaissance de la signature électronique^137(*). Mais l'évolution technologique conduisit, dans un second temps, la Cour de cassation à reconnaître la validité de la signature électronique^138(*).

177. Jurisprudence Crédicas. Ce sont les arrêts Crédicas rendus le 8 novembre 1989 par la Cour de cassation française^139(*), consacrant la licéité des conventions sur la preuve, qui reconnaissent la validité de la signature électronique. Celle-ci est équivalente à une signature manuscrite car une chaîne de caractères peut être assimilée aux caractères représentés par la main^140(*). Certaines conventions relatives à la preuve définissent la signature électronique comme un ensemble de chiffres qui résultent d'un calcul algorithmique déclenché ou initié par la frappe d'un code confidentiel.

178. Les arrêts Crédicas ont été rendus dans des affaires concernant ce qu'il convient d'appeler la « signature électronique » dans les cartes de crédit, de retrait, de paiement en matière bancaire. Et c'est à l'occasion d'un paiement par carte de paiement que la Cour de cassation a consacré la signature électronique. Il s'agissait, dans ces espèces, de l'emploi d'un code secret pour l'utilisation d'une carte bancaire. Selon la convention de preuve, la saisie du code en complément de l'utilisation de la carte permet de présumer que l'ordre de paiement a bien été effectué par le titulaire de la carte. Cette décision, au-delà de la reconnaissance de la validité des conventions de preuve, prend en compte le procédé de signature électronique choisi comme mode de preuve.

179. A la suite de la jurisprudence Crédicas, le législateur est intervenu pour asseoir définitivement la validité de la signature électronique.

2- La consécration législative

180. Dans différents pays, les pouvoirs législatifs ont résolument amorcé la tendance en faveur de la consécration de la signature électronique dans les transactions en ligne dans le cadre du commerce électronique. De nombreux pays s'étant inspirés de la Loi type, la reconnaissance de la signature électronique se rencontre dans plusieurs pays de droit civil^141(*) et de common law^142(*).

181. Réforme législative française. En adaptant le droit de la preuve aux technologies de la communication, le droit positif français consacre désormais la signature électronique. Le droit français n'avait pas prévu le commerce électronique, mais seulement la vente à distance. Or la reconnaissance de la signature électronique comme mode de preuve et d'authentification existait déjà à l'échelon international et la Directive communautaire du 13 décembre 1999^143(*) prévoyait un cadre commun pour les signatures électroniques. La France ne donnera une réponse officielle à la question liée à la valeur probatoire qu'avec la loi du 13 mars 2000. Elle répond ainsi aux préoccupations exprimées par le Conseil d'État dans son rapport de juillet 1998 : Internet et les réseaux numériques^144(*).

182. En effet, le Conseil d'État a souhaité que le législateur précise la valeur juridique de la signature et d'un e-mail dans une transaction. L'article 1316, alinéa 2 du Code Civil semble satisfaire l'attente du Conseil d'Etat. Le législateur a conféré à la signature électronique la même force probante que la signature manuscrite sur support papier^145(*) : un écrit sous forme électronique peut désormais être signé par un procédé nommé signature électronique, dont le rôle est analogue à celui d'une signature manuscrite pour un manuscrit. L'effectivité de la réforme du droit de la preuve, consacrant la signature électronique ne sera définitivement acquise qu'avec le décret du 30 mars 2001^146(*).

183. Législation canadienne. En droit canadien, la reconnaissance de la signature électronique par le législateur ne figure pas expressément dans la Loi uniforme sur la preuve électronique. Il est regrettable que la signature électronique n'ait point été évoquée dans le texte de la Loi uniforme, alors même qu'elle constitue bien souvent l'un des points les plus importants de discorde entre les plaideurs. Malgré cette lacune formelle, on peut croire que le document électronique présentable en preuve, est envisagé dans son entier, englobant ainsi la signature électronique. En tous les cas, la présence d'une signature doit être déterminante au niveau de la force probante attachée au document électronique.

B- Les fonctions de la signature électronique dans la vente en ligne

184. La signature d'un acte ne peut émaner que d'une personne qu'elle identifie et à laquelle elle est rattachée. Généralement, il s'agit d'un moyen technique qui permet d'identifier et d'authentifier l'auteur d'un document sur le réseau. L'emploi d'une signature électronique dans le cadre d'une vente en ligne engage les signataires, commerçants et internautes, comme le ferait un contrat sous forme papier. Non seulement la signature électronique accompagnant l'acte identifiera celui dont il émane (1) et lui conférera une valeur probatoire équivalente à celle d'un écrit papier, mais elle permettra également de s'assurer de l'expression du consentement à la vente en ligne (2). Aussi, non seulement la signature est-elle la marque de la personne qui s'oblige, mais encore, elle est le signe visible de son acceptation des obligations contenues dans l'acte^147(*).

1- L'identification de l'auteur

185. L'identification du signataire est la vertu dominante de tout type de signature^148(*). En effet, la fonction d'identification constitue le premier référent de la signature. En matière de vente en ligne, l'identification des acteurs constitue une préoccupation majeure. Il faut être persuadé de l'identité de chaque contractant, mais surtout de son habilitation à contracter en tant que particulier ou représentant social. Il est donc nécessaire de garantir l'identification du signataire. De plus, il est nécessaire, pour une signature électronique, que soit assurée l'intégrité du document. En effet, il suffirait de modifier l'acte après apposition de la signature pour modifier la teneur de l'engagement contractuel.

- La nécessité de garantir l'identification de l'auteur

186. Pour que la validité de la signature puisse être assurée, l'auteur doit pouvoir être identifiable^149(*). En effet, il faut que le signataire puisse être formellement identifié. Le processus d'identification fait appel à un tiers, appelé tiers certificateur. Celui-ci intervient pour la certification de la signature électronique.

187. Cryptologie et identification. Lorsque l'on énonce : « Je crypte, donc je suis »^150(*), doit-on comprendre que l'usage de procédés de cryptologie^151(*) permet d'identifier les signataires d'actes juridiques électroniques sur le réseau ? A notre avis, la réponse doit être positive, étant précisé ici que la cryptologie à clé publique ne se contente pas d'identifier la personne ; elle renseigne également sur l'identité de l'auteur de la signature, contrairement à la signature manuscrite.

188. Cryptologie asymétrique. La signature électronique utilise une « Infrastructure de gestion de Clé Publique »^152(*). C'est un système fondé sur la cryptologie asymétrique^153(*). Ici, ce n'est pas la même clé qui crypte et décrypte les messages^154(*).

189. En pratique, la clé privée est un identifiant numérique qui peut être intégré dans divers supports, tels qu'un logiciel, une carte à puce. A terme, celle-ci pourra être remplacée par l'usage de la biométrie, qui permet l'identification de l'être humain par ses données organiques^155(*). La clé publique est, quant à elle, apposée sur le certificat de signature électronique, sorte de carte d'identité virtuelle^156(*).

190. La clé privée permet de signer le document électronique ; c'est donc l'équivalent du stylo. Il est impératif que la clé privée ne soit pas divulguée et reste en la possession de son propriétaire^157(*). De plus, le recours à un code d'accès complémentaire pourrait être une garantie supplémentaire. Ainsi, la mise en oeuvre du procédé de signature ne pourrait être validée qu'une fois un code ou un « identifiant » saisi^158(*), ce qui permettrait l'accès à la clé privée.

191. Afin de pouvoir s'assurer que la clé publique est réellement celle du détenteur prétendu, que celle-ci n'a pas été usurpée, ou que le bi-clé^159(*) n'a pas été tiré frauduleusement, il convient de le faire certifier par une tierce partie : le prestataire de service de certification électronique^160(*), qui va émettre un certificat.

192. En effet, la clé privée doit rester en possession de l'utilisateur pour signer. La clé publique devra faire l'objet de tous les soins: le destinataire du message signé s'en servira pour ouvrir et déchiffrer la signature au moment de sa vérification. Comment, pratiquement, la clé publique parviendra-t-elle au destinataire du message? Si elle lui est transmise directement par le signataire de la main à la main, comment avoir confiance, comment être sûr qu'il ne s'agit pas d'une «vraie fausse» clé? C'est la raison principale de l'intervention d'un témoin privilégié, le prestataire de service de certification.

193. Certification, tiers certificateurs et certificats. En l'absence d'un réseau de certification^161(*), la question des échanges entre personnes qui ne sont jamais rentrées en relation auparavant reste entière : comment ces personnes vont-elles échanger de manière sécurisée leurs clés publiques ? Qui garantira que la clé donnée est bien celle de la personne annoncée et non pas celle d'un imposteur? Sans certitude sur l'identité du cocontractant, la validité de la signature et donc de la transaction peut être contestée.

194. Pour que le recours au système de cryptage à clé publique offre une sécurité juridique, des réseaux de certifications doivent être mis en place. Le tiers certificateur^162(*) est un organisme, public ou privé, qui émet des certificats électroniques^163(*).

195. Le certificat est au coeur du processus de signature électronique. Il est porteur d'une valeur juridique, puisqu'il va permettre l'identification de la personne^164(*). En pratique, l'utilisateur va transmettre sa clé publique au certificateur^165(*). Après certaines vérifications sur l'identité et la capacité de la personne, le certificateur va garantir son identité en confectionnant, puis émettant un certificat électronique qui contiendra la clé publique et les informations permettant l'identification de la personne. Aussi, pour assurer le destinataire que le certificat n'est pas un faux, le certificateur va-t-il devoir signer ce certificat de sa signature électronique^166(*).

196. Certificat électronique simple et certificat qualifié. Le décret du 30 mars 2001 reconnaît deux types de certificats : le certificat électronique simple et le certificat qualifié. Le premier est un document qui se présente sous la forme électronique et qui atteste du lien entre les données de vérification de signature électronique et un signataire. Le certificat électronique qualifié doit répondre à une série de critères définis par le décret. Il doit avoir été délivré par un prestataire capable de délivrer ce type de certificat et comporter certaines indications^167(*).

197. La certification et la gestion des certificats constituent « la pierre angulaire »^168(*) du système, car dans le cas d'un certificat qualifié, associé à d'autres conditions, la fiabilité de la signature sera présumée^169(*).

198. Selon l'article 3 du décret du 30 mars 2001, seul le prestataire de service de certification (PSC) peut délivrer une signature électronique sécurisée, car il est le seul à mettre en oeuvre un dispositif de création sécurisé. Le prestataire est, selon l'article 2, alinéa 11 de la Directive du 13 décembre 1999 sur un cadre communautaire pour les signatures électronique, « Toute entité ou personne physique ou morale qui délivre des certificats ou fournie d'autres services liés aux signatures électroniques ».

199. Le prestataire de service de certification est un des éléments clés de la signature électronique. La délivrance du certificat va permettre d'identifier la personne physique ayant apposé la signature^170(*).

200. Responsabilité du certificateur. Sous ce rapport, une des parties à la vente en ligne étant mise dans l'impossibilité de rapporter la preuve de la réalité du contrat du fait d'un certificat erroné, pourra engager la responsabilité du certificateur, lequel ne pourra s'exonérer de cette responsabilité qu'en prouvant qu'il n'a commis aucune négligence.

201. Outre la nécessité de garantir l'identification de l'auteur de la signature, il est tout aussi nécessaire d'assurer la garantie de l'intégrité du document.

- La nécessité de garantir l'intégrité du document

202. Risques. L'un des traits caractéristiques de la signature électronique réside en ce qu'elle fait l'objet d'une télétransmission^171(*). Or, pendant cette transmission, la signature peut être altérée, comme d'ailleurs le message lui-même, cette altération peut être due aux conditions techniques ou à l'intervention de personnes mal intentionnées. Le message, à son arrivé, peut ne pas correspondre exactement à celui qui a été envoyé. Ce sont ces risques qui expliquent la nécessité d'une garantie, voulue par les parties, de l'intégrité des messages électroniques, et donc de la signature, qui en est une des données^172(*). Cette intégrité^173(*) devra être permanente : de la création jusqu'à la vérification par le destinataire du lien de la signature avec l'acte de vente, puis lors de l'archivage de la signature électronique.

203. Le terme « intégrité » est peu usité en droit^174(*). Techniquement, l'intégrité signifie l'état d'une chose complète, qui n'a pas subi d'altération^175(*). C'est, dans le cas de la signature électronique, la transmission qui pourra être à l'origine de la modification du fichier, ce qui explique la nécessité de contrôler le bon état du fichier à l'arrivée^176(*). Également, le destinataire pourra être tenté de modifier la teneur du contrat pour, par exemple, limiter son engagement. Il ne faut pas se limiter à cet exemple : la signature électronique tend également à protéger le destinataire car elle va sceller l'engagement contractuel de l'expéditeur. En ce sens, la signature électronique se veut protectrice de toutes les parties au contrat.

204. Mise en oeuvre de l'intégrité. L'intégrité recourt, en informatique, à l'utilisation de la technique. Elle sera mise en oeuvre par le contrôle du condensé « hash ». En effet, le message à signer va tout d'abord être haché^177(*) par un logiciel. De ce hachage va résulter un condensé^178(*), sorte de chaîne alphanumérique, qui sera le résultat du contenu même du message. Ainsi, à chaque message correspond un condensé numérique unique. Toute modification du message jusqu'à la suppression d'une virgule, engendrerait un condensé différent. Ensuite, grâce à un dispositif de création de signature électronique, le condensé va pouvoir être chiffré par la clé privée de l'expéditeur. Il en résultera un cryptogramme. C'est pourquoi, l'on emploie généralement le terme de « signature numérique ». Le lien avec l'acte est donc respecté parce que la signature est le condensé du document à signer. Techniquement, ce lien est indiscutable.

205. Vérification de la signature. Lors de la réception du message, les données de la signature électronique devront être vérifiées. On utilisera, pour ce faire, un dispositif de vérification de la signature électronique qui permettra de s'assurer de l'identité du signataire grâce au certificat et de l'intégrité du message. Il va falloir ainsi défaire ce qui a été fait par le signataire. Le cryptogramme sera déchiffré grâce à la clé publique de l'expéditeur, ce qui va permettre de retrouver le résumé du message ou « hash », garant de l'intégrité. Parallèlement à cela, le message sera haché par le destinataire. Il suffira alors de comparer les deux résumés : s'ils coïncident, la signature est validée.

206. Si l'intégrité peut être assurée lors de la réception du document, encore faut-il que celui-ci perdure, pour pouvoir assurer son rôle de preuve lorsque cela sera nécessaire. En effet, il faut que le fichier informatique représentatif de l'instrumentum connaisse un état fixe pendant le temps juridiquement nécessaire.

207. Conservation et preuve. Compte tenu de la fugacité des données, l'administration de la preuve reposera sur des éléments conservés. La force probante de l'écrit électronique ou de sa signature est subordonnée à la condition qu'ils soient conservés dans des conditions de nature à en garantir l'intégrité.

208. La question de la conservation est indissociable de la question de la preuve et correspond à un besoin pratique réel. La finalité est de détenir un véritable écrit électronique pouvant être produit en justice. Les conditions de la conservation vont emporter des effets juridiques, c'est pourquoi il convient de sécuriser^179(*) au maximum cette conservation.

209. Archivage. Les données sous forme électronique doivent être archivées dans des conditions offrant des garanties de sécurité contre toute altération, modification ou destruction. L'archivage correspond à l'idée de pérennité de l'information avec la possibilité de la restituer intacte^180(*). L'archivage peut avoir pour origine la volonté des parties lors de la conclusion du contrat ou du choix d'un des contractants. La possibilité d'archiver en interne offre une faiblesse certaine car le fichier reste, pendant le temps de l'archivage, sous le contrôle direct de l'une des parties. En effet, en cas de problème interne ou de litige avec les partenaires aux échanges électroniques, comment s'assurer que le message sur lequel on raisonne est bien le message considéré? Comme le message est resté sous le contrôle de l'utilisateur, celui-ci avait tout le loisir de le modifier et de le rectifier. Ainsi, sera-t-il préférable de recourir à un tiers archiveur, distant, à qui l'utilisateur va transmettre les documents à archiver par voie électronique.

210. Cet ensemble de règles permet de conférer à la signature électronique une valeur probatoire. La validité de la signature électronique conduit à conclure à la manifestation du consentement du signataire à la vente.

2- La manifestation du consentement à la vente

211. Le consentement est l'une des conditions les plus importantes de validité des actes juridiques^181(*). Cette exigence est jugée fondamentale au point que tout vice affectant le consentement est susceptible d'entraîner l'anéantissement de l'acte. C'est pourquoi l'expression du consentement doit être consciente. Or, dans le domaine de l'immatériel, le contrat de vente en ligne n'est pas à l'abri de tout vice du consentement.

212. Expression du consentement présumée. A l'effet de mieux comprendre la spécificité de la signature électronique quant à l'expression du consentement, il est nécessaire de faire un parallèle avec la signature traditionnelle. Si la signature apposée sur le papier établit indubitablement l'identité de son auteur^182(*), cette certitude n'est que présumée en ce qui concerne son consentement au contenu de l'acte. En effet, il est constant de signer les actes juridiques sans vraiment prendre le temps de les lire attentivement. L'exercice est jugé souvent trop fastidieux et l'on rechigne à la tâche^183(*). De fait, de nombreux contrats sur support papier^184(*) sont ainsi signés sans être lus.

213. Dispositifs de protection du consentement. Dans le contrat passé électroniquement, la réalité est souvent différente, car divers dispositifs sont mis en place à l'effet d'éviter que personne ne signe sans avoir adhéré, au préalable, au contenu de l'acte. L'exemple typique est donné par le contrat de vente en ligne sur Internet. Par des fenêtres successives, une explication détaillée est donnée sur l'objet de la vente, ses modalités d'exécution, ses conditions de paiement, etc. Un accord est exigé sur chaque point, sur chaque rubrique par l'inscription de la mention « continuer », « valider » ou « ok ». Une telle stratification peut rendre parfois impatient car le processus se déroule ainsi pendant de longues minutes. Toutefois, la validation page par page réduit considérablement la possibilité pour une personne d'apposer son paraphe sans avoir adhéré au contenu de l'acte de vente. Mais, un tel système ne peut être efficace que s'il est impossible de « sauter » les étapes dans le processus.

214. Il sera parfois imposé au cocontractant, une relecture du contrat. A la suite de cela, il lui sera demandé de donner son consentement en cliquant une première fois sur les icônes de validation, puis de le confirmer en validant une deuxième fois.

215. Conclusion de la première partie. Nous venons de fournir une confrontation du droit interne de la preuve à l'opération virtuelle que constitue la vente en ligne. Nous avons pu nous rendre compte de l'obsolescence et des limites des dispositions établissant les règles probatoires en droit interne. Toute chose qui pose le droit positif interne comme inadapté à fournir une preuve efficace à la vente en ligne. Le constat aussitôt fait, il nous apparût évident d'envisager les pistes de solutions susceptibles d'être tracées à l'effet de corriger les lacunes relevées. A cet égard, outre les perspectives ivoiriennes caractérisées par leur timidité, nous avons, faisant appel au droit comparé, exposé les solutions audacieuses élaborées par diverses législations, occidentales notamment, pour soutenir la preuve des relations dématérialisées conclues sur le réseau. La vente en ligne porte en elle-même les germes de l'internationalité. C'est pourquoi, il est impossible d'éluder l'étude de l'aspect « droit international privé » qu'impose une telle relation. Nous proposons, en ce qui nous concerne, de nous appesantir, dans le cadre des développements se rattachant à la seconde partie, sur la vente en ligne et la preuve en droit international privé.

* ¹³⁶C.c.Q, art. 2827.

* ¹³⁷Tribunal d'Instance de Sète, 9 mai 1984, D. 1985, 359, note BENABENT : Le tribunal a refusé le remboursement d'un crédit consenti par l'émetteur à un titulaire d'une carte faute de preuve de l'ensemble de l'ouverture du crédit, car l'engagement de l'emprunteur ne pouvait résulter que de sa signature (manuscrite).

* ¹³⁸Pour la jurisprudence en faveur de la signature électronique, v. C.A. Paris, 1^ère Ch. D, 11 janvier 1996, D. 1996, somm., p. 36 ; Cass.Com, 15 juin 1993, Gaz. Pal. 1993, II, panor. , p.267 ; Bull. civ. IV, n° 247.

* ¹³⁹Cass. Civ. 1^ère , 8 novembre 1989, ( 2 arrêts) D. 1990, note GAVALDA ; Bull. civ. I, n° 342 ; JCP 1990, éd. G note G. VIRASSAMY ; RIDC com. 1990, p. 78, observations M. CABRILLAC et B. TEYSSIE ; D. 1990, somm. , p.327, observations J. HUET.

* ¹⁴⁰Alain BENSOUSSAN, Aspects juridiques de l'Internet, Paris, Hermès, 1996, p.73.

* ¹⁴¹Argentine et Italie, Jean-Pierre VAN CUTSEM, Armand VIGGRIA et Olivier GUTH, E-commerce in the World, Aspects of comparative Law, Bruxelles, Bruylant, 2003, pp. 39-41.

* ¹⁴²Ibidem, pp. 39-41.

* ¹⁴³La directive n°99/93/CE du Parlement européen et du Conseil du 13 décembre 1999 pour un cadre communautaire sur les signatures électroniques.

* ¹⁴⁴Conseil d'Etat, Internet et les réseaux numériques, Paris, La documentation française, 1998.

* ¹⁴⁵« Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache.

La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire est assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat » (art.1316-4 al.2 du C. civ.).

* ¹⁴⁶Le décret du 30 mars 2001 est pris pour l'application de la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique.

* ¹⁴⁷L'acceptation de l'acte par le signataire ne fait aucun doute: lorsque le secrétariat d'un décideur apporte un contrat dactylographié, c'est la signature du décideur qui rend « parfait » l'acte dans et par la volonté de celui qui l'a apposée.

* ¹⁴⁸Thierry PIETTE-COUDOL, La signature électronique, op. cit., p. 28, n° 65.

* ¹⁴⁹Il ne s'agit donc pas ici de fournir des informations de type état civil. L'usage d'un pseudonyme pouvant être reconnu. Pour l'établissement de l'identité d'une personne dans un échange électronique, l'identité de type état civil n'est pas toujours (souvent) requise. Ce qui compte, c'est de garantir le lien entre le message et son auteur. Et pour désigner un auteur, le plus simple est de le désigner sous un nom, même un nom d'emprunt. L'identité exacte d'une personne n'est pas un élément essentiel du processus contractuel, en tout cas pour les contrats les plus courants. Les achats dans les boutiques des commerçants se rattachent au contrat de vente qui sont régulièrement formés et exécutés sans qu'on ait nécessairement besoin de décliner son identité. Ajoutons que la signature, si elle identifie un signataire, surtout en présence du destinataire, ne donne aucune assurance sur son état civil.

* ¹⁵⁰L'expression est le titre d'un article de John BROWNING, « I encrypt therefore I am », Wired Magazine, november 1997, p. 65.

* ¹⁵¹Cette science définie comme celle de « la communication en présence d'adversaires » (Ronald RIVEST, « Cryptography », in Handbook of Theorical Computer Science, Volume A : Algrorithms and Complexity, Cambridge, éd. Jan Van Leeuwen, 1990, p. 6), a historiquement eu pour principale fonction de fournir aux Etats des moyens d'assurer la confidentialité des communications militaires ou diplomatiques. La cryptologie est l'art de camoufler un message en codant les lettres qui le constituent, de sorte que seul le destinataire du message soit en mesure de le décoder. En effet, quels que soient les moyens utilisés, c'est l'objectif de secret qui donne à la crytographie tout son sens, la personne devant resté dans l'ignorance importe peu. Il existe de multiples moyens pour s'assurer du secret. Les cuchotements, les gestes, une connaissance des langues étrangères, ou même les « sanglots longs ... » de la BBC avant le débarquement Alliés en Normandie, sont autant de moyens qui nous éloignent de l'image du crypanaliste qui décortique péniblement une masse de documents illisibles. Et pourtant, nous sommes bien devant une succession de faits, volontaires ou non, qui rendent l'information opaque à ceux qui en écoutent la représentation « cryptée ». Dans la chine antique à la stéganographie qui vise à dissimuler le message secret. Les chinois recouvraient de cire des messages que le porteur dissimulait sur lui ou avalait. Ce procédé se retrouvait également en Grèce où l'on pouvait tout aussi ingénieusement cacher l'existence d'un message en tondant un héraut sur le crâne duquel on tatouait l'information. Une fois la repousse des cheveux faite, une seconde « tonte » était nécessaire pour que le destinataire du message soit informé. C'est sans doute à sparte que l'on doit la première utilisation de la cryptographie grâce à la scytale. Ce système consistait en un axe de bois autour duquel on enroulait, de façon à le recouvrir, un ruban. Le texte était écrit dans la hauteur de l'axe sur le ruban qui était ensuite déroulé tel quel par le destinataire. Ce dernier réenroulait la bande sur un bâton de même diamètre que le premier et le message se reformait. Que le bâton soit trop large ou trop étroit et le message devenait illisible. En d'autres termes, cette scytale est une clé sans laquelle il est impossible de déchiffrer un message, une clé à la disposition des généraux et hauts magistrats : nous sommes au cinquième siècle avant Jésus-Christ et cette cryptographie rudimentaire est déjà un symbole de pouvoir. L'encodage d'un message se fait à l'aide d'une fonction : Jules César, par exemple, utilisait celle qui remplace chaque lettre par celle qui la suit dans l'alphabet. Depuis, on a fait des progrès.

* ¹⁵²ICP ou PKI : Public Key Infrastructure.

* ¹⁵³Par opposition à la cryptologie symétrique, qui n'utilise qu'une seule clé ; la même clé est utilisée pour chiffrer et déchiffrer l'information. Le problème de cette méthode est qu'il faut trouver le moyen de transmettre de manière sécurisée la clé à son correspondant. Ce procédé n'est pas utilisé pour la signature électronique car il eût été trop risqué, la clé unique pouvant être interceptée.

* ¹⁵⁴L'utilisateur possède une clé privée et une clé publique. Il distribue sa clé publique et garde secrète sa clé privée. La clé privée ne peut pas être recomposée à partir de la clé publique. Les méthodes de cryptage à clés asymétriques reposent sur des calculs mathématiques sophistiqués utilisant des nombres premiers générés par des algorithmes. Il est facile de multiplier deux nombres premiers, par exemple 127 et 997 et de trouver 126619. Mais il est plus difficile de factoriser, c'est-à-dire de retrouver 127 et 997 à partir de 126619. Le dispositif de création de la signature va émettre deux clés : une clé privé, car connue du seul signataire, et une clé publique, car accessible à tous. Ces deux clés sont une séquence de chiffres générées en même temps par un algorithme mathématique, et liées entre elles. En effet, ce qu'une clé fait, seule l'autre peut le défaire.

* ¹⁵⁵A ce sujet, le film d'anticipation « Minority Report » de Steven SPIELBERG, sorti en 2002, offre une vision des risques liés à un recours déraisonné aux procédés de biométrie.

* ¹⁵⁶Le certificat est un registre informatique revêtu d'une signature électronique qui identifie l'émetteur du certificat, identifie le souscripteur et donne sa clé publique. Il s'agit d'une sorte de carte d'identité électronique qui serait émise par un tiers indépendant et neutre. La signature électronique correspondant à un certificat est considérée appartenir à la personne mentionnée dans le certificat.

* ¹⁵⁷Pour ce faire, il est important de veiller également à la sécurisation lors de la remise de la clé privée, pour éviter toute interception, voire envisager une remise en main propre.

* ¹⁵⁸A la condition que l'utilisateur ne le laisse pas sur un post-it collé à l'écran de l'ordinateur (comme c'est malheureusement souvent le cas) ou ne le communique à des tiers.

* ¹⁵⁹Couple de clés composé de la clé privée et de la clé publique. Un bi-clé comme le trousseau de clés de la vie réelle est personnelle à son porteur. C'est pourquoi le bi-clé, notamment un de ses composants, la clé privée, doit rester sous le contrôle étroit du signataire.

* ¹⁶⁰Désigné aussi sous le sigle de PSC ou PSCE.

* ¹⁶¹La certification consiste en la délivrance par un tiers, impartial et indépendant des parties, d'une attestation électronique, garantissant l'identité des signataires, l'intégrité et la non-altération des données. Sur le plan technique, ce dispositif fait appel à la cryptologie.

* ¹⁶²Ce tiers dit de confiance, permet de rapporter plus aisément la preuve des transactions, sans que l'on puisse opposer à l'une des parties, souvent le commerçant, le principe de la non constitution de preuve à soi-même.

* ¹⁶³Par exemple, il sera possible de vérifier si la personne est bien médecin, avocat, etc. Un certificat peut permettre de vérifier l'identité d'une personne, mais également ses pouvoirs et sa capacité, ses qualifications professionnelles. Le certificat est ainsi un message électronique par lequel un témoin privilégié, le certificateur, contrôle la concordance et l'adéquation entre l'identité du signataire et la clé publique.

* ¹⁶⁴Le certificat possède une structure interne, c'est-à-dire certains champs qui doivent obligatoirement, pour lui accorder une force, être renseignés. Cette structure interne est définie par une norme internationale nommée « recommandation x-509 v. 3 » de l'Union Internationale des Télécommunication. Cette norme a été reprise et développée par l'organisation de normalisation du monde Internet, l'Internet Engineering Task Force (IETF) qui a décliné la norme de certificat pour l'appliquer à la technologie de signature électronique.

* ¹⁶⁵Sauf le cas répandu ou le certificateur sera ainsi à l'origine du bi-clé, cas qui sera à notre avis majoritaire car bien plus commode pour les utilisateurs.

* ¹⁶⁶Toute l'identification de la personne repose dans la clé privée certifiée. Encore faut-il que le certificat provienne sans altération possible du certificateur. Voilà pourquoi le certificat est à son tour signé par la signature du certificateur. L'ultime question de sécurité en ce domaine devient: comment suis-je sûr qu'il s'agit bien d'un certificateur?

* ¹⁶⁷Cf. art. 6 du décret.

* ¹⁶⁸Selon E. JOLY-PASSANT, « Le décret du 30 mars 2001 pris pour l'application de l'article 1316-4 du Code civil et relatif à la signature électronique », Rev. Lamy Droit des affaires, juillet 2001, n° 40, p. 21.

* ¹⁶⁹En effet, la présomption de fiabilité du procédé de signature électronique n'est accordée qu'à la triple condition que :

- la signature électronique mise en oeuvre soit une signature sécurisée ;

- cette signature électronique sécurisée soit établie grâce à un dispositif de sécurité de création de signature électronique ;

- la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié.

* ¹⁷⁰En effet, cette délivrance est effectuée après un contrôle d'identité. Il doit exister des garanties juridiques pour le cas ou le PSC manquerait à ses obligations. La question de la responsabilité du PSC est particulièrement sensible lorsque le certificat est erroné. La Directive prévoit la responsabilité des PSC sur l'exactitude des informations certifiées par eux et sur l'imputabilité de la signature à la date où le certificat a été délivré. C'est ainsi que le Règlement n° 15/2002 de l'UEMOA, à travers son art. 27 in fine, fait obligation à quiconque prétend devenir prestataire de service de certification de « posséder des garanties financières suffisantes pour exercer ses activités et, le cas échéant, indemniser les utilisateurs de ses services ayant subi des dommages du fait de l'inexécution ou de la mauvaise exécution de ses obligations ».

* ¹⁷¹Transmission à distance de signaux télégraphiques, vidéo. Dictionnaire Hachette, éd. 2007, p. 1587.

* ¹⁷²Dans le message électronique, la signature n'est qu'une donnée parmi d'autres, contenues dans la même forme électronique, et cette forme est télétransmise. A cause de leur nature même, les formes électroniques sont fragiles et « déformables ». A l'arrivée, le message ne sera peut-être pas identique à celui qui a été envoyé, car les risques sont nombreux dans la jungle des autoroutes de l'information, comme Internet où sévissent les aléas techniques et où encore sont tapis des cyberbandits de tout acabit. Devant ces risques potentiels, les parties demandent à la sécurité de garantir l'intégrité des messages. Thierry PIETTE-COUDOL, La signature électronique, op. cit., p. 16, n° 34.

* ¹⁷³L'intégrité est une garantie que le message reçu est identique à celui envoyé. Thierry PIETTE-COUDOL, La signature électronique, op. cit., p. 3, n° 5.

* ¹⁷⁴V. cependant la notion d' « intégrité du territoire national » en droit constitutionnel.

* ¹⁷⁵Définition selon le Petit Larousse, éd. 2002, p. 419.

* ¹⁷⁶Dans la signature électronique, la question de la signature est posée parce qu'il y a transmission électronique. La transmission présente des risques de pollution des messages ou des fichiers transmis, ce qui explique le contrôle de « bon état » à l'arrivée.

* ¹⁷⁷Le hachage, sorte de « résumé crypté » du message originel, a notamment pour rôle de permettre au destinataire de s'assurer que ce qui lui parvient est bien le message originel, sans aucune altération, que celle-ci soit malveillante ou accidentelle.

* ¹⁷⁸Le logiciel emploie pour cela un algorithme spécialisé qui condense le texte en une chaîne alphanumérique de longueur fixe quelle que soit la longueur du texte traité. L'analogie la plus proche est le système de preuve par neuf (9) qu'on enseignait à l'école primaire pour vérifier le résultat des opérations. Quelque soit la longueur des opérandes et des opérateurs, le système de la preuve par neuf permet de ramener le nombre à un chiffre unique. Il en est de même pour la signature électronique ou numérique.

* ¹⁷⁹M. M. X. LINANT DE BELLEFONDS et P.-Y. GAUTIER, « De l'écrit électronique et des signatures qui s'y attachent », JCP 3 août 2000, éd. E., p. 1273, n° 7. Ici, les auteurs proposent de faire résider le contrat sur les ordinateurs des deux cocontractants.

* ¹⁸⁰Aux termes de l'art. 10 de la Loi-type de CNUDCI sur le commerce électronique de 1996, « Lorsqu'une règle de droit exige que certains documents, enregistrements ou informations soient conservés, cette exigence est satisfaite si ce sont des messages de données qui sont conservées sous réserve des conditions suivantes : l'information que contient le message de données doit être accessible pour être consulté ultérieurement, doit être conservé sous la forme sous laquelle il a été créé, envoyé ou reçu (...) ».

* ¹⁸¹En effet l'art. 1108 du C. civ. énonce quatre conditions. Outre le consentement, l'art. 1108 exige : la capacité de contracter, un objet certain qui forme la matière de l'engagement, et une cause licite dans l'obligation.

* ¹⁸²Sauf l'intervention du faussaire ou la dénégation de signature.

* ¹⁸³Parfois aussi, la terminologie juridique, jugée souvent rébarbative, décourage plus d'un.

* ¹⁸⁴Par exemple, contrat d'assurance, de fourniture de service, de banque, etc.