Face à la crise sanitaire survenue durant l’année 2020, le nombre de personnes en télétravail a été multiplié et les échanges professionnels à distance sont devenus la norme. Dans ce contexte, la signature électronique offre une solution à la fois simple et efficace aux personnes et aux entreprises qui doivent signer des documents ou conclure des contrats à distance.

La signature électronique

Jusqu’à peu, la signature ne se concevait que par l’apposition par son auteur d’une mention manuscrite sur un support fixe et durable.

Or depuis plus de 20 ans la signature peut également être électronique.

Celle-ci offre l’avantage de pouvoir exécuter des documents sans nécessiter de déplacement. Cependant le monde des affaires requiert de la sécurité, il est donc indispensable de connaître la portée juridique que peut avoir la signature lorsqu’elle est apposée de manière électronique.

En résumé, une signature électronique se matérialise par un ensemble de données (une suite de chiffres) associées de façon indissociable à d’autres données (fichiers) et reliées à la personne qui signe le document. Parfois, cette suite de nombres n’est pas visible sur le document. Elle est attachée sous forme de certificat crypté. Il peut également s’agir d’une image numérisée d’une signature manuscrite.

Cette définition demeure très succincte et nécessite d’être précisée.

Juridiquement, on peut distinguer trois niveaux de signature électronique (simple, avancée et qualifiée). La distinction permet de différencier dans chaque cas le niveau de sécurité et la force probante. Dans sa version la plus aboutie, la signature électronique qualifiée bénéficie d’une reconnaissance équivalente à la signature manuscrite.

Avant d’aborder les caractéristiques attachées à chaque type de signature électronique, il semble nécessaire de faire un rapide retour sur l’émergence et la reconnaissance de la signature électronique dans l’ordre juridique luxembourgeois.

Sources et évolution du cadre réglementaire

En droit luxembourgeois la question de la signature électronique trouve son origine dans la directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques.

Cette directive a été transposée en droit national par la loi du 14 août 2000 relative au commerce électronique, telle que modifiée (la « Loi »).

La directive a été remplacée par le Règlement n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (“Règlement eIDAS”) ¹, entré en vigueur le 1er juillet 2016.

Les règles actuellement applicables en matière de signature électronique découlent du Règlement eIDAS.

Depuis son adoption la Loi a fait l’objet de plusieurs modifications, dont la dernière en date est intervenue le 17 juillet 2020, afin que celle-ci soit parfaitement alignée avec les dispositions du Règlement eIDAS.

Le champ d’application de ce règlement est vaste et pourrait faire l’objet de développements approfondis sur différents thèmes tels que l’authentification de site internet, l’horodatage électronique ou encore l’envoi de recommandé qualifié.

L’émergence et l’intérêt pratique de la signature électronique

Lors de son adoption en août 2000 ², la Loi est venue modifier le Code civil afin d’y ajouter un article 1322-1 disposant que la signature peut être manuscrite ou électronique.

Un nouvel article 1322-2 du Code civil est venu quant à lui préciser que l’acte sous seing privé électronique (en ce sens un acte rédigé par les parties sans l’intervention d’un officier public ³) vaut comme original lorsqu’il présente des garanties fiables quant au maintien de son intégrité à compter du moment où il a été créé pour la première fois sous sa forme définitive.

La Loi est venue également préciser que l’obligation d’établir les conventions en autant d’exemplaires que de parties ne s’appliquait pas aux actes sous seing privé revêtus de la signature électronique ⁴.

Cette précision peut à première vue sembler anodine pourtant ses conséquences dans la pratique sont considérables.

En effet conformément à l’article 1341 du Code civil les contrats d’une valeur supérieure à 2.500 euros se prouvent par écrit.

A l’inverse, en dessous de ce seuil, le principe de liberté de la preuve trouve application, les contrats d’une valeur inférieure à 2500 Euros pouvant être prouvés par tout moyen.

Or, dans l’hypothèse la loi exige un écrit, ce dernier peut être manuscrit ou électronique.

S’agissant de l’écrit électronique, pour valoir force probante, il doit réunir un certain nombre de conditions.

Les différentes catégories de signature électroniques existantes

Le régime applicable en matière de signature électronique distingue trois cas de figure à savoir :

– la signature électronique (simple);

– la signature électronique avancée; et

– la signature électronique qualifiée.

La signature électronique (simple)

Au premier niveau de signature électronique figure celle qui est dite simple. Elle consiste en un ensemble de données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ⁵.

En pratique, il peut s’agir du bloc de signature d’un e-mail ou de l’image numérisée de la signature manuscrite envoyée par e-mail.

Elle ne peut pas garantir que la personne qui signe le document est bien celle qu’elle prétend être et ne fournit pas de détails sur la signature (tels que l’heure, la date, etc.).

Cette forme de signature électronique, la plus représentée en pratique, présente un faible niveau de sécurité et de garantie et ne jouit pas d’un haut niveau de fiabilité en cas de litige.

Face à une contestation en justice elle sera bien souvent traitée comme un indice qu’il conviendra d’étayer avec d’autres éléments.

La signature électronique avancée

La signature électronique avancée quant à elle (i) est liée au signataire de manière univoque, (ii) permet d’en identifier le signataire, (iii) est créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif et (iv) est liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable ⁶.

Les signatures électroniques avancées sont basées sur une PKI (Public Key Infrastructure) qui permet la certification de l’identité du signataire (via un certificat numérique personnel).

En pratique, la signature électronique avancée consiste par exemple en l’utilisation d’un site internet ou d’un logiciel sur lequel le signataire va déposer le document à signer et ensuite valider un processus de signature (durant lequel le signataire recevra par exemple un code à usage unique envoyé par SMS).

A l’issue de ce processus, de signature, toutes les informations sont cryptées et les signatures numériques sont intégrées au document.

Ce type de signature permet de garantir l’identité du signataire. Le système détecte également si les données ont été falsifiées après la signature, auquel cas la signature électronique est invalidée.

La signature électronique avancée bénéficie d’un niveau de confiance supérieur à celui de la signature simple. En cas de litige, il appartient cependant à celui qui s’en prévaut d’en démontrer sa validité.

La signature électronique qualifiée

La signature électronique qualifiée répond à des exigences encore plus strictes que la signature électronique avancée.

Il s’agit d’une signature qui (i) répond aux exigences d’une signature électronique avancée et (ii) est créée à partir de l’utilisation d’un dispositif de création de signature électronique qualifié et repose sur un certificat qualifié de signature électronique ⁷.

Ce niveau de signature nécessite la réunion des deux conditions suivantes :

– l’identité du signataire doit être validée en amont (en physique ou à distance selon certaines conditions) par un prestataire de services de confiance qualifié;

– la clé de signature doit être un dispositif qualifié de création de signature électronique.

Un prestataire de services de confiance qualifié est une entité répondant à des normes strictes qui a obtenu de l’organe de contrôle le statut de qualifié ⁸. Du fait de son statut elle est régulièrement auditée et contrôlée pour s’assurer qu’elle fournit le plus haut niveau de sécurité ⁹.

Une clé cryptographique (“token”) est utilisée par le signataire (clé USB, badge, carte à puce, générateur de mot de passe à usage unique, etc…) et c’est elle qui permettra de signer les documents.

En pratique, le processus de signature sera à peu de choses près similaires à celui applicable pour une signature avancée à la différence que la clé de cryptage devra provenir d’un prestataire de service de confiance qualifié.

Deux organismes sont actuellement certifiés au Luxembourg, à savoir LuxTrust S.A. et BEINVEST International S.A.¹⁰ (dernier accès : septembre 2021).

Ce type de signature électronique est le plus exigeant et le plus sécurisé de toutes les signatures et c’est le seul à posséder l’équivalent légal de la signature manuscrite.

De quelle valeur juridique dispose la signature électronique qualifiée

Le Règlement eIDAS établit le principe de non-discrimination. La recevabilité juridique d’une signature ne peut donc être refusée au motif que celle-ci est au format électronique. Toute signature électronique dispose donc d’une valeur probatoire au sein de l’Union Européenne¹¹.

Par ailleurs selon le règlement eIDAS, l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite¹².

De nombreux documents peuvent faire l’objet d’une signature électronique (contrats commerciaux, bons de commande, décisions prises par les organes des sociétés qui ne nécessitent pas l’intervention d’un notaire) :

Il est important d’attirer l’attention sur le fait que tous les documents ne sont pas éligibles à la signature électronique. Citons entres autres (i) les actes notariés (constitution d’une société, modification des statuts, etc.), (ii) les actes translatifs de propriété immobilière et (iii) les conventions nécessitant par la loi l’intervention des tribunaux, d’autorités ou de fonctionnaires publics, ne peuvent pas (encore) être signés électroniquement.

Ultime précision, la version électronique du document signé électroniquement représente l’”original” du document en conséquence ces documents doivent être conservés dans un format électronique, sinon ils perdent leur valeur juridique.

Le document imprimé ne bénéficie pas des mécanismes électroniques qui permettent de protéger l’intégrité du document, ni des moyens permettant de vérifier la validité des différentes signatures électroniques qui y sont contenues (la valeur juridique et l’authenticité de la signature électronique peuvent donc être facilement contestées devant un tribunal).

***

1 Pour le texte intégral du règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, voir :L_2014257FR.01007301.xml (europa.eu) ;

2 Pour la version initiale de la loi du 14 août 2000 relative au commerce électronique, voir : Loi du 14 août 2000 relative au commerce électronique modifiant le code civil, le nouveau code de procédure civile, le code de commerce, le code pénal et transposant la directive 1999/93 du 13 décembre 1999 relative à un cadre communautaire pour les signatures électroniques, la directive 2000/31/CE relative à certains aspects juridiques des services de la société de l’information, certaines dispositions de la directive 97/7/CEE du 20 mai 1997 concernant la vente à distance des biens et des services autres que les services financiers. – Legilux (public.lu) ;

3 Pour une définition plus précise de l’acte sous seing privé voir : Sous-seing privé – Définition – Dictionnaire juridique (dictionnaire-juridique.com) ;

4 Article 9 de la version initiale de la loi du 14 août 2000 relative au commerce électronique, modifiant l’article 1325 du Code civil ;

5 Article 3 point 10 du Règlement eIDAS ;

6 Article 3 point 11 et article 26 du Règlement eIDAS ;

7 Voir article 3 point 12 du Règlement eIDAS pour sa définition exacte ;

8 Voir article 3 point 20 du Règlement eIDAS ;

9 Au Luxembourg il s’agit de l’Institut luxembourgeois de la normalisation, de l’accréditation, de la sécurité et qualité des produits et services (ILNAS) : ILNAS – Acteurs – Portail Qualité – Luxembourg (public.lu) ;

10 Pour la liste des prestataires de services de confiance autorisés voir : Trusted List Browser (europa.eu) .

11 Article 25 du Règlement eIDAS ;

12 Article 25 point 2 du Règlement eIDAS.

***