Le décret signature électronique n° 2017-1416 du 28 septembre 2017, paru au journal officiel du 30 septembre 2017, modifie la législation française sur la signature électronique… Qu’est-ce que cela implique pour les usagers de la signature électronique ?
Le décret signature électronique n° 2017-1416 du 28 septembre 2017
Tout d’abord, il convient comme toujours d’examiner le texte original du décret signature électronique pris par le gouvernement ce 28 septembre 2017 :
JORF n°0229 du 30 septembre 2017 texte n° 8
Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique
Publics concernés : particuliers, professionnels, administrations.
Objet : conditions du procédé permettant à une signature électronique de bénéficier de la présomption de fiabilité prévue au deuxième alinéa de l’article 1367 du code civil.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Notice : l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations a remplacé l’ancien article 1316-4 du code civil par un nouvel article 1367. Ce dernier présume fiable jusqu’à preuve du contraire toute signature électronique lorsque celle-ci est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat. Le décret précise les caractéristiques techniques du procédé permettant de présumer la fiabilité de la signature électronique créée.
Références : le décret est pris pour l’application de l’article 1367 du code civil dans sa rédaction issue de l’article 4 de l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations. Il peut être consulté sur le site Légifrance (http://www.legifrance.gouv.fr).
Le Premier ministre,
Sur le rapport de la garde des sceaux, ministre de la justice,
Vu le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
Vu l’article 1367 du code civil dans sa rédaction issue de l’article 4 de l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations ;
Le Conseil d’Etat (section de l’intérieur) entendu,
Décrète :
Article 1
La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. Est une signature électronique qualifiée une signature électronique avancée, conforme à l’article 26 du règlement susvisé et créée à l’aide d’un dispositif de création de signature électronique qualifié répondant aux exigences de l’article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l’article 28 de ce règlement.
Article 2
Le décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique est abrogé. II.-Les références au décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique abrogé par le I, contenues dans des dispositions de nature réglementaire, sont remplacées par les références au présent décret.
Article 3
Le présent décret est applicable dans les îles Wallis et Futuna.
Article 4
La garde des sceaux, ministre de la justice, et la ministre des outre-mer sont chargées, chacune en ce qui la concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 28 septembre 2017.
Par le Premier ministre : Edouard Philippe
La garde des sceaux, ministre de la justice, Nicole Belloubet
La ministre des outre-mer, Annick Girardin
Pourquoi ce décret signature électronique ?
Ce décret vise à aligner la législation française avec le règlement européen eIDAS (règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur). En effet, ce dernier est appliqué dans tous les pays membres de l’UE depuis le mois de juillet 2016, et ce décret vient finaliser l’alignement de la loi française sur cette nouvelle norme européenne.
Dans le droit français, c’est l’article 1367 du code civil (qui remplace l’article 1316-4 depuis février 2016) qui définit la notion de signature électronique :
[…] Lorsqu’elle est électronique, elle [la signature NDLR] consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat.
Jusqu’ici, le fameux « décret en Conseil d’Etat » était le décret n° 2001-272 du 30 mars 2001. Il était donc nécessaire de le remplacer par le nouveau décret, afin d’aligner les conditions dans lesquelles la signature électronique est présumée fiable, c’est-à-dire qu’il revient à celui qui la remet en cause de prouver qu’elle n’est pas fiable (c’est ce qu’on appelle l’inversion de la charge de la preuve), sur celles qui sont définies par le règlement européen eIDAS.
C’est l’article 1 de ce nouveau décret signature électronique qui s’en charge :
La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. Est une signature électronique qualifiée une signature électronique avancée, conforme à l’article 26 du règlement susvisé et créée à l’aide d’un dispositif de création de signature électronique qualifié répondant aux exigences de l’article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l’article 28 de ce règlement.
Que dit le règlement eIDAS sur le sujet ?
Le règlement eIDAS définit deux niveaux de signature électronique : le niveau Avancé et le niveau Qualifié. Le tableau ci-dessous permet de situer ces niveaux par rapport aux niveaux de signature électronique couramment utilisés.
Comme on le voit dans la colonne 4 de ce tableau, la signature qualifiée au sens eIDAS exige:
- l’identification en face à face du signataire par une autorité d’enregistrement agréée
- la fabrication d’un certificat nominatif pour ce signataire selon la norme ETSI EN 319 411 QCP
- le stockage sécurisé de ce certificat sur un support physique remis au signataire et uniquement activable par le signataire
- l’utilisation d’un dispositif de signature qualifié au regard de la norme EN 319 411 QCSD pour apposer ce certificat sur l’acte signé
- idéalement : l’utilisation d’un disposition d’horodatage qualifié au regard de la norme EN 319 421
Que change le décret signature électronique concrètement ?
Le décret consiste donc à reprendre les conditions de la signature électronique qualifiée au sens eIDAS ci-dessus pour caractériser les signatures électroniques dont la fiabilité est présumée fiable dans le droit français. En d’autres termes, cela revient à remplacer le système de certification et d’agrément qui existait en France depuis le début des années 2000 (notamment la classification RGS et ses étoiles) par le système de normalisation, certification et agrément eIDAS, basé sur les normes ETSI.
Dans les faits, ce changement était largement anticipé, aussi bien par l’Etat français que par l’organisme d’accréditation (la société LSTI) et les tiers de confiances. Ainsi, on trouve déjà aujourd’hui la liste des tiers de confiance qualifiés au sens eIDAS chez cet organisme d’accréditation.
Pour les signatures électroniques réalisées avec SELL&SIGN, c’est le tiers de confiance DOCAPOST (groupe LA POSTE) qui est utilisé.
