Publication du décret relatif à la signature électronique

Le décret relatif à la signature électronique, pris pour adapter le droit français au règlement européen eIDAS sur l'identification électronique et les services de confiance, vient d’être publié.

Ce décret définit les conditions permettant à une signature électronique de bénéficier d’une présomption de fiabilité prévue à l’article 1367 du code civil.

En effet, le code civil prévoit qu’une signature électronique est présumée fiable jusqu'à preuve du contraire lorsque celle-ci est créée, l'identité du signataire assurée et que l'intégrité de l'acte est garantie dans des conditions fixées par décret en Conseil d'Etat.

Le décret du 28 septembre 2017 permet ainsi de préciser ces conditions, et notamment les caractéristiques techniques du procédé permettant de présumer la fiabilité de la signature électronique.  Il remplace le décret n°2001-272 du 30 mars 2001 qui fixait jusqu’à présent les conditions de fiabilité de la signature électronique, au regard des dispositions de l’ancienne directive européenne.

Les dispositions de ce décret, pris en application d’un article du code civil, impactent le secteur de la santé. Depuis l’ordonnance n° 2017-29 du 12 janvier 2017, le code de la santé publique prévoit en effet que la signature apposée sur un document comportant des données de santé à caractère personnel sur support numérique respecte les conditions prévues par l’article 1367, et donc, les dispositions de ce nouveau décret.

Aux termes du décret, le procédé de signature électronique est présumé fiable, jusqu'à preuve du contraire, lorsque ce procédé met en œuvre une « signature électronique qualifiée », notion issue du règlement eIDAS qui remplace l’ancienne notion de signature électronique sécurisée.
Le décret renvoie ensuite au règlement eIDAS, pour préciser qu’une signature électronique qualifiée est une signature :

  • créée à l’aide d'un dispositif de création de signature électronique qualifié (à savoir, un dispositif qui respecte les exigences de l’annexe II du règlement eIDAS), et
  • reposant sur un certificat qualifié de signature électronique (à savoir, un certificat qui respecte les exigences de l’annexe I du règlement eIDAS).