Explication de la création et de l'authentification de la 'signature électronique japonaise': Quelle est sa force juridique ?
Dans les échanges sur Internet, il n’est pas nécessaire de faire face à l’autre partie, il est donc essentiel de vérifier si l’expéditeur et le destinataire de l’information sont réellement eux-mêmes et si l’information n’a pas été altérée en cours de route.
Ici, nous expliquerons comment créer une signature électronique en utilisant la technologie de cryptage, qui est un moyen efficace pour cela, et comment la vérifier.
Qu’est-ce qu’une signature électronique ?
La “Loi sur les signatures électroniques (Loi sur les signatures électroniques et les services d’authentification)” (Loi japonaise sur les signatures électroniques) est une loi qui définit et réglemente les “signatures électroniques” appliquées aux documents électroniques, ainsi que les entreprises qui effectuent leur authentification, et stipule la validité juridique des signatures électroniques.
Dans cette loi sur les signatures électroniques, une “signature électronique” est une mesure prise à l’égard des informations qui peuvent être enregistrées dans un enregistrement électromagnétique, qui :
- Indique que la signature électronique a été créée par la personne concernée (authenticité)
- Permet de vérifier si des modifications ont été apportées à la signature électronique (intégrité)
Il est stipulé qu’elle doit répondre à ces deux exigences (Article 2, paragraphe 1, de la loi sur les signatures électroniques). Si une signature électronique que seule la personne concernée peut effectuer a été effectuée, il est présumé qu’elle a été établie de manière authentique, tout comme un document sur lequel la signature ou le sceau de la personne concernée a été apposé (Article 3 de la loi sur les signatures électroniques).
La validité juridique des contrats électroniques
Un contrat est conclu lorsque l’autre partie accepte une déclaration d’intention qui indique le contenu du contrat et propose sa conclusion (Article 522 du Code civil japonais), et il n’est pas nécessaire de créer un document écrit. Cependant, si le contrat devient un sujet de litige, il est nécessaire d’avoir quelque chose qui peut être présenté comme preuve au tribunal.
À cet égard, l’article 228, paragraphe 1, du Code de procédure civile japonais stipule que “pour utiliser un document comme preuve au tribunal, il faut prouver que le document a été établi de manière authentique”. Lorsqu’un document sur support papier est présenté comme preuve, si le document porte la signature ou le sceau de la personne concernée ou de son représentant, il est présumé que le document a été établi de manière authentique (c’est-à-dire qu’il a été créé par la volonté de la personne concernée) (Article 228, paragraphe 4, du Code de procédure civile).
En réponse à cela, la validité juridique des contrats électroniques a été organisée par la loi sur les signatures électroniques.
Services d’authentification des signatures électroniques
Pour qu’un contrat électronique ait une force probante au tribunal, il est nécessaire de satisfaire à l’exigence que “il a été créé par la personne concernée”. Contrairement à une signature sur un document écrit, qui peut être vérifiée en regardant le document, une signature électronique est un donnée électronique, et il est donc nécessaire d’avoir un moyen de prouver qu’elle a été créée par la personne concernée.
À cet égard, l’article 2 de la loi sur les signatures électroniques stipule :
Loi sur les signatures électroniques (Définition) Article 2
Paragraphe 2 Dans cette loi, “services d’authentification” désigne les services qui prouvent que les informations utilisées pour vérifier que la signature électronique a été effectuée par l’utilisateur (ci-après dénommé “l’utilisateur”) ou une autre personne à la demande de cette dernière sont liées à l’utilisateur.
Paragraphe 3 Dans cette loi, “services d’authentification spécifiques” désigne les services d’authentification effectués pour les signatures électroniques qui, en fonction de leur méthode, ne peuvent être effectuées que par la personne concernée et qui sont conformes aux normes établies par arrêté ministériel.
Ainsi, la loi sur les signatures électroniques prévoit qu’un tiers prouve qu’il s’agit d’une signature électronique effectuée par la personne concernée, et appelle ce service “service d’authentification”, et parmi ceux-ci, elle définit comme “service d’authentification spécifique” le service d’authentification effectué pour les signatures électroniques qui ne peuvent être effectuées que par la personne concernée et qui sont conformes aux normes établies par arrêté ministériel.
Actuellement, la technologie d’authentification adoptée comme norme pour les “services d’authentification spécifiques” est la technologie PKI (Public Key Infrastructure) utilisant une méthode de cryptage appelée cryptage à clé publique (Article 2 du règlement d’application de la loi sur les signatures électroniques). Les “services d’authentification spécifiques” sont des services qui utilisent cette technologie pour crypter les documents électroniques et autres, vérifier l’identité de la personne concernée, et émettre un certificat électronique pour prouver que la signature électronique est celle de la personne concernée. Ces services d’authentification sont autorisés à être effectués par des entreprises privées, et les organismes tiers qui effectuent ces services d’authentification sont appelés “autorités de certification électronique”, et leurs critères de certification, etc., sont définis dans l’article 4 et suivants de la loi sur les signatures électroniques.
Signature électronique et Timestamp
La signature électronique et le timestamp sont des “preuves” qui garantissent “quand”, “quoi” et “qui” dans la société Internet, et sont un moyen puissant de vérifier l’authenticité des documents électroniques.
Création et envoi de signature électronique
La création et l’envoi de signatures électroniques sont désormais effectués en utilisant une “méthode de cryptage à clé publique” qui utilise une paire de clés privées et publiques, et une méthode utilisant une fonction de hachage, comme suit :
- Le créateur demande à l’autorité de certification d’utiliser un certificat électronique.
- L’autorité de certification vérifie l’identité, confirme l’appariement des clés privées et publiques, etc., puis génère une clé privée pour crypter le document et une clé publique pour décrypter le document.
- L’autorité de certification émet un certificat électronique pour la clé publique enregistrée par le créateur.
- Le créateur accepte le certificat électronique de l’autorité de certification.
Sur cette base, l’expéditeur utilisera le certificat électronique pour envoyer les données électroniques.
- L’expéditeur convertit les données électroniques en une valeur de hachage (également appelée message digest) en utilisant une fonction de hachage. Une fonction de hachage est une fonction qui convertit des données (valeurs d’entrée) telles que des lettres et des chiffres en une certaine valeur numérique (valeur de sortie).
- Cette valeur de hachage est cryptée avec la clé privée correspondant à la clé publique certifiée par le certificat électronique. Cette action est appelée “signature électronique”.
- L’expéditeur combine les données électroniques (texte brut) et la signature électronique, et les envoie au destinataire avec le certificat électronique.
- Le destinataire divise les données reçues en données électroniques (texte brut) et signature électronique, et génère une valeur de hachage à partir des données électroniques (texte brut) en utilisant la même fonction de hachage que l’expéditeur.
- La signature électronique est déchiffrée en utilisant la clé publique de l’expéditeur pour obtenir la valeur de hachage.
- Si les valeurs de hachage obtenues en 4 et 5 correspondent, on peut confirmer que les données électroniques proviennent de l’expéditeur et n’ont pas été modifiées.
En raison de ses caractéristiques, la valeur de hachage sera la même si le contenu du document électronique est exactement le même que lors de la signature électronique, et sera complètement différent si même un seul caractère est différent.
Par conséquent, en vérifiant la correspondance des deux valeurs de hachage, on peut confirmer que le document électronique en question n’a pas été modifié.
Timestamp
Il est possible de vérifier que le contenu du document n’a pas été modifié en vérifiant la correspondance entre la valeur de hachage du document électronique et celle de la signature, mais en plus de cela, le “timestamp” (TS) est utilisé pour prouver “quand” ce document existait (preuve d’existence) et que le contenu du document n’a pas été modifié après ce moment (preuve de non-modification). Le timestamp est considéré comme un moyen efficace de vérifier l’authenticité des documents électroniques en combinaison avec la signature électronique.
L’utilisateur envoie la valeur de hachage des données originales à l’autorité de certification de l’heure (TSA : Time-Stamping Authority), et la TSA envoie à l’utilisateur un TS avec des informations de temps ajoutées à cette valeur de hachage. En vérifiant la correspondance entre la valeur de hachage du document électronique et celle du timestamp, on peut prouver que le contenu n’a pas été modifié.
Conservation des données
Les entreprises et les travailleurs indépendants sont tenus de conserver les documents comptables tels que les bons de commande et les contrats pendant 7 ans (ou 10 ans), et selon la loi japonaise sur la conservation des livres électroniques (Loi sur les exceptions concernant la méthode de conservation des documents comptables relatifs aux impôts nationaux créés en utilisant un ordinateur), ils sont également tenus de conserver les informations de transaction lorsqu’ils effectuent des transactions électroniques (Article 10 de la loi japonaise sur la conservation des livres électroniques).
En ce qui concerne la conservation à long terme de ces documents électroniques, selon le règlement d’application de la loi japonaise sur la conservation des livres électroniques, il est nécessaire d’ajouter un “timestamp lié à l’activité certifiée par la Fondation japonaise pour la communication de données” à ces documents électroniques (Article 3, paragraphe 5, sous-paragraphe 2 du règlement d’application de la loi japonaise sur la conservation des livres électroniques), et il est demandé de “s’assurer que l’on peut vérifier les informations concernant la personne qui conserve ces enregistrements électromagnétiques ou la personne qui la supervise directement” (Article 8 du règlement d’application de la loi japonaise sur la conservation des livres électroniques).
Résumé
La numérisation des documents est devenue la base de l’amélioration des processus opérationnels, de l’amélioration du service client, etc., et l’importance de l’enregistrement et de la gestion par la numérisation des documents augmente chaque jour.
La validité d’un contrat électronique est reconnue, et dans les procédures judiciaires, le contrat électronique peut être utilisé comme preuve. La tendance à la numérisation des contrats entre entreprises progresse rapidement. Il est nécessaire de comprendre les diverses lois et réglementations liées aux contrats électroniques et de répondre de manière appropriée.
Présentation des mesures prises par notre cabinet
Le cabinet d’avocats Monolis est un cabinet d’avocats spécialisé dans l’IT, et plus particulièrement dans l’Internet et le droit. Ces dernières années, l’utilisation de la signature électronique a augmenté, et la nécessité d’un contrôle juridique est de plus en plus évidente. Notre cabinet analyse les risques juridiques liés aux entreprises existantes et aux entreprises en cours de création, en tenant compte des diverses réglementations juridiques, et s’efforce de légaliser les entreprises sans les arrêter autant que possible. Les détails sont décrits dans l’article ci-dessous.