La signature des documents est l’élément qui permet l’authentification de ces derniers, et donc l’élément pouvant potentiellement poser problème lors de la dématérialisation. Il est ainsi nécessaire de l’aborder.

La signature à l’aube du monde : dates-clés1

• 3 000 ans av. J.-C. : utilisation de pictogrammes sous forme de hiéroglyphes, pour les plus connus, via des anneaux à signer. Modalité non nominative ;

• 3 000 ans av. J.-C. : la signature devient nominative en adjoignant le nom de l’auteur au cachet, c’est le superscritio ;

• 2 000 ans av. J.-C. : apparition de l’alphabet ;

• 1069 : découverte de la signature la plus ancienne sur une table d’argile ; elle date de 3 100 ans av. J.-C. ;

• 1554 : ordonnance de Fontainebleau, qui exige des notaires qu’ils fassent signer les parties au contrat ;

• 1566 : ordonnance de Moulins : la preuve par écrit est consacrée « sous le seing, sceaux et l’écriture des parties » ;

• 1579 : ordonnance de Blois, qui renouvelle l’obligation des parties à un contrat de le signer ;

• 1869 : obligation de signer le télégraphe, inventé à la fin du xviii^e siècle ;

• 1980 : diffusion massive du fax, qui permet l’envoi très rapide de documents signés ;

• 1999 : directive 1999/93/CE2, qui règlemente la signature électronique au niveau européen ;

• 2000 : loi de transposition, en France, de la réglementation européenne relative à la signature électronique3 ;

• 2010 : version initiale du référentiel général de sécurité (RGS)4 ;

• 2014 : version mise à jour du RGS ;

• 2016 : le règlement n° 910/2014, nommé « eIDAS »5, abroge la directive européenne de 1999 ;

• 2018 : la signature électronique devient aussi sécurisée que la signature manuscrite.

L’authentification d’un document : de la signature manuscrite à la signature électronique

La traditionnelle signature manuscrite

La signature a toujours été une marque de propriété et un moyen de revendiquer un engagement. Elle permet de se déclarer auteur et, à contrario, d’identifier la provenance de l’acte. C’est elle qui permet de prouver l’intégrité d’un document et, de ce fait, d’en faire un document à valeur juridique (Klein, 2014-2015).

Pour qu’il y ait signature, il faut recoupement de quatre éléments cumulatifs (Mouton, 2012, p. 161-162) :

• une personne physique qui agit soit en son nom propre soit via délégation de pouvoir au nom d’une autre personne physique ou d’une personne morale ;

• un acte ; la forme et le fond de ce dernier n’important pas ;

• un instrument d’écriture graphique ;

• un geste dont seul l’initié connaît le secret, donnant naissance à un signe graphique qui peut permettre vérification par comparaison.

La signature manuscrite est par nature parfaitement indissociable du document signé et est nécessairement directement lisible. Néanmoins, elle fait rarement l’objet d’une vérification plus poussée que celle de sa simple présence.

Une nouvelle technique d’authentification : la signature électronique

L’article 1367 du Code civil donne une définition de la signature électronique et dispose qu’« elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ». Cet article fait plus que donner une définition de la signature électronique, il avère son existence et sa valeur.

À contrario ne peuvent pas être considérés comme signature électronique (Mermod, 2018) :

• un document signé et scanné ;

• une signature scannée puis ultérieurement copiée et accolée à un document au format informatique ;

• une signature dactylographiée avec une police de caractères directement en version numérique.

Dans ces trois hypothèses, le format papier reste le seul document faisant foi devant les tribunaux.

La signature électronique a pour particularité de ne pas être physiquement palpable. Elle nécessite, elle aussi, le recoupement de quatre éléments cumulatifs (Mouton, 2012, p. 162) :

• une personne ;

• un acte ;

• un instrument de signature tel qu’une carte à puce, une clé USB ou un logiciel support de certificat ;

• un secret sous forme de code de déblocage, d’une clé privée sur le support d’un certificat (on parle de code PIN).

Il s’agit alors d’avoir un moyen cryptographique6 qui permet de réaliser techniquement la signature ainsi qu’un moyen d’authentification pour déclencher ce premier moyen de cryptographie.

La signature électronique est en fait un calcul mathématique réalisé au moyen d’un instrument cryptographique conservé sous le contrôle du signataire et dont il est possible de vérifier l’intégrité via une donnée informatique qu’est le certificat, ce dernier étant un fichier numérique qui se situera dans le document informatique et qui va permettre d’identifier la clé personnelle du signataire. Si le signataire n’est pas le bon, c’est ce certificat qui permettra de le signaler à la personne qui consulte le document et qui veut en vérifier l’intégrité.

Ce certificat doit être rendu infalsifiable en passant par un prestataire de services qui délivre des certificats agréés par l’État. Plusieurs techniques existent pour vérifier l’intégrité du lien entre le document informatique et la signature électronique apposée dessus. La plus abordable est celle des hash. Lorsqu’un fichier est transféré, il est découpé en plusieurs petites parties, recollées à l’arrivée ; ces petites « parts » découpées s’appellent des hash. C’est en définissant le nombre de hash que l’on peut déterminer la taille des données transférées et que l’on peut connaître à l’avance la taille du document attendu à destination.

Il s’agit de faire application du principe des tiroirs de Dirichlet (Delahaye, 2018) selon lequel, si nous sommes en possession de x chaussettes et de y tiroirs et si l’affirmation x > y est vraie, alors l’un des tiroirs contient nécessairement plus d’une chaussette. Lors de la comparaison du nombre de chaussettes, en l’espèce des hash au départ et à l’arrivée dans chaque tiroir, nous sommes en mesure d’affirmer ou non l’intégrité du document à réception, c’est-à-dire de valider ou non le fait que le fichier a fait l’objet de modifications avant réception.

Il est important de préciser que la signature électronique n’est pas nécessairement physiquement palpable et donc physiquement visible. Dans ce cas de figure, elle nécessite une interface7 de visualisation et de vérification. Elle ne confère aucune force juridique au document, bien qu’il soit de plus en plus fréquent que la signature puisse être vérifiée par comparaison à une base de données préétablie, la concordance renforçant la preuve (Wacom Signature, 2019). Il est néanmoins important de prendre en compte l’aspect rassurant, pour l’utilisateur novice, de la présence sur le document d’une signature graphique (possible via PDF associé à Adobe Reader).

On constate d’ailleurs dans la pratique immobilière que les notaires utilisant la dématérialisation laissent apparaître une signature graphique sur les actes authentiques d’acquisition et de cession.

Il existe trois formats de signature électronique (Mouton, 2012, p. 178) :

• XAdES (XML Advanced Electronic Signature) : c’est un format de stockage de signature sans élément graphique identifiable. Il n’est pas uniquement réservé aux documents PDF ;

• CAdES (CMS Advanced Electronic Signature) : il s’agit d’un format de signature détachée et transmise en même temps que le document, les deux fichiers doivent donc être envoyés simultanément, telle une sorte d’« enveloppe ». Il faut donc un logiciel pour en extraire les documents. Ce format n’utilise pas non plus d’élément graphique et n’est pas non plus uniquement réservé aux documents PDF.

• PAdES (PDF Advanced Electronic Signature) : c’est le format inclus dans le document PDF. Il permet la signature multiple du document. L’élément graphique de la signature est ici optionnel via le logiciel Adobe Reader.

La signature électronique doit être apposée sur des données intelligibles par un être humain puisqu’elle reflète son consentement et qu’il est de droit prétorien que ce consentement doit être libre et éclairé. Il semble effectivement indispensable que le locataire comme le gestionnaire de l’actif immobilier puissent avoir recours ultérieurement à une version écrite et intelligible du bail qui les lie afin de faire bonne application de leurs droits et devoirs respectifs au cours de l’exécution du contrat.

Une législation en plein essor

Droit européen de la signature électronique : de la directive au règlement8

Comme abordé succinctement dans le paragraphe accordé à l’histoire de la signature, la première mesure légale à avoir été introduite l’a été au niveau européen avec la directive 1999/93/CE du Parlement européen et du Conseil en date du 13 décembre 1999. Bien qu’elle soit désormais abrogée par le règlement eIDAS, elle a été le socle de la législation sur la signature électronique.

La directive définissait le signataire comme « toute personne qui détient un dispositif de création de signature et qui agit soit pour son propre compte, soit pour celui d’une entité ou personne physique ou morale qu’elle représente » et la signature électronique comme « une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification ».

Cette directive a mis en place une obligation pour les États membres de reconnaître les signatures électroniques certifiées par d’autres États et a recensé les autorités certificatrices agréées dans les Trusted lists of certification service providers. Ce texte est indispensable en matière immobilière au vu des opportunités d’investissement avantageuses en Europe, comme par exemple en Allemagne, pays dans lequel le marché est en plein boom avec une variation de la valorisation des actifs pouvant aller jusqu’à 10 % en un an.

Le règlement eIDAS n° 910/2014 du 23 juillet 2014 est donc venu abroger cette directive mais en a toutefois repris les grandes lignes. Il est important de noter que cette abrogation emporte changement de forme de l’acte normatif. Alors qu’en 1999 il avait été fait choix de recourir à une directive, en 2014 c’est un règlement qui est édicté. La directive appartient au droit dérivé de l’Union européenne (UE) et se contente de donner des objectifs à atteindre. Le règlement, quant à lui, s’applique directement et totalement aux pays de l’UE. Il est courant de recourir en premier lieu à une directive pour laisser le temps aux gouvernements nationaux de s’adapter. Il n’en demeure pas moins que la présence de ce règlement contraint désormais les pays membres à respecter les normes européennes en matière de signature électronique (Haquet, 2012-2013).

Le règlement pose trois conditions à la validité d’une signature électronique :

• permettre l’identification du signataire ;

• garantir le lien avec l’acte, et donc prouver que le signataire a bien eu le document sous les yeux au moment de sa signature ;

• garantir l’intégrité de l’acte, c’est-à-dire apporter la preuve que ce dernier n’a pas subi de modification depuis sa signature.

Dans le but de satisfaire à ces trois exigences, il est possible de passer par des tiers de confiance, qui sont des organismes venant garantir le document informatique via des certificats agréés. L’eIDAS énumère les organismes agréés pour cela (European Commission, 2019). Il est aussi possible d’utiliser directement le certificat nominatif du signataire, mais il est rare que les sociétés accordent des certificats de signataire à tous leurs employés.

Toujours en vue de satisfaire aux exigences de validité posées par le règlement, il est nécessaire de sceller et d’horodater le document informatique pour en figer et en assurer l’intégrité. Ces deux techniques équivalent au paraphe de l’intégralité des pages du contrat en matière de signature manuscrite. Enfin, il faut mettre en place un système d’archivage légal des documents en respectant la norme française NF Z42-0139.

La directive de 1999 mettait en place différents niveaux de force probante de signature électronique, et le règlement eIDAS reprend cette idée de différents niveaux de signature :

• la signature simple : sans contrôle ;

• la signature avancée : certifiée par une société agréée ;

• la signature qualifiée : c’est la force probante la plus haute prévue par le règlement et la seule permettant de donner à l’acte une présomption de fiabilité et permettant en conséquence de retourner la charge de la preuve (comme prévu dans un décret du 30 mars 200110).

À ces trois niveaux prévus par le règlement européen, il faut ajouter un niveau encore plus haut : la signature certifiée utilisée par les officiers d’État civil. En l’espèce, pour ce qui nous concerne, en pratique immobilière, les notaires et les huissiers ont déjà enclenché les processus de dématérialisation ces dernières années via cette signature certifiée.

Il existe donc différentes exigences et modalités en fonction du niveau de la signature électronique (Sell and Sign, s. d.) :

	La signature simple	La signature avancée	La signature certifiée	La signature qualifiée
Normes ETSI11	Aucune	EN 319 411	EN 315 411 QCP	EN 219 421 et EN 319 411 QCP QSCD
Identité du signataire	Aucun contrôle	Certifiée par une autorité agréée	Confirmée par mobile ou déclarée justificatif Dossier de preuve technique certifiée par le tiers de confiance	Contrôlée en face à face par une autorité agréée
Délai	Instantanée	24 h	Instantanée	Une semaine
Niveau de certificat	Pas d’exigence	Certificat signature qualifié LCP ou QCP au nom du signataire	Certificat cachet qualifié QCP ou au nom du tiers de confiance	Certificat signature qualifié QCP au nom du signataire support physique
Niveau d’horodatage	Pas d’exigence	Simple	Simple	Qualifié
Valeur juridique	Faible	Forte	Forte	Très forte
Jurisprudence	Négative	Aucune	Positive	Positive
Quand l’utiliser	Jamais	Quand l’enjeu et le risque de fraude à l’identité sont élevés	Quand il faut combiner fiabilité et rapidité	Quand la législation l’exige
Exemples de contrat		Assurance décès Ordre financier PV de décision	Contrat de vente Contrat d’abonnement Contrat de travail	Acte notarié Appel d’offres Services publics
Autres exigences				Dispositif de signature qualifié QCSD

Il est envisageable pour l’asset manager de recourir à la signature certifiée pour la rédaction des contrats le liant à ses locataires ou à ses prestataires de services car elle est fiable et rapide. Elle est également positivement reçue par la jurisprudence, ce qui est un élément important pour la prévisibilité des litiges. Elle a aussi pour avantage d’être instantanée.

De la transposition en droit français12

À nouveau, comme évoqué précédemment dans le paragraphe sur l’histoire de la signature, c’est la loi n° 2000-230 du 13 mars 2000 qui est venue transposer la directive européenne en droit français. Elle vient donner le cadre juridique applicable à la signature électronique.

Cette loi donne une définition de la signature, codifiée à l’article 1316-4 du Code civil qui dispose que : « La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte.13 » Il s’agit là de la première définition légale de la signature, qui jusqu’alors n’était qu’un usage.

Dans cette définition de la signature, il est important de noter qu’il n’est fait aucune distinction entre la signature électronique et la signature manuscrite, et qu’elle vient donner à la signature une force de preuve puisque c’est elle qui confère ici la « perfection d’un acte juridique ». En effet, en l’absence de signature, l’acte n’est plus qu’un commencement de preuve. Le commencement de preuve s’entend comme un acte rendant « vraisemblable » des faits mais n’étant pas irréfragable (article 1362 du Code civil).

C’est cet article 1316-4 du Code civil qui déclenche la possibilité pour des professions comme l’asset manager de recourir à la dématérialisation sans risquer l’irrecevabilité des actes dématérialisés, en tant que tels, comme preuves en matière contentieuse : par exemple, l’apport d’un bail dématérialisé en tant que preuve dans un litige opposant un propriétaire/gestionnaire à son locataire.

Les articles 1366 et 1367 du Code civil viennent compléter l’article 1316-4 du même code en disposant, pour le premier, que « l’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». Ce complément d’information n’est autre que la transposition des trois conditions de validité de la signature électronique énumérées par la directive de 1999 et reprises dans l’eIDAS en 2014.

Il en résulte que doit être mis en place un procédé fiable d’identification dont il doit résulter :

• la bonne qualité de certificat de signature ;

• des moyens mis en œuvre pour garantir l’authenticité de l’identité du signataire ;

• des moyens mis en œuvre pour garantir le lien entre la signature et le document auquel il s’attache.

La législation française en matière de signature électronique a aussi pour origine le décret du 30 mars 2001 susmentionné14. Il donne les grandes définitions :

• le signataire est « toute personne physique, agissant pour son propre compte ou pour celui de la personne physique ou morale qu’elle représente, qui met en œuvre un dispositif de création de signature électronique » (article 1) ;

• la signature électronique est définie comme « une donnée qui résulte de l’usage d’un procédé répondant aux conditions définies à la première phrase du second alinéa de l’article 1316 du code civil » (article 1) ;

• la signature électronique sécurisée est « une signature électronique qui satisfait, en outre, aux exigences suivantes : être propre au signataire ; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable » (article 1). La particularité ici, renforçant la force probante, est le fait que le signataire doit garder les moyens de signer sous son contrôle exclusif. L’article vient aussi préciser la garantie de lien avec l’acte défini initialement par la loi du 13 mars 2000 en expliquant que toute modification ultérieure du document doit être détectée.

• la signature électronique présumée fiable. « La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié » (article 2). C’est en fait une transposition de l’article 5 de la directive européenne 1999/93/CE, qui exigeait la recevabilité en tant que preuve en justice de la signature électronique. Une signature faite dans le respect de cet article entraîne le renversement de la charge de la preuve. En effet, l’article 1353 du Code civil dispose que « celui qui réclame l’exécution d’une obligation doit la prouver ». Or, dans le cas présent, c’est au demandeur d’apporter la preuve de l’invalidité de la signature ou de l’acte. Pour avoir ce type de signature, la carte à puce ou la clé UBS, support de la signature, doit avoir été certifiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

La législation sus abordée appartient au domaine du droit privé, seul domaine directement applicable en matière d’immobilier acquis et/ou géré par des sociétés de droit privé, et donc applicable à la pratique du métier d’asset manager du domaine privé. Il ne faut toutefois pas négliger l’influence du droit public sur l’élaboration de cette législation privée. En effet, le RGS, élaboré dans le but de créer un cadre réglementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les usagers, en application du décret n° 2010-112 du 2 février 201015 et en application de l’ordonnance n° 2005-1516 du 8 décembre 200516, a très largement inspiré la législation nationale ainsi que les normes en matière de sécurité informatique.

Des institutions nécessaires à la protection des données

Il existe principalement deux organismes compétant en la matière, l’ANSSI et la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC).

L’ANSSI est une organisation qui a pour but de (Poupard, s. d.) :

• prendre en compte toutes les questions de cybersécurité ;

• protéger les utilisateurs de technologies informatiques des éventuelles attaques ;

• accompagner les utilisateurs via des actions de conseil, de politique industrielle, de réglementation et de mise en place de référentiels des exigences ;

• participer à la sensibilisation des utilisateurs ;

• évaluer le niveau des moyens de garantie.

La DINSIC coordonne les actions des administrations en matière de systèmes d’information. Elle intervient uniquement en matière publique.

Une aptitude étendue aux personnes morales

Pour que la signature électronique puisse être accessible à la personne morale via une personne physique, il a été mis en place un système de cachet. Ce système de cachet résulte initialement du RGS dans le but de rendre possible la dématérialisation des factures. Ce principe a ensuite fait l’objet d’une codification dans le Code général des impôts (CGI), qui dispose que le cachet est nécessaire pour prouver l’origine du document ainsi que son intégrité.

En pratique, les entreprises envoient des fichiers PDF avec signature, pratique conforme au CGI. Néanmoins, un organisme de standardisation, dénommé GS1 France, recommande :

• l’attribution d’un label ;

• l’utilisation du format permettant de vérifier l’intégrité des données ;

• l’intégration du cachet dans une « enveloppe » incluant le fichier principal et les données.

Encore une fois, cette autorisation à recourir à la signature électronique par une personne morale est parfaitement indispensable en matière immobilière car il est plus que fréquent que les actifs immobiliers soient acquis au travers de sociétés telles que les sociétés civiles immobilières (SCI), les sociétés civiles de placement immobilier (SCPI), les sociétés d’investissement immobilier cotées (SIIC)… et ensuite gérés par une seconde société de gestion. Elles doivent, tout autant qu’elles sont, pouvoir signer les actes relatifs à la propriété ou à la gestion.

Pérennisation de la législation française à la suite de la mise en conformité au droit européen17

Il est important de ne pas négliger le fait que le droit européen se trouve en deçà du bloc de constitutionnalité18 dans la hiérarchie des normes établies par Kelsen (Hamon & Troper, 2018), mais au-dessus du bloc de légalité national, ce qui signifie que toutes les lois françaises doivent respecter les normes européennes. Il s’agit alors de comparer les droits européen et français en matière de signature électronique pour identifier d’éventuelles adaptations nécessaires du droit français :

• alors que le droit européen demande « un lien logique » entre le texte et la signature, le droit français demande une « garantie » pour l’identification et le lien à l’acte ;

• alors que le droit européen estime que la signature électronique permet d’authentifier mais sans préciser quoi, le droit français explique que la signature permet d’authentifier la personne qui l’appose ;

• alors qu’en droit européen il est question de signature avancée, en droit français il s’agit de signature sécurisée.

Il est ici possible de constater qu’en présence de différences entre la transposition du droit européen dans le droit français et la norme de droit européen initiale, le droit français se montre plus restrictif. Ce dernier ne semble donc pas devoir s’adapter et peut être directement appliqué sans qu’il soit nécessaire d’anticiper une évolution imminente.