Par Maître Polyanna Bigle – Directeur du Département Sécurité Numérique du Cabinet Alain Bensoussan Lexing et Dimitri Mouton – gérant de la Sté DEMAETER – auteur de « Sécurité de la dématérialisation » (Eyrolles).
Le présent article aborde le sujet de la conclusion des contrats sous forme électronique (ou « digitale » en franglais branché), selon deux angles de lecture. Nous interrogeons tout d’abord le mode de conclusion de ces contrats, en analysant l’opposition apparente ou la complémentarité des différents articles du Code civil traitant du sujet ; puis nous abordons la problématique de leur opposabilité aux parties, au travers de la signature électronique, que nous analysons par le prisme de l’identification du signataire : établissement et preuve de l’identité numérique.
Autonomie ou complémentarité des articles 1127-2, 1174 et suiv. et 1367 du Code civil ?
Le juriste aguerri constatera que le code civil fait différentes références aux contrats conclus par voie électronique, distinctes des dispositions relatives à la signature électronique elle-même.
Plusieurs modes de contractualisation électronique
L’article 1127-2 du Code civil, qui fait partie de « dispositions propres au contrat conclu par voie électronique », fait dérogation aux règles générales de conclusion du contrat (Chapitre II Section I la formation du contrat). Il décrit un parcours obligatoire, que l’on a souvent appelé « contrat double clic », et que tout internaute procédant à des achats sur le web connaît bien : panier de commande détaillé, prix total, rectification des erreurs, confirmation de la commande définitive et accusé de réception de cette commande par voie électronique par le e-commerçant.
A la lecture, ces dispositions semblent se limiter aux contrats de « e-commerce », de par la référence à la « commande ». Mais il n’en n’est rien : en raison de la place générale qu’il tient dans le code, cet article est bel et bien applicable aux règles de conclusion de tout contrat de droit commun lorsqu’il est électronique.
L’article 1174 du Code civil et ses articles suivants, quant à eux, font dérogation aux disposition générales de forme du contrat de l’article 1172. Par l’article 1174, le législateur a constitué une traduction des exigences formelles spéciales du contrat lorsqu’il est électronique. Ainsi, pour être valablement conclu sous forme électronique, les exigences techniques suivantes prennent le dessus :
- un contrat (électronique) écrit à peine de nullité doit être conforme à l’article 1366 du Code civil sur la preuve par écrit électronique et revêtu d’une signature électronique (article 1367 du Code civil) ;
- un contrat (électronique) authentique doit être conforme à l’article 1369 du Code civil ;
- une mention manuscrite (électronique) doit être garantie avoir été effectuée par celui qui s’oblige ;
- une exigence de lisibilité ou de présentation dans un contrat doit, en électronique, « répondre à des exigences équivalentes » ;
- un formulaire électronique doit être accessible et pouvoir être renvoyé par voie électronique ;
- l’envoi de plusieurs exemplaires est remplacé par la possibilité, pour le destinataire, d’imprimer le contrat : rien ne sert d’envoyer par courrier électronique plusieurs fichiers du même contrat !
Pluralité d’originaux : des exigences divergentes… ou complémentaires ?
Cette dernière notion d’impression du contrat par le destinataire (en lieu et place de l’envoi « papier » de plusieurs exemplaires) interroge le juriste, car l’on sait bien que si l’original est établi sous forme électronique, la version imprimée ne constituera qu’une copie.
Ce point est abordé différemment pour ce qui est de la création même de plusieurs contrats originaux : l’article 1375 alinéa 3 pose une présomption de conformité à l’exigence de pluralité d’originaux, si le contrat électronique satisfait aux exigences suivantes :
- établi et conservé dans les conditions de l’article 1366 (preuve par écrit électronique) ;
- et qu’il est revêtu d’une signature électronique ;
- et que le procédé électronique permet à chaque partie de disposer d’un exemplaire sur un support durable ou d’y avoir accès.
En réalité, l’article 1375 est destiné à la preuve du contrat sous signature privée et non au mode de conclusion du contrat, ni à sa forme. En ce cas, la preuve de la validité de la signature électronique devra en premier lieu être rapportée.
L’opposition des deux articles peut donc s’analyser également comme une complémentarité : lorsque le contrat est formé par un assentiment de type « double clic » et ne fait pas l’objet d’une signature électronique, la version imprimée par chaque partie lui tient lieu d’exemplaire original. En revanche, lorsqu’il y a signature électronique, l’original est bien le contrat électronique signé (c’est-à-dire le fichier signé) et il doit donc être accessible à chaque partie, qui doit pouvoir le conserver pour faire foi.
La preuve par écrit : pas d’obligation de signature électronique pour former un contrat
C’est alors dans le chapitre III des « Différents modes de preuve », à la section I « La preuve par écrit », que l’on trouve l’article 1367 alinéa 2 sur la définition de la signature électronique. Ces dispositions sont a priori autonomes, les exigences de la signature électronique n’étant décrites nulle part ailleurs sauf dans son décret d’application [1]Décret 2017-1416 du 28 09 2017..
Il en résulte que sur la formation même du contrat, le code civil n’impose pas au « parcours » de conclusion des contrats électroniques de recourir à la signature électronique [2]Pour une reconnaissance de contrat par preuve de son exécution malgré les signatures électroniques réalisées : CA Orléans Com, 02 05 2019, rep. n°18/01350., sauf pour les contrats formels comme : l’acte authentique, le contrat sous signature privée écrit à peine de nullité, ou celui devant être revêtu d’une mention manuscrite. Recourir à la signature électronique reste donc, sauf exception, au libre choix du professionnel. Mais la signature électronique reste encore le premier choix de sécurité pour recueillir un consentement aux obligations contractuelles.
En revanche, on peut soutenir, comme l’a jugé la Cour d’Appel de Dijon [3]CA Dijon Civ. 2ème, 28 06 2018, rep. n°17/01790., que le parcours de conclusion du contrat de l’article 1127-2 du Code civil est imposé en toutes circonstances pour conclusion même de tout contrat sous forme électronique… avec ou sans signature électronique [4]A rappeler toutefois que pour certains contrats, comme par exemple en contrats d’assurance, contrats de crédit, contrats de mutuelle, le parcours électronique comporte des exigences supplémentaires très structurantes pour la mise en œuvre du projet (support durable, informations et vérifications diverses …). Cf exigences issues de l’ordonnance n°2017-1433 du 04 10 2017 et son décret d’application n°2018-229..
Le procédé fiable d’identification : une exigence juridique, mais des difficultés pratiques
L’identité, élément essentiel de la signature électronique
La définition de la signature donnée par l’article 1367 alinéa 1 du Code civil est indissociable de la notion d’identité : « La signature nécessaire à la perfection d’un acte juridique identifie son auteur. ».
Le texte va plus loin encore dans le cas de la signature électronique (article 1367 alinéa 2) : « Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. ».
Ainsi, faire signer une personne physique, c’est avant tout établir, contrôler, et pouvoir prouver a posteriori son identité, de manière fiable. C’est seulement lors du procès que la qualité de la signature électronique est réellement interrogée. Tant qu’il n’y a pas de remise en cause devant les tribunaux et que les parties au contrat sont d’accord et de bonne foi, la signature électronique est uniquement un sujet technique et ergonomique : c’est ainsi qu’elle est d’ailleurs majoritairement mise en avant par les prestataires de signature électronique.
Mais le chef de projet qui conçoit un service mettant en œuvre la signature électronique se doit d’avoir une approche juridique, et doit donc se demander avant tout comment, en cas de contentieux, son processus emportera la conviction du juge. Plusieurs cas se présentent.
Les conditions de fiabilité de l’identité du signataire
On note dans la jurisprudence récente une évolution, qui semble devenir constante, vers une réflexion du juge en deux temps :
- il vérifie si la signature électronique bénéficie de la présomption de fiabilité prévue par l’article 1367 alinéa 2 du Code civil et son décret d’application : s’agit-il d’une signature électronique « qualifiée » au sens du règlement eIDAS [5]Règlement « eIDAS » n°910/2014 du 23 juillet 2014
- à défaut, il vérifie si celui qui se prévaut de la signature du contrat rapporte la preuve de sa validité et donc de sa fiabilité [6]Cf CA Dijon Civ. 2ème, 28 06 2018, rep. n°17/01790 ; CA Rouen Ch. prox. 31 05 2018, rep. n° 17/03404 ; Cass. Civ. 1ère, 06 04 2016, n°15-10732 : « Mais attendu que le jugement retient que la demande d'adhésion sous forme électronique a été établie et conservée dans des conditions de nature à garantir son intégrité, que la signature a été identifiée par un procédé fiable garantissant le lien de la signature électronique avec l'acte auquel elle s'attache, et que la demande d'adhésion produite à l'audience porte mention de la délivrance de ce document par la plate-forme de contractualisation en ligne Contraleo, permettant une identification et une authentification précise des signataires en date du 25 mai 2011 ; qu'ayant ainsi effectué la recherche prétendument omise, la juridiction de proximité a légalement justifié sa décision ;» .
Si la signature électronique correspond aux critères de présomption de fiabilité, cela sera suffisant par essence. Mais rappelons que cette signature électronique qualifiée requiert un contrôle d’identité du signataire en face à face, avec présentation d’une pièce d’identité originale, afin de lui délivrer un certificat de signature électronique qualifié, c’est-à-dire délivré selon des normes techniques contraignantes [7]ETSI EN 319 411 et régulièrement auditées. Ce certificat qualifié doit en outre être mis en œuvre sur un dispositif qualifié de signature électronique, c’est-à-dire une carte à puce ou une clef USB répondant à des critères de fiabilité très forts [8]DÉCISION D'EXÉCUTION (UE) 2016/650 DE LA COMMISSION du 25 avril 2016 établissant des normes relatives à l'évaluation de la sécurité des dispositifs qualifiés de création de signature électronique et de cachet électronique conformément à l'article 30, paragraphe 3, et à l'article 39, paragraphe 2, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS).. Ce niveau de sécurité n’est, dans la pratique, jamais employé pour les signatures BtoC, qu’elles soient réalisées en agence ou via Internet.
Pour les niveaux simple et avancé de signature électronique, la fiabilité de l’identité doit donc être prouvée par la partie défenderesse. Le juge s’attache, pour valider ou invalider une signature électronique, à déterminer la fiabilité de l’identité du signataire à partir des éléments de preuve apportés par les parties.
Il faut distinguer trois étapes :
- l’établissement initial de l’identité, que l’on appelle « l’enregistrement » ou « enrôlement » du signataire ;
- le contrôle de cette identité au moment de la réalisation de la signature (authentification) ;
- la capacité, lors du contentieux, à apporter la preuve des deux premières étapes, au travers de ce que l’on appelle un « chemin de preuve ».
L’établissement initial de l’identité
Dans le cas des signatures de contrats BtoC, l’identité du signataire est établie, selon les cas d’usage :
- par le cocontractant qui demande la signature avec son procédé : il convient alors de recueillir de manière satisfaisante la preuve de cette identité, via une pièce d’identité en vigueur, et d’en conserver la trace ;
- ou par le prestataire de signature électronique, qui effectuera en général des contrôles à distance sur des copies de pièces d’identité.
A cette étape, il y a plusieurs points d’attention essentiels.
- Il faut s’assurer que la vérification réalisée sur les pièces d’identité soit effective et probante. Par exemple, si un commercial réalise ce contrôle en agence, il ne devra pas accepter un titre douteux même si cela lui permet de conclure une vente, car la vente risquerait d’être remise en cause [9]Cf Cour d'appel d’Aix-en-Provence, Arrêt du 19 septembre 2019, Répertoire général nº 19/00418.
- Il faut garantir la conservation des éléments recueillis à titre de preuve.
- Il faut recueillir non seulement l’identité du futur signataire, mais également l’adresse mail et/ou le numéro de téléphone mobile qui lui permettront ensuite de s’authentifier pour réaliser la signature : ces canaux de communication doivent faire l’objet d’une vérification, et cette vérification doit elle-même pouvoir être prouvée.
Le contrôle d’identité lors de la réalisation de la signature électronique (authentification)
Lors de l’acte de signature, un code d’authentification est envoyé au signataire sur le canal de communication recueilli lors de la phase précédente : un lien est envoyé par mail et/ou un mot de passe à usage unique est envoyé par sms.
Ce contrôle est en général réalisé par le prestataire de signature électronique, qui conserve la traçabilité des actions dont, en tant que tiers de confiance, il atteste de la sincérité.
A cette étape, les points d’attention sont les suivants :
- Il faut garder la trace des envois réalisés (mail, sms) et des actions du signataire (clic sur un lien, saisie du mot de passe…).
- Dans le cas des processus mettant en jeu plusieurs signataires (par exemple un crédit octroyé à un couple), il faut s’assurer qu’un des signataires n’a pas pu se substituer à l’autre, ce qui peut être complexe lorsque les pièces justificatives de l’un sont facilement accessibles à l’autre, ainsi que parfois les moyens de communication.
Le chemin de preuve
Sur la base des étapes ci-dessus, le chemin de preuve est constitué de l’ensemble des actions et des documents ayant contribué à réaliser et fiabiliser l’acte de signature électronique. Pour être efficace, il contiendra les éléments suivants :
- les conditions de l’établissement initial de l’identité du signataire : par quelle voie cela a été réalisé (présence en agence, envoi de pièces via Internet, relation préexistante…), quelle pièce d’identité a été contrôlée, la copie de cette pièce, quels canaux de communication ont été déclarés par le signataire et comment ils ont été vérifiés ;
- les conditions de contrôle de l’identité du signataire au moment où il a signé (traçabilité établie par le prestataire de signature électronique) : l’adresse mail où le lien de signature a été envoyé, la date et heure à laquelle il a cliqué sur ce lien, le numéro de téléphone auquel le code de signature a été envoyé par sms, la date et heure à laquelle il a ressaisi ce code ;
- les autres opérations techniques réalisées par le prestataire de signature électronique : génération d’un certificat au nom du signataire, apposition de la signature sur le document, etc.
- Au-delà de ces éléments relatifs à l’identité, le fichier de preuve s’attachera également à apporter la preuve du consentement du signataire : visualisation du contrat, respect des contraintes et délais (précontractuel / contractuel), texte correspondant aux cases de consentement qu’on lui a demandé de cocher, date et heure auxquelles il a réalisé ces actions…
Il est donc essentiel, pour mener à bien un projet de signature électronique, de concevoir dès l’amont un système capable non seulement de réaliser des signatures, mais surtout d’en apporter la preuve exhaustive. L’établissement du chemin de preuve ne peut pas être confié au seul prestataire de signature électronique, car il ne réalise qu’une partie des opérations de contrôle d’identité.
La convention de preuve, est une sécurisation juridique d’usage, des contrats électroniques adoubée par les articles 1356 et 1368 du Code civil.
C’est là que repose la sécurité de la signature électronique, et aussi une grande partie de sa complexité. L’aide d’un accompagnement expert, juridique et technique, est donc cruciale dans la phase de conception, afin de ne pas se mettre en situation de risque.
Article initialement publié en deux parties, accessibles via les liens suivants : https://www.village-justice.com/articles/les-contrats-digitaux,26454.html
https://www.flf.fr/actualite/les-contrats-digitaux
Notes :
[1] Décret 2017-1416 du 28 09 2017.
[2] Pour une reconnaissance de contrat par preuve de son exécution malgré les signatures électroniques réalisées : CA Orléans Com, 02 05 2019, rep. n°18/01350.
[3] CA Dijon Civ. 2ème, 28 06 2018, rep. n°17/01790.
[4] A rappeler toutefois que pour certains contrats, comme par exemple en contrats d’assurance, contrats de crédit, contrats de mutuelle, le parcours électronique comporte des exigences supplémentaires très structurantes pour la mise en œuvre du projet (support durable, informations et vérifications diverses …). Cf exigences issues de l’ordonnance n°2017-1433 du 04 10 2017 et son décret d’application n°2018-229.
[5] Règlement « eIDAS » n°910/2014 du 23 juillet 2014
[6] Cf CA Dijon Civ. 2ème, 28 06 2018, rep. n°17/01790 ; CA Rouen Ch. prox. 31 05 2018, rep. n° 17/03404 ; Cass. Civ. 1ère, 06 04 2016, n°15-10732 : « Mais attendu que le jugement retient que la demande d'adhésion sous forme électronique a été établie et conservée dans des conditions de nature à garantir son intégrité, que la signature a été identifiée par un procédé fiable garantissant le lien de la signature électronique avec l'acte auquel elle s'attache, et que la demande d'adhésion produite à l'audience porte mention de la délivrance de ce document par la plate-forme de contractualisation en ligne Contraleo, permettant une identification et une authentification précise des signataires en date du 25 mai 2011 ; qu'ayant ainsi effectué la recherche prétendument omise, la juridiction de proximité a légalement justifié sa décision
[7] ETSI EN 319 411
[8] DÉCISION D'EXÉCUTION (UE) 2016/650 DE LA COMMISSION du 25 avril 2016 établissant des normes relatives à l'évaluation de la sécurité des dispositifs qualifiés de création de signature électronique et de cachet électronique conformément à l'article 30, paragraphe 3, et à l'article 39, paragraphe 2, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS).
[9] Cf Cour d'appel d’Aix-en-Provence, Arrêt du 19 septembre 2019, Répertoire général nº 19/00418