Secteur public, assurances, banques, automobile, divertissement, médias, … dans de nombreux domaines, la croissance des activités en ligne implique la généralisation de la « signature électronique ».  Aujourd’hui, les procédures de contractualisation électronique s’effectuent le plus souvent à l’aide de « certificats électroniques g­­­énérés à la volée ». De quoi s’agit-il exactement ? Quelle valeur probante peut-on attribuer à ces certificats ? Le règlement eIDAS change-t-il les règles du jeu ? Quelles solutions alternatives ?

Comment fonctionne la procédure de certificat généré à la volée ?

Dans le cas d’un certificat généré à la volée, l’émetteur du document à signer enregistre celui-ci dans un espace sécurisé dans le « Cloud ». La disponibilité du document à signer est notifiée au signataire, par le biais d’un lien et d’un code d’accès envoyé par email.

Le lien permet d’accéder au document, tandis que le code d’accès permet de déverrouiller le processus de signature du document. Dès que le destinataire du mail accède au document et le déverrouille, il reçoit virtuellement un certificat électronique généré à la volée attestant de son identité. Avec ce certificat, il peut signer le document et dès que la signature est effectuée, le certificat est détruit.

Il est possible de sécuriser l’identification de l’utilisateur de la boite mail en utilisant un deuxième facteur d’authentification tel que l’envoi d’un SMS, comme pour les achats par carte de crédit. Cette pratique est cependant rarement utilisée.

La validité de la signature, repose donc avant tout sur la confiance que l’on attribue au fait que l’utilisateur de messagerie mail est bien celui qui a fourni son adresse de courriels à l’émetteur du document.

Quelle validité juridique pour les certificats générés à la volée ?

Lorsqu’un document a une valeur probante, la personne contestant avoir signé un document, doit expressément prouver devant le tribunal qu’elle ne l’a pas signé. A l’inverse, si un document n’a pas de valeur probante, c’est la partie qui veut faire respecter l’engagement souscrit qui doit prouver que la personne voulant répudier sa signature, est bien la personne ayant signé le document. Pour exemple, dans le monde physique, la signature manuscrite sur un document papier possède une valeur probante. L’enjeu de la signature électronique est d’obtenir la même valeur.

Rappelons que le règlement eIDAS (appliqué depuis le 1er janvier 2016) vise à unifier au niveau européen, les règles permettant d’évaluer la validité d’une identité électronique, d’une transaction électronique et de différents services dits « de confiance », telle que la signature électronique.

Depuis la mise en œuvre de cette réglementation, la condition indispensable pour qu’une signature ait une valeur probante, est qu’elle ait été effectuée à l’aide d’une « identité délivrée par un service de niveau de confiance élevé » (aussi appelée Identité forte).

Dans ce contexte et même si elle est facile à mettre en œuvre, la signature s’appuyant sur un certificat généré à la volée présente une validité juridique contestable. En effet, au regard de la loi ce certificat est éphémère (non archivé) et il n’a pas été remis en face à face comme peut l’être une véritable pièce d’identité. La signature avec certificat à la volée est au maximum une signature de niveau avancé, ce n’est donc pas une signature qualifiée, la seule à valeur probante.

En cas de contestation d’un contrat électronique signé à l’aide d’un certificat généré à la volée, il appartient à l’initiateur de la transaction d’établir la preuve que le signataire contestataire est véritablement la personne qui s’est engagée.

Le certificat généré a la volée : une signature électronique généralisée

Aujourd’hui, la signature avec certificat généré à la volée reste la solution la plus répandue pour adresser le grand public. Malgré son manque de valeur probante, cette option est retenue par les acteurs du monde électronique, qui s’y résolvent pour éviter de perdre leurs opportunités d’affaires.

Les acteurs internet ont en effet toujours privilégié les solutions simples et rapides au détriment de la « vérification certaine et systématique » de l’identité des participants aux transactions électroniques.

Ainsi, le déploiement de la signature électronique se fait sur le même principe que celui du paiement électronique par carte bancaire. La solution qui prime est celle qui est utilisable par le plus grand public possible, et qui réduit au maximum les contraintes et les prérequis imposés aux signataires, cela afin de faciliter leur engagement.

Quelles solutions alternatives au certificat généré à la volée ?

Actuellement, les contraintes liées à la délivrance et à l’utilisation d’identités fortes sont telles que ce type d’identité n’est pour l’instant exigible que dans le cadre de transactions réglementées.

Pourtant, les clients particuliers pouvant être impliqués dans la signature de contrats électroniques (location, bon de commande, contrat d’assurance, contrat de crédit, …) se comptent par millions. Compte tenu des exigences requises, parmi eux seul un nombre infime dispose d’une identité forte pouvant être activée dans le cadre d’une signature électronique qualifiée.

Contrairement à d’autres pays, l’Etat français n’a pas de politique d’attribution à chaque citoyen d’une identité numérique forte activable dans le cadre de transactions en ligne. Le passeport biométrique aurait pu constituer une bonne base pour diffuser ce type d’identité, mais cette option n’a pas été retenue. Pour rappel, en Europe, l’Estonie est le seul pays ayant mené une telle politique, fondée sur la généralisation de la carte d’identité électronique.

Et demain ? Certaines pratiques de signature, considérées aujourd’hui comme non probantes suivant la réglementation eIDAS, se verront-t-elles attribuer cette validité par la jurisprudence des tribunaux ?

Il est probable que les déploiements de portes monnaie électroniques de type Apple Pay et Google Pay vont favoriser l’essor du mobile comme moyen d’identification de masse. Les technologies « sans contact » et les technologies « biométriques » embarquées dans les mobiles se généraliseront probablement suffisamment pour devenir le moyen d’identification et de signature du futur.

Besoin d’en savoir plus ? Téléchargez notre livre blanc « Valeur probante de la signature électronique ».