Cybersécurité
Par
sos-litiges-58
Des usurpations possibles
Pratique, rapide et sûre, cette solution permet d’apposer sa signature sur des documents à distance. Mais des vendeurs malintentionnés parviennent à la détourner pour que des consommateurs signent contre leur gré.
Depuis quelques années, apposer son nom de façon manuscrite au bas d’une feuille de papier n’est plus la seule façon de signer un document. Que vous souscriviez un abonnement, achetiez un bien, validiez un devis ou d’autres actes de la vie courante, vous pouvez aussi donner votre consentement officiel de manière totalement dématérialisée. Il faut dire que la signature électronique a l’avantage, pour les sociétés qui y ont recours, d’éviter la paperasse, de limiter les manipulations et de réduire les délais. Plus besoin d’imprimer un contrat, par exemple, de l’envoyer par courrier et d’attendre le retour du destinataire. Tout se fait en ligne en quelques instants. En outre, le système va jusqu’à relancer les signataires et archiver automatiquement les pièces traitées.
La signature électronique est entrée dans le droit français en 2000, lorsque le législateur lui a accordé une valeur juridique identique à celle manuscrite. Depuis, elle s’est développée à son rythme, avant de connaître une accélération fulgurante en 2020, au gré des confinements. Beaucoup de professionnels ont alors vu en elle un bon moyen de continuer à obtenir la souscription de contrats à distance. Résultat : en 2021, 26 % des entreprises auraient instauré une procédure de signature électronique, faisant le bonheur de spécialistes tels que Yousign, Signaturit, DocuSign ou encore Docaposte. Et ce n’est pas terminé !
PROCESSUS TRÈS VARIABLES
Pour être valable aux yeux de la loi, une telle signature doit répondre à deux objectifs. Premièrement, certifier que la personne qui signe est bien celle censée le faire – il faut, par conséquent, que son identité soit vérifiée. Deuxièmement, garantir une inaltérabilité du document une fois émargé, autrement dit l’impossibilité de le modifier. Cependant, les textes n’indiquent rien sur les procédures à mettre en place afin de s’assurer que ces deux conditions sont bien remplies.
Chaque prestataire demeure libre d’employer les outils qu’il veut. À charge pour lui, en cas de litige, de prouver que les obligations liées à la signature électronique ont bien été respectées. Les entreprises souhaitant y recourir ont aussi la liberté de sélectionner, parmi les systèmes qui leur sont proposés, celui qui leur convient le mieux, en fonction des types de documents à signer. « Le choix d’une solution dépend du risque juridique encouru en cas de contestation de la signature. En effet, si on utilise un horodatage qualifié, l’intégrité des documents ne fait pas débat, explique Christian Dayaux, directeur grands comptes chez Universign, devenu Signaturit. Dès lors, plus ce risque est élevé, plus les sociétés ont intérêt à mettre en œuvre des processus solides qui certifient l’identité du signataire. »
Si, en théorie, le simple fait de cocher une case en fin de contrat ou de cliquer sur un bouton « Je signe » peut valoir signature, en pratique cela n’offre qu’un faible niveau de sécurité aux entreprises. Pour donner un peu plus de poids à cet émargement numérique, il n’est donc pas rare qu’elles lui adjoignent un système de code. Le client reçoit sur son téléphone, au moment de signer, un numéro unique qu’il est invité à reporter au bas du document. « Cette procédure ajoute un faisceau de preuves qui peut suffire, pour les contrats les plus courants, à convaincre la justice que la personne en question est bien celle qui devait signer », précise Frédéric Ollivier, responsable chez Docaposte. Cela étant, concernant des documents qui engagent plus sérieusement – offres de prêt, achats immobiliers, investissements importants… –, il y a intérêt à se tourner vers des procédés intégrant des contrôles d’identité encore plus poussés. Ainsi, certains clients se voient demander une copie de leur carte d’identité, voire des photos d’eux-mêmes sous différents angles.
TROP FACILE À CONTOURNER
Techniquement, les processus de signature électronique des principaux prestataires sont solides. Grâce aux nombreuses sécurités mises en place, il est difficilement envisageable qu’un pirate pénètre dans le système pour usurper une signature. Par contre, le contourner reste un jeu d’enfant… Marie-Christine en a fait les frais. En octobre 2021, cette jeune retraitée, veuve depuis peu, répond à une annonce lui proposant une pompe à chaleur pour 1 €. Quelques jours plus tard, un commercial se présente à son domicile. « Après m’avoir posé quelques questions, il me dit que je ne suis pas éligible à l’offre à 1 €, mais que je dois pouvoir bénéficier d’aides gouvernementales. Afin de s’en assurer, il effectue une simulation pour laquelle il me demande de lui communiquer les codes reçus sur mon téléphone », se souvient-elle. Finalement, le vendeur lui promet que l’État lui remboursera 10 400 € sur les 18 900 € que lui coûtera sa pompe à chaleur, soit 55 % du montant total. Marie-Christine signe un contrat papier et, peu de temps après, des techniciens procèdent à l’installation de l’équipement. Sauf qu’il ne fonctionne pas correctement, et que la consommation d’électricité s’avère plus élevée que ce qu’on lui avait annoncé… Surtout, Marie-Christine n’a aucune nouvelle des subventions publiques. En étudiant son dossier, l’association locale UFC-Que Choisir d’Épinal (88), dont elle a sollicité l’assistance, découvre que l’entreprise n’est pas labellisée RGE. Les travaux réalisés ne donnent donc pas droit aux subsides de l’État ! Le bénévole en charge de son affaire constate également qu’en livrant les fameux codes, Marie-Christine n’a pas participé à une simulation comme elle le pensait, mais signé électroniquement une offre préalable de crédit… Si elle ne s’en est pas rendu compte, c’est notamment parce qu’elle n’a reçu aucun document contractuel lié à ce prêt – en particulier aucun bon de rétractation, pourtant obligatoire lors d’une vente hors établissement. Et pour cause, l’adresse e-mail indiquée n’avait rien à voir avec la sienne. Le commercial en a transmis une autre à laquelle il avait lui-même accès, et grâce à laquelle il a pu signer à la place de la cliente !
DES CENTAINES DE CAS SIMILAIRES
À en croire l’association locale d’Épinal, qui a soulevé le lièvre, la mésaventure de Marie-Christine est loin d’être unique. « Nous avons déniché des centaines de cas similaires, dans les domaines de la rénovation, de la vente en ligne, de la formation, du crédit à la consommation ou encore des mutuelles », assure l’un de ses militants. Alors, si ce phénomène demeure aussi méconnu, c’est en partie parce que la plupart des victimes n’ont pas conscience d’avoir été abusées. Certaines, à l’instar de Marie-Christine, étaient d’accord pour signer le contrat, mais pas dans ces conditions… En procédant comme il l’a fait, le commercial n’a respecté ni son devoir d’information ni le droit de la consommatrice. C’est également et surtout lié au fait que les sociétés, une fois confrontées à l’évidence, préfèrent généralement annuler le contrat litigieux plutôt que de prendre le risque que l’affaire s’ébruite. En attendant, pas vu, pas pris !
Les trois types de signature électronique
Le règlement européen eIDAS définit les différentes signatures utilisables par les professionnels.
La simple. C’est la plus répandue, car la plus facile à mettre en place et la moins coûteuse pour les entreprises. Le fait de cocher une case pour donner son consentement, de signer avec le doigt sur une tablette ou d’entrer un code unique peut valoir signature. Mais, en cas de contestation, le professionnel aura du mal à prouver l’identité du signataire. Elle est donc réservée aux documents à faible risque juridique : contrat simple, ouverture de compte bancaire, mandat Sepa, etc.
L’avancée. Elle répond à certaines exigences et garantit l’identité du signataire, qui fournit, notamment, une copie de ses papiers. On l’utilise pour les contrats d’assurance vie, par exemple, ou les compromis de vente immobiliers.
La qualifiée. L’identité du signataire est vérifiée en face-à-face ou dans des conditions de sécurité similaires. On la réserve aux documents engageants fortement, tels les actes authentiques, les gros investissements…
Pratique • Valeur de la signature
Comment savoir si ma signature a été usurpée ?
Une société assure que vous avez signé un contrat par voie électronique, mais vous n’avez reçu aucun document d’elle par courriel ? Vous êtes peut-être victime d’une fraude. Récupérez le fichier de preuves de la signature. Il répertorie adresses e-mail et IP, numéro de téléphone, horodatage de chaque étape, etc. Si les coordonnées et IP indiquées ne sont pas les vôtres, et que le document a été signé quelques secondes après son ouverture, vous disposez d’éléments prouvant l’usurpation.
De quelle manière obtenir le fichier de preuves ?
L’entreprise auprès de laquelle le contrat a été signé est censée vous le fournir. Si elle refuse, contactez le prestataire technique (Yousign, Signaturit, Docaposte, etc.). Certains le transmettent sur simple demande, d’autres seulement sur requête des autorités.
Quels sont mes recours ?
En cas de démarchage, et si les faits datent de moins d’un an, utilisez votre droit de rétractation. Au-delà, vous devrez certainement engager une procédure pour abus de confiance ou usurpation d’identité. Quoi qu’il en soit, joignez la société qui a reçu votre signature. Au vu du fichier de preuves, la plupart préfèrent annuler le contrat.