Le Groupe de travail de la CNUDCI sur le commerce électronique

Rapport de la réunion de février 2000

Historique

En 1996, la Commission des Nations Unies pour le droit commercial international (CNUDCI) adoptait la Loi type sur le commerce électronique qui offrait aux états membres des Nations Unies diverses méthodes pour supprimer les obstacles à l'utilisation des communications électroniques que contient leur droit commercial. La Loi type, accompagnée d'un guide pour sa mise en oeuvre, se retrouvent à l'adresse électronique suivante : http://www.uncitral.org/uncitral/fr/publications/publications.html

La Loi type permet de répondre aux exigences juridiques touchant la signature d'une personne en faisant appel à une méthode d'identification de la personne et de confirmation de son approbation du texte signé. La méthode doit être et fiable et appropriée en toutes circonstances. Cela fournit une assurance utile que tout document électronique peut porter une signature électronique tout en laissant aux parties en cause toute souplesse dans le choix de la technologie ou de la méthode. Par contre, cela n'offre que peu d'encadrement dans l'identification de la méthode qui serait fiable dans diverses situations. En conséquence, la Commission a confié au Groupe de travail sur le commerce électronique la tâche de rédiger des règles visant à mettre en valeur les règles générales sur la signature contenues dans la Loi type de la CNUDCI.

Lorsque le Groupe de travail a commencé à étudier le domaine des signatures électroniques, on pensait généralement que certaines technologies comportaient une forte assurance de fiabilité. Si de telles technologies pouvaient être décrites dans la loi, alors leur fiabilité serait plus facilement confirmée et les signatures découlant de leur utilisation obtiendraient plus facilement un statut juridique. L'accent était alors placé surtout sur les technologies permettant de créer une signature numérique, soit les signatures créées par cryptographie à clé publique et corroborées par un certificat d'un tiers de confiance confirmant l'identité du détenteur de la clé de signature. Toutefois, alors que les modèles de signature numérique disponibles sur le marché se développaient à vue d'oeil, pour ainsi dire, le Groupe de travail s'est intéressé à la conception de règles neutres du point de vue de la technologie, c'est-à-dire qui s'appliquent de la même manière quelle que soit la technologie utilisée pour créer la signature.

Tous les ordres du jour, les documents de travail et les rapports de réunion pour les réunions du Groupe de travail sur le commerce électronique, de 1997 à 2000, concernant les Règles uniformes relatives aux signatures électroniques sont disponibles à l'adresse suivante :

http://www.uncitral.org/uncitral/fr/commission/working_groups/4Electronic_Commerce.html

Le présent rapport décrit chaque article adopté provisoirement par le Groupe de travail lors de la réunion de février 2000, à New York, et indique la manière dont ils fonctionneront. leur mode de fonctionnement. Il est possible que ces articles soient ré-étudiés de nouveau lors de la prochaine réunion du Groupe de travail, ainsi que par la Commission elle-même; Il y a donc encore du chemin à faire avant qu'ils ne soient intégrés dans le droit d'une partie quelconque du monde. on est donc loin du jour où ils auront force de loi quelque part sur terre.

Projet de règles uniformes relatives aux signatures électroniques

Le projet de Règles uniformes a été conçu pour répondre à trois objectifs principaux:

1. Faciliter et promouvoir l'interprétation et l'applicationa mise en oeuvre de l'articles articles 7 et 13 de la Loi type qui porte portant sur les signatures numériques avant tout, et en règle générale, sur les signatures électroniquesen général sur les signatures numériques et plus particulièrement sur le technologie ou le processus utilisés remplissant les exigences d'une signature et comportant un haut degré de fiabilité;
2. Établir des règles de conduite à l'intention des organismes de certification (confirmation d'identité) et la teneur des certificats touchant l'utilisation et la fiabilité des signatures numériques; et
3. établirEtablir un fondement juridique à la reconnaissance outre-frontière des certificats et des signatures numériques.

Dispositions générales (champ d'application) et statut de certaines technologies

Bien que ces Règles doivent servir lorsque des signatures électroniques sont utilisées dans des activités commerciales, elles peuvent tout aussi bien être utilisées pour des transactions de consommation. Ces Règles ne visent toutefois pas à supplanter l'autorité de toute loi visant la protection des consommateurs.

L'article 6 est au coeur même des Règles uniformes. Une personne peut signer effectivement efficacement un message de données, c'est-à-dire, en répondant à l'exigence juridique selon laquelle un texte doit être signé, en utilisant toute méthode qui respecte la définition de la signature électronique et la norme de fiabilité commune à la Loi type et au paragraphe 6(1). Lorsqu'il se double de la définition de la signature électronique, le paragraphe 6(1) reformule réitère les critères prévus à l'article 7 de la Loi type concernant la satisfaction de l'exigence de la loi selon laquelle une personne doit signer un document.

L'article 3 est la clé de la neutralité technologique des Règles. L'article 3 reconnaît que toute méthode de signature qui respecte ces critères sera réputée satisfaire aux exigences ayant trait aux signatures. Toutefois, si les parties conviennent de normes plus rigoureuses que celles requises pour satisfaire aux exigences du paragraphe 6(1), on ne saurait utiliser l'article 3 pour annuler ultérieurement un tel accord. L'autre réserve ayant trait à l'article 3 porte sur le fait qu'une méthode qui satisfait à d'autres égards aux exigences de la loi applicable peut avoir un effet juridique même si elle ne satisfait pas aux critères énoncés au paragraphe 6(1). La loi applicable peut très bien prescrire une norme de fiabilité inférieure à celle qu'un tribunal jugerait nécessaire aux termes du paragraphe 6(1). Toute méthode qui satisfait à cette norme critère aura l'effet juridique que la loi applicable lui accorde.

Les membres du Groupe de travail s'accordent généralement sur le fait que les parties aux transactions peuvent fixer leurs propres normes pour les transactions qui ne touchent personne d'autre qu'eux-mêmes, sous certaines réserves. Par contre, lesdites réserves ont donné lieu à de nombreux débats. On a fait référence aux règles impératives, aux règles de politique officielle, aux règles d'ordre public, cette dernière expression étant généralement interprétée de manière plus stricte que l'expression anglaise « public policy ». L'exception prévue actuellement à l'article 5 est beaucoup plus générale que ces dernières, mais laisse beaucoup d'autonomie aux parties en cause.

Le paragraphe 6(3) prévoit la nouvelle disposition qui permet aux Règles uniformes de suppléer à la règle générale de la Loi type. La disposition décrit les particularités des signatures électroniques réputées fiables aux termes du paragraphe (1) et qui répondent donc à l'exigence juridique selon laquelle le message de données est signé.

Le premier critère du paragraphe 6(3) vise la fonction identification de la signature. La méthode utilisée pour créer la signature doit être liée uniquement au présumé signataire. Cela traite donc de l'identification du nom; la propriété du dispositif doit être liée au présumé signataire aux termes du paragraphe suivant.

Le critère ayant trait à l'intégrité a suscité un débat passionné entre les membres du Groupe de travail. Selon certains, le rôle d'une signature est d'assurer l'intégrité du texte signé. Pour d'autres, il s'agissait de l'effet de certaines technologies électroniques seulement et la signature électronique n'avait pas nécessairement à y satisfaire. Les critères adoptés demeurent un compromis. Ceux qui mettent l'accent sur le lien entre la signature et le texte prévoient un paragraphe visant la détection de toute altération à la signature électronique. Les tenants de la position mettant l'accent sur l'intégrité prévoient un autre paragraphe. La capacité de détecter toute altération à la signature électronique est un critère d'une signature fiable et donc, ayant un effet juridique, alors que l'objectif de l'exigence juridique d'une signature est d'abord d'assurer l'intégrité de l'information signée. Des systèmes juridiques différents auront des perceptions différentes de cet aspect.

Le paragraphe 6(4) contient deux précisions de la règle prévue au paragraphe (3). La première précision réitère que la voie spécifique concernant la fiabilité de la signature contenue au paragraphe 6(3) n'empêche personne de démontrer la fiabilité de toute autre manière. La deuxième précision présente ce qui reste du débat sur la particularité de la règle contenue au paragraphe (3). Selon certains, le paragraphe 6(3) devrait établir une présomption de fiabilité, jusqu'à preuve du contraire. D'autres ne 'acceptent pas facilement les présomptions, en partie parce qu'elles semblent relever plus de la procédure civile débordant la portée des Règles uniformes. Alors que le paragraphe (3) est libellé comme une règle juridique, l'alinéa (4)b) en fait plutôt une présomption parce qu'il l'assujettit à une preuve du contraire.

L'article 7 fournit une certitude encore plus grande de l'effet juridique de la signature électronique. Plutôt que de devoir prouver dans chaque cas qu'une méthode de signature est à la fois fiable et appropriée, les États qui l'ont mis en oeuvre peuvent établir ou autoriser des organismes chargés de déterminer que certaines méthodes spécifiques de signature rencontrent les exigences de l'article 6. Certains États choisiront de confier cette tâche à un organisme de l'Étatétatique et d'autres, à un organisme du secteur privé.

On a exprimé certaines préoccupations découlant du fait que le fait de permettre d'établir une signature effective efficace officiellement reconnue pouvait nuire au développement d'autres technologies parce que les signataires voudront utiliser la méthode sécuritaire approuvée. Toutefois, l'article ne limite pas le nombre de méthodes susceptibles d'être jugées fiables. De plus, il existe des avantages à ce que la fiabilité soit déterminée aux termes de conditions appropriées vérifiées par des experts, plutôt que par un tribunal qui tiendrait , compte tenu des éléments de preuve qui sont disponibles dans une affaire en particulier.

Toutefois, aux fins de l'harmonisation, il est important que les vérifications soient effectuées selon des normes internationales reconnues.

Normes de conduite -- Articles 8 à 11

L'article 8 marque le point de départ d'une série de modalités portant sur les responsabilités des trois parties à une signature électronique : le signataire ou titulaire, la partie en confiance et la nouvelle partie entre les deux, soit le fournisseur des services d'attestation. Les Règles n'exigent pas que la signature électronique soit créée par une méthode exigeant la participation d'un tiers de confiance. Selon la rédaction des modalités portant sur l'attestation, celles-ci ne s'appliquent que dans le cas où un certificat est utilisé.

Traditionnellement, la loi impose à la partie en confiance l'obligation de démontrer que la signature est authentique. Les Règles uniformes ne modifient pas directement cette règle. Toutefois, elles explicitent pour la première fois dans ce contexte la conduite exigée de la part des trois parties et les conséquences juridiques qui découlent du défaut de s'y conformer. Bien que ces articles ne modifient nullement le fardeau de a charge de la preuve, les nouvelles normes de conduite peuvent accorder des recours juridiques aux autres parties lorsqu'une des parties ne les respectent pas.

L'alinéa 8(1)a) exige que le signataire prenne des mesures raisonnables afin d'éviter l'utilisation non autorisée du dispositif de signature. La définition de ce qui constituent des mesures raisonnables dépendra sans aucun doute et jusqu'à un certain point de la portée et de la fiabilité visées ainsi que du coût. L'alinéa (1)b) exige l'envoi d'un avis de compromission réelle ou potentielle à toute personne qui ... [fournit] des services complémentaires à la signature électronique. La règle a été élargie sous sa forme de neutralité technologique de sorte que l'avis doit être envoyé à toute partie potentiellement en confiance. Un tel élargissement peut présenter un défi dans la pratique puisque l'ordinateur d'une personne lui offre la possibilité, en théorie, de faire affaire avec qui que ce soit de par le monde.

L'alinéa 8(1)c) s'applique uniquement lorsqu'un certificat, quelqu'ene soit le niveau d'assurance ou les frais d'émission, vient attester la signature électronique. Les exigences rendent ici le signataire responsable de fournir l'information précise à inscrire sur le certificat et de toute autre assertion déterminante pertinente au certificat

Le paragraphe 8(2) indique ce qui arrive au signataire qui ne satisfait pas aux normes de conduite prévues à l'alinéa (1). Le signataire est responsable aux termes de toute loi applicable dans les circonstances. On peut prétendredire que selon cette règle minimale, les États ayant adopté ces dispositions doivent prévoir une responsabilité minimale deà ces signataires. Le Groupe de travail n'a pu s'entendre sur une norme plus stricte que celle-là.

Normes de conduite -- Articles 9 to 12

Les normes de conduite de l'article 9 et touchant les fournisseurs de services de certification sont relativement explicites, mais, en règle générale, elles sont également flexibles. La première règle porte que le fournisseur fera ce qu'il a déclaré faire lors de l'émission et la gestion d'un certificat. Il est difficile de critiquer une telle norme et le fournisseur circonscrit ses responsabilités par ses observationsreprésentations.

Les trois prochaines règles sont imposées sous réserve des normes du caractère raisonnable. Cela permet des certificats présentant différents niveaux d'assurance. L'alinéa 9(1)c) précise la teneur minimale d'un certificat. Dans ce cas, le fournisseur doit permettre à la partie en confiance (le bénéficiaire de ces règles de conduite) de constater facilement l'identité du fournisseur, ce qui ne devrait pas être difficile. De plus, la partie en confiance doit pouvoir constater que la personne identifiée dans le certificat avait le contrôle du dispositif de signature au moment de la signature.

Les modalités de l'alinéa 9(1)d) traitent d'information qui peut être fournie dans le certificat même ou autrement. D'autres sources possibles de cette information sont les sites Web ou les politiques de certification et les déclarations de pratique des fournisseurs de services de certification. Cette liste est plus longue que celle de l'alinéa (1)(c) notamment parce que les certificats peuvent être de dimensions très réduites.

Le fournisseur doit faire connaître toute limite à la valeur ou au type de transaction documentée par le certificat, ainsi que les limites de ses obligations contractuelles. Il doit maintenir une méthode par laquelle le signataire peut faire rapport de toute compromission possible et informer toutes les parties en confiance de l'état des certificats. La dernière exigence porte sur l'utilisation des systèmes, des procédures et deu personnel fiables. L'ébauche de l'article 10 traite de ce qui peut être jugé fiable.

L'article 10 n'a pas encore été adopté, mais le Groupe de travail a discuté de son libellé en réunion. Les éléments de la fiabilité se passent de commentaires dans la majorité des cas : qualité de l'équipement, ressources, vérifications, transparence des procédures, respect des lois applicables. Il n'y a pas de niveau établi aux termes duquel la présence ou la satisfaction d'un quelconque facteur conférerait un niveau acceptable de fiabilité à un certificat. Cela dépendra de l'usage qu'en fera la partie en confiance, en plus de la combinaison des facteurs plutôt que de l'un ou l'autre d'entre eux. Il s'agit d'une liste non exhaustive en ce sens que d'autres facteurs pertinents doivent aussi entrer en ligne de compte.

Le tiers à une signature électronique est la personne qui souhaite pouvoir se fier à la signature, appelée la partie en confiance. Les Règles uniformes mettent l'accent sur la confiance de cette personne eu égard au fait que la signature électronique respectera l'exigence juridique selon laquelle un document doit être signé. La personne qui se fie à la signature assume le risque de la validité de la signature dans la plupart des systèmes de droit. L'un des buts des Règles uniformes est de réduire le risque en rendant les normes de conduite des autres parties plus prévisibles et en énonçant les conséquences juridiques de l'utilisation de certaines techniques de signature. Les Règles ne modifient toutefois pas le risque lui-même.

Cela a des répercussions sur le libellé de l'article 11. Selon la règle de base, la partie en confiance doit agir raisonnablement en se fiant à la signature électronique. Toutefois, l'article n'impose pas de responsabilité civile à la partie en confiance pour défaut d'agir raisonnablement. Il prévoit plutôt que la partie en confiance doit assumer les conséquences juridiques de son manquement. Ces conséquences peuvent comprendre l'invalidité de la signature. Toutefois, il se peut que même lorsque la partie en confiance n'agit pas raisonnablement, la signature puisse être valide ou ne soit pas contestée. Les Règles uniformes ne rejettent la validité d'une signature autrement valable simplement en raison de la conduite de la partie en confiance. Il arrive parfois que prendre un risque soit rentable, et aucun principe de politique publique ne peut empêcher un tel résultat.

Reconnaissance des signatures et certificats étrangers

Un article portant sur la reconnaissance des signatures et des certificats étrangers figurait dans le texte soumis au Groupe de travail, mais n'a pas fait l'objet de discussions à la réunion de février 2000. Certaines modalités fondées sur ce texte feront vraisemblablement partie du texte définitif des Règles uniformes. Les éléments de base sont la non-discrimination fondée sur le pays d'origine de la signature ou du certificat et les critères pour accorder des évaluations similaires de fiabilité aux certificats étrangers et aux certificats locaux.

Guide de mise en oeuvre

L'un des objectifs des Règles uniformes est de fournir un guide aux États membres au sujet des règles acceptables pour conférer un effet légal aux signatures électroniques. Un guide est souvent avantageusement présenté sous forme de loi type comme les Règles uniformes. Toutefois, il arrive souvent que les explications soient mieux présentées tout simplement comme explications. Tel est le rôle du Guide à la mise en oeuvre de la Loi type sur le commerce électronique. Lorsque le texte des Règles uniformes sera complété, le Groupe de travail étudiera une ébauche du Guide.

Conclusion

Les Règles uniformes, adoptées provisoirement par le Groupe de travail, représentent un équilibre entre des normes détaillées de conduite et l'attribution des responsabilités, comme le laissaient voir les documents de travail antérieurs et un simple guide de la conduite prudente ou souhaitable dans le commerce électronique. Elles sont neutres du point de vue de la technologie. Les effets juridiques et pédagogiques du travail accompli devraient permettre aux Règles d'atteindre leur but premier, à savoir supprimer les obstacles au commerce international dans cette ère de l'information.

On prévoit que le Groupe de travail terminera son travail sur les Règles uniformes et sur le Guide de mise en oeuvre lors de la prochaine réunion en septembre 2000. La Commission se rencontre en juin et juillet de la présente année afin d'étudier les résultats obtenus par le Groupe de travail à sa dernière réunion et pour confirmer les dates précises de la prochaine rencontre du Groupe. La prochaine réunion est prévue provisoirement du 19 au 30 septembre 2000.

Joan Remsu, Avocate-conseil, Justice Canada
Chef de la délégation canadienne
12 juin 2000