Michel Jaccard, "Deux nouveaux projets de lois suisses sur la signature et le commerce électroniques", 14 juillet 2001

Deux nouveaux projets législatifs suisses sur la signature et le commerce électroniques

Maître Michel Jaccard
Avocat
Cabinet Tavernier Tschanz, Genève
Chargé de cours

Le 17 janvier 2001, le Conseil fédéral mettait en consultation deux projets de lois fédérales ayant pour objet d'adapter le droit privé suisse à l'évolution de la technique et plus particulièrement au développement du commerce électronique.

Le premier projet de loi fédérale, consacré à la signature électronique, réglemente les activités et la responsabilité des autorités de certification ("Cybernotaires") qui délivrent des certificats électroniques permettant la vérification de messages accompagnés d'une signature cryptée et assimile, à certaines conditions, la signature électronique à la signature manuscrite. Le second projet, intitulé "Loi fédérale sur le commerce électronique", vise avant tout à préciser les règles de formation des contrats sur le réseau et à accroître la protection des consommateurs, par l'introduction d'un droit de rétractation pour les contrats conclus à distance et un renforcement des devoirs d'information précontractuels du vendeur/fournisseur de services en ligne. Ces textes sont donc ambitieux et, une fois adoptés, auront un impact immédiat sur l'ensemble des acteurs économiques du réseau.

1. Dans l'exposé de sa "stratégie pour une société de l'information en Suisse" en février 1998[1], le Conseil fédéral a chargé certains de ses départements de l'élaboration des règles nécessaires à la mise en place d'une infrastructure à clé publique. Le 3 juin 1999, l'Office fédéral de la Communication (OFCOM) soumettait aux milieux intéressés un projet d'Ordonnance sur l'infrastructure à clé publique suisse[2]. Les résultats de la consultation ont été publiés, sous forme résumée, en automne 1999[3] et le texte définitif de l'Ordonnance, renommée "Ordonnance sur les services de certification électronique" (OSCert) a été adopté le 12 avril 2000 et sa mise en vigueur fixée au 1^er mai 2000[4]. Des dispositions d’exécution ont encore être édictées en janvier 2001 (sous forme de projet)[5].

2. Le choix d'un instrument réglementaire plutôt que législatif était avant tout dicté par l'urgence à fixer le cadre d'une infrastructure à clé publique en Suisse au plan technique, sans préjuger de l'adoption ultérieure d'une loi fédérale qui traiterait précisément de la valeur juridique de la signature électronique et modifierait certaines dispositions du droit privé. C'est ce projet qui est actuellement en consultation. En voici les caractéristiques principales[6].

3. En premier lieu, il importe de rappeler que la prestation de services de certification électronique ("Cybernotaire") est libre en Suisse et ne nécessite pas, ni aujourd'hui ni selon le projet de loi, une accréditation ou reconnaissance préalable, à l'inverse par exemple d'une licence bancaire ou d'une concession dans le domaine des télécommunications. Ainsi, le projet de loi ne s'appliquera qu'aux autorités de certification qui s'y soumettront volontairement. La législation communautaire suit le même principe[7].

4. En revanche, il faut malheureusement constater que le principe de la neutralité technologique, pourtant prôné et consacré dans plusieurs textes internationaux, n'est pas respecté dans le projet : même si son article 2 envisage expressément l'extension de son champ d'application à d'autres méthodes d'authentification, il ne contient en fait que des règles applicables à un système d'infrastructure à clé publique (PKI)[8] et donc difficilement transposables.

5. De même, pour ce qui est de la reconnaissance légale de la signature électronique, le projet propose l'introduction d'un nouvel article 15a du Code suisse des obligations, qui aurait la teneur suivante : "Lorsqu'un contrat est conclu par un échange de données électroniques, la signature électronique est assimilée à la signature manuscrite au sens de l'article 14, lorsqu'elle repose sur un certificat d'un fournisseur de services de certification reconnu au sens de la loi fédérale sur la signature électronique". On le voit, cette formulation exclut tout mécanisme d'authentification autre que la cryptographie asymétrique, comme l'examen des empreintes digitales ou de la rétine par exemple.

6. Un autre point probable de dispute dans le cadre du projet résidera certainement dans la formulation des règles sur la responsabilité des autorités de certification en cas de délivrance d'un certificat frauduleux ou d'utilisation abusive d'un tel certificat.

7. Le projet prévoit en effet qu'il appartient au titulaire de la clé privée de prouver une utilisation de celle-ci sans son consentement, en précisant toutefois que sa responsabilité est exclue s'il a apporté le soin nécessaire au maintien du caractère confidentiel de cette même clé privée. Selon le rapport explicatif accompagnant le projet, ces règles seraient cependant de nature dispositive. Par ailleurs, l'autorité de certification sera responsable du préjudice subi en raison de la délivrance d'un certificat frauduleux si elle a violé ses devoirs contenus dans la loi et en particulier si elle a tardé à suspendre ou révoquer un certificat, alors que son titulaire le lui demande. A noter que cette responsabilité est engagée même en l'absence d'une quelconque faute, c'est-à-dire même en cas de violation non fautive des devoirs imposés par la loi. En outre, le projet prohibe toute limitation (contractuelle ou non) de responsabilité de la part d'une autorité de certification (sauf à en faire mention sur le certificat même).

8. Sous l'intitulé de projet de "Loi fédérale sur le commerce électronique"[9], il s'agit en fait de réviser partiellement le Code des obligations ("CO") et la loi fédérale contre la concurrence déloyale ("LCD") et non pas d'introduire dans l'ordre juridique suisse un nouveau texte législatif consacré exclusivement au commerce électronique et qui regrouperait l'ensemble des questions soulevées par cette problématique. Ainsi, l'approche du législateur helvétique n'est pas horizontale (comme c'est le cas, au moins partiellement, pour la directive communautaire sur le commerce électronique du 8 juin 2000[10]), puisque les questions de compétence judiciaire et de droit applicable, celles liées à la responsabilité des fournisseurs d'accès et d'hébergement ou encore celles découlant de l'utilisation d'œuvres protégées par le droit d'auteur, sont par exemple complètement exclues. A nouveau, nous nous limiterons à quelques remarques essentielles[11].

9. Vu la rapidité des transmissions sur le réseau, l’interactivité des sites Internet et la facilité avec laquelle une acceptation par "click" peut survenir, la probabilité d’un consentement donné par inadvertance est certainement supérieure dans le monde numérique que dans la marche traditionnelle des affaires, surtout dans le cadre de contrats conclus avec des consommateurs.

10. Cette spécificité du réseau et les abus qu’elle pourrait entraîner sont pris en compte par le droit suisse à plusieurs égards : respect d’un certain formalisme pour des transactions spécifiques et application, le cas échéant, des dispositions sur l’erreur. Même s’il ne concerne pas vraiment le mécanisme de formation du contrat mais intervient à un stade ultérieur pour se soustraire à une relation juridique par ailleurs valablement conclue, le droit de rétractation (ou de repentir) octroyé aux consommateurs dans les sept jours qui suivent la conclusion du contrat joue aussi un rôle protecteur et correctif par rapport à des consentements donnés par inadvertance, comme nous le verrons plus bas.

11. En outre, le projet du Conseil fédéral propose, à juste titre, de reprendre certains éléments de la directive communautaire du 8 juin 2000 sur le commerce électronique en modifiant la LCD de telle sorte qu'agirait de façon déloyale celui qui, notamment, "offre à distance, y compris par la voie du commerce électronique, des marchandises, des œuvres ou des prestations et omet de donner des indications claires et complètes sur son identité, son siège social ou son domicile, son adresse, les caractéristiques essentielles des produits offerts, les prix, l’ensemble des frais à la charge du client ou les conditions de paiement" ou encore celui qui, notamment, "omet, en offrant par la voie du commerce électronique des marchandises, des oeuvres ou des prestations:

- de fournir les coordonnées exactes d'une adresse de contact, y compris celle du courrier électronique;

- de mentionner les différentes étapes techniques à suivre pour conclure le contrat;

- de mettre à disposition les moyens techniques permettant à la clientèle, d’identifier et de corriger des erreurs commises dans la saisie des données avant que la commande soit enregistrée".

12. Concrètement, il sera donc nécessaire de permettre à l'internaute, qu'il soit ou non consommateur, de récapituler les achats effectués avant de confirmer la transaction.

13. Le dernier point que nous aborderons ici concerne les contrats conclus à distance, soit sans que les parties soient physiquement en présence l'une de l'autre, pour lesquels le projet prévoit d'introduire un droit de rétractation (cool-off period) à l'instar des règles existantes en droit communautaire (directive 97/7 du 20 mai 1997 sur les contrats conclus à distance[12]) et en complément à la réglementation suisse existante en matière de contrats dits de "démarchage à domicile", dont l'application sur Internet est, au mieux, incertaine.

a. Les exceptions prévues à l'application du droit de rétractation couvriraient, en particulier, l'ensemble des contrats portant sur des services financiers et les contrats d'assurance (lettre b), les contrats "portant sur des biens confectionnés selon les spécifications de l'acquéreur ou qui, du fait de leur nature, ne peuvent être réexpédiés ou sont susceptibles de se détériorer rapidement" (lettre c) ainsi que les "services personnalisés" (lettre d). L'exclusion spécifique des services financiers serait justifiée, selon le rapport explicatif, par le traitement séparé que le droit communautaire a également réservé à ce type de transactions, pourtant en plein essor sur Internet, en les excluant du champ d'application de la directive 97/7 et en les soumettant à un régime spécifique qui devrait faire l'objet d'une nouvelle directive, pas encore adoptée. Il est vraisemblable que cette exclusion fera également l'objet de discussions en Suisse. Quant aux exceptions prévues aux lettres c et d, elles seraient justifiées par l'investissement consenti par le fabricant ou le fournisseur dans sa prestation, en suivant les instructions et desiderata du client, pour qui le risque d'une décision précipitée et irréfléchie serait donc moindre alors que le coût de personnalisation supporté par le fabricant ou le prestataire de services serait important. Cette argumentation semble pourtant fragile : aujourd'hui, et demain plus encore, chaque vendeur en ligne et chaque prestataire de services sur Internet joue sans réserve la carte de la personnalisation des services en ligne ("customer relationship management [CRM]"), rendue possible par la récolte extensive d'informations personnelles et comportementales, notamment par le biais de cookies, qui traquent les habitudes de consommation et les goûts du client, parfois à son insu. Ainsi, le risque de décision irréfléchie paraît toujours réel. Par ailleurs, le vendeur ou le fournisseur de services en ligne serait évidemment enclin à s'opposer à l'invocation d'un droit de rétractation en prétendant avoir "personnalisé" son produit ou sa prestation, alors que cette personnalisation ne lui a rien coûté, en tous les cas pour des transmissions numériques (par exemple, benchmarking d'indices financiers de performances en fonction des goûts exprimés par le client).

b. Le droit de rétractation est exclu dans d'autres cas encore et en particulier si le contrat porte "sur des enregistrements audio ou vidéo ou des logiciels informatiques descellés par l'acquéreur, qui peuvent être téléchargés ou auxquels l'acquéreur peut avoir accès" (art. 40f lettre b). Selon le rapport explicatif, cette disposition a pour but d'exclure l'application d'un droit de rétractation pour "les biens dont le contenu peut être facilement copié", ce qui ne serait pas le cas s'ils étaient maintenus "scellés". L'argument semble éloigné du fondement de la réglementation, à savoir la protection du consommateur contre un engagement irréfléchi. En outre, une révocation ne serait possible qu'avant l'utilisation du bien en question, ce qui limite évidemment considérablement son attrait. Par ailleurs, l'exclusion s'étend à tout enregistrement audio ou vidéo ainsi qu'à tout logiciel informatique pouvant être téléchargé ou accessible (formulation qui est loin d'être claire). A lire cette disposition, il semblerait donc que 98% du commerce électronique en ligne à l'heure actuelle soit tout simplement exclu du champ d'application du droit de rétractation : qu'est-ce qui peut être téléchargé sans être soit un logiciel, soit un enregistrement audio ou vidéo ? Des images fixes ? Enfin, le recours à la notion d'"enregistrement" paraît source de confusion, dans la mesure où elle ne recouvre pas forcément les dernières techniques de transmission de données (par exemple streaming, webcasting…).

c. L'article 40c CO exclut encore de la définition des contrats conclus à distance les "ventes aux enchères" sans autres précisions. Si l'on comprend aisément le souci légitime du législateur de ne pas permettre l'annulation rétroactive de transactions passées dans le cadre de ventes aux enchères publiques traditionnelles, la formulation retenue n'est pas heureuse. En effet, la majorité des fraudes en ligne surviennent précisément dans le cadre d'achats effectués sur des sites auto-proclamés de "ventes aux enchères", dont la qualification n'est pas certaine. Evidemment, la distinction n'est pas aisée, mais l'on aurait au moins pu n'exclure que les ventes aux enchères impliquant une adjudication publique.

d. Le projet d'article 40h CO constitue une grande nouveauté, puisqu'il permet à l'acquéreur de "faire valoir la révocation à l'encontre d'un tiers qui a financé le paiement du bien ou du service, notamment l'émetteur d'une carte de crédit ou d'une carte de client". Si cette disposition est adoptée, elle facilitera évidemment considérablement la tâche du consommateur, mais compliquera singulièrement celle de l'émetteur de cartes de crédit, qui, selon le rapport explicatif, "ne pourra plus débiter le compte du consommateur ou devra recréditer les montants déjà débités ou restituer les sommes reçues". On imagine cependant volontiers qu'un tel tiers ne procédera pas de la sorte sans s'être assuré au préalable auprès du fournisseur du bien-fondé de la révocation invoquée...

15. Les deux projets de lois fédérales mis en consultation constituent une étape majeure vers l'amélioration des conditions-cadre susceptibles d'encourager l'essor du commerce électronique en Suisse. L'accent mis sur la sécurisation et la transparence des transactions, la protection des consommateurs et la compatibilité internationale des solutions sont autant de points positifs. On peut néanmoins regretter l'absence de neutralité technologique des règles proposées en matière de signature électronique et l'aménagement de nombreuses exceptions, parfois trop larges selon nous, au régime des contrats conclus à distance.

16. En tout état de cause et même si ces textes font certainement l'objet de discussions nourries au Parlement fédéral, les acteurs et les utilisateurs du réseau en Suisse ont, dès aujourd'hui, une idée bien plus précise des règles de fonctionnement du commerce électronique auxquelles ils seront très bientôt soumis.

[1] Le document est accessible à l'adresse <http://www.isps.ch/fre/stored_documents/HTML/42.html>.

[2] Texte du projet de l’Ordonnance sur l’infrastructure à clé publique suisse (OICP) du 3 juin 1999, <http://www.bakom.ch/fre/subsubpage/docs/806/806.pdf>); Rapport explicatif de l’OFCOM accompagnant le projet d’Ordonnance du 3 juin 1999, <http://www.bakom.ch/fre/subsubpage/docs/807/807.pdf>); Résumé des prises de position des milieux consultés sur le projet d’Ordonnance du 3 juin 1999, <http://www.bakom.ch/fre/subsubpage/docs/1032/1032.pdf>.

[3] Voir le document publié par l'OFCOM, Résumé des prises de position, disponible sur le site <http://www.bakom.ch>.

[4] Ordonnance du 12 avril 2000 sur les services de certification électronique (OScert), RS 784.103, RO 2000 1257, <http://www.admin.ch/ch/f/as/2000/1257.pdf> ; Commentaire concernant l'ordonnance du 12 avril 2000 sur les services de certification électronique (OSCert) par l’OFCOM, <http://www.bakom.ch/fre/subsubpage/document/265/1290>.

[5] Prescriptions d'exécution de l'ordonnance sur les services de certification électronique (OCSert) (projet du 9 janvier 2001), <http://www.bakom.ch/fre/subsubpage/document/309/1576>.

[6] Avant-projet de Loi fédérale sur la signature électronique et Rapport explicatif du 17 janvier 2001, <http://www.ofj.admin.ch/themen/e-commerce/vn-ve-a-f.pdf> et <http://www.ofj.admin.ch/themen/e-commerce/vn-ber-a-f.pdf>.

[7] Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques, JOCE n° L 13/12 du 19 janvier 2000, <http://www.ispo.cec.be/ecommerce/legal/documents/1999_93/1999_93_fr.pdf>.

[8] Pour une explication du fonctionnement d'un système PKI, voir par exemple Thomas Legler, Electronic Commerce mit digitalen Signaturen in der Schweiz, Berne 2000; Michel Jaccard, "Forme, preuve et signature électronique", in: Aspects juridiques du commerce électronique, Actes du Colloque sur le Commerce électronique de l'Association genevoise de droit des affaires, Zürich 2001, p. 113-155.

[9] Avant-projet de Loi fédérale sur le commerce électronique et Rapport explicatif du 17 janvier 2001, <http://www.ofj.admin.ch/themen/e-commerce/vn-ve-b-f.pdf> et <http://www.ofj.admin.ch/themen/e-commerce/vn-ber-b-f.pdf>.

[10] Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»), JOCE n° L 1781/1 du 17 juillet 2000 <http://europa.eu.int/ISPO/ecommerce/legal/documents/2000_31ec/2000_31ec_fr.pdf>.

[11] Pour une présentation plus complète, voir par exemple Michel Jaccard, "La formation du contrat en ligne et la vente aux enchères sur Internet", in: Quelques facettes du droit de l'Internet, Neuchâtel 2001, p. 51-74.

[12] Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance, JOCE n° L 144/19 du 4 juin 1997, <http://www.europa.eu.int/eur-lex/fr/lif/dat/1997/fr_397L0007.html>.