Quand on s’apprête à quitter le monde des signatures manuscrites, le prix et la facilité d’usage des signatures électroniques sont d’une grande aide pour franchir ce pas.
C’est ensuite que ça se complique.
- Quel niveau de sécurité dois-je choisir ?
- Comment dois-je protéger mes données ?
- Mes équipes et partenaires ont-ils une maturité numérique suffisante ?
- Et quelques questions opérationnelles, tout de même : je veux signer quoi, et comment puis-je être certain du contenu de ce que je signe ?
Commençons par les aspects juridiques.
1. Ce que vous vous apprêtez à acheter est-il juridiquement solide ?
Le code-civil prévoit que « l’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».
C’est dit avec clarté, mais ça pose immédiatement des questions techniques. Puisque chacun n’est pas expert en sureté et sécurité informatique, il y a lieu de se référer au règlement européen dit eIDAS. Ce même règlement n’est pas d’une lecture aisée pour un non juriste (Règlement (UE) No 910/2014 du parlement européen et du Conseil).
Il faut retenir que
- les prestataires certifiés doivent l’être par un organisme (LSTI par exemple). Cette certification vaut présomption de conformité aux exigences du règlement eIDAS.
- la qualification est quant à elle délivrée par un organe de contrôle (l’Agence nationale de la sécurité des systèmes d’information en France). Cette qualification permet d’être reconnu comme Services de confiance de l’UE
Ça devient presque simple : vos prestataires en sont ou n’en sont pas.
Se pose ensuite une autre question :
2. Quel type de signature faut-il choisir ?
Les différences relèvent de la solidité des procédés et des garanties apportées sur l’identité des signataires (ce qui est différent de leur qualité). Sur ce dernier point, rien ne change par rapport aux signatures manuscrites : il faut toujours s’assurer que la personne physique ait pouvoir d’engager la personne morale (Kbis, pouvoir notarié…).
- La signature simple : il n’y a ni exigence de mise en oeuvre ni constitution de dossier de preuve
- La signature avancée « doit être liée au signataire de manière univoque » et donc permettre de l’identifier de manière formelle. Elle exige une double authentification liée au contrôle exclusif des signataires, doit aussi garantir que « l’acte auquel la signature s’attache ne pourra pas être modifié ». Il faut comprendre que la signature avancée se voit imposer un résultat à obtenir et pas les moyens d’y parvenir. C’est donc aux opérateurs de choisir telle ou telle sécurité afin d’augmenter la valeur probante de leur procédé (et donc à vous de vous forger une opinion).
- Les signature avancée avec certificat qualifié et signature qualifiée répondent à des exigences plus strictes. Elles nécessitent un certificat délivré aux signataires par un prestataire de service de confiance. Il faut l’acheter (quelques centaines d’euros), il nécessite une rencontre physique pour que le prestataire s’assure de votre identité avant de vous remettre le certificat (valable quelques années, sans limite de nombre de signatures)
La signature qualifiée est la seule qui bénéficie d’une présomption de fiabilité (même une signature manuscrite ne sait s’en prévaloir – C. pr.civ, § 287, al. 1er.). Dans ce cas, il faut comprendre que celui qui nie avoir signé devra en apporter la preuve. Je ne pense pas qu’il faille surestimer cet argument : une présomption de fiabilité n’est toujours pas une preuve et une non-présomption de fiabilité n’est pas une présomption de non-fiabilité. Pour bien comprendre le risque associé, on peut ajouter que « s’il est jugé que la pièce a été écrite ou signée par la personne qui l’a déniée, celle-ci est condamnée à une amende civile d’un maximum de 10 000 € sans préjudice des dommages-intérêts qui seraient réclamés » (art 295 du code de procédure civile).
Et pour quel cas d’usage ?
Je vous propose de simplifier les critères de choix :
- Signatures simples : Actes courants ou comportant des risques juridiques ou financiers limités (réception de colis, état des lieux, commandes…)
- Signatures avancées : transactions financières conséquentes et/ou pouvant présenter des enjeux juridiques importants
- Signatures qualifiées : actes authentiques, actes produisant des effets hors de France, passation de marchés publics, actes d’avocats, voire tout contrat pouvant présenter des enjeux majeurs.
Entre ces trois solutions, votre choix se fera en positionnant le curseur entre la facilité d’usage et la sécurité (qui s’obtient toujours au détriment de l’expérience utilisateurs), en analysant le contexte commercial et juridique (et peut-être aussi en terme d’image). Pour les niveaux avancés et au delà, il faut exiger la transmission des dossiers de preuve au fil de vos signatures. Le cas échéant, vous serez sûrs de les avoir en main (vous pouvez en avoir besoin dans de nombreuses années).
Les signatures simples sont, et de beaucoup, les plus répandues.
3. Quel type et quelle quantité de documents voulez-vous signer ?
Par la force des habitudes du papier, voici une question qui n’est que rarement posée.
Les signatures électroniques traditionnelles dématérialisent l’ancien monde. Elles proposent de signer des pdf au lieu de documents papier, de les archiver sur des serveurs et plus dans des cartons. Elles ont par contre une limite technologique que le papier n’avait pas : celle du volume documentaire, généralement inférieur à 35 Mo.
Comment faire au delà ?
Eh bien on multiplie les parapheurs (il en faut 10 à 300 Mo ou 100 à 3Go), sans oublier de rédiger ce qui les lie pour constituer un ensemble contractuel indissociable. Par facilité, beaucoup écartent des documents jugés moins essentiels, au détriment de la qualité contractuelle.
On peut aussi appeler ContractChain, annexer des documents sans limite de nombre ou de taille, et ne déposer qu’une signature sur un pdf qui intègre ces annexes et leurs preuves d’intégrité.
Un autre point nous différencie, celui du type de documents. Avec ContractChain, vous signez tout type de fichier (Excel, Autocad, Revit ou tout type de modèle numérique). Si ce mode de contractualisation vous apporte de la valeur, alors vos contrats seront constitués d’annexes plus précises et engageantes qu’une simple image (pour l’exemple, un excel embarque les formules dans les contrats).
4. Voulez-vous vous assurer que les documents à signer sont bien ceux sur lesquels les parties souhaitent s’engager ?
Bien sûr, répondrez-vous, mais comment faire ?
Cette question est exclusivement abordée d’un point de vue juridique, ne l’est jamais sur des critères opérationnels. L’habitude du papier et l’absence d’une techno sachant répondre à la question en est légitimement à l’origine.
Dans le monde du papier, il fallait relire (et se lasser), signer, tamponner et parfois parapher. Les paraphes permettaient de ne pas pouvoir substituer une page, permettaient aussi apporter un début de preuve du consentement quand les paraphes étaient judicieusement positionnés. Il en va de même pour les traditionnels « bon pour accord » ou « lu et approuvé » qui n’ont pas de consistance légale mais qui permettaient de compléter des indice d’adhésion des signataires.
Sur ce sujet aussi, les signatures électroniques dématérialisent l’ancien monde en proposant des paraphes, annotations, et toujours un simple un clic qu’il faut traduire en « j’ai tout relu, je suis d’accord pour être pendu ».
C’est parfaitement légal mais dans la vraie vie, s’il y a une coquille au milieu de milliers de pages, alors chacun signe aveuglément. On ajoutera qu’une relecture sur papier est bien plus aisée que sur un écran, aussi qu’elle se délègue plus facilement à d’autres que le signataire ((plus disponibles ou plus compétents).
Pour une parfaite adhésion, ContractChain propose une revue de contrat rigoureuse : avant de signer, le co-contractant compare les fichiers qui sont en sa possession (ceux dont il est certain) avec ceux qui lui sont proposés et qui ont été certifiés par la blockchain. A l’issue de cette double vérification, plus personne ne peut avoir de doute. Nous comparons de l’ordre de 1 Go par minute, la moindre virgule modifiée casse la preuve d’intégrité.
Cette revue de contrat renforce la preuve du consentement des signataires. Il ne peut être plus éclairé.
5. La confidentialité de mes données est-elle un critère ?
Evidemment, personne ne répond non à cette question. Il faut donc poursuivre, savoir dans quelles mains elles se trouvent et juger des garanties qu’on vous apporte quant au fait qu’elles ne risquent pas d’être utilisées, volées, vendues, détruites ou perdues.
Pour faire simple, la couverture des risques ci-dessus ne peut relever que d’un simple engagement, fût-il formel. Si vos données sont entre les mains de sociétés agréées de type Prestataires agréés pour la conservation d’archives publiques courantes et intermédiaires sur support numérique, ça sera la meilleure des sécurités.
Si elles ont transité dans d’autres mains, assurez-vous de leur destruction une fois vos données archivées, en interne ou chez un tiers agréé.
On rappellera qu’en comparaison du papier, le numérique présente une faiblesse : les documents sont duplicables sans limite et sans trace. S’ils le sont de manière illégitime, vous ne saurez remonter à la source de la fuite.
Il y a aussi une manière de faire moins risquée : ne pas confier vos données à des prestataires non agréés pour la conservation (nous, par exemple). Ca tombe bien, nous certifions vos données sans qu’elles ne transitent par nos serveurs. On ne peut donc pas les utiliser, les détruire, les vendre, les perdre ou se les faire voler.
6. Et si je crains encore de me lancer dans le tout numérique ?
Ça n’est pas forcément tout ou rien : nos clients peuvent certifier des milliers d’annexes numériques, les faire valider par leurs co-contractants, puis signer avec un stylo bleu 🙂 un unique document.
On voit là quel est notre coeur de métier.
Cette méthode, quoi que juridiquement solide, n’est à notre sens à considérer que comme une étape de la transition numérique de nos clients : en faisant ainsi, les contrats seront pour partie dans des cartons et pour une autre sur des serveurs. Il faudra être certain de retrouver cet ensemble indissociable dans 10 ans.
Lors de l’étape suivante, parce que les symboles ont un sens, nous voyons de plus en plus de signatures électroniques qui se font en réunissant les acteurs, parce qu’ils ont beaucoup de choses à se dire au-delà de la formalisation du contrat.
Synthèse
Je crois que les outils numériques du XXIe siècle se doivent d’être des outils de confiance plus que de défiance. Il me parait tout aussi nécessaire que les signatures électroniques sécurisent les opérationnel (l’exhaustivité du contenu, l’accord formel sur sa qualité) au moins autant que leurs juristes. Lapalisse nous rappelle que 99,9% des contrats sont mis en oeuvre alors qu’une infime partie se retrouvera contestée devant un tribunal.
On pourra aussi avancer que ceux qui nous font confiance le font aussi pour prouver leur transparence à leurs partenaires (les erreurs ou omissions ne peuvent plus passer). C’est bien de le dire, c’est mieux de le faire, aussi pour se recentrer sur l’essentiel : les relations humaines et le contrat qui les a créé.
Et enfin une question que j’entends parfois : a-t-on besoin d’une blockchain pour rendre un document infalsifiable ? Non, les signatures électroniques font ça très bien. Elle est par contre utile pour vous permettre d’y intégrer des Go de données certifiées. Avec une couche de Contractchain, elles seront formellement vérifiées par les parties.
J’ajoute une chose aussi évidente qu’essentielle : on ne peut pas être le tiers de confiance de soi-même.
Sommes-nous des marchands de signature ? Je ne crois pas. Nous fabriquons de la sureté contractuelle, elle est opérationnelle et juridique.