Que se passe-t-il si le signataire électronique d’un contrat ou d’un acte nie en être le réel signataire ?
Toute la question est de savoir si l’identité du signataire a bien été vérifiée en amont.
A défaut, le signataire pourra contester sa signature et obtenir la non opposition des clauses (conditions particulières, conditions générales, etc.) du contrat à son encontre, même s’il s’est acquitté des échéances mensuelles.
Qu’est ce qu’une signature électronique ?
Selon le règlement eIDAS une signature électronique correspond à “des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer”.
La “signature électronique est un procédé technique visant à donner aux contrats sur support électronique la même valeur probante qu’aux contrats formalisés sur support ‘papier’, et que ce procédé permet d’authentifier le signataire, de recueillir son consentement et d’assurer durablement la conservation du document signé dans son intégrité et de manière inaltérable “
Si la signature électronique offre le bénéfice d’accélérer le processus contractuel, sa valeur probatoire demeure très dépendante des mesures de sécurité déployées pour garantir sa fiabilité et attester de l’identité du signataire.
Les trois niveaux de signature électronique
La différence entre les trois types de signature concerne le niveau de sécurité attaché à chacun des critères précités et aux étapes de validation de l’identité du signataire qui pourront être plus ou moins poussées.
En ce sens, le règlement eIDAS distingue trois niveaux de sécurité pour la signature électronique : simple, avancé, qualifié (PE et Cons. UE, règl. (UE) n° 910/2014, 23 juill. 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS »).
- La signature électronique simple : la signature simple représente le plus bas niveau de sécurité
- La signature électronique avancée : la signature avancée représente le niveau de sécurité intermédiaire. La « signature électronique avancée » est une signature électronique qui répond à des exigences supplémentaires (par exemple, signature avec activation via un code reçu par SMS sur un numéro de téléphone enregistré qui est procéduralement lié à l’identité préalablement vérifiée du signataire, ou signature avec vérification de l’identité du signataire par le téléversement d’une copie de sa carte d’identité ou de son passeport) de sorte qu’un niveau de fiabilité plus élevé puisse être atteint (articles 3.11 et 26 du Règlement eIDAS).
- La signature électronique qualifiée : la signature qualifiée représente le plus haut niveau de sécurité et le seul équivalent à la signature manuscrite. eIDAS met l’accent sur l’identification et l’authentification des signataires en ligne grâce à la signature électronique qualifiée.
Signature électronique simple
La signature électronique simple correspond à 99% des signatures électroniques réalisées. Ce sont celles que vous retrouverez sur DocuSign, Yousign, Universign, etc.
Vous remarquerez que ces prestataires ne le stipulent jamais clairement, jouant sur l’ambiguïté. Mais ne vous y trompez pas, il ne s’agit que de signature électronique simple. Et pour cause : ils facturent très cher la signature électronique avancée qui est plus gourmande en ressources humaines.
Quel niveau de sécurité pour la signature électronique simple ?
Il n’y a pas de liste établie des exigences liées à la signature simple. Vous pouvez donc, en 2 clics, et sans processus concret de vérification d’identité ou de consentement, faire signer un document. Le signataire pourrait alors tout simplement nier l’avoir signé. Ainsi une signature scannée ou une signature numérique basique comme celle que vous réalisez par exemple sur la borne du livreur qui vous apporte vos colis sont des signatures dites simples.
Certains prestataires vont ajouter des goodies pour renforcer la signature simple mais cela ne change pas que la signature reste juridiquement seulement “simple”:
- une étape d’authentification par email ou par sms ;
- la création d’un dossier de preuves au format PDF comprenant tels que l’adresse email du signataire, son numéro de téléphone, l’adresse IP de l’ordinateur utilisé pour signer le document…;
Quelle fiabilité de la signature électronique simple ?
Une valeur probatoire inférieure à l’écrit manuscrit
La signature électronique simple ne bénéficie pas de la présomption de fiabilité conformément au décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique. Dès lors, l’utilisation d’une telle signature pour démontrer le consentement du souscripteur à un document contractuel doit appeler à la vigilance des professionnels (assureurs, etc.), car elle est plus facilement contestable en justice.
Cette observation ne prive pas la signature électronique de toute valeur juridique, un tel raisonnement conduirait à violer le principe de non-discrimination. Il reste utile d’observer que le respect de ce principe n’est pas parfait en pratique. En effet, certains juges ont pu avoir tendance à s’appuyer systématiquement sur la preuve papier lorsqu’elle existe (CA Versailles, 3e ch., 4 avr. 2019, n° 17/08809).
Lorsque le choix se porte sur le niveau simple de sécurité de la signature électronique, le professionnel doit faire preuve de vigilance en prévoyant des mesures complémentaires qui permettront de démontrer plus facilement la fiabilité de la signature électronique.
La signature « simple » ne permet pas d’identifier le signataire : aucun contrôle de son identité n’a lieu.
Un commencement de preuve
Si la signature électronique ne constitue pas une preuve à elle seule, elle est assimilée à un commencement de preuve qu’il faudra compléter. Ainsi, lorsqu’elle est contestée, il appartient à celui qui s’en prévaut de fournir des éléments complémentaires permettant d’attester de la fiabilité du procédé de signature électronique. La jurisprudence a précisé que cette démonstration suppose de rapporter la preuve de la fiabilité du processus de signature électronique et que l’identité du signataire a pu être vérifiée (CA Riom, ch. com., 14 juin 2023, n° 22/01718).
Dans ce cas, en application de l’ article 288-1 du Code civil , il appartient au juge d’apprécier si les éléments produits peuvent conduire à un renversement de la présomption de fiabilité
Ainsi, si une partie dénie être l’auteur d’un écrit sous forme électronique, le juge est tenu, en application de l’ article 287 du Code de procédure civile , de vérifier si les conditions de validité de l’écrit ou de la signature électronique étaient satisfaites (Cass. 1re civ ., 30 sept . 2010, n° 09-68.555 : JurisData n° 2010-017147 ; Bull. civ . I, n° 178 ; Comm. com. électr. 2010, comm. 129 , E.-A. Caprioli). Aux termes de l’ article 287, alinéa 2, du Code de procédure civile , lorsque la dénégation ou le refus de reconnaissance porte sur un écrit ou une signature électronique, le juge doit vérifier si les conditions de validité posées par les articles 1366 et 1367 du Code civil sont satisfaites.
La signature électronique simple ne suffit pas à démontrer l’acceptation des conditions particulières lorsque l’assuré conteste en être à l’origine. Dans un tel cas, il appartient au demandeur (assureur par exemple) de fournir des éléments complémentaires pour établir le lien entre son client et la signature électronique :
“Il en résulte que l’assureur qui ne peut se prévaloir de la présomption de fiabilité édictée par l’article 1367 du code civil, n’apporte pas la preuve de la signature des conditions personnelles du contrat par M. [G] et, partant, de l’opposabilité des clauses de déchéance de garantie insérées dans les conditions générales et auxquelles renvoient les conditions personnelles.
Contrairement à ce que soutient la société intimée, la preuve de la signature du contrat par M. [G] ne peut se déduire du seul fait que l’assureur est en possession d’« informations personnelles exhaustives » sur l’appelant ou de la simplicité de la procédure de signature électronique. Par ailleurs, il importe peu que M. [G] ne conteste pas, et même revendique, avoir souscrit le contrat d’assurance, seule étant en débat l’opposabilité à son égard des clauses d’exclusion ou de déchéance de garantie insérées dans les conditions générales.
Il en résulte que l’assureur n’est pas fondé à se prévaloir d’une clause de déchéance de garantie et à refuser à M. [G] l’indemnisation des préjudices subis à l’occasion du sinistre.” (CA Lyon, 1re civ. B, 26 sept. 2023, n° 22/01326 )
Il est donc relativement facile pour un cocontractant de mauvaise foi de contester une signature électronique simple pour se sortir d’un contrat ou de conditions générales. Le simple paiement des échéances du contrat d’assurance ne vaut pas acceptation des conditions personnelles ou générales.
Signature électronique avancée
Niveau de sécurité
La signature électronique avancée doit quant à elle répondre à des critères de vérification d’identité plus poussés et dispose ainsi de niveaux de sécurité supérieurs tels qu’énoncés dans le règlement eIDAS.
Ainsi, la signature électronique avancée doit répondre à quatre conditions :
- être liée à son signataire de manière univoque (ie de manière unique et claire)
- permettre d’identifier formellement le signataire (c’est le point le plus crucial)
- être créée par des moyens sous le contrôle exclusif du signataire comme son téléphone ou ordinateur personnel
- garantir que l’acte auquel elle s’attache ne pourra pas être modifié
En pratique, cela inclut le téléchargement puis la vérification de la pièce d’identité du signataire et son ajout au dossier de preuves. En effet, pour qu’il y ait une identification « certaine » du signataire il faut un processus « qualifié », c’est‐à‐dire que l’identité du signataire soit confirmée par un organisme habilité sur la base d’un face à face physique ou avec une identification à distance qualifiée.
Le prestataire peut aussi prévoir :
- L’ajout d’une case à cocher attestant de la bonne compréhension du document
- Un texte à recopier
Les failles de la signature qualifiée
L’identification du signataire
L’identification, qui n’a pas à être certaine comparée à la signature qualifiée mais simplement formelle, peut reposer sur un code reçu par SMS car via le numéro de téléphone utilisé il serait possible de s’assurer de l’identité de la personne signataire.
Toutefois, une telle vérification peut s’avérer difficile et longue à réaliser car les opérateurs téléphoniques ne vont pas divulguer l’identité de leurs clients sauf requête judiciaire. Sans parler des difficultés supplémentaires s’il s’agit d’opérateurs étrangers
Ainsi, en cas de contestation de la validité d’une signature « avancée » par le soi‐disant signataire, la personne qui soutient que c’est lui le signataire devra apporter, devant le juge, les preuves que la personne alléguée a bien signé.
L’impossible preuve du niveau qualifié
Autre problème de taille : il n’est pas possible d’apporter la preuve de manière irréfutable, sur le plan technique, du niveau d’une signature « avancée ».
Il faut produire un dossier de preuve (numéro de téléphone, adresse email vérifiée), laissant une appréciation au juge.
Focus sur la signature avancée avec certificat qualifié
Certains prestataires, forts en marketing, vont proposer la “signature avancée avec certificat qualifié” : ne vous y trompez pas, il s’agit toujours juridiquement d’une “signature électronique avancée” et non d’une “signature électronique qualifiée”.
Signature électronique qualifiée (QES)
La signature électronique qualifiée est le stade le plus poussé de sécurité en matière de signature électronique
La signature électronique qualifiée est la seule signature à avoir une force probatoire équivalente à celle de la signature manuscrite comme l’indique l’article 25-2 du règlement eIDAS et offre un avantage procédural notable. En effet, en présence d’une signature électronique qualifiée, la non-discrimination de la forme électronique telle que mentionnée à l’article 25-1 du règlement eIDAS implique que la preuve repose sur celui qui conteste la fiabilité de cette signature . Dans une telle hypothèse, il appartient au juge de vérifier si les éléments qui seront apportés justifient ou non le renversement de la présomption en vertu de l’article 288-1 du CPC.
La signature électronique qualifiée est prouvée par:
- un certificat qualifié de signature électronique
- ou un fichier de preuve horodaté émanant du prestataire de services de certification électronique
Il est fort probable que vous n’ayez jamais rencontré de SEQ, sauf chez le Notaire.
Niveau de sécurité
La mise en oeuvre d’une signature électronique qualifiée est particulièrement contraignante.
Celle-ci nécessite qu’un support physique (carte à puce ou clé usb cryptographique) ou électronique (certificat) permettant de signer soit remis au signataire par un représentant de l’autorité de certification, et ce après vérification de son identité en face à face ou en visio.
La signature qualifiée serait possible entièrement à distance via un prestataire de confiance grâce à l’émission d’un certificat qualifié sur la base d’une identification à distance.
YouSign, DocuSign et consorts ne proposent pas en direct sur leur site grand public de signature électronique qualifiée.
La société VIKTA est, à ma connaissance, la seule entreprise française en mesure de proposer une signature électronique qualifiée entièrement en ligne : www.vikta.com
Comment savoir de quelle signature électronique il s’agit ?
Par principe, une signature simple
Par principe, la signature électronique doit être considérée comme étant simple ou à tout le moins comme ne bénéficiant pas de la présomption de fiabilité (CJUE, 10e ch., 20 oct. 2022, aff. C-362/21, Ekofrukt).
Si la signature est avancée ou qualifiée, le certificat de signature le mentionnera.
Si rien n’est mentionné ou que vous n’avez même pas adressé votre pièce d’identité, c’est une signature simple.
L’envoi d’un email ou d’un SMS d’authentification suggèrent également une signature simple.
Les prestataires comme Docusign ou Yousign proposent essentiellement la signature électronique simple.
Le contrôle par Adobe Acrobat
La manière la plus simple de s’en assurer est avec le logiciel ACROBAT, dans le panneau « Signatures » :
Pour une signature qualifiée le résultat est le suivant :
Panneau signature de “Adobe” | Niveau de signature | ||
“Signature valable. Source de confiance obtenue auprès de : Adobe Approved Trust List (AATL)” | Signature simple (et non avancée comme le prétendent DocuSign, UniverSign, YouSign) | ||
“Signature électronique qualifiée conformément à la directive européenne 910/2014” | Signature qualifiée | ||
Modèle de clause de signature électronique (convention de preuve)
"Le présent acte peut être signé par voie électronique qui a la même force juridique que la signature manuscrite. De convention expresse valant convention sur la preuve, les signataires acceptent de signer électroniquement le présent acte conformément aux dispositions des articles 1366 et suivants du Code civil, les signataires s’accordant pour reconnaître à cette signature électronique la même valeur que leur signature manuscrite et pour conférer date certaine à celle attribuée à la signature du présent acte par le service utilisé. Il est encore rappelé que l'exigence d'une pluralité d'originaux posée par l’article 1375 du code civil est réputée satisfaite pour les contrats sous forme électronique lorsque l'acte est établi et conservé conformément aux articles 1366 et 1367, et que le procédé permet à chaque partie de disposer d'un exemplaire sur support durable ou d'y avoir accès."