ALLEMAGNE

1) La reconnaissance législative de la signature électronique

La loi fédérale établissant les conditions générales pour les services d'information et de communication , adoptée le 13 juin 1997, comprend plusieurs parties. La troisième correspond à la loi sur la signature " digitale " , qui est entrée en vigueur le 1 er août 1997. Une ordonnance , entrée en application le 1 er novembre 1997, précise les conditions de mise en oeuvre de cette loi.

L'article 1 er de la loi sur la signature " digitale " définit l'objet de la loi, qui est " de poser les conditions générales auxquelles sont soumises les signatures digitales pour être considérées comme sûres et pour que les faux en signature digitale ou la manipulation des données puissent être établis de manière fiable ".

La loi sur la signature " digitale " définit donc les conditions techniques d'une transmission fiable des données électroniques , pour que le destinataire soit sûr de l'identité de l'émetteur et de l'intégrité des données transmises.

Elle ne traite que de la signature " digitale ", qui est fondée sur la cryptographie asymétrique et qu'elle définit à l'article 2 comme : " un sceau attaché à une donnée numérique qui est produit par une clé privée, qui authentifie le propriétaire de la clé et établit l'intégrité des données au moyen d'une clé publique correspondante fournie avec un certificat de clé, lequel est délivré par un prestataire de service de certification ou par l'autorité de contrôle ".

2) Les effets juridiques de la signature électronique

La loi ne contient aucune disposition explicite sur la recevabilité en justice et sur la valeur probante de la signature " digitale " . Elle ne remet pas non plus en cause le principe selon lequel le juge apprécie librement la force probante des éléments qui lui sont soumis.

Le code de procédure civile reconnaît cinq moyens de preuve, parmi lesquels " l'observation ". Or, la jurisprudence admet depuis plusieurs années que " l'observation " ne se limite pas à l'observation visuelle et qu'elle peut s'appliquer à des documents informatiques.

Comme le juge apprécie librement la valeur probante des éléments qui lui sont soumis et que la loi garantit la fiabilité des signatures " digitales ", parce qu'elles répondent aux critères qu'elle-même définit et que l'ordonnance précise, il paraît probable que les signatures " digitales " seront reconnues comme moyen de preuve, sauf dans les cas où la loi exige une signature manuscrite.

Le législateur allemand a souhaité pouvoir faire un bilan de la mise en oeuvre de la loi avant de reconnaître une équivalence entre la signature " digitale " et la signature manuscrite, conformément à l'article 5 de la directive. Cependant, le ministère de la Justice a déjà publié une note dans laquelle il propose que, pour certains actes juridiques requérant une signature manuscrite, l'équivalence soit reconnue.

Depuis le 1 er janvier 1999, un règlement administratif relatif à la comptabilité en matière de sécurité sociale autorise la signature " digitale " dans la mesure où elle est conforme à la réglementation en vigueur.

3) Les conditions de validité de la signature électronique

La qualification de signature " digitale " dépend du respect de conditions relatives :

- aux certificats ;

- aux tiers de certification ;

- au processus de création de la signature électronique.

a) Les certificats

L'article 2 de la loi définit le titulaire du certificat comme une personne physique .

Il prévoit, outre le certificat de clé, le certificat d'attribution, qui est " un certificat électronique séparé contenant de plus amples informations et qui fait expressément référence à un certificat de clé spécifique ".

L'article 7 de la loi, qui indique les informations que doit contenir le certificat de clé, ne correspond pas totalement aux exigences concernant les certificats " qualifiés " et figurant à l'annexe I de la directive.

La durée de validité des certificats ne peut excéder cinq ans.

b) Les tiers de certification

La loi réglemente l'activité des tiers de certification en instaurant des licences, qui sont délivrées par une autorité de contrôle . Il s'agit de l' Autorité de régulation pour les télécommunications et la poste , mise en place par la loi sur les télécommunications du 25 juillet 1996, et dont les membres sont désignés par le gouvernement fédéral, le Bundestag et le Bundesrat.

La loi n'interdit pas explicitement l'activité de tiers de certification non accrédités, mais cette activité se déroule alors en dehors du cadre de la loi. Les signatures associées ne bénéficient donc pas de la garantie de fiabilité définie par la loi.

Cet organisme veille également à ce que les tiers de certification respectent l'ensemble de la réglementation. Elle est aidée, pour les vérifications techniques, par des organismes (un public et trois privés) qu'elle désigne et qui lui rendent compte de façon très détaillée.

L'article 4 de la loi et l'article 1 er de l'ordonnance précisent les conditions que doivent remplir les tiers de certification et les obligations qu'ils doivent respecter. Elles sont analogues aux exigences posées par l'annexe II de la directive. En revanche, le législateur n'a pas introduit de dispositions spécifiques relatives à la responsabilité des tiers de certification , faute d'être parvenu à un consensus.

La loi impose aux tiers de certification le respect de mesures de sécurité et de dispositions d'ordre technique assorties de conditions qualitatives très strictes . L'article 14 décrit les composants techniques qui doivent être utilisés, notamment pour la production et l'archivage des clés, ainsi que pour la production et la vérification des signatures " digitales ". Des précisions sont apportées dans l'ordonnance par les articles 16 et 17. Ce dernier article fait référence à des normes techniques particulièrement précises. Ces dispositions ont été elles-mêmes complétées par la publication, en 1998, par l'Autorité de régulation pour les télécommunications et la poste, de deux catalogues de mesures techniques rédigés selon les conseils du Bureau fédéral pour la sécurité dans la technique d'information.

L'article 8 de l'ordonnance oblige le prestataire de service de certification à conserver les certificats qu'il a délivrés dans un registre public . Le certificat doit figurer au registre au moins pendant la durée de qualification de l'algorithme et des paramètres pertinents utilisés. L'Autorité de régulation pour les télécommunications et la poste publie la liste des algorithmes et paramètres pertinents qualifiés avec leur durée de validité. Celle-ci doit être d'au moins six ans, sauf problème particulier.

L'article 13 de l'ordonnance précise que l' ensemble des informations relatives aux mesures de sécurité et aux certificats doit être gardé au moins trente-cinq ans à compter de l'émission du certificat de clé et archivé de manière à être consultable à tout moment pendant cette période.

L'article 5 de l'ordonnance interdit l'archivage des clés privées par l'autorité de certification .

c) Le dispositif de création de la signature électronique

L'article 6 de l'ordonnance prévoit que le tiers de certification transmet la clé privée et les données d'identification au signataire en personne, qui en accuse réception par écrit . Dès cet instant, elles sont sous la garde personnelle du signataire .

En pratique, c'est une carte à puce qui contient la clé privée et les autres paramètres nécessaires à la création de la signature " digitale ". Le document électronique est signé en introduisant cette carte dans un lecteur spécial branché sur l'ordinateur et en tapant un code secret.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page