Règles uniformes sur les signatures électroniques de la CNUDCI
Document de consultation

Le gouvernement du Canada tient à obtenir votre avis au sujet du Projet de règles uniformes sur les signatures électroniques de la Commission des Nations Unies pour le droit commercial international (CNUDCI).

Pourquoi avons-nous besoin de règles sur les signatures électroniques?

Une des tâches les plus difficiles, en ce qui concerne les documents électroniques, est de savoir d'où ils proviennent. Pour les documents papier, une signature nous indique souvent quelle est leur source. La Loi type de la CNUDCI sur le commerce électronique, achevée en 1996, prévoit que les exigences relatives à la signature d'une personne sont respectée (a) si la personne utilise une méthode qui identifie le détenteur de la signature et indique qu'il approuve l'information contenue dans le document électronique, et (b) si la méthode est aussi fiable qu'appropriée pour les fins auxquelles elle est utilisée, étant donné toutes les circonstances, y compris l'existence de quelque entente que ce soit.

Cette disposition est très utile pour les deux raisons suivantes : d'abord, elle est souple et permet de recourir à toutes sortes de technologies selon le but du message et, ensuite, elle reconnaît que les parties à des documents peuvent souvent s'entendre sur la technologie à utiliser pour identifier le détenteur de la signature. Les États qui cherchent à éliminer les obstacles juridiques au commerce électronique ont trouvé la Loi type utile.

Toutefois, les règles juridiques conçues pour être souples peuvent être difficiles à interpréter avec certitude. Comment savoir, au moment d'utiliser une méthode particulière de signer un document électronique, si cette méthode est assez fiable?

Dans le cadre de son projet actuel sur les signatures électroniques, la CNUDCI cherche à rendre la Loi type plus utile en préparant des règles qui assurent plus de certitude lorsque des technologies de signature particulièrement fiables sont utilisées. On a commencé avec les signatures numériques (celles créées à l'aide du chiffrement à clé publique), vu qu'il s'agit là de la méthode à la fine pointe de la technologie la plus connue pour l'instant.

Cette approche présente un avantage additionnel (à part l'élimination des obstacles juridiques) en ce sens qu'elle aide à régler certaines questions soulevées par une technologie particulière et à assurer une certitude lorsque cette technologie est utilisée. Le Groupe de travail cherche à préciser dans quelle mesure on peut appliquer les nouvelles règles aux technologies qui présentent les mêmes capacités. En général, les membres admettent que cette mesure serait souhaitable.

WP.82 et réunion de septembre du Groupe de travail sur le commerce électronique de la CNUDCI

En février dernier, le Groupe de travail sur le commerce électronique de la CNUDCI a tenu une réunion en vue d'élaborer des règles uniformes sur les signatures électroniques. Le rapport de la délégation canadienne en date du mois de juillet 1999 qui contient des renseignements généraux sur ce travail et sur cette réunion en particulier est disponible à l'adresse suivante : http://canada.justice.gc.ca/Commerce/index_fr.html   sous la rubrique de Documents de consultation et rapports.

Le Groupe de travail propose d'établir des règles ou des dispositions dans trois domaines principaux :

1. Règles visant à faciliter et à améliorer l'interprétation et l'application des articles 7 (signature) et 13 (attribution d'un message de données) au moment de traiter des messages contenant une signature électronique, surtout à l'aide de la technologie de signature numérique.

2. Dispositions régissant la conduite des autorités de certification (certificateurs d'informations) et le contenu des certificats par rapport à l'utilisation et à fiabilité des messages de données contenant une signature numérique ainsi que la conduite des parties qui recourent à la signature numérique pour signer des messages de données et de celles qui se fient aux messages contenant une telle signature.

3. Dispositions visant l'établissement d'un fondement juridique à la reconnaissance, à l'étranger, des certificats et des documents contenant une signature numérique.

En septembre prochain, le Groupe de travail étudiera la dernière ébauche des règles uniformes sur les signatures électroniques, que l'on trouve dans le document de travail WP.82. Le document WP.82 est diffusé sous les rubiques Documents préparatoires et La Groupe de Travail dur le Commerce Électronique à l'adresse suivante : hhttp://www.uncitral.org/uncitral/fr/commission/working_groups/4Electronic_Commerce.html. Un bref résumé de ce document suit. Nous vous prions toutefois de consulter le WP.82 pour connaître le libellé exact et la justification des articles.

Résumé du Projet de règles uniformes sur
les signatures électroniques (WP.82)

Incidence, sur le plan juridique, de la technologie des signatures électroniques

Article 1

Les présentes règles s'appliquent aux signatures électroniques utilisées dans le contexte de relations commerciales et ne se substituent à aucune loi visant à protéger les consommateurs.

Article 2

Définitions :

(a) Le terme «signature électronique» désigne des données pouvant être utilisées pour identifier le détenteur de la signature dans le cadre d'un message de données et indiquer qu'il approuve l'information qui y est contenue.

(b) La «signature électronique renforcée» comporte des exigences de fiabilité plus précises sur sa création et son utilisation que la «signature électronique».

(c) Un «certificat» est émis par un certificateur d'informations (autorité de certification) et identifie la personne qui détient le dispositif de signature.

(d) Le terme «message de données» désigne l'information créée, envoyée, reçue ou conservée.

(e) Le «détenteur de la signature» est la personne pour qui une signature électronique renforcée a été créée et apposée au message de données.

(f) Le «certificateur d'informations» fournit des services d'identification qui servent à faciliter l'utilisation des signatures électroniques.

Article 3

Les dispositions des présentes règles ne sont pas appliquées de manière à modifier l'effet juridique des méthodes de signature satisfaisant aux exigences de l'article 7 de la Loi type sur le commerce électronique.

Article 4

Il faut tenir compte des trois facteurs suivants dans l'interprétation des présentes règles : leur origine internationale, la nécessité de promouvoir l'uniformité de leur application et le respect de la bonne foi dans le commerce électronique.

Article 5

Les parties peuvent convenir entre elles de déroger aux dispositions des présentes règles, à moins que cette dérogation ne porte atteinte aux droits des tiers.

Article 6

Lorsque dans un message de données, il est fait usage d'une signature électronique renforcée, le message est présumé signé.

Article 7

Lorsque, dans le cas d'un message de données, il est fait usage d'une signature électronique renforcée ou d'une méthode qui offre une garantie fiable quant à l'intégrité de l'information à compter du moment où elle a été créée pour la première fois sous sa forme définitive, le message de données est présumé original (l'intégrité du message de données est donc préservée).

Article 8

L'autorité indiquée par l'État peut déterminer qu'il faut utiliser une technologie particulière pour signer un message de données et peut en préciser les effets juridiques. Elle peut déterminer si un message a été signé, qui est présumé l'avoir signé et s'il maintient son intégrité.

Responsabilités du détenteur de la signature

Article 9

Le détenteur de la signature doit faire preuve de la diligence voulue dans les déclarations faites par lui concernant l'émission d'un certificat et avertir les personnes compétentes lorsque sa signature a été, ou a pu être, compromise. Il doit également garder le contrôle du dispositif de signature et éviter que sa signature ne soit utilisée sans autorisation. Dans le cas de codétenteurs, les obligations prévues sont conjointes et multiples. Le détenteur d'une signature est responsable de l'inexécution des obligations énoncées, mais sa responsabilité ne peut être supérieure au préjudice prévu.

Article 10

Une personne peut se fier à une signature électronique seulement dans la mesure où il est raisonnable de le faire. Pour déterminer s'il est raisonnable de se fier à la signature, il est tenu compte de la nature de l'opération que la signature est censée étayer. Il faut aussi voir si la partie qui se fie à la signature a pris les mesures appropriées pour déterminer la fiabilité de la signature et si elle savait ou aurait dû savoir que la signature avait été compromise ou annulée. Toute convention existant entre les parties, tout usage commercial ou tout autre facteur pertinent pourrait être pris en considération.

Article 11

Une personne peut se fier à un certificat seulement dans la mesure où il est raisonnable de le faire. Pour déterminer s'il est raisonnable de se fier au certificat, il est tenu compte des restrictions dont le certificat fait l'objet. Il faut ensuite voir si la partie se fiant au certificat a pris les mesures nécessaires pour déterminer la fiabilité du certificat, comme la consultation de la liste d'annulations de certificats. Toute convention existant entre les parties, tout usage commercial ou tout autre facteur pertinent pourrait également être pris en considération.

Article 12

Un certificateur d'informations doit prendre des mesures raisonnables pour s'assurer de l'exactitude des faits ou renseignements qu'il certifie dans le certificat. Le terme «accessible» signifie qu'il faut fournir à la partie se fiant au certificat les renseignements dont elle a besoin pour confirmer : (1) l'identité du certificateur d'informations; (2) le fait que la personne nommée dans le certificat détient la signature indiquée dans le certificat ; (3) le fait que les clefs sont une paire de clefs qui fonctionne; (4) la méthode employée pour identifier le détenteur de la signature; (5) toutes les restrictions quant aux fins ou à la valeur pour lesquelles la signature peut être utilisée et (6) le fait que la signature est valable et n'a pas été compromise. Il doit y avoir un moyen de signaler qu'une signature a été compromise et assurer un service d'annulation. Le certificateur d'informations doit faire preuve la diligence voulue au moment de réunir de l'information et d'émettre, de suspendre ou d'annuler des certificats. Les systèmes, les procédures et les ressources humaines utilisés doivent être fiables.

Reconnaissance à l'étranger

Article 13

Un certificat produit légalement ses effets, peu importe le lieu où il a été émis ou l'État dans lequel l'émetteur a son établissement. Les certificats émis par un certificateur d'informations étranger sont reconnus comme équivalant juridiquement aux certificats émis par les certificateurs d'information de l'État si les pratiques du certificateur d'informations étranger offrent un niveau de fiabilité au moins équivalent à celui qui est requis des certificats d'information de l'État concerné. Cette reconnaissance peut se faire par une décision publiée dans des accords bilatéraux ou multilatéraux. Pour la détermination de l'équivalence, il est tenu compte des critères suivants : ressources financières et humaines; fiabilité du matériel et des logiciels; procédures utilisées pour le traitement des certificats et la conservation des enregistrements; possibilité d'accès à l'information pour les signataires identifiés dans les certificats et les éventuelles parties se fiant aux certificats; vérifications effectuées par un organisme indépendant; confirmation par l'État, l'organisme d'accréditation ou l'autorité de certification des qualités du certificateur d'informations, possibilité de recourir aux tribunaux; possibilité de divergence entre la loi applicable au comportement de l'autorité de certification et la loi de l'État adoptant.

Questions

1. Convenez-vous que les règles uniformes seront utiles dans les trois domaines susmentionnés?
   
2. Croyez-vous qu'il y aurait lieu d'ajouter une disposition (comme l'article 8) qui reconnaît le droit de l'État de désigner une technologie particulière à des fins de signature et d'accorder un effet juridique à son utilisation (c'est-à-dire faire en sorte qu'elle respecte les exigences en matière de signature, attribuer une signature à un message ou confirmer son intégrité?)

3. 
   Certaines dispositions des règles uniformes comprennent 4 critères de technologies qui sont utilisées lors de la création d'une signature électronique renforcée. Afin de se qualifier en tant que technologie pouvant crée une signature électronique renforcée, la technologie doit remplir les critères suivants: La signature électronique renforcée doit :

   1) être propre au détenteur de la signature;

   2) avoir la capacité d'être utilisé que par le détenteur d'une signature pour signer le message de données;

   3) permettre d'identifier objectivement le détenteur d'une signature d'un message de données; et

   4) permettre de déterminer que le message de données a conservé son intégrité.

   La législation régissant le commerce électronique adoptée récemment par plusieurs États, dont le Canada, le Singapour, l'Union Européene, l'Illinois, la Californie et autres, a eu pour effet d'accorder un effet juridique spécifique aux signatures électroniques qui remplissait les quatre conditions. Ces quatre critères sont-ils appropriés et suffisants pour donner un effet juridique spécifique aux documents signés?

4. Un certain nombre de dispositions des Règles uniformes citent quatre critères pour les signatures électroniques renforcées. Les lois sur le commerce électronique adoptées récemment par un certain nombre d'États (Canada, Singapour, Illinois, Californie, États-Unis, etc.) ont donné un effet juridique spécial aux signatures électroniques qui répondent à ces quatre critères. Ces critères sont-ils appropriés et suffisants, c'est-à-dire donnent-ils un effet juridique aux documents signés?
   
5. Croyez-vous que l'on devrait ajouter des devoirs ou des responsabilités aux autorités de certification, aux détenteurs de dispositifs de signature et aux parties se fiant à ces signatures?

Nous vous saurions gré de bien vouloir transmettre votre avis sur le Projet de règles uniformes et sur ces questions en particulier d'ici le 2 septembre 1999 à :

Joan Remsu
Avocate-conseil
Section de la politique en matière de droit public
Ministère de la Justice
284 Rue Wellington, pièce 5215
Ottawa, Ontario
K1A 0H8

joan.remsu@justice.gc.ca

Téléphone : (613) 946-3118
Télécopieur : (613) 941-4088