ALLEMAGNE
1) La reconnaissance législative de la signature électronique
La
loi fédérale établissant les conditions
générales pour les services d'information et de
communication
, adoptée le 13 juin 1997, comprend plusieurs
parties. La troisième correspond à la
loi sur la signature
" digitale "
, qui est entrée en vigueur le
1
er
août 1997. Une
ordonnance
, entrée en
application le 1
er
novembre 1997, précise les conditions
de mise en oeuvre de cette loi.
L'article 1
er
de la loi sur la signature " digitale "
définit l'objet de la loi, qui est "
de poser les conditions
générales auxquelles sont soumises les signatures digitales pour
être considérées comme sûres et pour que les faux en
signature digitale ou la manipulation des données puissent être
établis de manière fiable
".
La loi sur la signature " digitale " définit donc les
conditions techniques
d'une transmission fiable des données
électroniques
, pour que le destinataire soit sûr de
l'identité de l'émetteur et de l'intégrité des
données transmises.
Elle ne traite que de la signature " digitale ", qui est
fondée sur la cryptographie asymétrique et qu'elle définit
à l'article 2 comme : "
un sceau attaché
à une donnée numérique qui est produit par une clé
privée, qui authentifie le propriétaire de la clé et
établit l'intégrité des données au moyen d'une
clé publique correspondante fournie avec un certificat de clé,
lequel est délivré par un prestataire de service de certification
ou par l'autorité de contrôle
".
2) Les effets juridiques de la signature électronique
La loi
ne
contient aucune disposition explicite sur la recevabilité en
justice et sur la valeur probante de la signature " digitale "
.
Elle ne remet pas non plus en cause le principe selon lequel le juge
apprécie librement la force probante des éléments qui lui
sont soumis.
Le code de procédure civile reconnaît cinq moyens de preuve, parmi
lesquels " l'observation ". Or, la jurisprudence admet depuis
plusieurs années que " l'observation " ne se limite pas
à l'observation visuelle et qu'elle peut s'appliquer à des
documents informatiques.
Comme le juge apprécie librement la valeur probante des
éléments qui lui sont soumis et que la loi garantit la
fiabilité des signatures " digitales ", parce qu'elles
répondent aux critères qu'elle-même définit et que
l'ordonnance précise, il paraît probable que les signatures
" digitales " seront reconnues comme moyen de preuve, sauf dans les
cas où la loi exige une signature manuscrite.
Le législateur allemand a souhaité pouvoir faire un bilan de la
mise en oeuvre de la loi avant de reconnaître une équivalence
entre la signature " digitale " et la signature manuscrite,
conformément à l'article 5 de la directive. Cependant, le
ministère de la Justice a déjà publié une note dans
laquelle il propose que, pour certains actes juridiques requérant une
signature manuscrite, l'équivalence soit reconnue.
Depuis le 1
er
janvier 1999,
un règlement administratif
relatif à la comptabilité en matière de
sécurité sociale autorise la signature " digitale "
dans la mesure où elle est conforme à la réglementation en
vigueur.
3) Les conditions de validité de la signature électronique
La
qualification de signature " digitale " dépend du respect de
conditions relatives :
- aux certificats ;
- aux tiers de certification ;
- au processus de création de la signature
électronique.
a) Les certificats
L'article 2 de la loi définit le
titulaire
du
certificat comme une
personne physique
.
Il prévoit, outre le certificat de clé, le
certificat
d'attribution,
qui est "
un certificat électronique
séparé contenant de plus amples informations et qui fait
expressément référence à un certificat de
clé spécifique
".
L'article 7 de la loi, qui indique les informations que doit contenir le
certificat de clé, ne correspond pas totalement aux exigences concernant
les certificats " qualifiés " et figurant à
l'annexe I de la directive.
La durée de validité des certificats ne peut excéder
cinq ans.
b) Les tiers de certification
La loi
réglemente l'activité des tiers de certification en instaurant
des licences, qui sont délivrées par une autorité de
contrôle
. Il s'agit de l'
Autorité de régulation pour
les télécommunications et la poste
, mise en place par la loi
sur les télécommunications du 25 juillet 1996, et dont les
membres sont désignés par le gouvernement fédéral,
le Bundestag et le Bundesrat.
La loi n'interdit pas explicitement l'activité de tiers de certification
non accrédités, mais cette activité se déroule
alors en dehors du cadre de la loi. Les signatures associées ne
bénéficient donc pas de la garantie de fiabilité
définie par la loi.
Cet organisme veille également à ce que les tiers de
certification respectent l'ensemble de la réglementation. Elle est
aidée, pour les vérifications techniques, par des organismes (un
public et trois privés) qu'elle désigne et qui lui rendent compte
de façon très détaillée.
L'article 4 de la loi et l'article 1
er
de l'ordonnance
précisent les conditions que doivent remplir les tiers de certification
et les obligations qu'ils doivent respecter. Elles sont analogues aux exigences
posées par l'annexe II de la directive. En revanche,
le
législateur n'a pas introduit de dispositions spécifiques
relatives à la responsabilité des tiers de certification
,
faute d'être parvenu à un consensus.
La loi impose aux tiers de certification le respect de
mesures de
sécurité et de dispositions d'ordre technique assorties de
conditions qualitatives très strictes
. L'article 14
décrit les composants techniques qui doivent être utilisés,
notamment pour la production et l'archivage des clés, ainsi que pour la
production et la vérification des signatures " digitales ".
Des précisions sont apportées dans l'ordonnance par les articles
16 et 17. Ce dernier article fait référence à des normes
techniques particulièrement précises. Ces dispositions ont
été elles-mêmes complétées par la
publication, en 1998, par l'Autorité de régulation pour les
télécommunications et la poste, de deux catalogues de mesures
techniques rédigés selon les conseils du Bureau
fédéral pour la sécurité dans la technique
d'information.
L'article 8 de l'ordonnance oblige le prestataire de service de certification
à conserver les certificats qu'il a délivrés dans un
registre public
. Le certificat doit figurer au registre au moins pendant
la durée de qualification de l'algorithme et des paramètres
pertinents utilisés. L'Autorité de régulation pour les
télécommunications et la poste publie la liste des algorithmes et
paramètres pertinents qualifiés avec leur durée de
validité. Celle-ci doit être d'au moins six ans, sauf
problème particulier.
L'article 13 de l'ordonnance précise que l'
ensemble des informations
relatives aux mesures de sécurité et aux certificats doit
être gardé au moins trente-cinq ans
à compter de
l'émission du certificat de clé et archivé de
manière à être consultable à tout moment pendant
cette période.
L'article 5 de l'ordonnance
interdit l'archivage des clés
privées par l'autorité de certification
.
c) Le dispositif de création de la signature électronique
L'article 6 de l'ordonnance prévoit que le tiers de
certification transmet la clé privée et les données
d'identification
au signataire en personne, qui en accuse réception
par écrit
. Dès cet instant, elles sont
sous la garde
personnelle du signataire
.
En pratique, c'est une carte à puce qui contient la clé
privée et les autres paramètres nécessaires à la
création de la signature " digitale ". Le document
électronique est signé en introduisant cette carte dans un
lecteur spécial branché sur l'ordinateur et en tapant un code
secret.