Veille eID/signature de Jan.2020

Le train de la dématérialisation continue de bouger les lignes… En ce mois de Janvier, les info notables:

  • Vérification des signatures en tribunal, de la vertu du faisceau de preuve
  • La Poste : Identité Numérique eIDAS de niveau substantiel
  • Identités numériques de confiance

Vérification juridique

Tout le monde s’y met, même dans les prétoires. Dans son billet « Contentieux signature électronique – le vent tourne« , Isabelle Renard relate l’évolution du regard des juges sur les documents signés électroniquement.

Il est fini ce temps où la signature électronique était « l’absolu » dans cet élément de preuve judiciaire. Les juges prennent mieux le temps de valoriser l’article 1367 du Code civil. En l’espèce, une signature électronique suppose l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. De plus en plus, le juge va vérifier les signatures, ainsi que les conditions de leur production.

L’article 1367 du Code civil :

La signature nécessaire à la perfection d’un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte.
Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat.

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000032042456&cidTexte=LEGITEXT000006070721&dateTexte=20161001

Signer sans certificat… c’est risqué

Alors, désormais, si le juge n’a pas les moyens de vérifier correctement (sereinement et en confiance) une signature électronique… Il n’hésite pas à l’invalider! En particulier, lorsqu’il s’agit d’une signature numérique non sécurisée, comprendre « simple graffiti » apposé, sans usage de certificat électronique nominatif qualifié.

Autre considération, rapportée par le blog de Staub & associés, il est rappelé que: ce n’est pas parce qu’une signature est considérée « suspecte » que ladite considération permet à elle-seule d’invalider la sincérité d’un contrat. Le juge a la possibilité de re-contextualiser, de considérer l’ensemble du faisceau de preuves présenté.

La signature électronique ne suffit pas

Encore plus fort, dans ce même billet, j’apprends que la Cour d’appel d’Aix en Provence s’appuie sur les articles 1366 et 1367 pour rappeler que le document signé n’est pas suffisant en gestion de contentieux!
Donc, il convient de produire des preuves sur la qualité de la signature établissant de façon raisonnable et didactique:

  • Expression du consentement du signataire
  • Documents justifiant la qualité de la signature
  • Et en l’absence du signataire ou d’un certificat qualifié de signature… Produire en outre un « tirage papier d’un fichier disposant d’un sceau d’horodatage » ! Oui, celui-ci établit l’existence du document à une date donnée et surtout sa non-altération.
    C’est une pierre dans le jardin des opérateurs de signature SaaS, sans certificat nominatif.

En conclusion, ces jugements récents tempèrent la portée juridique présumée (positive comme négative) de certaines formes de signature électronique.
Les juges accueilleront d’ailleurs avec bienveillance les dossiers de preuve les plus complets. Ainsi, le document de vérification de signature devient un atout à valoriser. Du business pour les « Trusted Providers » de service de vérification de signature.

Ressources: Blog d’Isabelle Renard , blog de Staub & associés

Identité électronique eIDAS

Voici la 1ere « Identité Numérique » de niveau substantiel (au sens du règlement eIDAS) en France !
La Poste permet de sécuriser un peu mieux les démarches en ligne avec un identifiant réputé fiable.

Après 2 ans de démarches conjointes avec l’ANSSI, La Poste a obtenu l’attestation de niveau de sécurité substantiel. C’est la reconnaissance de conformité à la réglementation européenne en matière d’identité numérique.

Le site: https://lidentitenumerique.laposte.fr/

Il permettra aux citoyens majeurs de réaliser bon nombre de démarches en ligne. Inscription simple sur le site web, envoi d’un scan de pièce d’identité, puis vérification en face à face avec un agent de La Poste (guichetier ou facteur).

Ressources: billet, communiqué de presse

Identités numériques de confiance

En liaison avec le point précédent, finalement qu’est-ce qu’une identité numérique de confiance?

De façon très réductrice, il s’agirait d’un procédé suffisamment fiable, qui protège de l’usurpation, de la fraude sur les réseaux informatiques.
Pour le Conseil National du Numérique, l’identité numérique se définit comme « l’attribution à une personne d’un identifiant unique sécurisé pour l’utilisation de l’ensemble des services en ligne nécessitant son authentification, et en particulier ses démarches administratives en ligne ».

Lois européennes

L’union européenne a légiféré à plusieurs reprises sur ce sujet d’actualité, à fins tant commerciales que sécuritaires :

  • Règlement (UE) 910/2014 du 23/07/2014 dit « eIDAS », relatif à l’identification électronique et services de confiance associés. Le but affiché est de faciliter le commerce trans-frontalier dans le périmètre de l’UE. Et donc de lutter contre la fraude aux transactions commerciales en établissant un cadre de confiance partagée.
    A noter que ce règlement doit être réexaminé avant le 1er juillet 2020, et que la France n’a encore notifié aucun schéma d’identification à date.
  • Règlement (UE) 2019/817 du 20/05/2019 établissant un cadre d’interopérabilité des SI dans le domaine des visas, + 2019/818 du 20/05/2019 renforçant l’interopérabilité des SI dans le domaine de la coopération policière et judiciaire, de l’asile et de l’immigration. Le but ici est de lutter contre la fraude à l’identité et de renforcer le contrôle aux frontières.
  • Règlement (UE) 2019/1157 du 20/6/2019 relatif au renforcement de la sécurité des cartes d’identité et titres de séjour.
    Cela impose à la France de faire évoluer le format de la carte d’identité pour le 2 août 2021:
    • format de type « carte de crédit », avec puce cryptographique « hautement sécurisée » et lien sans contact.
    • La puce contiendra notamment des données biométriques (2 empreintes digitales)
    • La carte pourra avoir un espace pour stocker séparement des données pour des services de commerce en ligne ou de e-administration.

Pendant ce temps, en France

Paradoxal, La Poste obtient une attestation de niveau substantiel (eIDAS), et la France réfléchit toujours à un parcours suffisamment sécurisé d’identification numérique. Dans cet article de l’IMT, il est confirmé que les conclusions de la mission de Janvier 2018 n’ont pas été rendues publiques. Elle doit définir et développer les parcours d’identification pour les niveaux « faible » et « élevé » du règlement eIDAS. Cela devait aboutir à la rentrée 2019.

Pourtant, la dématérialisation avance, avec à marche forcée l’administration électronique et les services numériques accessibles aux citoyens. Alors, comment concilier avec l’identité numérique future du citoyen?
Ainsi, le Conseil du numérique et l’Assemblée nationale ont lancé séparément des missions d’information (consultation) sur ces sujets. En espérant dégager des axes de recommandations. À suivre.

C’est sujet très structurant pour notre société du 21eme siècle. L’équilibre est délicat à trouver. Éviter la dérive sécuritaire d’une société panoptique, respecter les dispositions du RGPD, et garder la confiance des citoyens.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.