La loi-type de la CNUDCI sur les signatures électroniques Eric A. CAPRIOLI Avocat, Docteur en droit Expert aux Nations-Unies Professeur à l’EDHEC Business School contact@caprioli-avocats.com Colloque UNCTAD, Tunis - 19 juin 2003
3 recommandations historiques : Recommandation n°14 de l ’ONU/CEE/WP.4 sur la reconnaissance des méthodes d ’authentification autres que la signature manuscrite (1979) Recommandation du Conseil de l ’Europe suppression des exigences légales liées au papier (1981) Recommandation de la CNUDCI sur le valeur légale des enregistrements informatiques (1985)
Des sources protéïformes : Des pratiques émergentes : ABA Guidelines on digital signatures (1996) Chambre de commerce internationale : GUIDEC I (1997) et mise à jour GUIDEC II Déclarations politiques OCDE : Déclaration des ministres octobre 1998 Lignes directrices sur la cryptographie (1997) et sur la sécurité des systèmes d’information (2002) OMC : Déclaration ministérielle de Doha du 14/11/2001) « members will maintain their current practice of not imposing custom duties on electronic transmissions until the Fifth Session [10-14 September 2003] »
Lois-modèles et droit matériel régional ou fédéral CNUDCI : Loi-type sur le commerce électronique (1996) Loi-type sur les signatures électroniques (2001) Europe : Directive de l ’Union européenne du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques Amérique du Nord Loi modèle des USA sur les transactions électroniques (UETA) Loi uniforme canadienne sur le commerce électronique
PLAN DE L ’EXPOSE I/ LES SIGNATURES ELECTRONIQUES MOYENS D ’AUTHENTIFICATION A FIABILITE VARIABLE II/ DROITS ET OBLIGATIONS DES PARTIES A LA SIGNATURE ELECTRONIQUE
A) Principes directeurs 1) Neutralité technique Approche de tous les instruments (sauf le guidelines ABA et loi de l’Utah exclusivement des signatures numériques) 2) Autonomie de la volonté la liberté des parties (art. 5) 3) Non discrimination Les effets d ’une signature ne peuvent être déniés au seul motif que la signature se présente sous une forme électronique (article 3) 4) Non atteinte au formalisme juridique des Etats Ex : actes authentiques, formalisme administratifs
B) SIGNATURES ELECTRONIQUES ET SIGNATURES ELECTRONIQUES FIABLES
1°) Une formulation générique pour toutes les signatures électroniques (article 2. Définitions) Signature électronique : “désigne des données sous forme électronique contenues dans un message de données ou jointes ou logiquement associées audit message, pouvant être utilisées pour identifier le signataire dans le cadre du message de données et indiquer qu’il approuve l’information qui y est contenue”. Certificat : “désigne un message de données ou un autre enregistrement confirmant le lien entre un signataire et des données afférentes à la création de signature.”
2°) Exigence d’une signature électronique (article 6-1 et 6-2) La signature électronique doit avoir une fiabilité suffisante au regard de l’objet pour lequel le message a été créé ou communiqué. Il est tenu compte de toutes circonstances et du contexte afférents au message. Il est également tenu compte des conventions liées aux actes juridiques signés, spécialement des conventions sur la preuve.
3°) Une signature électronique. considérée comme “fiable” : 3°) Une signature électronique considérée comme “fiable” : (articles 2-a et 6-3) 4 conditions : 1) Elle est particulière au détenteur (unique) et le SSCD lié exclusivement au signataire au moment de la signature ; 2) Elle a été créée et apposée au message par le signataire ou à l’aide d’un moyen dont il a seul le contrôle exclusif ; 3) Toute modification de la signature électronique doit être détectable 4) Son lien avec le message offre une garantie fiable quant à l’intégrité du message (si exigence légale).
II/ DROITS ET OBLIGATIONS DES PARTIES L ’originalité de la signature électronique vient du fait que trois parties jouent trois rôles distincts lesquels contribuent à la confiance. Pour assurer la confiance en la signature électronique, chacune de ces parties a des droits et des obligations A) Le signataire B) Le Prestataire de services de certification C) La partie qui se fie
A) Normes de conduite du signataire (article 8) Le signataire prend : * les précautions raisonnables pour éviter toutes utilisations non autorisées de son dispositif de signature ; * Il avertit, sans retard injustifié, la partie qui se fie et/ou le PSC en cas de connaissance de la compromission ou de risque de compromission de son dispositif de signature ; * Si un certificat est utilisé, il assure l’exactitude et l’intégrité des renseignements qu’il fournit pendant tout le cycle de vie du certificat. A défaut, le signataire assume les conséquences juridiques de tout manquement (responsabilité établie selon le droit national).
B) Le prestataire de services de certification Ces textes n’imposent aucun système d ’accréditation obligatoire. Dans l’union européenne, le système d’accréditation est obligatoirement volontaire. Il est implicitement fait référence aux SE à clés asymétriques, utilisées dans le cadre d’Infrastructure à clé Publique (PKI). C’est actuellement la seule technologie apte à remplir les besoins de sécurité des échanges électroniques.
Normes de conduite du PSC (article 9) Agit conformément à ses Politique de certification et Déclarations de pratiques de certification (CPS). Prend des précautions raisonnables pour que les renseignements figurant dans le certificat soient exacts et complets pendant le cycle de vie du certificat. Fournit des moyens accessibles pour vérifier le statut et la validité des certificats qu’il émet (annuaire, liste de révocation des certificats).
A défaut, il est responsable des manquements à ces exigences Le PSC doit fournir aux parties qui se fient à ses certificats de s’assurer de toute restriction quant à la nature ou l’étendue de la responsabilité qu’il encourt (clauses limitative et élusive de responsabilité doivent figurer dans un champ du certificat ou dans une base de données accessible, lien hypertexte). Utilise des systèmes, procédures et ressources humaines fiables pour ses services. Des lignes directrices sur la fiabilité des PSC sont mentionnées à l’article 10. A défaut, il est responsable des manquements à ces exigences
C) La partie qui se fie à une signature ou à un certificat (art. 11) La partie qui se fie doit prendre toutes mesures raisonnables afin de vérifier la fiabilité d’une signature. A défaut d’avoir vérifier la signature à l’aide de la clé publique et le certificat (signature du P.S.C. et validité dudit certificat), elle ne peut engager la responsabilité du P.S.C., (idem directive européenne) Si la signature s’appuie sur un certificat, elle doit vérifier la validité du certificat, s’il n’a pas été suspendu ou révoqué, et tenir compte de toutes restrictions dont le certificat ferait l’objet (limitation d’usage ou de valeur de la transaction).
CONCLUSION 1) Interpénétration des sources juridiques protéiformes des signatures électroniques. 2) L’origine internationale de ces sources leur confère une légitimité universelle. 3) Comme pour la loi-type sur le commerce électronique, l’implémentation de la présente loi-type dans les Etats contribuera à l ’unification du droit matériel des signatures électroniques dans le monde.
MERCI POUR VOTRE ATTENTION CAPRIOLI & ASSOCIÉS Société d’Avocats 9 avenue Henri Matisse 06200 - Nice (France) www.caprioli-avocats.com contact@caprioli-avocats.com