La signature électronique: Un point de situation
Équipe de rédaction de WEKA
L’équipe de rédaction de WEKA se compose de 8 rédacteurs/trices hautement motivé/e/s disposant de connaissances solides ainsi que d’une expérience de la pratique dans différents domaines. Leur objectif est de vous accompagner sous forme efficace et sûre dans la réalisation de vos tâches et de vous soutenir par leurs conseils afin de vous permettre de relever vos défis. Ceci en gardant à l’esprit la qualité et la nouveauté.
Concrètement, l’OSCSE règle les conditions pour la reconnaissance des fournisseurs de services de certification, leur activité ainsi que la responsabilité et les exigences concernant la qualité de certains certificats et leur utilisation. L’objectif est de promouvoir une vaste offre de services de certification sûrs, de favoriser l’utilisation de certificats numériques, de signatures électroniques et de labels électroniques et de permettre la reconnaissance internationale des fournisseurs de services de certification et de leurs prestations.
Il existe actuellement en Suisse quatre fournisseurs reconnus de services de certification. Il s’agit de Swisscom (Suisse) SA, Quo-Vadis Trustlink Schweiz AG, SwissSign AG et l‘office fédéral de l’informatique et de la télécommunication (BIT). Le seul organisme de certification agréé est actuellement KPMG.
Conception des signatures électroniques
La signature électronique est une procédure technique pour le contrôle de l’authenticité de documents électroniques, messages ou autres données électroniques ainsi que de l’identité du signataire. Elle est basée sur une infrastructure de certification ou Public Key Infrastructure qui est gérée par des tiers fiables (fournisseurs de services de certification). Les fournisseurs de services de certification attestent au moyen de certificats numériques l’affectation d’une paire de clés cryptographiques à son détenteur ainsi que son identité. La paire de clés cryptographiques est composée d’une clé privée (private key) et d’une clé publique (public key). L’expéditeur signe des documents électroniques, des messages ou d’autres données électroniques avec la clé privée qu’il doit tenir secrète. La clé publiquement accessible permet alors au destinataire de contrôler l’intégrité et l’authenticité. Le destinataire n’a pas connaissance de la clé privée de l’expéditeur.
La SCSE décrit trois niveaux de certificats numériques qui constituent la base des signatures électroniques :
- certificat numérique ;
- certificat réglementé ;
- certificat qualifié.
Le certificat numérique représente une attestation numérique qui affecte à son détenteur la clé publique d’une paire de clés cryptographiques asymétriques.
Le certificat réglementé est un certificat numérique qui satisfait en outre aux exigences de l’art. 7 SCSE et a été émis par un fournisseur de services de certification reconnu par la SCSE.
Le certificat qualifié est un certificat réglementé qui satisfait par ailleurs aux exigences de l’art. 8 SCSE. Ainsi, les certificats réglementés tout comme les certificats qualifiés ne peuvent être émis que par des fournisseurs de services de certification reconnus.
La SCSE définit cinq signatures électroniques qui sont basées sur les niveaux de certificats numériques précédemment mentionnés :
- la signature électronique (simple) ;
- la signature électronique avancée ;
- la signature électronique réglementée et le label électronique réglementé ;
- la signature électronique qualifiée.
Les signatures électroniques réglementées et qualifiées sont naturellement réservées à des personnes physiques. Cela ne signifie cependant pas qu’une personne morale ne peut pas être engagée par une signature électronique qualifiée – un organe de la personne morale qui est autorisé à la représentation peut signer avec sa signature électronique qualifiée pour la personne morale. Seule une signature électronique qualifiée du même nom que la personne morale serait exclue. Pour les personnes morales et les administrations, l’entrée en vigueur du SCSE entièrement révisé (au 1er janvier 2017) a introduit le label électronique réglementé. Celui-ci permet aux personnes morales et aux administrations de garantir l’intégrité et l’origine de leurs documents électroniques. Par ailleurs, si cela est prévu par la loi ou une ordonnance, les administrations peuvent utiliser le label électronique réglementé pour authentifier leurs ordonnances ou publications sur Internet. La signature électronique réglementée a également été introduite avec l’entrée en vigueur de l’SCSE entièrement révisée.
Recommandations de produits
La marque d’horodatage électronique
Non seulement l’intégrité et l’authenticité de documents électroniques, de messages ou d’autres données électroniques pourvus d’une signature électronique peuvent être importantes, mais aussi l’heure exacte de leur présence. Le fournisseur de services de certification confirme avec la marque d’horodatage électronique leur présence à une certaine heure. La marque d’horodatage électronique permet ainsi de constater l’intégrité et l’authenticité de documents électroniques, de messages ou d’autres données électroniques à une heure précise. Une marque d’horodatage électronique peut être qualifiée de marque d’horodatage électronique qualifiée si elle a été émise par un fournisseur de services de certification reconnu par la SCSE et si elle a été pourvue d’un label électronique réglementé.
Valeur juridique de la signature électronique
Afin d’être valables, les contrats n’ont besoin d’une forme particulière que si la loi la prescrit (art. 11 al. 1 CO) et peuvent donc généralement aussi être conclus oralement ou implicitement. Une considération différenciée est nécessaire s’il existe une exigence de forme, par ex. la forme écrite, en raison d’un accord entre les parties ou en vertu de la loi. Un contrat pour lequel la forme écrite est requise doit comporter, conformément à l’art. 13 al. 1 CO, la signature de toutes les personnes qu’il engage, sachant que la signature doit généralement être écrite de la propre main, conformément à l’art. 14 al. 1 CO. La signature électronique qualifiée offre une alternative à cette disposition. Conformément à l’art. 14 al. 2bis CO, la signature électronique qualifiée associée à une marque d’horodatage qualifiée au sens de la SCSE est assimilée à la signature de la propre main – sous réserve de réglementations légales ou contractuelles divergentes. Au contraire, la signature électronique qualifiée ne peut pas être utilisée si la loi prévoit que toute la déclaration ou certaines indications de la déclaration doivent être faites à la main. De même, la signature électronique qualifiée ne remplace pas l’acte authentique.
En Suisse, la plupart des contrats ne sont pas soumis à une obligation légale de forme. Ces contrats, à l’exception d’autres ententes entre les parties, peuvent ainsi être conclus légalement sans forme avec d’autres types de signatures électroniques que la signature électronique qualifiée (assimilée à la signature à la main.
Responsabilité
La SCSE règle la responsabilité des fournisseurs de services de certification ainsi que de l’organisme de certification. Ainsi, le fournisseur de services de certification est responsable conformément à l’art. 17 al. 1 SCSE envers le détenteur d’un certificat réglementé valable et de tiers qui se sont fiés à un tel certificat pour les dommages qu’ils subissent si le fournisseur ne respecte pas ses obligations issues de la SCSE et des dispositions d’application correspondantes. Le fournisseur de services de certification assume la charge de la preuve concernant le respect des obligations issues de la SCSE et des dispositions d’application correspondantes (art. 17 al. 2 SCSE). Il ne peut exclure la responsabilité issue de la SCSE ni pour ses propres actions ni pour celle de ses agents. Mais le fournisseur de services de certification n’endosse pas de responsabilité pour les dommages qui ne résultent pas du non-respect ou du dépassement d’une limitation du domaine d’utilisation (art. 17 al. 3 SCSE).
Conformément à l’art. 18 SCSE, l’organisme de certification est responsable envers le détenteur d’un certificat réglementé valable et envers des tiers qui se sont fiés à ce certificat pour les dommages qu’ils subissent si l’organisme de certification ne respecte pas ses obligations issues de la SCSE et des dispositions d’application correspondantes. L’art. 17 al. 2 et 3 SCSE s’applique par analogie.
Quant à lui, le détenteur d’une clé cryptographique utilisée pour générer des signatures ou labels électroniques, est responsable conformément à l’art. 59a al. 1 CO envers des tiers pour les dommages qu’ils subissent parce qu’ils se sont fiés à un certificat réglementé valable d’un fournisseur reconnu de services de certification au sens de la SCSE. Si le détenteur peut montrer de manière crédible qu’il a pris les précautions de sécurité nécessaires et raisonnables dans les circonstances pour éviter l’utilisation abusive de la clé cryptographique, la responsabilité est annulée (art. 59a al. 2 CO). Ces précautions de sécurité sont indiquées en détail à l’art. 13 OSCSE.
