Signature Electronique [PDF]

  • 0 0 0
  • Gefällt Ihnen dieses papier und der download? Sie können Ihre eigene PDF-Datei in wenigen Minuten kostenlos online veröffentlichen! Anmelden
Datei wird geladen, bitte warten...
Zitiervorschau

Plan d'exposé : Introduction : Partie I : Notion de la signature électronique et condition de fiabilité Chapitre

I - la notion de la signature électronique

Section 1 - La définition de la signature § 1 - l'identification du signataire § 2 - La manifestation du consentement du signataire Section 2

- La présomption de fiabilité de la signature sécurisée

§ 1 - La signature électronique sécurisée §

2 - Le principe de la présomption de fiabilité de signature électronique

Chapitre II - Les conditions à remplir pour la présomption de fiabilité Section 1- La prestation de services de certification électronique § 1 - Les conditions relatives à la prestation de certification § 2 - Les conditions de qualification et le contrôle des prestataires de certification Section 2 - La création et la vérification de la signature électronique § 1 – La création de la signature électronique § 2 - La vérification de la signature électronique

Partie II : La mise en œuvre de la signature électronique

2

Chapitre I: La force probante de la signature électronique Section 1: L'écrit électronique équivaut à l'écrit sur support papier §1 – Au niveau international §2 – Au niveau national Section 2: Champ d'application de la signature électronique §1- Sur le plan européen §2- Sur le plan national (le droit marocain) Chapitre II: La responsabilité et les obligations des tiers intervenants à la démarche d'une signature électronique Section 1: Responsabilités et obligations des prestataires de services de certification §1 – Responsabilités des prestataires de services de certification §2 – Obligations des prestataires de services de certification Section 2: Obligations et responsabilités des tiers archiveur §1- Obligations des tiers archiveur §2- Responsabilités des tiers archiveur

Conclusion: Référence : (Bibliographies / Internet) Annexes :

3

Introduction : Depuis le 13 mars 2000, la loi N° 2000-230, portant adaptaton du droit de la preuve la signature électronique, modife les dispositons du Code Civil et l'écrit sous forme

électronique est admis en preuve au même ttre que l'écrit sur support papier, sous réserv

que puisse être dûment identfée la personne dont il émane et qu'il soit établi et conserv dans des conditons de nature à en garantr l'intégrité.

Le décret N° 2001-272 du 30 mars 2001 défnit les modalités de mise en œuvre. Mai la mise en œuvre d'une signature électronique se heurte à des confusions et à quelques problèmes qu'il est nécessaire de résoudre. Tout d'abord, il existe une confusion entre l'acton de générer une signature sous forme numérique et l'acton de chifrage. Si la seconde acton est complémentaire à la première, pour sécuriser la transmission, elle n'est pas indispensable à l'acton de signer.

sécurisaton d'une signature électronique est conçue par un ensemble de sûretés déployée dont la cryptographie qui est un moyen de véhiculer les informatons en ligne.

Il existe une autre confusion entre la clef et le code. Une clef est un élément matéri palpable et visuel, le code est immatériel et utlisé en matère de sécurité comme complémentaire à la clef. Exem ple: l'utlisaton d'une clef et d'une combinaison chifrée (un code) pour ouvrir une porte blindée de banque ou tout simplement l'utlisaton d'une carte bancaire (élément matériel) associée à un code pour un retrait d'argent ou un paiement.

L'utlisaton du seul code est extrêmement dangereuse en matère de sécurité

puisque celui-ci peut être volé (vision indiscrète ou piratage) à l'insu de son détenteur alo que le vol de l'élément matériel (carte ou clé), lui, est dûment constaté. L'utlisaton d'un seul code secret pour créer sa signature électronique doit être proscrite pour la raison évoquée ci-dessus. Et pourquoi devrait-on assurer le secret de sa 4

propre signature électronique alors qu'une signature manuscrite a toujours été à la vue de

tout le monde? Si, dans certains cas, un code peut être utlisé à un instant T d'une procéd

de génératon de signature électronique, celui-ci doit être unique à cete procédure et non re prod u c tb l e . Parmi les problèmes posés par la dématérialisaton de l'acte: -comment s'assurer de la volonté d'une personne de signer et d'approuver un acte électroniquement comme il est pratqué par le paraphe de chaque page dactylographiée.

-comment s'assurer de la présence physique de la personne qui exprime cete volonté et q signe l'acte.

-comment associer une caractéristque propre à la personne, à chaque letre, signe et cod consttuant l'acte électronique afn de supprimer l'anonymat de l'écrit numérique et de permetre d'identfer le signataire.

-comment vérifer et authentfer un acte sans prendre connaissance du contenu et préser ainsi la confdentalité de l'écrit. -comment ajouter un élément temporel à chaque letre, signe et code consttuant l'acte électronique afn d'en garantr le caractère original et d'en supprimer la colorabilité. -comment traduire une suite de chifres ou signes en une fgure et matérialiser ainsi une signature électronique.

Partie I : la notion de la signature électronique et conditions de fiabilité Chapitre I

- la notion de la signature électronique :

5

La loi 53-05 relatve à l'échange électronique des données juridiques défnit la signature électronique comme une donnée qui résulte de l'usage d'un procédé répondant aux conditons défnies et prévues par les dispositons de l'artcle 417-3 du dahir formant Code des obligatons et des contrats.

C'est donc, dans la loi 53-05 qu'il faut chercher les éléments permetant de cerner l cadre juridique de la signature électronique. Cete

loi qui fournit une défniton de la

signature, que celle-ci soit ou non électronique (Secton 1), soit sur le principe d'une présompton de fabilité quand la signature électronique est sécurisée (Secton 2).

Section 1 – définition de la signature :

On pourrait penser que, pour la preuve des actes, la loi 53-05 remet en cause ce principe. Il n'en est

rien, car la loi ne fait aucune référence à une forme quelconque de la

signature, et c'est uniquement sa foncton qui est prise en compte. En donnant, une défniton fonctonnelle de la signature, le législateur applique une démarche identque à celle qui a été choisie pour défnir l'écrit.

En efet, le législateur reconnaît le valeur probatoire de l'écrit électronique au mêm ttre que l'écrit sur support papiers sous réserve que puisse être dûment identfée la personne dont il émane et qu'il soit établi et conservé dans des conditons de nature à en garantr l'intégrité . D'autre, si la forme est indiférente, l'écrit, comme la signature, n'échappe pas au besoin d'une formalisaton quelconque, et ne peut y avoir signature sans signe. Dans la mesure où ce signe, quelque

il soit, est doté d'une signifcaton intelligible, il faut qu'il ya

suite de letres, de caractères, de chifres ou bien de toutes autres signes ou symboles, do d'une signifcaton intelligible quels que soient leur support et leurs modalités de transmission.

6

La signature c'est la preuve, et ce dernier est nécessaire à la perfecton d'un acte juridique identfe celui qui l'oppose. Elle manifeste le consentement des partes aux obligatons qui découlent de

cet acte.

Ainsi, la signature est un écrit apposé sur un acte, qui permet à lecteur d'identfer

signataire de cet acte (§1) et d'en inférer la manifestaton de son consentement à cet acte (§2). Encore faut-il que cet écrit soit intelligible : la signature doit pouvoir être lue et correctement interprétée. Cete dernière queston sera approfondie plus loin, lors de l'analyse critque des signatures électroniques sécurisées.

§ 1 – l'identification du signataire : La signature électronique est le procédé d'identfcaton de l'auteur d'un document électronique. Elle est la garante de son intégrité (preuve que le document n'a pas subit d'altératon entre l'instant où il a été signé par son auteur et celui où il a été consulté).

La signature électronique n'est pas visuelle. Elle est exprimée par une suite de nombres. L'identfcaton

du signataire passe par un signe, qui, doit émaner du signataire et

être distnctf. D'une part ce signe permet au signataire de se faire connaître, et d'autre p

il lui permetre d'être reconnu. Cete reconnaissance est foncton de la capacité de celui q

aura à interpréter ce signe et à en trer les conséquences. Bien entendu, l'identfcaton ne passe pas obligatoirement par le nom et le prénom : tout autre signe remplissant les conditons ci-dessus est susceptble de remplir les fonctons d'identfcaton assurées par signature.

§ 2 – La manifestation du consentement du signataire

7

La signature ateste la volonté du signataire de donner son approbaton fnale aux dispositons contenue dans l'acte. Dans ce dernier,

doit s'établir un lien formel entre l'act

la signature de l'acte. Ce lien est réalisé par l'appositon de la signature. Lorsqu'elle est

électronique, le législateur a pris la peine d'expliciter la manière dont cete appositon do

être formalisée. C'est par l'utlisaton d'un procédé fable garantssant le lien de la signatu électronique avec l'acte auquel elle s'atache. Ainsi, les fonctons de la signature électronique se manifestent toujours par rapport un acte précis, cete signature étant un des éléments consttutfs de cet acte, que celui-ci sous seing privé ou automatque.

Section 2 – la présomption de fiabilité de la signature sécurisée :

§ 1 – La signature électronique sécurisée Selon les dispositons de l'artcle 6 de loi 53-05 le principe d'une présompton de fabilité

procédés de signature électronique existe puisqu'ils se réunissent les 3 conditons suivante * être propre au signataire. * être créé par des moyens que le signataire puisse garder sous son contrôle exclusif.

* garantr avec l'acte auquel elle s'atache un lien tel que toute modifcaton ultérieure du acte soit détectable. Donc cet artcle a précisé les conditons d'utlisaton d'une catégorie partculière de procédés, à savoir ceux metant en œuvre la signature électronique sécurisée. En outre, c

8

exigences viennent afner les fonctons d'identfcaton et de manifestaton du consentem de la signature électronique ordinaire.

a-

Etre propre au signataire

"Propre" peut être entendu comme "distinctif", mais il ne s'agirait pas alors d'une exigence supplémentaire par rapport à la signature électronique. On n'en déduit donc que "propre" doit être entendu ici au sens d'exclusif, c'est-à-dire qu'il est exclu qu'un signataire puisse, en signant, produire un résultat (donnée) qui puisse être imputé à un autre signatair De ce fait, le signataire doit disposer de "données de création de signature" qui lui sont personnelles. b-

Contrôle exclusive des moyens de signature

Cette exigence apporte également des garanties supplémentaires quant à l'identité du signataire. Elle assure que celui-ci conserve la maitrise des moyens de signature, soit pour utiliser lui-même, soit pour éventuellement les faire utiliser par d'autres sous sa responsab Cette exigence se justifie si l'on considère que les données de création de signature sont un secret transférable. c-

Détection de modifications ultérieures de l'acte

La signature électronique ordinaire consiste en l'usage d'un procédé qui garantit son lien avec l'acte auquel elle s'attache. Dans le cas de la signature électronique sécurisée, ce lien remplit une fonctionnalité supplémentaire : toute modification de l'acte survenant après la signature de l'acte doit pouvoir être détectée, et ce, par le procédé de signature électroniqu sécurisée. Nous aurons l'occasion de voir plus tard que cette exigence est très problématiqu

§ 2- le principe de ma présomption de fiabilité de signature électronique

Une présomption est définie comme une opération de l'esprit par laquelle on admet l'existence d'un fait qui n'est pas directement montré mais qui est rendu vraisemblable par preuve supposée ou rapportée d'un autre fait. Le principe de présomption de fiabilité des procédés de signature a pour objet d'éviter au juge d'avoir à apprécier les caractéristiques d 9

systèmes techniques complexes. Ceux-ci, s'il est démontré qu'ils correspondent bien aux conditions fixées par la loi, seront présumés fiables. Cette présomption de fiabilité est simple et établit ainsi un renversement de la charg de la preuve, qui incombe alors à celui qui conteste la fiabilité du procédé de signature ut En principe, contrairement à une présomption irréfragable, la présomption simple permet d remettre en cause la fiabilité du procédé. Toutefois, on peut s'interroger sur la capacité des parties à apporter une telle preuve contraire.

Chapitre II –

les conditions à remplir pour la présomption de fiabilité :

La loi 53-05 détermine ces conditions, qui sont au nombre de quatre : le procédé de signature doit mettre en œuvre une signature électronique sécurisée, celle-ci doit être établ grâce à un diapositif sécurisé de création de signature électronique. Enfin, cette signature être vérifiée et cette vérification doit reposer sur l'utilisation d'un certificat électronique qualifié. Bien que la loi n'utilise pas directement cette terminologie, la signature électronique sécurisée est celle fondée sur les technologies de la cryptologie à clé publique. L'utilisation certificats pour la vérification n'est en effet compréhensible que dans le contexte de cette technologie. Pour pouvoir analyser la façon dont la loi transcrit les exigences de la directive rela à ces procédés, nous avons choisi de suivre la chronologie des opérations du processus de signature cryptologie : tout d'abord, la certification, traitée au chapitre III de la loi (A); ensuite, la création de signature, traitée au chapitre I de la loi (B); finalement, la vérificat de signature, traitée au chapitre II de la loi (C). Cette division permet de mettre en relief le fait que, d'une part, chacune de ces étape fait appel à des procédés techniques et des services différents et d'autre part, que les règles régimes auxquels sont soumis ceux-ci ne présentent pas le même caractère obligatoire et le mêmes modalités d'accès au marché.

Section 1 – la prestation de services de certification électronique

Selon les dispositions de l'article 9 de la loi le certificat de conformité, prévu à l'ali 2 de l'article 6 ci6dessus, est délivré par l'autorité nationale d'agrément et de surveillance électronique, prévue à l'article 15 de la présence loi, lorsque le dispositif de création de signature électronique satisfait à certaines exigences. D'ailleurs, on trouve à la fois que cet article a bien parlé aussi des conditions relatives à l'exécution de la prestation de certifica 10

de clés publiques (§1) et les conditions auxquelles sont soumises les prestataires de service de certification en vue de leur reconnaissance comme prestataire qualifié (§2).

§ 1- Les conditions relatives à la prestation de certification

Avant de détailler les conditions et les exigences imposées par l'article 9 de la loi, il convient pour comprendre le rôle de ces services de rappeler brièvement le processus de la signature cryptographique à la clé publique.

*Création de signature et certification :

Chaque utilisateur dispose d'une paire de clés, une publique, accessible à tous, et une privée, que l'utilisateur conserve secrète. Pour échanger un message signé, le signataire ut sa clé privée et le destinataire utilise la clé publique associée pour vérifier l'origine et l'intégrité du message. Le service de certification apporte la garantie que la clé publique fournie est bien la bonne, en inscrivant la clé publique d'un utilisateur dans un certificat ém à son nom. Ce certificat est lui-même signé par le prestataire avec sa clé privé .

*Vérification de signature :

Le destinataire d'un message signé peut vérifier cette signature en quatre étapes : premièrement, il doit se procurer la clé publique du prestataire de service de certification; deuxièmement, se procurer le certificat du signataire; troisièmement, il vérifie signature du prestataire sur le certificat, à l'aide de la clé publique du prestataire; quatrièmement, si cette vérification est positive, il utilise la clé publique contenue dans le certificat pour vérifier la signature sur le message.

*Les certificats qualifiés :

La loi énonce les éléments obligatoires d'un certificat qualifié et les exigences relati à la prestation de services de certification. Dans le premier cas, ces éléments concernant à fois le prestataire de certification et le signataire pour lequel le certificat avec une signatu électronique sécurisée, indiquer les conditions d'utilisation du certificat, c'est-à-dire sa pé de validité et le montant maximum des transactions pour lesquelles il peut être utilisé. Le second doit être identifié, par son nom ou par un pseudonyme, et sa qualité le cas échéant. certificat doit également contenir les données de vérification de signature électronique le concernant. Enfin, le certificat doit comporter un numéro de série et porter mention qu'il a délivré à titre de certificat qualifié. La prestation de certification : pour pouvoir être considéré comme qualifié, le certificat doit de plus être émis par un prestataire de services de certification conformes au exigences énumérées à l'article 9 de la loi. La plupart de ces exigences se rapportent au cy de vie du certificat, les autres relevant d'obligations plus générales et transversales. Parmi nombreuses exigences, on attirera l'attention sur le fait que, lors de la délivrance, le presta

11

est tenu de vérifier l'exactitude des informations contenues dans le certificat, y compris l'identité et la validité de la clé publique ; que le prestataire est tenu d'un devoir d'informa par écrit à l'égard de son client. Le prestataire doit fournir un service d'annuaire de certificats; conserver les certifica de façon sécuritaire, pour en prévenir la falsification et permettre leur utilisation comme preuve en justice. Il doit organiser un service de révocation de certificat sûr et rapide. Enfi doit employer du personnel compétent, appliquer des procédures et utiliser des systèmes de sécurité appropriés.

§ 2 - Les conditions de qualification et le contrôle des prestataires de certification *Finalité de la qualification :

Comme la directive l'exige, aucune autorisation préalable n'est nécessaire pour exerc des activités de prestataire de services de certification. Toutefois, dans le but d'améliorer l niveau du service de certification, la loi met en place, à la suggestion de la directive, un régime de qualification des prestataires. Cette qualification vaut présomption de conformit aux exigences énumérées à l'article 9 et présentées ci-dessus. Pour qu'un certificat soit considéré comme qualifié, il doit répondre aux exigences de l'article et être émis par un prestataire lui-même qualifié. Cette double qualification est donc une condition préalable indispensable à la présomption de fiabilité du procédé de signature électronique sécurisée.

*Modalités de la qualification des prestataires :

Cete qualifcaton suit un mode d° organisaton pyramidale.sur trois niveaux : une instance est désignée par le ministre d'industrie pour accréditer les organismes responsa de l'évaluaton et de la qualifcaton des prestataires de service de certfcaton (art.7). Ta la désignaton de l'instance d'accréditaton des organismes que les procédures d'évaluat et de qualifcaton seront déterminées part des arrêtés du premier ministre et de ministre chargé de l'industrie.

Contrôle des prestataires: la directve suggère (art 33) que chaque état membre assure la mise en place d'un mécanisme de contrôle des prestataires de contrôle de servi de certfcaton établie sur son territoire. Ce contrôle; tel organisé par le décret (art 9) vi tout autant les prestataires qualifés que ceux non qualifés. il porte sur le respect exigen défnies à l'artcle 6 ;et peut être efectué d'ofce ou à l'occasion de toute réclamaton

12

metant en cause l'actvité d'un prestataire ;et peut faire l'objet d'une procédure contradictoire .Ile est efectué par des organismes public désignés par arrêté du premier ministre chargé de la sécurité des systèmes d'informaton (SCSSI).

Si le prestataire en queston et qualifé; et s'il n'a satsfait aux exigences de l'artcle les SCSSI en informent l'organisme de qualifcatons. Lorsque le prestataire n'est pas qual les exigences de l'artcle 6 ne lui sont pas opposables; mais la publicité par le SCSSI du résultat du contrôle sont une incitaton à les respecter.

Pour terminer; il est important d'observes que si le décret remplit complètement l'exigence formelle de libre accès au marché de la prestaton de services de certfcaton ; procédure de qualifcaton permet d'instaurer une hiérarchie des prestataires : ceux qui

auront été qualifés et seront de ce fait présumés conforme aux exigences de l'artcle 6 ;e ceux qui ne sont pas qualifés auront à a faire la preuve de cete conformité lorsque leur responsabilité est engagée.

Section 2 - la création et la vérification de la signature électronique § 1 – La création de la signature électronique

La signature électronique est réalisée par l'utlisaton d'un diapositf sécurisé meta en œuvre des données de créaton de signature électronique. Pour que ce dispositf puiss être qualifé de sécurisé, il doit répondre aux exigences de l'artcle 9 de la loi, et être cer conforme à ces exigences dans les conditons posées à l'artcle. Nous examinons ces exigences; et la procédure par laquelle un dispositf est certfé conforme à ces exigences.

*Les exigences

Elles sont au nombre de quatre. Les trois premières visent les moyens techniques de protecton des données de créaton de signature : un dispositf sécurisé de signature électronique doit en assurer l'unicité, la protecton contre la falsifcaton et la déducton, en permetre une protecton efcace par le signature contre l'utlisaton par les ters. La 13

dernière exigence vise à que le dispositf ne fasse pas obstacle à ce que le signataire ait u reconnaissance exacte du contenu de l'acte avant de signer, et que le dispositf de signatu n'entraîne aucune altératon de l'acte signé.

Caractère absolu des exigences : on notera tout d'abord que la formulaton des artcles est plus rigide que celle de la directve. Alors que celle-ci relatvisait tant la noton d'unicité des données de créaton de signature " les données utlisées pour la créaton de signature électronique ne puissent, pratquement, se rencontrer qu'une seule fois …), que leur déducton " garantr … que l'on puisse avoir l'assurance sufsant que les données ne puissent être trouvées par déducton … ";

On peut regreter ce resserrement des exigences des exigences. En efet, même si le risque est infme, aucun mécanisme de créaton de signature ne serait en mesure de s'y conformer, puisque ces exigences font référence à des processus mathématques probabilistes, et non déterministes.

Responsabilité des signataires : on notera ensuite qu'il importe de bien comprendre portée de l'artcle 11 de la loi. Un industriel qui obtent la certfcaton de conformité aux exigences pour le dispositf de créaton de signature électronique qu'il a conçu, n'est plus responsable de l'utlisaton de ce dispositf par des ters autres que le signataire. C'est ce dernier qui devient alors responsable de la protecton de ses données de créaton de signature. Cete responsabilité devrait pouvoir être appréciée non seulement en tenant compte de la présompton de fabilité qui résulte de la conformité aux exigences, mais aus de la capacité du signataire à remplir son obligaton et apporter la preuve contraire.

Les limites de " se que tu vois est que" : en dernier lieu, il convient de relever les nombreuses critques et commentaires dirigés contre ce concept.

Certains auteurs considèrent qu'il est, à toutes fns pratques, impossible d'assurer qu'une telle exigence est toujours remplie, lorsque le dispositf sécurisé de créaton de signature connecté à un système informatque multfonctons. En efet, celui-ci rend nécessairement dispositf de signature vulnérable à un piratage visant la modifcaton du contenu de l'acte cours du processus de signature.

14

*La procédure de certification de conformité des dispositifs

Alors que la qualifcaton n'est pas exigée des prestataires de services de certfcato pour démontrer leur conformité aux exigences de la loi, la certfcaton de conformité est obligatoire pour qu'un dispositf de créaton de signature électronique puisse être considé comme sécurisé.

§ 2 - la vérification de la signature électronique Finalité de la vérifcaton : une fois le bien entendu être vérifée. Cete vérifcaton vérifcaton de signature électronique qui se signature cryptologique est alors déduite de

certfcat établi et la signature créée, celle-ci est efectuée à partr des données de trouvent dans un certfcat. La validité d'une cete vérifcaton, opératon qui fournit trois

réponses possibles : soit que la signature est valide, soit qu'elle est invalide, soit que le processus de vérifcaton ne dispose pas des données sufsantes pour fournir une ré ponse.

Organisaton de la vérifcaton : la seule exigence requise par la loi pour qu'un procédé de signature électronique bénéfcie de la présompton de fabilité est que la vérifcaton des signatures repose sur l'utlisaton d'un certfcat électronique qualifé, san toutefois préciser quelles données du certfcat sont nécessaires à la vérifcaton. D'autre part, la loi 53-05 défnit la noton de dispositfs de vérifcaton de signature électronique son artcle 8 et organise de façon détaillée leurs conditons de certfcaton à l'artcle 11.

On pourrait alors s'étonner que, contrairement au cas des opératons de créaton de signature, la loi n'exige, ni la certfcaton des diapositfs de vérifcaton, ni même leur utlisaton, que ceux-ci soient certfés ou non. L'origine de cete diférence se trouve dans la directve, qui pose aux dispositfs de vérifcaton de signature, non pas des exigences, mais uniquement des recomm andatons.

15

Bien que la certfcaton des dispositfs de vérifcaton soit facultatve, nous examino d'une part les conditons posées par la loi 53-05 pour cete certfcaton, et d'autre part, l problème de la pérennité de ces signatures, dans la loi et au-delà.

Les conditions de certification des dispositifs de vérification

Cete certfcaton est obtenue, après évaluaton, selon des règles précisées par arrê du Premier ministre. Les dispositfs de vérifcaton doivent remplir un certain nombre de foncton : vérifer l'exacttude de la signature, les conditons d'utlisaton et la durée de validité du certfcat électronique, porter obligatoirement à la connaissance du vérifcateu l'identté su signataire, éventuellement son pseudonyme, ainsi que le résultat des vérifcatons mentonnées ci-dessus; permetre au vérifcateur de déterminer, si nécessair le contenu des données signées; enfn, le dispositf doit pouvoir détecter toute modifcat ayant une incidence sur la vérifcaton.

Cete dernière conditon impose que la vérifcaton d'un document signé ayant subit une modifcaton ultérieure à la signature résulte en l'invalidité de la signature. Qu'en est lorsque ces modifcatons sont rendues nécessaires pour assurer la lisibilité pérenne du doc ument?

Le problème de la pérennité des signatures électroniques sécurisées

Il convient d'observer que la loi 53-05, tout comme la directve, ne fait aucune distncton entre deux types de vérifcaton bien distncts : une première vérifcaton, qui celle efectuée par le destnataire du message au moment où il reçoit le document signé; une seconde, qui serait efectuée, longtemps après, par exemple, par un juge ou un exper Le vérifcateur, selon qu'il est le destnataire original du message, ou le juge/expert, sera confronté à des conditons techniques très diférentes. Dans le premier cas, la période écoulée entre la créaton de la signature et sa vérifcaton sera probablement courte, alors que dans le second cas, l'écart entre créaton et vérifcaton peut être très long, en fonct des délais de prescripton. Ainsi, cete dernière vérifcaton s'efectuera sur un document signé qui aura fait l'objet d'un processus d'archivage électronique.

Dans le but d'assurer leur lisibilité pérenne, ce processus implique des migratons périodiques des documents archivés, migratons qui modifent nécessairement les documents signés.

16

Ainsi il faut se demander si l'une des fnalités de la signature électronique sécurisée celle d'assurer l'intégrité pérenne du document signé grâce au processus de vérifcaton – peur être véritablement assuré.

Partie II : La mise en œuvre de la signature électronique A

la lumière des développements précédents, on a entrevu que la signature électronique doive respecter un ensemble des exigences légales .Dans un premier lieu, elle doit garantir l’identification du signataire en recourant a un certificat délivre par un tiers certificateur. Dans un deuxième lieu, elle doit préserver l’intégrité du document qui doit êt conservé par un tiers archiver pour pouvoir jouer ultérieurement son plein rôle dans l’administration de la preuve (chapitre I). Par ailleurs, pour permettre a une Signature électronique de répondre aux exigences susmentionnées, l’intervention de certains tiers (le certificateur et l’archiveur susnommés) demeure décisive .ces deux derniers peuvent perpétrer certaines peccadilles lors de l’exercice de leurs activité et voir, par conséquent, l responsabilité (chapitre II).

Chapitre 1 :

force probante de la signature électronique

Il convient désormais d’analyser les questions touchant la force probante et même à validité des documents obtenus ou transférés par des techniques de reproduction et de communication à distance.

Afin de mener à bien cette analyse, nous commenterons, dans un premier temps, l’affirmation selon laquelle la preuve informatique fourni la même garantie que le papier (section 1), toutefois lorsque la force probante est reconnue à la signature électronique, il convient de se demander dans un second temps, si cette dernière peut-elle s’appliquer à tou classes de conventions sans restrictions (section 2).

Section 1 : l’écrit électronique équivaut à l’écrit sur support papier

17

Avec l’essor imposant qu’a connu le commerce électronique dans les dernières année au niveau mondial, il était capital d’intervenir législativement pour raffermir la confiance entre les différents acteurs de ce domaine. Certes, cela ne pourrait s’opérer qu’à travers la reconnaissance d’une valeur probatoire à la signature électronique (S.E) qui constitue la clé voûte de la sécurisation juridique des transactions électroniques. Pour cela, plusieurs initiatives ont été opéré, tant au niveau international, et national :

§ 1 – Au niveau international Au niveau international, la CNUDCI a adopté en 1996 une loi type sur le commerce électronique et un guide pour son incorporation. La loi type avait pour objectif d’offrir aux législateurs nationaux un ensemble de règles internationalement acceptables sur la manière de surmonter un certain nombre des

obstacles et de créer un environnement juridique plus sûr pour ce que l’on appelle aujourd le commerce électronique. Dans ce document, la CNUDCI adopte une approche ouverte et fonctionnelle du concept de la signature. La directive européenne du 13 décembre 1999 reconnait la validité de la signature électronique article 5. La directive donnera une définition technique de cette dernière : « une donnée sous forme électronique et qui sert de méthode d’authentification » article2. Cette directive marque une avancée significative puisqu’elle introduit la notion de certificats de signature et de prestataire de certification.

§ 2 - Au niveau national

Au niveau national, plusieurs législateurs ont déjà renforcé leur arsenal législatif par des lois qui reconnaissent la force probante à la SE pour des raisons méthodologiques, on s borne à donner l’exemple de la législation française et marocaine. Le principe en droit français était celui du consensualisme mais il s’organise en fait autour de l’écrit : même si le contrat est valablement formé sans écrit du seul fait d l’échange des consentements des parties (principe du consensualisme), la nécessité pour le parties de prouver leur contrat leur impose le recours à un écrit. L’écrit au sens traditionnel est le titre original revêtu d’une signature manuscrite et matérialise dans un document papier. On sait déjà que la signature remplit deux fonctions juridiques essentielles : identification de l’auteur et manifestation de sa volonté, adhésion personnelle du signataire au contenu du document.

18

Toutes fois, la signature n’était pas définie par la loi française, même si le code civil mentionne à plusieurs reprises l’obligation d’une signature. Pour autant, la loi du 13 mars 2000 est venue modifier le droit français relatif à la preuve, en reconnaissant l’équivalence du support papier et du support numérique dès lors qu’un certain nombre de conditions sont respectées. La loi réfute donc désormais toute hiérarchie entre les supports, considérant que l’écrit sous forme électronique doit avoir la même force probante que l’écrit sur support papier. Au Maroc, avant l’adoption de la loi 53-05, le principe général du droit de la preuve était la primauté de la preuve par l’écrit (littérale), ce qui nous pousse à nous Interroger su possibilité d’accepter la signature électronique comme moyen de preuve sous les anciennes dispositions du droit marocain de la preuve Suite a une lecture substantielle des règles classique de preuve au Maroc, on peut dir qu’il était possible d’admette la S.E en preuve mais dans la limite de certaines exceptions prévues par la loi qu’on va les cerner en abrégé ci-dessous :

▪ En application des dispositions de l’art 443 du DOC rien n’empêche l’utilisation de la S.E comme moyen de preuve afin de prouver des transactions dont la valeur ne dépasse 250 DH ▪ En application des disposions de l’art 447 du DOC il nous semble que la signature peut être utilisée comme commencement de preuve testimoniale, présomption ou expertise pour recevoir la qualité d’une preuve intacte. ▪ En application des disposions de l’art 448 du DOC, il ya une possibilité d’accepter signature électronique a titre de preuve en cas de perte ou d’impossibilité de se procurer une prouve littérale ▪ En application des disposions de l’art 334 du code de commerce qui édicte le principe de la liberté de preuve en matière commerciale et donc la possibilité de recourir a S.E pour apporter la preuve ▪ les protagonistes d’une transaction peuvent reconnaitre dans une convention de preuve la validité de la S.E Mais il faut reconnaitre que la recevabilité de la S.E en preuve a la lumière des expions susvisées reste soumise a la conviction de juge , ce qui crée un climat de méfiance alt ère , par voie de conséquence , la stabilité du commerce électronique qui constitue l’effe de mode .Pour autant le législateur marocain en vue de mettre fin a ces complications a ad en 30 novembre 2007 la loi 53.05 qui reconnait la force probante a la signature électroniq en apportant plusieurs nouvelles dispositions en la matière et en introduisant et modifiant plusieurs articles dans le DOC marocain . L’article 417_1 introduit dans le DOC par la loi 53.05 énonce que « l’écrit sur support électronique a la même force probante que l’écrit sur support papier. l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support

19

papier , sous réserve que puisse être dument identifiée la personne dont il émane et qu’il s établi et conservé dans des conditions de nature a en garantir l’intégrité » Le texte veut dire preuve électronique aura la même force probante que la preuve écrite et sera opposable au juge, les signatures électroniques seront créées et vérifiées grâc aux certificats numériques, ces signatures électroniques vont ainsi permettre d assurer les principes indispensables pour donner aux échanges en ligne la même fiabilité qu’aux échanges traditionnels à savoir : authentification non répudiation, confidentialité et intégrité des données. La loi 35/05 va permettre également la création d une autorité natio d agrément et de surveillance de la certification qui aura pour mission de proposer au gouvernement les normes d un système d agrément et d agréer les prestations de services d certification de signature électronique et de contrôler leurs activités.

Section2- champ d application de la signature électronique

Dans un premier temps ,nous pourrions penser que ce champ est extrêmement large car i

comprend, d’une part, tous types de contrats synallagmatiques qu’ ils traitent des choses corporelles ou incorporelles, qu’ils portent sur des droits réels ou personnels, d’autres part sont également concernés les actes et contrats unilatéraux. Nous pouvons, a ce titre citer le reconnaissances de dettes, les différents titres de créance et cautionnements.

§ 1 – sur le plan européen

Cependant malgré les efforts de la loi type de la CNUDCI sur les S.E et le parlement européen , notamment dans sa directive commerce électronique pour supprimer les obstacle la conclusion de contrats en ligne, nous sommes tous de même en droit de constater que no ne sommes pas passés du jour au lendemain sous le règne du tous numérique. En revanche, la directive européenne commerce électronique adoptée en Mai 2000 et traitant comme son nom le laisse suppose, des contrats électroniques, interdit aux Etats membres de mettre des obstacles a la pleine reconnaissance de la validité de ce type de contrats (article 9).de la a considérer que la distinction entre l’écrit exigé ad probation et l’écrit exigé ad validetem au Maroc constitue un tel empêchement a l extension des transactions électroniques si cette distinction est maintenue telle qu’elle .

§ 2 - sur le plan national

L’article 2 de la loi marocaine n° 53-05 a introduit dans le chapitre premier du titre pre du livre premier du DOC un article 2.1 rédigé comme suit :

20

Lorsqu’un écrit est exigé pour la validité d’un acte juridique, il peut être établi et conservé sous forme électronique dans les conditions prévues aux articles 417-1 et 417-2 c dessous . Pour des motifs semblables, la loi propose une définition des mentions manuscrites exigées « ad validitem » par le législateur dans le but de les adapter à un environnement électronique : Lorsqu’une motion écrite est exigée de la main même de celui qui s’oblige, ce derni peut l’apposer sous forme électronique, si les conditions de cette apposition sont de nature garantir qu’elle ne peut être effectuée que par lui-même. Par ailleurs, à l’instar de l’article 9-2 de la directive sur le commerce électronique, l loi propose d’introduire des exceptions dans le DOC par le biais de l’article 2 précité : Toutefois, les actes relatives à l’application des dispositions du code de la famille et actes sous seing privé relatives à des suretés personnelles ou réelles, de nature civile ou

commerciale, ne sont pas soumis aux dispositions de la présente loi, l’exception des actes établis par une personne pour les besoins de sa profession. Nous avons vu, plus haut, que certains chercheurs considèrent, que le législateur marocain, n’avait pas voulu viser les écrits exigés ad validitatem. C’est pourquoi pour les contrats où la présence d’un écrit est une condition de validité, le recours à l’écrit électronique n’aurait pas été possible. Comme cette interprétation n’était pas conforme au principe de l’équivalence fonctionnelle, le législateur a décidé de faire amender la législation de ce domaine en supprimant sobrement toutes interdictions ou restrictions concernant l’utilisation de contra électroniques, conformément à la directive européenne sus évoquée sur le commerce électronique e le droit français, sans pour autant oublier le cas de certains contrats partic qui ne seront pas touchés par cette réforme. A ce titre, nous pouvons évoquer le ces des actes relatifs à l’application des dispositions du code de la famille (premier exception) et qui doivent respecter le formalise l’écrit sur papier signé d’une manière manuscrite, tel le que les contrats de mariage qui so en application de l’article 67 du code marocain de la famille, signés par les deux époux et soumis à une homologation judicaire. Ce formalisme a pour fonction de préserver l’intérêt la famille, c’est-à-dire, faire en sorte que le changement de régime matrimonial des époux porte pas atteinte aux intérêts de chaque membre du couple, tout en essayant de concilier c avec l’intérêt des enfants, sans oublier l’intérêt des créanciers à qui la loi permet d’interve pour empêcher toute fraude à leurs droits. La deuxième exception vise les actes sous seing privé relatifs à des suretés personnelles ou réelles, de nature civile ou commerciale tels le cautionnement signé par un consommateur.

21

Chapitre II :

La responsabilité et les obligations des tiers intervenants à la démarche d’une signature électronique

Le processus de signature électronique implique juridiquement des tiers qui jouent u rôle capital soit pour assurer la crédibilité d’une signature et garantir sa validité, ici on vis prestataire de service de certification qui est l’un des éléments clés de la signature électronique (section 1), soit pour assurer la conservation de l’écrit signé et sa restitution, on vise le tiers archiveur (section2) qui a pour but de conserver et de rétrocéder un véritab écrit électronique pouvant être produit en justice.

Section 1 : Responsabilités et obligations de certification

des prestataires de services

Le prestataire de service de certification, (PSC), est défini par les textes européens e français comme toute personne physique ou morale qui délivre des certificats ou fournit d’autres services liés à la signature électronique. Le PSC a notamment pour mission de collecter des messages et d’émettre un certific garantissant au destinataire le lien entre le message, la signature qui lui est présentée et l’identité de l’émetteur.

Le PSC est donc un acteur fondamental de la confiance dans le domaine de la signature électronique. Les prestataires de services de certification a des responsabilités (§1) et des obligati (§2) .

§1: Responsabilités des prestataires de services de certification:

La directive de 1999/ 93/ CE du 13 décembre 1999 met en place un régime spécifiqu de responsabilité pour les prestataires de services de certification afin d’assurer un niveau confiance suffisant aux yeux des utilisateurs. Ce régime spécifique de responsabilité ne concerne cependant que les prestataires qui délivrent au public des certificats qualifiés ou garantissent publiquement de tels certificats. Les prestataires qui émettent des certificats ordinaires tombent sous le coup du régime du droit commun de la responsabilité. De même, l’article 6 de la directive de 1999 définissant un cadre communautaire po la signature électronique : Les prestataires sont présumés responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés comme qualifiés qu’elles délivrent, 22

lorsqu’il s’avère que ces certificats ne sont pas qualifiés ; Ils doivent justifier d’une garantie financière suffisante, spécialement affectée au paiement des sommes qu’ils pourraient devoir aux personnes s’étant fiées raisonnablement aux certificats qualifiés qu’elles délivrent, ou d’une assurance garantissant les conséquenc pécuniaires de leur responsabilité professionnelle ;

Enfin, seuls certains faits générateurs du préjudice seraient couverts par ce régi de responsabilité présumée. A ce titre, le présent article définit les hypothèses limitatives : Lorsque les informations contenues dans le certificat, à la date de sa délivrance, étai inexactes. Cette hypothèse d’engagement de responsabilité est prévue par le a )1 du point 1 de l’article 6 de la directive lorsque les données prescrites pour que le certi puisse être regardé comme qualifié étaient incomplètes. lorsque le prestataire d’un service de certification électronique n’a pas vérifié que le signataire détenait bien, lorsque le certificat lui a été délivré, des données de création de signature qui correspondaient à celles, fournies ou identifiées dans le certificat, permettant vérifier cette signature. Lorsque le prestataire n’a pas assuré la complémentarité des données afférentes à la création de signature (clé privée) et de celles relatives à la vérification de cette signature ( c l é publique). Lorsque le prestataire n’a pas enregistré la révocation du certificat et n’a pas tenu informé les tiers de ce fait.

Ce second volet du dispositif législatif de transposition de la directive européenne en matière de signature électronique, ne concerne plus la reconnaissance légale de la signature électronique, mais bien le cadre d'activité des prestataires de services de certification, notamment du point de vue de leurs responsabilités. En ce qui concerne le droit marocain, le législateur dans la loi 53-05 de 2007 n’a 1 1. Les États membres veillent au moins à ce qu'un prestataire de service de certification qui délivre à l'intention du public un certificat présenté comme qualifié ou qui garantit au public un tel certificat soit responsable du préjudice causé à toute entité ou personne physique ou morale qui se fie raisonnablement à ce certificat pour ce qui est de: a) l'exactitude de toutes les informations contenues dans le certificat qualifié à la date où il a été délivré et la présence, dans ce certificat, de toutes les données prescrites pour un certificat qualifié; b) l'assurance que, au moment de la délivrance du certificat, le signataire identifié dans le certificat qualifié détenait les données afférentes à la création de signature correspondant aux données afférentes à la vérification de signature fournies ou identifiées dans le certificat; c) l'assurance que les données afférentes à la création de signature et celles afférentes à la vérification de signature puissent être utilisées de façon complémentaire, dans le cas où le prestataire de service de certification génère ces deux types de données

23

apporté aucune réglementation propre à la responsabilité des prestataires de services de certification électronique (PSCE) et par voie de conséquence, la question reste toujours rég par les règles générales de la responsabilité, ce qui prive les PSCE indubitablement d’un d de limitation de responsabilité ou de détermination du dommage à réparer et/ ou sa valeur, qui signifie que le PSCE est dans l’obligation de respecter les principes généreux du droit civil édictés par l’article 78 du DOC qui dispose : « Chacun est responsable du dommage moral ou matériel qu’il a causé, non seulement par son fait, mais par sa faute, lorsqu’il est établi que cette faute en est la cause directe. Toute stipulation contraire est sa effe t » . L’article 88 du DOC réglemente la responsabilité du gardien de choses, l’article stipule « Chacun doit répondre du dommage causé par les choses qu’il a sous sa garde, lorsqu’il est justifié que ces choses sont la cause directe du dommage, s’il ne démontre : Qu’il a fait tout ce qui était nécessaire afin d’empêcher le dommage et il dépend, soi d’un cas fortuit, soit d’une force majeure, soit de la faute de celui qui en est victime » .

§2: Obligations des prestataires de services de certification:

Quant aux obligations qui sont à la charge des prestataires de services de certificati émettent des certificats qualifiés ou qui garantissent publiquement de tels certificats, peuv être classées en deux catégories : Les obligations concernant l’objet de l’activité. Trois types d’obligations spécifiques peuvent être ici identifiés : L’exactitude des informations fournies dans le certificat à la date de sa délivrance (pas d'obligation de contrôle permanent des obligations contenues dans le certificat), La vérification de la détention et de la complémentarité des données afférentes à la création de signature, la révocation des certificats, notamment du point de vue de la mise à disposition des utilisateurs d'un service de révocation sûr et immédiat en veillant à ce que la date et l'heure du certificat puissent être déterminées avec précision; Les obligations tenant au fonctionnement du mécanisme de certification ; elles prennent la forme de garanties que doit obligatoirement présenter le tiers certificateur. Elles concernent notamment les aspects suivants : - sécurité et fiabilité, - information, - garanties financières, - interopérabilité,

24

- protection de données personnelles.

Section 2 : Obligations et responsabilités du tiers archiveur :

Face aux nombreuses questions juridiques qui subsistent lorsque les entreprises entendent faire archiver leurs messages électroniques, utiliser les services d’un tiers prestataire de services nous paraît être une solution intéressante dans la mesure où les informations conservées doivent non seulement pouvoir être restituées ou consultées ultérieurement, mais encore être conformes à leur contenu et forme initiale. Cela recouvre caractères de fidélité et de durabilité, à l’image d’un instantané photographique intangible. L’intervention d’une tierce partie contribuera à apporter la confiance quant à la paternité et véracité des enregistrements informatiques conservés, certes au premier chef pour le comp d’un client contre rémunération, mais aussi au service de l’intérêt général. C’est l’ensembl

des personnes (publiques et privées – cocontractants- juge- agents de l’Etat et des organism sociaux, etc.…) affectées par une relation juridique quelconque qui doit avoir la certitude le document servant de référence n’a pas été modifié ou altéré depuis sa création, ou à tout moins, depuis son enregistrement en vue d’une reproduction ou restitution.

§1 – Obligations du tiers archiveur:

Outre des dispositions contractuelles que l’on peut trouver dans certains modèles d’accord d’E.D.I.S, au sujet de la conservation des informations contenues dans des messa électroniques, force est de constater qu’il n’existe aucune règle internationale générale (ou européenne) qui permette d’atteindre un degré d’uniformité acceptable, sauf sans doute, la type de la C.N.U.D.C.I. sur le commerce électronique. Ne fût-ce que parce qu’il pourrait nourr la réflexion des législateurs, l’article 10 de la loi-type sur le commerce électronique, intitu «Conservation des messages de données», mérite d’être exposé. Il se fonde sur l’interventi de la personne elle-même ou d’une tierce personne. Lorsqu’une règle de droit exige que certains documents, enregistrements ou informations soient conservés, cette exigence est satisfaite si ce sont des messages de donn qui sont conservés, sous réserve des conditions suivantes : a) L’information que contient le message de données doit être accessible pour être consultée ultérieurement ; b) Le message de données doit être conservé sous la forme sous laquelle il a été créé, envoyé ou reçu, ou sous une forme dont il peut être démontré qu’elle représente avec précision les informations créées, envoyées ou reçues ;

25

c) Les informations qui permettent de déterminer l’origine et la destination du message de données, ainsi que les indications de date et d’heure de l’envoi ou de la récept doivent être conservées si elles existent. L’obligation de conserver des documents, enregistrements ou informations conformément au § 1 ci-dessus ne s’étend pas aux informations qui n’ont d’autre objet que permettre l’envoi ou la réception du message de données.

L’exigence visée au § 1 ci-dessus peut être satisfaite par recours aux services d’une autre personne, sous réserve que soient remplies les conditions fixées aux alinéas a, b, c, de paragraphe. Alors, l’archivage consiste à conserver, à moyen ou long terme des informations afin de pouvoir les exploiter ultérieurement. L'archivage permet ainsi d'assurer la fidélité et la durabilité de l'information conservée. Aujourd'hui, en raison du développement considérab des données sous forme dématérialisée, les supports traditionnels d'archivage (papier ou microforme) des documents sont progressivement remplacés par des systèmes d'archivage électronique. Lors de la détermination des modalités de mise en œuvre de l'archivage, l'entreprise a le choix entre la création d'un service d'archivage en interne, ou l'"externalisation" de cette prestation. Dans ce dernier cas, un contrat spécifique doit alors établi à cette occasion.

§2: Responsabilité du tiers archiveur:

Concernant la responsabilité des tiers, il nous semble important de souligner que la viabilité du système dépendra en grande partie des garanties de fiabilité et de sécurité des systèmes utilisés, d’une part, et financières, d’autre part. Si le droit commun de la responsabilité s'applique (contractuelle et délictuelle), les clients contractants auront intér d’étudier soigneusement les obligations que les tiers auront souscrites et les responsabilité qu’ils auront écartées ou limitées. Pour assurer la sécurité et la confidentialité des informations conservées, il semble probable que les tiers utiliseront des moyens et prestations de cryptologie. Et selon la législation applicable, l’usage de ces techniques fera plus ou moins l‘objet d’un contrôle imposé par l’Etat. Dans de nombreux Etats, il faudra prendre en compte la question du traitement des données à caractère personnel, ainsi que dans certains cas, les aspects de droit d’auteur en général, et plus particulièrement lorsqu’il y a constitution de bases de données. Sur le plan contractuel, la sécurité et la confidentialité (secret des affaires) seront prises en compte.

26

De plus, le tiers devra également satisfaire d’autres obligations, à défaut de quoi, sa responsabilité sera engagée, voire même, dans l’hypothèse où cette nouvelle activité serait réglementée et contrôlée par l’Etat, la sanction encourue serait le retrait de l'autorisation e cas de défaillance grave ou de fraude caractérisée. La conservation portera sur l'intégralité des données numériques transmises dans leu format d'origine (d'où la nécessité d'utiliser des standards) ; le tiers établira une liste à la séquentielle et chronologique de l’ensemble des flux d’information (entrée et sortie) pour chaque client. Les fonctions exercées emporteront obligation pour le tiers de contracter une assurance couvrant les risques d’exploitation de cette activité nouvelle. Des obligations naîtront du respect des mesures de sécurité techniques répondant aux besoins de fidélité et durabilité requis par les différents textes applicables et variables selon les domaines juridiques.

CONCLUSION :

Nous avons tenté, dans les lignes qui précèdent, de clarifier quelque peu la matière t complexe et technique de la signature électronique. Il s'agit véritablement d'une révolution puisque, dorénavant, on pourra signer en pianotant sur son clavier d'ordinateur, cette signa ayant la même valeur juridique que la signature manuscrite traditionnelle.

Cette loi vise essentiellement à assurer la sécurité juridique du commerce électroniq (contrats entre entreprises, achats sur Internet, …) afin de permettre son essor dans le futur. L'avenir nous dira si elle permettra d'augmenter les échanges électroniques au sein d pouvoirs locaux. Ce développement ne pourra avoir lieu, nous semble-t-il, qu'avec l'évolut parallèle des équipements informatiques ainsi que celle de diverses réglementations. En ef chaque fois que des formalités sont imposées (envoi recommandé, sceau de la commune, timbres fiscaux, support papier, etc.), c'est la nécessité de ces formalités qui en freinera le développement. Enfin, il ne faut pas négliger non plus le coût de l'utilisation d'une signatu

27

électronique.

Référence : (Bibliographies / Internet) la signature électronique, Introduction technique et juridique à la signature électronique à la signature sécurisée, preuve et écrit électronique, par T.PIETTE-COUDOUL, Ed.1ère édition. Sécuriser ses échanges électroniques : solutions et aspects juridiques, par T.AUTRER, L.BELLEFIN, M.-L. OBLE-LAFFAIRE, Coll. Solutions d'entreprises, édition Janvier 2002. La loi marocaine n°53-05 sur l a preuve et l a si gnature électronique. l'introduction de la preuve électronique dans le code civil et commercial. Transactions en ligne, preuve et signature électronique : le nouveau cadre juridique, par L.COSTES, Bull. Lamy, édition février 2000. Vers une signature électronique juridiquement maîtrisé, par F.COUPEZ, avec la participation de C.GAILLIEGUE. Révolution internet : le déboulement de l'écrit juridique, par P.Y GAUTIER, 2000.

28

Droit de la preuve et signature électronique : Rapport de M. Charles JOLIBOIS au nom de la commission des lois, Février 2000. Preuve et signature: les innovations du droit français, par LAMERTERIE, Bull. Lamy, Mars 2000 p9. Commerce électronique : vers la sécurité juridique dans le marché intérieur, par S.MUNOZ, mars 2000 p2. Signature électronique et acte authentique : le devoir d'inventer, par B. REYNIS, JCD édition 12 Octobre 2001 p 1494. www.signelec.fr www.google.fr www.altavista.fr www.doc-etudiant.fr

Annexes : 29

Signature électronique : La "signature électronique sécurisée" consiste en " une signature électronique qui utlise

outre un procédé fable d'identfcaton, qui est propre au signataire, qui est créée par des

moyens que le signataire puisse garder sous son contrôle exclusif, et qui garantt avec l'ac

auquel elle s'atache un lien tel que toute modifcaton ultérieure de l'acte soit détectable

Telle est la défniton donnée par le décret d'applicaton de la loi portant adaptaton du d de la preuve aux technologies de l'informaton et relatve à la signature électronique en F ra n c e .

Certfcats :

Un certfcat est une menton garantssant l'identté d'une personne ou la sécurité d'un sit Web. Internet Explorer utlise deux types de certfcats diférents: certfcat personnel et certfcat de site Web.

Un certfcat personnel pour protéger votre identté sur Internet :

Vous pouvez contrôler l'utlisaton de votre identté en étant la seule personne à détenir l clé privée de votre système. Utlisés conjointement à des logiciels de messagerie, les

certfcats de sécurité sont également dénommés "ID numériques." Un “ certfcat personn

” garantt que vous êtes bien celui ou celle que vous prétendez être. Ces informatons son

utlisées lorsque vous envoyez des informatons personnelles via Internet à un site Web qu exige un certfcat garantssant votre identté.

Certfcat de site Web : Un “ certfcat de site Web ” indique qu'un site Web donné est sécurisé et authentque. Il garantt qu'aucun autre site Web ne peut usurper l'identté du site sécurisé d'origine.

Comment fonctonnent les certfcats de sécurité ? 30

Un certfcat de sécurité, qu'il s'agisse d'un certfcat personnel ou d'un certfcat de site W associe une identté à une "clé publique." Seul le propriétaire connaît la "clé privée" correspondante qui lui permet de "décrypter" ou d'envoyer une "signature numérique."

Lorsque vous envoyez votre certfcat à des ters, vous leur transmetez votre clé publique,

sorte à leur permetre de vous envoyer des informatons que vous seul serez en mesure de

décrypter et de lire au moyen de votre clé privée. Le composant de signature numérique d votre certfcat de sécurité consttue votre carte d'identté électronique. La signature numérique indique au destnataire que les informatons transmises viennent bien de vous qu'elles n'ont, en aucune manière, été falsifées. Avant d'être en mesure d'envoyer des informatons cryptées ou signées de façon numérique, vous devez obtenir un certfcat et confgurer Internet Explorer de sorte à ce qu'il puisse l'utliser.

Lorsque vous accédez à un site Web sécurisé (utlisant le protocole sécurisé "htp"), ce sit vous envoie automatquement son certfcat.

Comment obtenir vos propres certfcats de sécurité ?

Les certfcats de sécurité sont émis par des autorités de certfcaton indépendantes. Il ex

diférentes classes de certfcats de sécurité, fournissant chacun un niveau d'authentfcat

diférent. Vous pouvez obtenir votre certfcat de sécurité auprès d'autorités de certfcat Source: Woonoz, bulletn du 8 janv. 2002

Services électroniques d'identfcaton : Les services électroniques d'identfcaton (identty services) proposent une procédure d'identfcaton unique (single sign-on). Quel usager du Net n'a pas ainsi rêvé un jour de s'enregistrer une seule fois et partant, de n'avoir à retenir qu'un seul nom d'utlisateur et qu'un seul mot de passe, pour avoir accès ensuite à divers services Web? Si les internautes avouent être efectvement agacés par les procédures d'enregistrement successives aujourd'hui imposées par les sites Web, les inconvénients et les risques que comporte l'aventure sont par contre à leurs yeux toujours supérieurs aux avantages qu'ils pourraient en retrer.

Selon les analystes de Gartner, il en va tout autrement pour les compétteurs de Microsof qui devraient accélérer la cadence du développement et de la mise en marché de leur 31

service d'identfcaton pour éviter que Passeport, le dernier-né de Bill Gates, ne devienne incontournable puisque seul en lice.

Pourquoi une signature électronique ? Internet permet de réaliser de nombreuses opératons : - Échanger du courrier et des documents en temps réel - Efectuer des achats en ligne avec une carte bancaire - Passer ordres de bourse - Conclure des contrats à distance, etc. Plusieurs problèmes se posent

quant à la fabilité des opératons : - Comment garantr l'authentcité de l'identté de celui

a efectué l'opératon ? - Comment garantr l'intégrité du document échangé (il n'a pas été modifé ou falsifé entre temps) ? UNE SIGNATURE ELECTRONIQUE OFFRE TOUTES CES GARANTIES

Qu'est ce que la signature électronique ? Un écrit sous forme électronique peut être signé par un procédé nommé signature

électronique, dont le role est analogue à celui d'une signature manuscrite pour un manus - Un procédé commun de signature électronique repose sur l'appositon à un écrit sous forme électronique d'un supplément sous forme de symboles. En pratque les ordinateurs

les moyens de télécommunicaton codent ces informatons sous une forme binaire (bits), d

sorte qu'un écrit électronique et la signature apposée sont, pour un envoi à distance, sous forme numérique. Pour cete raison il faut s'intéresser un instant au monde des communicatons et du traitement d'informatons numériques. On parlera de la signature numérique d'un document numérique.

Comment fonctonne la signature ?

C'est le fait que les deux clés (privée et publique) d'une même personne soient liées entre elles, qui va permetre de vérifer l'authentcité de la signature : - Lorsque Amélie envoie

message à Bernard, elle le signe à l'aide de sa clef privée. Mais seule la signature est visib Pour vérifer la signature électronique d'Amélie, Bernard doit se procurer la clef publique

d’Amélie (directement auprès d'elle ou sur un annuaire) qui sert alors de clé de vérifcato

de signature, (clé bleue). - Pour vérifer cela, il suft à Bernard de comparer si la signatur électronique apposée au document envoyé s'accorde bien à la clef publique correspondante. 32

Les 4 étapes de l'authentfcaton :

1- L'expéditeur contacte l'autorité de certfcaton pour faire une demande de certfcaton Cete dernière vérife l'identté du demandeur et lui fournit son logiciel de codage personnel. 2- Le demandeur télécharge la clé privé c'est à dire une programme informatque qu'il installe dans son ordinateur et qui lui permet de signer le document.

3- Lorsque le demandeur expédie un courriel, il applique sa signature codée au message et codage content des informatons sur la structure du message pour permetre de vérifer ultérieurement s'il n'y aurait pas eu des modifcatons.

4- Le

destnataire procède à l'authentfcaton à l'aide de sa clé publique qu'il a reçu de l'autori

de certfcaton en vérifant que l'émeteur est la bonne personne et que le message n'a p été altéré.

Contraintes de la signature électronique

33

“ La reconnaissance juridique de la signature électronique consttue la pierre angulaire po assurer la sécurité et la fabilité des échanges de données.”

Lors de la réalisaton d'un échange de données ou d’informaton dématérialisée les garant de sécurité suivantes doivent pouvoir être apportées : • identfcaton du terminal à l'origine de la requête, • authentfcaton de l'auteur de l'acte, • intégrité du message: il ne doit pas avoir été altéré pendant son transport,

• confdentalité du message: il ne doit être compréhensible que par son destnataire ou le personnes dûment autorisées, • non répudiaton de l'acte afn d'éviter une remise en cause du contenu du message par destnataire. Certains services supplémentaires peuvent être également proposés par des

ters de confance, comme les services d'horodatassions (certfcaton de la date et de l'he

de récepton du message) qui garantt avec exacttude et certtude le moment où l'acte es réal isé.

Séquence de codage et de décodage à l'aide de clés privée et publique 1. trage des deux clés : publique et privée, 2. la clé privée permet de chifrer le condensé du message, 3. certfcaton de la clé publique avant envoi, 4. le destnataire décode le message et identfe l'émeteur avec la clé publique de l'expéditeur.

C'est quoi la foncton de Hashing ?

Pour compresser un message, on utlise un procédé (algorithme) de Hashing. Celui-ci prod

un condensé d'informaton assimilable à une empreinte digitale permetant de détecter le éventuelles contrefaçons. Le Hashing se déroule en plusieurs phases: 1. le texte (en clair) d'un message est convert en chifres binaires,

2. la suite de caractères qui en résulte est découpée en blocs de taille fxe. Chacun des bl sert alors de clé dans le système de codage, 3. le condensé du message d'origine correspond à une sorte d'empreinte digitale rendant impossible une opératon de falsifcaton, 4. le condensé est ensuite protégé par un algorithme utlisant la cryptographie asymétrique.

34

C'est à ce moment que les clés publique et privée sont générées, 5. la clé privée sert à chifrer le condensé du message. La signature électronique est ainsi co nst tu é e , 6. le destnataire décode le message et identfe l'émeteur avec la clé publique de l'expéditeur.

Signature électronique, ters de confance et PKI : Pour renforcer la sécurité technique et juridique du processus d'échange légal et sécurisé

l'expéditeur du message peut faire certfer sa clé publique par un ters de confance avan une transmission de celle-ci au destnataire. A cete fn, l'expéditeur joint sa clé publique une demande de certfcat. Le ters certfcateur délivre le certfcat après vérifcaton d'u concordance entre la clé publique et l'identté de son détenteur.

35

L'infrastructure d'échange de clé publique s'appelle Infrastructure à Clé Publique (ICP - Pu Key Infrastructure PKI). Elle spécife un jeu de services de sécurité pour permetre la réalisaton d'échanges électroniques fables.

Comment fonctonne un Certfcat Numérique ?

Le schéma ci-dessous présente les différentes étapes de fonctionnement d'un certificat, dans cadre d'une infrastructure à clé publique. Pour d'évidentes raisons de sécurité, un certificat est toujours accordé pour une durée limitée.

36