{{1}}
1. Le cadre législatif
Le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014, dit règlement eIDAS, est ambitieux : favoriser le commerce électronique au sein du marché intérieur en sécurisant l’identification électronique des personnes et les transactions électroniques. Cela concerne naturellement l’envoi des LRE. Ainsi, au niveau national, la loi pour la République numérique du 7 octobre 2016 - appliquant le règlement - dispose, dans son article 93, que « l'envoi recommandé électronique est équivalent à l'envoi par lettre recommandée ». Le décret d’application du 9 mai 2018 a inscrit ces principes dans le code des postes et des communications électroniques (CPCE) aux articles R. 53 à R. 53-4. Ceux-ci sont entrés en vigueur le 1er janvier 2019. Toutes ces dispositions offrent une clarté et une sécurité nécessaires aux recommandés électroniques, notamment en ce qui concerne l’identification des personnes, la preuve du dépôt et de la réception, et les délais.
En ce sens, le règlement européen eIDAS met en place tous les processus nécessaires à l’identification du destinataire et de l’expéditeur.
{{2}}
2. Les conditions pour une LRE fiable et sécurisée
Le règlement européen pose les conditions visant à s’assurer de l’identité de l’expéditeur et du destinataire, éléments indispensables pour une preuve pure et parfaite.
- Vérification de l’identité
C’est le point central qui conditionne l’efficacité de la LRE. À ce niveau, le règlement européen tâche d’être le plus précis possible. Conséquemment, il distingue deux vérifications : une vérification initiale et une vérification ultérieure, que ce soit pour l’expéditeur ou le destinataire.
S’agissant de la vérification initiale de l’expéditeur, il faut se référer à l’article 24, §1 a), b), c), ou d). À titre d’exemple, le prestataire de services de confiance qualifié doit s’assurer de l’identité de l’expéditeur “au moyen d’un certificat de signature électronique qualifié ou d’un cachet électronique qualifié”.
Quant à l’identité du destinataire, celle-ci est vérifiée selon les modalités de l’article 8 §3 du règlement. Ces modalités contrôlent la fiabilité du prestataire sur l’identification des personnes, en analysant par exemple les moyens déployés pour produire un certificat électronique, les mécanismes d’authentification, ou encore les spécifications techniques et de sécurité. Ainsi, le prestataire peut se voir attribuer différents niveaux de garantie : faible, substantiel et/ou élevé.
En ce qui concerne la vérification ultérieure (art. 53-1 CPCE), le prestataire délivre un certificat électronique réutilisable pour attester de l’identité de l’expéditeur ou du destinataire. Ainsi, à chaque vérification, il conviendra d’utiliser ce certificat. Si un tel document n’est pas produit par le prestataire, la vérification initiale sera de nouveau nécessaire.
- La preuve
La question la plus souvent répandue concerne la preuve d’un tel mécanisme. Là aussi, la loi vient encadrer le recours à la LRE. L’article 53-2 du CPCE dispose :
“Le prestataire de lettre recommandée électronique délivre à l'expéditeur une preuve du dépôt électronique de l'envoi. Le prestataire doit conserver cette preuve de dépôt pour une durée qui ne peut être inférieure à un an”.
Certaines mentions doivent être respectées, comme la raison sociale de l’expéditeur et du destinataire, la date et l’heure du dépôt grâce à un horodatage qualifié, la signature électronique avancée, etc.
Ce certificat constitue une preuve parfaite qui liera le juge en cas de litige. L’expéditeur est tenu de la conserver précieusement, sur un service de cloud1, ou en local. Quoi qu’il en soit, le prestataire le conservera au moins un an.
Coté destinataire, le prestataire l’informe qu’une lettre lui est adressée : “Le prestataire de lettre recommandée électronique informe le destinataire, par voie électronique, qu'une lettre recommandée électronique lui est destinée et qu'il a la possibilité, pendant un délai de quinze jours à compter du lendemain de l'envoi de cette information, d'accepter ou non sa réception” (art. 53-3 CPCE). Si le destinataire accepte la réception, le prestataire lui transmet et doit garder une preuve de la réception pendant au moins un an. S’il refuse la réception ou ne se prononce pas, le prestataire doit en informer l’expéditeur en lui fournissant une preuve de ce refus ou de cette non-réclamation, avec la date et l’heure.
Tous les prestataires offrant ces services sont contrôlés par l’autorité nationale compétente, qui les certifie ou non. En France, c’est l’agence nationale de la sécurité des systèmes d'information (ANSSI) qui se charge de cette certification. Elle établit par ailleurs une liste de prestataires certifiés.
Prenez 5 minutes pour découvrir les nombreux avantages de la dématérialisation avec Axiocap.