Étudiants du cours DRT6903 1 novembre 2013 LCCJTI.ca, Sécurité Par Anaïs Boquet, étudiante dans le cadre du cours DRT 6903 (UdeM) Le 23 octobre 2013 est paru dans le Journal Officiel de la République Française (JORF) un arrêté daté du 18 octobre 2013 relatif à la signature électronique des décisions de justice rendues en matière civile par la Cour de cassation. Etant donné le nombre de textes qu’implique le processus de signature, il ne serait pas inutile d’établir comment ces derniers s’articulent les uns par rapport aux autres. En effet, si de prime abord les six articles dont se compose l’arrêté donnent une impression d’épuration extrême et de simplicité, le millefeuille juridique qu’ils couvent se révèle être d’une certaine complexité. Les présupposés : un texte avec une importante trame de fond L’arrêté de 2013 pris par la garde des sceaux, Madame Taubira, vient préciser les modalités d’application de l’article 456 du Code de procédure civile. Ledit article prévoit la possibilité pour un jugement d’être établi tant sur support papier que sur support électronique. Cette dernière option impliquant a fortiori que l’intégrité et la conservation du jugement soient assurées par des procédés appropriés. Le texte précise que la signature électronique sécurisée qui doit figurer sur le jugement doit être issue d’un procédé conforme aux exigences établies par un décret du 30 mars 2001. Le décret de 2001 a été pris à l’origine en application de l’article 1316-4 du Code civil, qui établit les éléments essentiels de la signature en son aspect le plus général. Si la fonction première de la signature est ainsi d’identifier le signataire, sa finalité consiste en la manifestation du consentement des parties. L’article prend notamment en compte la particularité de la sphère numérique, précisant en son deuxième alinéa ce qu’est une signature électronique. Alors que la signature figurant sur le papier est constituée par ce que d’aucuns appellent le gribouillis propre à une personne, ou dans un langage plus décent mais simpliste une marque écrite apposée de la main du signataire, la signature électronique est le fait d’utiliser un procédé fiable qui permet l’identification du signataire et d’établir un lien entre ce dernier et l’acte auquel cette signature est attachée. L’article 1316-4 pose également une présomption en faveur d’une large reconnaissance des actes assortis d’une signature électronique puisque le procédé est présumé être fiable dès lors qu’il respecte les conditions fixées par le décret pris pour son application. Avant toute chose, le décret de 2001 définit dans son article 1er (al. 2) la signature électronique sécurisée comme celle qui est propre au signataire, qui est créée par des moyens que le signataire peut garder sous son contrôle exclusif et qui a un lien si conséquent avec l’acte auquel elle s’attache que toute modification ultérieure de l’acte est détectable. Cette précision faite, l’article 2 vient littéralement compléter la formulation de l’article 1316-4 du Code civil en posant deux conditions à la présomption de fiabilité d’un procédé : la signature électronique sécurisée doit être établie selon un dispositif sécurisé de création de signature électronique, et la vérification de la signature doit reposer sur l’utilisation d’un certificat électronique qualifié. Le corps du décret, divisé en trois chapitres, précise les caractéristiques que doivent revêtir un dispositif sécurisé de création de signature électronique (chap.1), un dispositif de vérification de signature électronique (chap.2) et un certificat électronique qualifié (chap.3). La substance : un processus d’une technicité avérée Une fois l’origine (art. 456 du Code de procédure civile) de l’arrêté établie et les textes y étant liés (art. 1316-4 et décret de 2001) un peu plus détaillés, il est un plus aisé de comprendre la substance de l’arrêté du 18 octobre 2013. Dans un premier temps, l’arrêté énonce que tout procédé utilisé pour apposer une signature électronique sur les jugements doit être conforme au référentiel général de sécurité (RGS) prévu par le décret du 2 février 2010. Ce décret met en œuvre, conformément à l’article 9 I. de l’ordonnance du 8 décembre 2005, l’élaboration d’un référentiel général de sécurité dont l’objectif est non seulement d’assurer la disponibilité et l’intégrité des systèmes d’information mis en place par les autorités administratives mais encore d’assurer la confidentialité et l’intégrité des informations échangées, par le biais de ces systèmes, entre les autorités administratives et les usagers et par les autorités administratives entre elles. Pour cela, le RGS fixe des règles auxquelles doivent se conformer lesdits systèmes d’information, et qui sont plus ou moins exigeantes selon le niveau de sécurité souhaité par l’autorité administrative. Les niveaux de sécurité varient d’une étoile (*) à trois étoiles (***), ce dernier étant le niveau le plus élevé. Le RGS est élaboré et mis à jour notamment par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en partenariat avec la Direction interministérielle pour la modernisation de l’action publique (DIMAP). L’actuel RGS a, conformément aux dispositions du décret de 2010, été approuvé par un arrêté ministériel du 6 mai 2010. L’arrêté précise ensuite que le système d’information doit être homologué par l’autorité administrative, autrement dit celle-ci doit attester que le système est protégé selon les objectifs de sécurité qu’elle a fixés. Concrètement, la Cour de cassation devra donc attester que le procédé de signature électronique permet de protéger l’intégrité des décisions rendues, c’est-à-dire que la fonction de sécurité mise en œuvre permet de répondre à l’objectif de sécurité déterminé en fonction des besoins de protection du système d’information. Concernant les autres acteurs associés au procédé de signature électronique des jugements, le décret ajoute que les prestataires de services de certification électronique (dont le rôle est établi dès le décret de 2001) doivent satisfaire aux exigences de niveau trois étoiles. Leur fonction est en effet de délivrer les certificats électroniques nécessaires à l’utilisation de la signature électronique, ils doivent donc remplir les conditions du niveau de sécurité le plus élevé. Cette conformité se traduit par la qualification du prestataire par un organisme habilité. On pourrait ici apparenter ces exigences à une « suite de réactions en chaîne » en ce sens que : l’organisme habilité qualifie le prestataire de certification électronique comme remplissant les conditions de niveau de sécurité trois étoiles. Ce prestataire peut alors délivrer un certificat électronique de pareil niveau de sécurité à un signataire déterminé. Ce signataire peut à son tour, grâce à son certificat électronique, émettre une signature électronique conforme au niveau de sécurité trois étoiles. Finalement, cette signature électronique sécurisée garantit l’intégrité de la décision de justice émise sous format électronique. L’arrêté de 2013 prévoit enfin que seuls les procédés de signature électronique qui respectent les exigences du RGS de niveau trois étoiles sont présumés être fiables au sens de l’article 2 du décret de 2001. Si l’on use d’un raisonnement a contrario, des procédés de signature d’un niveau de sécurité inférieur pourraient être utilisés pour signer des décisions, mais leur fiabilité pourra alors être contestée, la présomption ne pouvant pas s’y appliquer. Cette condition laisse bien évidemment penser que les procédés utilisés par la Cour de cassation pour apposer une signature électronique sur les décisions en matière civile seront conformes aux exigences du RGS de niveau trois étoiles. Il nous semble qu’il serait en effet quelque peu discutable que l’on puisse d’office remettre en cause la fiabilité d’un procédé usité par la Haute juridiction. Un texte dont la faible longueur est donc bien trompeuse puisqu’il renvoie à une multitude de dispositions connexes qui renferment une quantité d’informations d’une grande technicité. Espérons que la Cour de cassation ne s’y perdra pas à essayer de démêler les nœuds.
Étudiants du cours DRT6903 1 novembre 2013 LCCJTI.ca, Sécurité Par Anaïs Boquet, étudiante dans le cadre du cours DRT 6903 (UdeM) Le 23 octobre 2013 est paru dans le Journal Officiel de la République Française (JORF) un arrêté daté du 18 octobre 2013 relatif à la signature électronique des décisions de justice rendues en matière civile par la Cour de cassation. Etant donné le nombre de textes qu’implique le processus de signature, il ne serait pas inutile d’établir comment ces derniers s’articulent les uns par rapport aux autres. En effet, si de prime abord les six articles dont se compose l’arrêté donnent une impression d’épuration extrême et de simplicité, le millefeuille juridique qu’ils couvent se révèle être d’une certaine complexité. Les présupposés : un texte avec une importante trame de fond L’arrêté de 2013 pris par la garde des sceaux, Madame Taubira, vient préciser les modalités d’application de l’article 456 du Code de procédure civile. Ledit article prévoit la possibilité pour un jugement d’être établi tant sur support papier que sur support électronique. Cette dernière option impliquant a fortiori que l’intégrité et la conservation du jugement soient assurées par des procédés appropriés. Le texte précise que la signature électronique sécurisée qui doit figurer sur le jugement doit être issue d’un procédé conforme aux exigences établies par un décret du 30 mars 2001. Le décret de 2001 a été pris à l’origine en application de l’article 1316-4 du Code civil, qui établit les éléments essentiels de la signature en son aspect le plus général. Si la fonction première de la signature est ainsi d’identifier le signataire, sa finalité consiste en la manifestation du consentement des parties. L’article prend notamment en compte la particularité de la sphère numérique, précisant en son deuxième alinéa ce qu’est une signature électronique. Alors que la signature figurant sur le papier est constituée par ce que d’aucuns appellent le gribouillis propre à une personne, ou dans un langage plus décent mais simpliste une marque écrite apposée de la main du signataire, la signature électronique est le fait d’utiliser un procédé fiable qui permet l’identification du signataire et d’établir un lien entre ce dernier et l’acte auquel cette signature est attachée. L’article 1316-4 pose également une présomption en faveur d’une large reconnaissance des actes assortis d’une signature électronique puisque le procédé est présumé être fiable dès lors qu’il respecte les conditions fixées par le décret pris pour son application. Avant toute chose, le décret de 2001 définit dans son article 1er (al. 2) la signature électronique sécurisée comme celle qui est propre au signataire, qui est créée par des moyens que le signataire peut garder sous son contrôle exclusif et qui a un lien si conséquent avec l’acte auquel elle s’attache que toute modification ultérieure de l’acte est détectable. Cette précision faite, l’article 2 vient littéralement compléter la formulation de l’article 1316-4 du Code civil en posant deux conditions à la présomption de fiabilité d’un procédé : la signature électronique sécurisée doit être établie selon un dispositif sécurisé de création de signature électronique, et la vérification de la signature doit reposer sur l’utilisation d’un certificat électronique qualifié. Le corps du décret, divisé en trois chapitres, précise les caractéristiques que doivent revêtir un dispositif sécurisé de création de signature électronique (chap.1), un dispositif de vérification de signature électronique (chap.2) et un certificat électronique qualifié (chap.3). La substance : un processus d’une technicité avérée Une fois l’origine (art. 456 du Code de procédure civile) de l’arrêté établie et les textes y étant liés (art. 1316-4 et décret de 2001) un peu plus détaillés, il est un plus aisé de comprendre la substance de l’arrêté du 18 octobre 2013. Dans un premier temps, l’arrêté énonce que tout procédé utilisé pour apposer une signature électronique sur les jugements doit être conforme au référentiel général de sécurité (RGS) prévu par le décret du 2 février 2010. Ce décret met en œuvre, conformément à l’article 9 I. de l’ordonnance du 8 décembre 2005, l’élaboration d’un référentiel général de sécurité dont l’objectif est non seulement d’assurer la disponibilité et l’intégrité des systèmes d’information mis en place par les autorités administratives mais encore d’assurer la confidentialité et l’intégrité des informations échangées, par le biais de ces systèmes, entre les autorités administratives et les usagers et par les autorités administratives entre elles. Pour cela, le RGS fixe des règles auxquelles doivent se conformer lesdits systèmes d’information, et qui sont plus ou moins exigeantes selon le niveau de sécurité souhaité par l’autorité administrative. Les niveaux de sécurité varient d’une étoile (*) à trois étoiles (***), ce dernier étant le niveau le plus élevé. Le RGS est élaboré et mis à jour notamment par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en partenariat avec la Direction interministérielle pour la modernisation de l’action publique (DIMAP). L’actuel RGS a, conformément aux dispositions du décret de 2010, été approuvé par un arrêté ministériel du 6 mai 2010. L’arrêté précise ensuite que le système d’information doit être homologué par l’autorité administrative, autrement dit celle-ci doit attester que le système est protégé selon les objectifs de sécurité qu’elle a fixés. Concrètement, la Cour de cassation devra donc attester que le procédé de signature électronique permet de protéger l’intégrité des décisions rendues, c’est-à-dire que la fonction de sécurité mise en œuvre permet de répondre à l’objectif de sécurité déterminé en fonction des besoins de protection du système d’information. Concernant les autres acteurs associés au procédé de signature électronique des jugements, le décret ajoute que les prestataires de services de certification électronique (dont le rôle est établi dès le décret de 2001) doivent satisfaire aux exigences de niveau trois étoiles. Leur fonction est en effet de délivrer les certificats électroniques nécessaires à l’utilisation de la signature électronique, ils doivent donc remplir les conditions du niveau de sécurité le plus élevé. Cette conformité se traduit par la qualification du prestataire par un organisme habilité. On pourrait ici apparenter ces exigences à une « suite de réactions en chaîne » en ce sens que : l’organisme habilité qualifie le prestataire de certification électronique comme remplissant les conditions de niveau de sécurité trois étoiles. Ce prestataire peut alors délivrer un certificat électronique de pareil niveau de sécurité à un signataire déterminé. Ce signataire peut à son tour, grâce à son certificat électronique, émettre une signature électronique conforme au niveau de sécurité trois étoiles. Finalement, cette signature électronique sécurisée garantit l’intégrité de la décision de justice émise sous format électronique. L’arrêté de 2013 prévoit enfin que seuls les procédés de signature électronique qui respectent les exigences du RGS de niveau trois étoiles sont présumés être fiables au sens de l’article 2 du décret de 2001. Si l’on use d’un raisonnement a contrario, des procédés de signature d’un niveau de sécurité inférieur pourraient être utilisés pour signer des décisions, mais leur fiabilité pourra alors être contestée, la présomption ne pouvant pas s’y appliquer. Cette condition laisse bien évidemment penser que les procédés utilisés par la Cour de cassation pour apposer une signature électronique sur les décisions en matière civile seront conformes aux exigences du RGS de niveau trois étoiles. Il nous semble qu’il serait en effet quelque peu discutable que l’on puisse d’office remettre en cause la fiabilité d’un procédé usité par la Haute juridiction. Un texte dont la faible longueur est donc bien trompeuse puisqu’il renvoie à une multitude de dispositions connexes qui renferment une quantité d’informations d’une grande technicité. Espérons que la Cour de cassation ne s’y perdra pas à essayer de démêler les nœuds.