L'utilisation des nouvelles technologies dans le procès civil : Vers une procédure civile intégralement informatisée ?

II. Le certificat électronique, l'outil de la dématérialisation des échanges

Le certificat numérique est une véritable carte d'identité électronique qui permet aux utilisateurs de s'identifier sur Internet ou sur un réseau privé afin de pouvoir transmettre des données et assurant la confidentialité des échanges.

Le décret du 30 avril 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique définit le certificat électronique comme un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire. Il a donc pour fonction de sauvegarder l'intégrité d'une signature électronique.

Le certificat électronique doit, pour être intègre, être délivré par une société qui détient une autorité afin qu'elle puisse contrôler ce système. Actuellement, CertEUROPE met en place des autorités de certification en France sur le marché de la dématérialisation. Il convient donc d'abord de se pencher davantage sur le fonctionnement et l'intérêt du mécanisme du certificat numérique (A) afin d'étudier ensuite le rôle de l'autorité de certification (B).

A. Une identification électronique garantie

La certification repose sur l'émission de certificats électroniques permettant une navigation sécurisée sur le web puisqu'ils garantissent l'authentification de l'utilisateur. Les concepteurs d'E-GREFFE ont d'ailleurs fait appel à ce système d'échange. Il s'agit là d'un exemple qui a vocation a montrer les intérêts d'un tel outil.

1. Un support sécurisé de la dématérialisation des échanges

Afin qu'une transmission numérique soit sécurisée, le dispositif de certification doit garantir, par des moyens techniques et des procédures appropriées, que les données de création de ne peuvent être établies plus d'une fois et que leur confidentialité est assurée. Aussi, les données ne peuvent être trouvées par déduction et elles doivent protégées contre toute falsification. Les documents dématérialisés doivent donc être protégées de manière satisfaisante par le signataire contre toute utilisation par des tiers. Dès lors, les textes envisagent l'utilisation de certificats électroniques délivrés par une autorité de certification pour que toutes ces exigences soient respectées.

Par le certificat électronique, l'utilisateur d'un réseau permettant d'effectuer des échanges dématérialisés va attester de son identité. Le certificat garanti que tous les adhérents du service sont bien des membres. Il joue donc le rôle de pièce d'identité électronique ou de passeport électronique permettant ainsi d'identifier l'émetteur du message et d'en garantir l'intégrité comme la confidentialité.

Le certificat numérique est composé d'informations personnelles sur le porteur, le tout signé par une autorité de certification. Il est attaché à l'attribution d'une clé qui est un document attestant de la propriété et de la durée de validité de celle-ci.

Le certificat électronique d'authentification utilisée prévus dans les décrets un certificat dit « qualifié », c'est-à-dire que l'utilisateur se sert de la cryptographie asymétrique, par clé privée et publique. Il répond à des règles strictes imposées par le décret du 30 avril 2001. En effet, il doit contenir plusieurs éléments tels que la version, le numéro de série, le nom du porteur, sa clé publique, les dates de validité, le nom de l'émetteur, l'identification de la politique de certification et la signature de l'émetteur.

Cet outil permettant une sécurisation des échanges de documents, assurée par l'utilisation de certificat électronique, a été choisi pour régir les relations dématérialisées entre le Tribunal de Grande Instance de Paris et les avocats de son barreau. 

2. Le fonctionnement du certificat électronique à travers l'exemple d'E-GREFFE

L'accès au service d'E-GREFFE, réseau d'échanges dématérialisés entre le TGI de Paris et les avocats, s'effectue par le biais d'un certificat électronique qui atteste de l'identité et de la qualité de l'avocat utilisateur. Le certificat garantit que tous les adhérents au service sont des membres du Barreau de Paris. L'identité de l'utilisateur, l'intégrité du message et la confidentialité sont assurés grâce à ce procédé.

Les avocats retirent leur certificat auprès de l'Ordre. Ce dernier est crypté par la clé privée de l'entité qui attribue les clés et il est remis pour une durée de 3 ans. En cas de perte, le certificat est révoqué, c'est-à-dire que l'accès est bloqué et l'avocat ne peut plus accéder au réseau sauf s'il se représente au Barreau pour obtenir une nouvelle clé.

La clé est donc le support matériel de la certification qui sert à authentifier l'avocat utilisateur. Il s'agit d'une clé USB ayant beaucoup de mémoire afin d'assurer une sécurité des échanges élevée. Néanmoins, une clé ne peut fonctionner sans un code d'activation. Concrètement, pour se connecter sur le site de l'Ordre, l'avocat va entrer son code et présenter son certificat. Ainsi, la session s'ouvre entre le greffe et le poste de l'avocat.

La navigation sur le service semble alors sécurisée puisqu'un support matériel sert à identifier et à authentifier l'utilisateur. Le mécanisme du certificat électronique paraît être une avancée technologique importante permettant de procéder à des échanges de documents dématérialisés tout en respectant la sécurité juridique.

Reste que l'utilisation actuelle de ce certificat devra pour s'étendre faire ses preuves à l'égard des professionnels du droit encore méfiants quant à l'utilisation de nouvelles technologies pour l'accomplissement des actes juridiques. La présomption de fiabilité du procédé, soumise à des conditions qui seront fixées par décret en Conseil d'Etat, est posée en faveur des personnes qui auront recours soit aux services d'un tiers ayant fait l'objet d'une accréditation volontaire (une autorité de certification), soit à des produits correspondants à des normes mentionnées dans une liste publiée au Journal Officiel de la Communauté Européenne. Néanmoins, l'intervention d'un tiers contrôlant le certificat électronique et ayant une autorité d'enregistrement semble nécessaire pour la sécurité et la confiance des échanges électronique.

B. L'autorité de certification indispensable à la sécurisation des échanges

Afin que les échanges dématérialisés puissent se réaliser de manière sécurisée et que la preuve de ces échanges soit sauvegardée, un tiers indépendant dénommé autorité de certification doit contrôler le tout. En France, déjà quelques autorités de certification sont présentes sur le marché judiciaire.

1. L'intervention d'un tiers certificateur neutre et indépendant

La preuve est un élément déterminant de la reconnaissance d'un droit. En effet, la préconstitution d'une preuve permet d'établir le contenu d'un droit, de prévenir et de régler les contestations ultérieures. Or, les règles de droit français relatives à la preuve et à sa conservation dépendent de nombreux textes et principes généraux au sein desquels l'informatique doit trouver sa place. Les professions réglementées et les professionnels du droit (huissiers de justice, avocats, notaires, greffiers...) sont déjà des spécialistes de la certification reconnus pour leur expérience, leur intégrité, leur indépendance, leur discrétion et leur objectivité. Ainsi, une autorité de certification doit leur permettre de continuer à assumer pleinement leur rôle de caution morale « supérieure ».

L'autorité de certification est donc un élément clé de la confiance dans la dématérialisation des actes et échanges. Elle est un tiers indépendant qui possède un rôle très important dans le système probatoire puisqu'il est chargé de contrôler l'accomplissement des échanges électroniques et d'en conserver la trace. Ce tiers est donc un témoin qui améliore la qualité de la preuve. Il s'insère parfaitement dans la logique d'assurer la sécurisation des transmissions de messages sur les réseaux sans ingérence dans le contenu des échanges, et de fournir des preuves irréfutables qui puissent être acceptées par les parties en cas de litige^62(*). C'est ainsi que cette autorité de certification peut notamment proposer différents services de sécurité et de contrôle comme par exemple une non répudiation par l'émetteur et le destinataire des données transmises ou bien un horodatage complet.

Seule l'intervention d'un tiers indépendant permet de renforcer l'efficacité de la preuve. Concrètement, à défaut de relever d'une activité réglementée et d'avoir un statut légal (tel le notaire ou l'huissier de justice), il doit s'agir d'un organisme prestataire dont la neutralité et l'indépendance sont indiscutables.

Le décret du 18 avril 2002 et l'arrêté du 31 mai 2002 organisent le régime de ces autorités de certification. L'obtention d'une autorisation permettant de créer une telle autorité est soumise à un système d'accréditation volontaire. Ce sont le Comité français d'accréditation (COFRAC), association déclarée le 4 mai 1994, ainsi que les organismes d'accréditation signataires de l'accord européen multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation, qui sont chargés d'accréditer les organismes qui procéderont à l'évaluation des prestataires de services de certification électronique en vue de reconnaître leur qualification (article 1^er dudit arrêté). Ces prestataires de services de certification^63(*) ou autorités de certification sont des entités ou des personnes physiques ou morales qui délivrent les certificats électroniques et fournissent d'autres services liés aux signatures électroniques. Mais pour être habilitées à émettre des certificats, ces autorités ont l'obligation de remplir les conditions minimales de sécurités étudiées (cryptographie, utilisation de clés publiques et privées, etc.).

Il pèse sur le prestataire des obligations techniques ainsi que des obligations d'information et de conseil. En effet, la protection des données emporte obligation pour les Etats qu'ils s'assurent que les autorités de certifications et les organismes responsables de l'accréditation respectent les exigences figurant dans la Directive du 24 octobre 1995 sur le traitement des données à caractère personnel. Par conséquent, tous les organismes en France doivent déclarer à la C.N.I.L. les données nominatives de leurs abonnées. En cas de préjudice, l'autorité est responsable de l'exactitude des informations qu'elle inscrit dans les certificats au moment de leur date de délivrance, du lien entre le signataire et une clé, et si elle omet d'enregistrer ou de publier la révocation d'un certificat sur ses lignes accessibles en ligne. Il est également prévu une simple présomption de responsabilité qui peut donc être écartée en cas d'absence de faute prouvée. Néanmoins, on peut penser que la preuve négative ne sera pas facile à établir étant donné que l'autorité de certification bénéficiera d'une accréditation. Aussi, l'autorité devra se protéger en insérant des clauses élusives ou limitatives de responsabilités prévoyant les limites de l'utilisation du certificat, ce de façon à éviter tout risque de confusion. Il est donc possible qu'à l'avenir nos juridictions viennent à se prononcer sur un tel contentieux.

2. Les exemples prometteurs d'autorités de certification

Certeurope est une entreprise française qui conçoit et met en oeuvre des autorités de certification qui exécutent ce mécanisme auprès d'entreprises comme de professionnels du droit tels que le GIE Infogreffe, l'Ordre des avocats au Conseil d'Etat et à la Cour de cassation, l'Ordre des avocats à la Cour d'Appel de Paris ou encore à la Chambre Nationale des Huissiers de Justice.

Il convient de se pencher sur l'exemple d'Infogreffe afin de comprendre les intérêts d'une dématérialisation des échanges pour les professions judiciaires. Infogreffe est une autorité de certification qui distribue sont propre certificat électronique d'authentification et de signature nommé « certigreffe ». Ce certificat électronique va permettre, dès que les textes juridiques le permettront, d'effectuer directement en ligne diverses formalités telles que des injonctions de payer, inscriptions de crédit-bail, immatriculations de sociétés, modifications. Ces formalités sont à destination des Greffes des Tribunaux de Commerce répartis sur l'ensemble du territoire français. Chacun vont enregistrer et accuser réception de ces dernières de manières dématérialisées, sous le contrôle de l'autorité de certification.

Pour Monsieur Jacques Doucède^64(*), il s'agit d'un projet d'envergure et éminemment moderne. Il déclare que l'autorité de certification d'Infogreffe permet à la profession de greffier du Tribunal de Commerce de poursuivre son évolution technique de façon décisive et que les greffiers vont dès lors améliorer plus encore la qualité de leurs services à l'égard des entreprises.

Ainsi, cet exemple paraît prometteur. On peut concevoir le gain de temps que peut procurer une telle installation technique pour les professions juridiques. Néanmoins, sans respect de la sécurité juridique, aucun acte dématérialisé ne peut être envisagé. En effet, l'intérêt n'est pas d'avancer dans l'ère numérique au mépris des garanties fondamentales d'une bonne justice mais bien de mettre en place un système de dématérialisation des communications prenant en compte les obligations de sécurité, de confidentialité et de preuve avec d'autant plus d'intérêt que ces obligations sont des éléments essentiels du fonctionnement et de l'acceptation juridique. La sécurisation des échanges dématérialisés est donc une exigence indispensable à la viabilité d'un service virtuel permettant un dialogue entre le justiciable et les professionnels du droit ou entre ces derniers entre eux. Mais dès l'instant où cette exigence sera satisfaite d'une part par la publication du décret du Conseil d'Etat relatif aux actes dématérialisés et d'autre part, par l'utilisation de la certification, contrôlée par un tiers indépendant, cela pourra ouvrir la voie à l'extension des transmissions par Internet et peut être même au développement d'une justice en ligne.

Le contexte paraît actuellement favorable à la dématérialisation de documents comme le montre la naissance de plusieurs organismes de certification auprès des juridictions civiles ou commerciales tels que E-Greffe au tribunal de Grande Instance de Paris ou Infogreffe utilisé prochainement dans tous les tribunaux de commerce dès que ledit décret en Conseil d'Etat pris pour application de la loi du 13 mars 2000 sera publié. Il est donc possible qu'en raison des garanties procédurales qu'elle offre aux utilisateurs, la certification soit un outil qui aura vocation à s'étendre dans le domaine de la procédure civile. Elle referme donc des enjeux importants pour notre système procédural.

* ⁶² Y. BREBAN et I. POTTIER, Avocats, Cabinet Alain BENSOUSSAN, Paris, Sécurité, authentification et dématérialisation de la preuve dans les transactions électroniques (1^ère partie), La problématique juridique des échanges électroniques face à la preuve, Doctrine, Gaz. Pal. 4 avril 1996.

* ⁶³ Selon l'article 1-11 du décret du 30 avril 2001, un prestataire de service de certification est toute personne qui délivre des certificats électroniques ou fournit d'autres services en matière de signatures électroniques »

* ⁶⁴ J. DOUCEDE, Président d'Infogreffe, Propos recueillis dans Le guide de la dématérialisation d'Infogreffe, www.infogreffe.fr