Signature électronique qualifiée : précisions de la CJUE

La Cour de justice de l’Union européenne (CJUE) a rendu son arrêt C-362/21 le 20 octobre 2022[1] concernant la signature électronique qualifiée au sens du Règlement 910/2014 du 23 juillet 2014[2] dit règlement eIDAS.

 

Ce règlement, adopté en 2014, vise notamment à établir un cadre juridique pour les signatures électroniques dans l’Union européenne, en garantissant leur sécurité et leur fiabilité.

 

L’arrêt en question porte sur les exigences relatives à la signature électronique qualifiée et a des implications importantes pour les entreprises, toujours plus nombreuses à utiliser la signature électronique dans le cadre de leurs activités professionnelles.

 

I. Rappel des règles applicables à la signature électronique

 

La signature est essentielle en droit dans la mesure où elle permet d’identifier l’auteur d’un acte juridique et de manifester son consentement aux obligations qui en découlent.

La directive 1999/93/CE du 13 décembre 1999 avait instauré un premier cadre juridique pour les signatures électroniques, lequel a été remplacé par le Règlement eIDAS précité.

 

I.1. La notion de signature électronique selon le Règlement eIDAS

 

Un des éléments essentiels du Règlement eIDAS est la distinction entre trois types de signatures électroniques, définies à son article 3 :

 

  • la signature électronique (dite « simple »): des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique, et que le signataire utilise pour signer ;

 

  • la signature électronique avancée: une signature électronique satisfaisant aux exigences énoncées à l’article 26 du Règlement eIDAS, à savoir :
    • être liée au signataire de manière univoque ;
    • permettre d’identifier le signataire ;
    • avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
    • être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable ;

 

  • la signature électronique qualifiée: une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique, sachant que :
    • le dispositif de création de signature électronique qualifié est un dispositif logiciel ou matériel configuré servant à créer une signature électronique et devant satisfaire à certaines exigences posées par le Règlement eIDAS ;
    • le certificat de signature électronique est une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne. Pour être qualifié, il doit être délivré par un prestataire de services de confiance qualifié (c’est-à-dire une personne physique ou morale qui fournit un ou plusieurs services de confiance qualifiés et ayant obtenu de l’organe de contrôle le statut de qualifié),et satisfaire à certaines exigences posées par le Règlement eIDAS.

 

I.2. Intérêts et enjeux de la distinction entre les différents types de signature électronique

 

L’objectif d’une signature électronique est de permettre la signature d’un acte juridique sans les contraintes d’une signature manuscrite.

En ce sens, l’article 25 du Règlement eIDAS énonce les effets juridiques des signatures électroniques :

« 1. L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.

2. L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite.

3. Une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membres. »

 

Il résulte également de cet article que la qualification d’une de signature électronique de « signature électronique qualifiée » établie une présomption de fiabilité du procédé, en l’assimilant à une signature manuscrite. Outre les stipulations de l’article précité, cette présomption est expressément prévue à l’article 1 du décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique :

« La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée ».

 

En revanche, la qualification de signature électronique « simple » ou « avancée » ne crée pas de présomption de ce type. Elle ne peut pas être « refusée » par les juridictions au seul motif qu’elle n’est pas qualifiée, mais il revient à celui qui la revendique de prouver la fiabilité du procédé de signature électronique utilisé, c’est-à-dire qu’elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache.

 

II. L’arrêt de la CJUE du 20 octobre 2022

 

II.1. Rappel des faits

 

La société Ekofrukt est une société bulgare dont l’objet social consiste en la vente en gros et au détail de fruits et légumes. Cette société a fait l’objet d’un contrôle fiscal portant sur les exercices d’imposition au titre de la TVA des mois d’août à novembre 2014, qui s’est conclu par l’adoption, par les autorités fiscales, d’un avis de redressement fiscal le 4 mai 2017. La société Ekofrukt a formé un recours contre cet avis auprès du Directeur de la direction « Recours et pratique en matière de fiscalité et de sécurité sociale » qui a annulé cet avis le 4 août 2017 et ordonné qu’un nouveau contrôle fiscal soit réalisé. Ce nouveau contrôle s’est également conclu par un avis de redressement fiscal, lequel a cette fois-ci été confirmé par le Directeur le 18 septembre 2018.

 

Or, en l’espèce, l’ensemble des documents de l’administration fiscale émis dans le cadre de ce contrôle fiscal l’avaient été sous la forme de documents électroniques signés au moyen de signatures électroniques, qualifiées de « signatures électroniques professionnelles » par le prestataire de service de confiance par le biais duquel lesdites signatures électroniques étaient apposées.

La société Ekofrukt a alors saisi le tribunal administratif compétent d’un recours dirigé contre la décision du Directeur, en contestant la validité des documents électroniques émis,faisant valoir d’une part qu’aucun élément n’indiquait que ceux-ci étaient des documents électroniques sur lesquels avaient été apposées des signatures électroniques, et d’autre part qu’une « signature qualifiée » faisait défaut.

 

Si les experts avaient conclu devant cette juridiction que le process de signature électronique utilisé par l’administration fiscale n’était pas une signature électronique qualifiée au sens du Règlement eIDAS, le tribunal a estimé nécessaire que cette notion soit précisée, et a donc posé à la CJUE les questions préjudicielles suivantes :

 

    • Est-ce qu’un acte administratif établi sous la forme d’un document électronique peut être déclaré nul lorsqu’il n’est pas signé au moyen d’une signature électronique qualifiée ?

 

    • Est-ce que la simple inscription de « signature électronique qualifiée » dans le certificat établi par le prestataire de service de confiance suffit pour établir que la signature électronique est qualifiée, ou faut-il que démontrer que la signature remplit les exigences du Règlement eIDAS relatives à la signature électronique qualifiée ?

 

    • Est-ce que l’inscription « signature électronique professionnelle » suffit pour considérer, en l’absence d’un certificat qualifié du prestataire de services de confiance, que la signature électronique n’est pas qualifiée ou faut-il déterminer si la signature remplit les exigences d’une signature électronique qualifiée ?

 

    • Est-ce que la circonstance que les noms du signataire ont été inscrits, non pas en caractères cyrilliques, comme la personne s’identifie, mais en caractères latins, constitue une violation du Règlement eIDAS impliquant que la signature électronique ne peut pas être considérée comme une signature électronique qualifiée ?

 

II.2. Solution de l’arrêt

 

Sur la possibilité de déclarer nul un document administratif électronique non signé au moyen d’une signature électronique qualifiée

L’enjeu était ici l’interprétation de l’article 25 paragraphe 1 du Règlement eIDAS, prévoyant que « l’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée ».

 

Selon la CJUE, cette disposition n’interdit pas aux juridictions nationales d’invalider les signatures électroniques. Elle pose uniquement un principe général selon lequel le simple fait qu’une signature soit électronique ou qu’elle ne satisfasse pas aux exigences de la « signature électronique qualifiée » n’est pas un motif suffisant pour lui refuser un effet juridique ou une force probante.

 

Dès lors, il est tout à fait possible de contester la validité d’un acte administratif signé au moyen d’une signature électronique simple ou avancée, dès lors que cette contestation ne porte pas sur le principe même de la signature électronique ou sur le fait que celle-ci ne soit pas une signature électronique qualifiée, mais sur les conditions de validité de la signature électronique.

 

Sur les exigences probatoires de la qualification de signature électronique qualifiée

La qualification de signature électronique qualifiée suppose trois conditions cumulatives, telles que précédemment rappelées :

    • satisfaire aux exigences de qualification de la signature électronique avancée prévues à l’article 26 du Règlement eIDAS ;
    • être créée au moyen d’un dispositif de création de signature électronique qualifié ;
    • faire l’objet d’un certificat qualifié de signature électronique.

 

Aussi, la CJUE précise que le fait que la signature repose sur un certificat qualifié délivré par un prestataire de service de confiance qualifié est une condition nécessaire mais non suffisante.

 

En outre, elle ajoute que même si un prestataire de services de confiance qualifié a nécessairement fait l’objet d’une vérification par un organisme d’évaluation de la conformité accréditée, une partie à une instance peut contester la véracité de la qualification de signature électronique qualifiée.

 

Aussi, la CJUE conclut en ce sens qu’il revient dans tous les cas à la juridiction nationale de vérifier si les trois conditions sont respectées (ndla : le cas échéant en recourant à des experts techniques, ce que la juridiction bulgare avait d’ailleurs fait), et ce même si l’inscription « signature électronique qualifiée » figure dans le certificat de signature électronique.

 

Sur la qualification de « signature électronique professionnelle »

L’accomplissement des trois conditions posées par le Règlement eIDAS telles que susvisées suffit à ce qu’une signature électronique soit considérée comme qualifiée.

 

Aussi, la CJUE précise que le fait que le prestataire de confiance qualifie son procédé de « signature électronique professionnelle » n’impacte pas la qualification de signature électronique qualifiée que pourrait revêtir ladite signature (ni dans le sens de sa validité, ni dans le sens contraire). Seule la vérification des trois critères permet de déterminer si une signature électronique doit être considérée comme une signature électronique qualifiée.

 

En revanche, la CJUE ajoute que l’existence d’un certificat qualifié de signature électronique est une condition à la qualification de signature électronique qualifiée et sa seule absence suffit à établir que la signature en cause n’est pas qualifiée.

 

Sur la transcription en caractère latin du nom habituellement en alphabet cyrillique dans le certificat qualifié de signature électronique

Les exigences applicables aux certificats qualifiés de signature électroniques sont établies à l’annexe I du Règlement eIDAS. Le point c) de cette annexe précise que le certificat doit contenir « au moins le nom du signataire ou un pseudonyme ; si un pseudonyme est utilisé, cela est clairement indiqué ».

 

L’article 26 du Règlement eIDAS sur la signature électronique avancée qu’une signature électronique doit respecter pour être qualifiée précise que la signature doit « a) être liée au signataire de manière univoque ; b) permettre d’identifier le signataire ».

 

Il en résulte, selon la CJUE, que la transposition de caractères cyrilliques en caractères latins dans un certificat de signature électronique n’empêche pas en tant que tel que ce certificat réponde aux exigences du Règlement eIDAS pour que la signature électronique soit considérée comme avancée (cf. préalable nécessaire -même si non suffisant- à la qualification de signature électronique qualifiée), pour autant qu’il soit possible de démontrer que cette signature est liée au signataire de manière univoque et qu’elle permet de l’identifier.

 

III. Ce qu’il faut retenir

 

  • Par principe, et sauf si un texte l’exige expressément à titre de validité ou à titre de preuve d’un acte, l’absence d’une signature électronique qualifiée ne permet pas en tant que telle de contester la validité ou la preuve d’un acte.
    La seule conséquence est l’absence du bénéfice de la présomption d’assimilation à une signature manuscrite, impliquant la nécessité pour celui qui la revendique de prouver la fiabilité du procédé de signature électronique utilisé.

 

  • En cas de contestation de la qualification d’une signature électronique qualifiée dans le cadre d’une procédure judiciaire, la juridiction doit vérifier si les trois conditions cumulatives prévues au Règlement eIDAS sont remplies.
    L’inscription d’une signature électronique dans le certificat délivré par le prestataire de services de confiance ne suffira pas pour démontrer que cette signature électronique est qualifiée.

 

  • L’absence de certificat qualifié de signature électronique suffit pour établir qu’une signature électronique ne constitue par une signature électronique qualifiée.

 

  • La qualification donnée par le prestataire de services de confiance à la signature qu’il crée n’a aucune incidence sur la qualification de ladite signature au sens du Règlement eIDAS : il convient de vérifier la réunion des différentes conditions de qualification pour établir le type de signature électronique en cause.

 

  • Dès lors qu’il est possible de lier la signature au signataire de manière univoque et que celle-ci permette de l’identifier, peu importe que le nom du signataire s’écrivant habituellement en alphabet cyrillique ait été translittéré dans l’alphabet latin pour que la signature électronique puisse être conforme aux exigences du Règlement eIDAS relatives à la signature électronique avancée (conditions non suffisante mais préalable nécessaire pour établir la qualification de signature électronique qualifiée).

 

Le Pôle « IT, Data protection & Cybercriminalité » d’AGIL’IT se tient à votre disposition pour vous accompagner dans le développement, la mise en place ou l’utilisation d’une solution de signature électronique au sein de votre entreprise.

 

Par AGIL’IT – Pôle ITData protection & Cybercriminalité

Laure LANDES-GRONOWSKI, Avocate associée

 

[1] CJUE, 10e ch., 20 oct. 2022, aff. C-362/21, Ekofrukt

[2] Règlement 910/2014 du 23 juillet 2014