Introduction La vie en société, animée par les relations économiques des individus qui la composent, ne peut se dérouler sans un encadrement juridique garantissant sa cohésion. En effet, droit et société sont indissociables, car le premier a pour vocation de refléter, incarner et accompagner l'évolution de la seconde à chaque étape. Ainsi, pour répondre aux besoins d'une société en pleine mutation, le droit doit se réinventer et se réformer au rythme de cette évolution. De ce fait, avec le développement des nouvelles technologies et, en parallèle, celui du commerce électronique, il est devenu nécessaire d'adapter le droit à cette nouvelle réalité sociale. En effet, le début du 21e siècle se caractérise par une concurrence marquée entre les contrats conclus en face-à-face et ceux souscrits par voie numérique. Du contrat oral à l'écrit papier, nous assistons aujourd'hui à une dématérialisation des contrats, tant dans leur formation que dans leur exécution . Cette révolution s'est accompagnée d'une modernisation des moyens de paiement pour faciliter la mise en œuvre des contrats, quel que soit leur support. Ainsi, des instruments de paiement sur support papier avec une signature manuscrite, tels que la lettre de change, le billet à ordre ou le chèque, nous sommes passés à des moyens de paiement de plus en plus dématérialisés . En effet, pour assurer la confiance des acteurs au commerce électronique, il est devenu plus que jamais nécessaire de trouver une solution garantissant la sécurisation des transactions car le défi majeur de la dématérialisation des relations contractuelles réside dans l'imputation des engagements à leur auteur. Il est d'ailleurs fréquent, dans le domaine bancaire et financier, que des clients contestent l'authenticité d'un acte qui leur est imputé, au motif que celui-ci a été réalisé par un tiers, à leur insu : la fraude bancaire . En fait, des escrocs opérant dans le monde numérique ont recours à des techniques de fraude de plus en plus sophistiquées au grand malheur des consommateurs et des acteurs du commerce électronique consistant à usurper l'identité d'une personne pour souscrire ou exécuter une transaction en son nom, mais à son insu avec des conséquences financières non-négligeable . D'ailleurs, selon la Banque centrale européenne (BCE) et l'Autorité bancaire européenne (ABE), “La valeur totale des opérations frauduleuses (virements, prélèvements, paiements par carte, retraits d'espèces et transactions en monnaie électronique) dans l'EEE s'est élevée à 4,3 milliards d'euros en 2022, et 2,0 milliards d'euros au premier semestre 2023. En valeur, la majeure partie des fraudes sur les paiements sont liées aux virements et aux paiements par carte ; les paiements par carte représentant également la majorité des fraudes en volume. Au premier semestre 2023, la fraude à la carte impliquant des cartes émises dans l'EEE a représenté 0,031 % 1 de la valeur totale et 0,015 % du nombre total de paiements par carte. Des taux de fraude similaires ont été observés pour les transactions en monnaie électronique (0,022 % en valeur et 0,012 % en volume). Les taux de fraude sont nettement plus faibles pour les autres instruments, en particulier les virements (0,001 % en valeur et 0,003 % en volume)” . Ainsi, pour surmonter cet obstacle afin d'assurer une sincérité aux transactions électroniques, il est donc fondamental, avant de conclure tout engagement contractuel en ligne, de procéder à l'authentification des cocontractants afin de garantir l'imputabilité de l'acte aux souscripteurs. C'est dans cet ordre d'idée que s'inscrit notre sujet qui porte sur une thématique cruciale de la société moderne : “ L'authentification de l'utilisateur d'un service bancaire et financier en ligne”. Cette réflexion a pour but de démontrer l'importance de l'authentification électronique aussi bien dans le cadre de la formation des contrats en ligne que dans l'exécution des opérations de paiement électronique. En effet, la notion d'authentification est devenue, avec la dématérialisation des transactions, “le sésame du numérique” qui ne peut être ignoré par les juristes au risque d'entrainer une mauvaise application des règles encadrant les opérations numériques . Le choix de cette thématique résulte de plusieurs observations issues à la fois de nos recherches et de notre pratique. En effet, au sein de la médiation de l'Association Française des Sociétés Financières (ASF) où nous avons eu la chance d'effectuer notre apprentissage dans le cadre de notre master 2, il nous a été donné de constater que 50 % des dossiers traités dans notre service relèvent de la fraude bancaire, ce qui illustre l'importance de ce litige dans le contentieux entre utilisateurs et prestataires de services de paiement. D'ailleurs, excité par la sensibilité de la question, nous avions décidé de traiter dans le cadre de notre mémoire de master 2, la thématique relative à “l'obligation de remboursement du prestataire de service de paiement à son client victime de fraude bancaire”. Cela a été pour nous l'occasion d'être initié à la notion d'authentification dans le cadre spécifique de la fraude au paiement non autorisé. Nous avions pu relever à cet égard, que, bien qu'indispensable pour l'exécution d'une transaction numérique, à quelques exceptions près, l'authentification ne garantit pas l'autorisation de la transaction . De même, en effectuant des recherches dans le cadre de notre projet de thèse sur les contrats électroniques, il nous a été donné de constater que l'authentification joue un rôle fondamental dans leur processus de validation . Qui plus est, nous notons également que dans le but de garantir une confiance au commerce électronique, l'Union européenne a adopté plusieurs règles destinées à règlementer les transactions numériques. Depuis la directive du 13 décembre 1999 relative au cadre communautaire pour les signatures électroniques , en passant par les directives de 2009 et 2015 sur les services de paiement ainsi que celles de 2000 et 2009 concernant la monnaie électronique , sans oublier le règlement du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (Règlement eIDAS) , et avec la perspective de l'adoption d'un nouvel ensemble législatif comprenant la directive sur les services de paiement 3 (DSP3) et le premier règlement sur les services de paiement (RSP1) , le législateur européen s'efforce de garantir la confiance dans le commerce électronique et de renforcer la protection de ses utilisateurs. Cette réglementation a pour vocation de rendre attractif le commerce numérique tout en garantissant aux consommateurs une expérience numérique stimulante. En effet, entre l'obligation de renforcer la pratique de l'authentification des utilisateurs de services dématérialisés et la volonté de renforcer la confiance des consommateurs au commerce électronique, il s'en évince un paradoxe : • L'incitation à avoir confiance dans le e-commerce • La mise en garde contre le risque de fraude qui en découle. Or, si pour le législateur, le meilleur moyen de palier la survenance de la fraude est d'assurer une authentification électronique réussie des utilisateurs de services dématérialisés, en pratique, la portée juridique de la notion d'authentification reste une énigme . En effet, que ce soit dans les contrats en ligne ou dans l'exécution des paiements électroniques, l'opération numérique acquière la pleine foi que si est seulement si le processus mis en place dans le cadre de son établissement garantit sans équivoque l'imputabilité de la transaction à celui à qui on l'oppose. Cependant, la pratique démontre que le sésame numérique n'assure pas pleinement ses vœux juridiques, car la technique n'est jamais exempte de faille . C'est fort de constater que nous tenons à démontrer au lecteur dans les lignes qui suivent que la notion d'authentification électronique aussi incontournable soit elle tant dans la formation du contrat que dans l'exécution d'un paiement (I), reste encore une notion “mal saisie” par les praticiens. Ceci est d'autant plus vrai qu'il est difficile d'affirmer avec certitude qu'une authentification électronique garantit l'authenticité à un acte dématérialisé. Nous relevons sur ce point que la force probante de l'authentification électronique est assujettie à la phase de son utilisation dans l'exécution d'une obligation souscrite en ligne, ce qui signifie que son appréciation n'est pas univoque en pratique. (II) I) L'authentification d'une transaction électronique Dans cette partie, il sera question de démontrer que l'authentification électronique joue un rôle important tant dans la formation d'un contrat (A) que dans l'exécution d'une opération de paiement en ligne (B). A) L'authentification d'un contrat électronique Avec l'avènement de l'internet et le développement du commerce électronique, il est apparu nécessaire de mettre en place des moyens permettant de relier les informations sous forme électronique aux personnes qui les émettent afin de s'assurer de leur imputabilité à leur auteur légitime. Les techniques permettant de parvenir à l'imputabilité d'une information sous forme électronique à son auteur sont souvent appelées de façon générique “Authentification électronique” ou “signature électronique” , même si parfois, certaines distinctions sont faites entre les deux notions. En effet, la distinction entre “authentification “et “signature” trouve sa source des conceptions que les pays ont de ces notions dans leur usage concernant le monde papier. Ainsi, si dans les pays de common law “Authentification” et “signature” sont souvent employé dans la synonymie, les pays de droit romain, quant à eux, ont une conception différente entre “Authentification” et “ Signature” . Par exemple, en France, la conception originelle du mot “authentification” “consiste en l'opération effectuée par un officier public compétent matériellement et territorialement qui dresse un acte selon les solennités requises. Ses diligences permettent de conférer la qualité juridique d'authenticité au sens de l'article 1317 du code civil” . Ce qui voudrait dire qu'un acte, même signé, n'est pas assimilé à un acte authentifié qui nécessite l'intervention d'un tiers dépositaire de l'autorité publique pour procéder à l'authentification de celui-ci. La spécificité de l'acte authentique réside ainsi dans la confiance accordée au témoignage de l'officier public, qui atteste avoir identifié les parties et recueilli leur consentement à l'exécution de l'acte. Les constatations de l'officier public, faites “ex propriis sensibus” (perçues par ses propres sens), confèrent à l'acte une force probante et une force exécutoire. Or, dans le secteur informatique, la dissociation de ”l'authentification électronique” et ”la signature électronique” est difficile à établir dans la mesure où l'authentification et la signature partagent une même finalité : l'imputabilité de l'acte à son auteur, et par ricochet, la même force probante devant les tribunaux. Cet état de fait a l'inconvénient de créer des incohérences dans l'utilisation de la terminologie. Des expressions qui étaient traditionnellement employées pour désigner un acte particulier en droit, sont aujourd'hui utilisées dans le secteur numérique pour décrire des fonctionnalités ne correspondant pas avec leur conception originelle dans le langage juridique . Pour parvenir à l'authentification ou la signature d'un acte électronique, les acteurs ont recours à l'intervention d‘un expert en informatique, donc du domaine privé, qui confère l‘authenticité à l‘acte en garantissant son lien avec le signataire : le tiers de confiance. Ce tiers a pour mission de “fournir la sécurité et la confiance dans les communications numériques en assurant des fonctions juridiques fondamentales telles que l'identification de l'auteur, l'intégrité et la non-répudiation des messages” . Les tiers de confiance jouent un rôle clé dans la promotion de l'économie numérique, tout en aidant à prévenir les risques inhérents à ce secteur. Leur objectif est de garantir aux utilisateurs une expérience sécurisée et réussie dans leurs interactions avec le commerce en ligne. Créée en 2001, la Fédération des Tiers de Confiance regroupe plusieurs membres répartis en cinq collèges : Collège 1 : Prestataires et éditeurs de confiance labellisés ou certifiés Collège 2 : Prestataires et éditeurs de confiance Collège 3 : Experts et représentants des utilisateurs Collège 4 : Institutionnels et professions réglementées Collège 5 : Utilisateurs de services de confiance . Pour être reconnus comme tiers de confiance, les prestataires de services doivent être agréés par les pouvoirs publics. En France, cette mission est assurée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Le tiers de confiance a pour rôle de garantir l'authenticité de l'acte et la fiabilité de son contenu. À cet effet, le dispositif sécurisé de création de signature électronique découlant de l'authentification électronique doit, par des moyens techniques et des procédures appropriés, garantir que les données de création de la signature sont spécifiques à l'acte concerné et protégées par un système de cryptage empêchant toute falsification. De plus, ces données doivent être intelligibles afin que le signataire puisse connaître le contenu de l'acte avant d'apposer sa signature . Outre la confusion conceptuelle entre “signature électronique” et “authentification électronique” découlant de leur transposition du monde papier vers le secteur numérique, il convient de préciser que dans le monde informatique, il est fréquent que certaines notions concernées par le processus d'authentification d'un acte électronique soient confondues avec l'authentification proprement parlée. De ce fait, il nous semble important de distinguer l'authentification électronique de l'identification et de l'autorisation électronique. En effet, si l'identification électronique répond à la question de savoir qui est l'utilisateur du serveur, l'authentification, quant à elle, répond à la question de savoir si l'identifier prouve qu'il est bien celui qu'il prétend être. En ce qui concerne l'autorisation, elle répond à la question de savoir si la personne authentifiée a le droit d'accéder au serveur pour lequel, elle a été authentifiée. - Sur l'identification Identification est la première étape du processus permettant de prouver la sincérité d'un acte électronique. En effet, elle a pour vocation de vérifier que la personne qui souhaite utiliser un serveur informatique avait été préalablement enregistrée dans le système. Cela se fait généralement via un identifiant unique tel qu'un nom d'utilisateur, une adresse email ou un numéro de téléphone. Ce qui permet à l'utilisateur d'avoir un identifiant unique le distinguant des autres utilisateurs du serveur . - Sur l'authentification L'authentification intervient à la suite de l'identification afin de s'assurer que l'utilisateur ayant renseigné son identifié est bien quelqu'un que le système reconnait pour pouvoir lui permettre d'y avoir accès. Cela se fait généralement par le biais de système d'authentification mise en place par l'établissant autorisant l'accès . - Sur l'autorisation L'autorisation constitue la phase finale du processus d'authentification dont la vocation est de déterminer ce à quoi l'utilisateur peut avoir accès. Dans le cadre de notre étude, le droit d'accès peut renvoyer à la connexion à l'espace personnel du client, à la possibilité de signer un contrat à partir d'un système informatique etc . C'est la combinaison de l'identification, l'authentification et l'autorisation qui permet l'établissement de la sincérité d'un acte électronique. D'ailleurs, s'il est vrai que l'authentification est requise dans le cadre de la formation d'un contrat électronique, il n'en reste pas moins que son concours est obligatoire, à quelques exceptions près, dans l'exécution des paiements en ligne. B) L'authentification d'un paiement électronique L'évolution rapide du paiement numérique a créé un besoin de renforcer la sécurité des mécanismes de paiements électronique afin d'éviter les risques de détournement des opérations de paiement et d'améliorer la protection des consommateurs. C'est dans ce sens que le législateur de l'Union européen a adopté plusieurs directives afin de règlementer le paiement électronique dans le marché intérieur. C'est dans cette optique qu'a été adoptées une série de directives visant à règlementer l'exécution des paiements électroniques . Il résulte de l'analyse de ces directives que le législateur européen accorde une importance capitale à l'authentification des opérations de paiement en ligne. C'est dans cette optique que l'authentification des opérations de paiement a connu, avec l'évolution des directives, un renforcement. De l'authentification à un facteur, on est passé à l'authentification forte. Cette authentification se fait par le biais de modalités d'authentification qui permettent à l'utilisateur de fournir des informations confirmant son identité. Elles sont souvent regroupées en trois catégories : ce que l'on sait (un mot de passe), ce que l'on est (les solutions biométriques) et ce que l'on possède (un téléphone portable) . - Sur le facteur de connaissance (ce que je sais) Un facteur de connaissance concerne le mode d'authentification dans lequel, l'identifié communique une information qu'il mémorise dans le cadre de son authentification dans un système. L'exemple qui est souvent donné pour illustrer le facteur connaissance est le mot de passe. Selon l'ANSSI, un mot de passe est “un secret devant être mémorisé par un utilisateur, quelle que soit la forme de ce secret (mot de passe, phrase de passe ou code PIN).” . Une classification des mots de passe a été effectuée par l'ANSSI en se fondant sur l'usage et les risques liés au mot de passe utilisé. On peut distinguer trois catégories de mots de passe : • Les mots de passe que l'utilisateur se doit de mémoriser : on peut citer en guise d'illustration “les mots de passe ne pouvant pas facilement être gérés par un coffre-fort de mots de passe, comme le mot de passe d'une session Windows.” . • Les mots de passe dont la mémorisation n'est pas obligatoire, comme les mots de passe conservés et générés par un coffre-fort de mots passe permettant leur récupération automatique à chaque connexion dans le système. • Les numéros d'identification personnels (Code P.I.N) qui assurent une certaine sécurité notamment liée à la limitation du nombre de tentative possible. - Sur le facteur de possession (ce que je possède) Un facteur de possession est le facteur qui permet à un objet physique détenu uniquement par l'utilisateur légitime “de stocker des secrets non mémorisables par un humain (et n'ayant pas vocation à être mémorisés par un humain)” dans le cadre de l'exécution d'une opération en ligne. C'est l'exemple du téléphone portable utilisé dans le cadre du paiement en ligne pour permettre la réception des informations cryptées afin de valider une opération par le biais de ce téléphone. - Sur le facteur inhérence (Ce que je suis) Le facteur inhérence est la modalité d'authentification permettant d'identifier une personne à partir de ses données biométriques. Celles-ci peuvent être entre autres l'ADN, le sang, l'empreinte digitale, la forme de l'iris, la forme du visage, la voix, etc. . Le recours à l'authentification par le facteur d'inhérence à l'avantage de permettre à l'utilisateur de pouvoir s'authentifier sans devoir se remémorer son mot de passe ni risquer de perdre le contrôle de son objet d'authentification, comme cela est possible en matière d'authentification par le facteur de possession. Ces différents facteurs sont utilisés pour faciliter l'exécution des opérations de paiement en ligne. La robustesse d'une opération d'authentification dépend du nombre de facteurs utilisés. Ainsi, nous pouvons classer les modes d'authentification en trois catégories : l'authentification simple, l'authentification forte et l'authentification multi-facteur. • Sur l'authentification simple L'authentification simple est une méthode d'authentification qui repose sur un seul facteur d'authentification pour vérifier l'identité d'un utilisateur. Ce facteur peut être sur la connaissance, la possession ou l'inhérence. La méthode la plus courante d'authentification simple est l'utilisation d'un mot de passe. Il n'offre pas beaucoup de garantie de sécurité, c'est la raison pour laquelle la commission nationale de l'informatique et des libertés (CNIL) recommande d'avoir recours à l'authentification multi facteur dans le processus d'exécution des opérations en ligne . • Sur l'authentification multi facteur Une authentification multi facteur est une authentification ayant recours à plusieurs facteurs d'authentification comme la connaissance, la possession ou l'inhérence, étant précisé que les facteurs utilisés doivent être différents l'un de l'autre de sorte que la compromission de l'un n'impacte pas l'autre. • Sur l'authentification forte Une authentification forte est une authentification qui combine deux éléments des facteurs d'authentification comme la connaissance et la possession ou la possession et l'inhérence. C'est ce mode d'authentification qui est requis dans le cadre des paiements en ligne depuis la transposition en droit interne de la deuxième directive sur les services de paiement dite DSP2 . Cependant, il est fréquent que l'authentification multi facteur soit confondue avec l'authentification forte en langage courant alors que les deux expressions ne sont pas identiques. En effet, une authentification reposant sur un seul facteur peut parfois être considérée comme forte, tandis qu'une authentification utilisant deux facteurs d'identification différents ne garantit pas nécessairement une authentification forte . Nous venons de voir que l'authentification est une notion qui occupe une place de choix dans le secteur numérique, notamment en ce qui concerne le commerce électronique, même si son mode d'emploi est sujet à confusion, en pratique. Or, le recours à l'authentification ayant pour vocation d'assurer l'imputabilité de l'acte au cocontractant légitime, son établissement devrait permettre aux parties d'éviter les éventuelles contestations. Le cas échéant, il incombera à la partie qui invoque l'acte de rapporter la preuve de la validité de l'engagement de celui à qui il est opposé : la preuve littérale électronique. Cette preuve à une force probante qui diffère en fonction de la phase du contrat. Si la preuve littérale électronique est un moyen qui permet de rapporter la preuve de la sincérité d'un acte au même titre que la signature sur support papier, il n'en demeure pas moins qu'en matière de paiement électronique, une preuve de l'authentification ne saurait dispenser, à elle seule, le prestataire de services de paiement de son obligation de rembourser son client victime de fraude. Il en résulte que le niveau de fiabilité de l'écrit électronique varie selon que l'on invoque au soutien de la sincérité d'un contrat ou de l'autorisation d'un paiement en ligne. II) Une force probante de l'authentification électronique assujettie à l'acte invoqué Dans cette partie, nous mettrons l'accent sur la force probante de l'authentification en matière de transaction électronique. Ainsi, nous verrons qu'une authentification électronique a plus de poids juridique en matière de formation du contrat électronique (A) qu'elle en a en matière d'autorisation d'une opération de paiement en ligne (B) A) La force probante de l'authentification électronique renforcée en matière de formation du contrat L'authenticité du consentement exprimé en ligne est devenue une problématique complexe, suscitant l'intérêt tant des juristes que des informaticiens. Ces deux disciplines sont désormais chargées, dans une collaboration parfois qualifiée d''infernale” , d'assurer la sécurisation des transactions électroniques. Ainsi, l'informaticien a pour mission de concevoir un système d'authentification fiable, capable d'inspirer la confiance des consommateurs, tandis que le juriste doit démontrer la force probante de l'écrit électronique. C'est dans cette optique que le législateur français, en transposant la directive européenne relative à la signature électronique en 2000 , a proclamé l'équivalence entre l'écrit sous forme électronique et l'écrit sur support papier, sous réserve du respect de certaines conditions. Le titre même de la loi du 13 mars 2000 était révélateur : ”adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique”. L'objectif était alors de garantir la prise en compte de la preuve électronique dans les contentieux liés aux transactions numériques. À cet égard, l'article 1365 du Code civil stipule que : “L'écrit consiste en une suite de lettres, de caractères, de chiffres ou de tout autre signe ou symbole dotés d'une signification intelligible, quel que soit leur support.” Cela signifie que le support électronique ne prive en rien l'écrit électronique de sa reconnaissance en tant que preuve littérale. Pour dissiper les doutes des plus sceptiques, le législateur a précisé à l'article 1366 du Code civil que : “L'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.” Cet article consacre ainsi la reconnaissance de l'écrit électronique comme une preuve littérale, équivalente à l'écrit sur papier. Par ailleurs, le signataire d'un support électronique est présumé avoir manifesté son consentement à l'exécution des obligations découlant de l'acte qu'il a signé. Il est important de préciser en cet endroit que la force probante conférée à la signature électronique dépend de son niveau de fiabilité. En effet, il existe trois types de signatures électroniques : simple, avancée et qualifiée. Bien que toutes les signatures électroniques aient une valeur juridique , seule la signature électronique qualifiée bénéficie d'une présomption légale de fiabilité. Cette présomption joue un rôle clé dans la gestion des litiges concernant la contestation d'un acte électronique. Dès lors qu'une signature qualifiée est utilisée, il incombe à celui qui conteste l'acte de prouver qu'il n'en est pas l'auteur, autrement dit, il doit démontrer qu'il n'a pas apposé sa signature sur l'acte en question. Cette inversion de la charge de la preuve place la personne qui se prévaut de l'acte signé en position de force, car elle n'a pas à justifier de la sincérité de la signature, celle-ci bénéficiant de la foi publique en raison du processus rigoureux de la signature qualifiée. En revanche, lorsqu'il s'agit de signatures électroniques simples ou avancées, la personne qui invoque l'acte doit prouver que la signature l'électronique apposée sur le document émane bien de celui à qui on l‘oppose . C'est dans cette optique que certains auteurs s'interrogent sur une possible supériorité de la signature électronique qualifiée par rapport à la signature sur support papier, en raison de l'inversion de la charge de la preuve . Cependant, certains auteurs considèrent que l'écrit électronique ne peut servir de preuve au même rang que l'écrit sur support sur papier car selon eux le principe de neutralité technologique n'est qu'une “fiction déclaratoire” , visant à ”réputer vrai une affirmation dont la réalité ne s'impose pas d'évidence”. Ils estiment que cette déclaration fictive reflète surtout la logique du législateur européen, dont l'objectif premier serait de garantir le développement du marché intérieur, au détriment parfois de la protection des consommateurs. Dans la même veine, d'autres auteurs s'interrogent sur la possibilité pour une vérité scientifique de fonder une vérité judiciaire . Selon eux, la vérité scientifique ne peut se substituer ni au juge ni à l'enquêteur, ce qui voudrait dire qu‘une authentification électronique ne devrait être considérée comme une preuve irréfutable. Ils en concluent que la preuve judiciaire et la preuve numérique appartiennent à deux univers distincts, qu'il est impossible de concilier pleinement. Ainsi, l'office du juge consisterait alors à “accepter ou refuser de transformer une probabilité scientifique et technique en un fait juridique, générateur de droits” . Jean-Didier Graton, expert en informatique, soutient dans la même veine que la signature électronique n'est pas totalement exempte de failles. Selon lui, la facilité avec laquelle les attaquants parviennent à “casser” les clés de cryptage en est la preuve. Ce qui démontre que, même si l'équivalence formelle entre la preuve sur support papier et la preuve électronique est juridiquement établie, l'équivalence réelle reste sujette aux failles techniques . Par ailleurs, bien que la distinction entre les différents types de signatures électroniques soit importante, il arrive fréquemment que les juges interprètent de manière inexacte les actes électroniques qui leur sont soumis, en appliquant parfois le raisonnement propre à la signature électronique qualifiée à des signatures électroniques simples ou avancées. Cela montre que la présomption de fiabilité, spécifique à la signature électronique qualifiée, n'est pas toujours bien maîtrisée par les juges . En effet, l'appréciation de la signature électronique par les juges du fond est parfois trop rapide et manque de profondeur pour élucider la source de la fiabilité de l'acte. Souvent, les juges se contentent du fichier de preuve ou du commencement d'exécution du contrat pour en déduire sa validité, alors que tous les fichiers de preuve ne sont pas nécessairement fiables. De même, tout commencement d'exécution ne garantit pas forcément la reconnaissance de l'acte par la personne à qui il est opposé. Dans le cadre de la contestation d'un écrit électronique, le rôle du juge devrait être de déterminer la nature de la signature pour en déduire le régime juridique applicable. Si, après analyse, les juges constatent que l'acte électronique litigieux ne remplit pas les conditions posées par les articles 1366 et 1367 du Code civil, ils doivent, dans ce cas, procéder à la vérification de la fiabilité de l'acte conformément à l'article 287 du Code de procédure civile. En revanche, si l'acte électronique respecte les exigences des articles 1366 et 1367, le juge applique automatiquement la présomption de fiabilité, ce qui signifie que la charge de la preuve du défaut d'authenticité de l'acte incombe au contestataire, étant observé que selon Éric A. Caprioli, à l'état actuel du marché en France, il n'est pas possible de produire une signature électronique qualifiée répondant aux exigences du décret n° 2017-1416 du 28 septembre 2017. Or, dans un arrêt rendu le 15 septembre 2022 par la Cour d'appel de Nancy, les juges du fond ont accordé à une signature électronique simple, dont la fiabilité avait été démontrée, la présomption de fiabilité. Dans le même sillage, les juges du fond ont, dans un arrêt de la cour d'appel de Paris daté du 7 avril 2022, introduit pour la première fois la notion de “signature électronique imparfaite”, qu'ils ont ensuite requalifiée en commencement de preuve par écrit . Or, une signature électronique ne peut être ni parfaite ni imparfaite ; elle est soit valide, soit invalide. Dans le même sens, dans un arrêt rendu le 6 avril 2016, la Haute juridiction a rejeté un pourvoi en cassation qui demandait la déclaration de nullité d'un contrat électronique, en raison de l'absence de processus de création de signature électronique qualifiée. Pour ce faire, la Cour de cassation s'est appuyée de manière succincte sur la vérification effectuée par les premiers juges concernant les éléments de preuve fournis par l'intimé. Elle n'a cependant pas jugé nécessaire de rappeler que la validité d'une signature électronique ne dépend pas de sa qualité de signature électronique qualifiée . Par ailleurs, en ce qui concerne l'écrit électronique, notamment par le biais des courriels, nous constatons qu'il n'existe pas encore de jurisprudence établie à ce sujet. En effet, certains juges refusent de reconnaitre l'existence d'un engagement contractuel résultant uniquement des échanges d'emails, même si ceux-ci traduisent la rencontre des volontés des parties , tandis que d'autres acceptent qu'un contrat puisse être valablement formé par un échange de courriers électroniques, même lorsque l'écrit est requis ad validitatem . En dépit des difficultés qui résultent dans la mise en œuvre, en pratique, de la force probante de l'écrit électronique, il n'en demeure pas moins qu'un écrit électronique peut fonder, à lui seul, la preuve de l'existence d'un contrat. Ceci n'est pas le cas en matière de paiement électronique. B) La force probante de l'authentification électronique affaiblie en matière de paiement en ligne Par un arrêt rendu en date du 18 janvier 2017, la Haute juridiction est venue rappeler que l'authentification forte d'une opération de paiement n'est à elle seule pas suffisante pour faire supporter au titulaire du compte les pertes financières qui découlent de la fraude . En effet, dans cet arrêt, la haute juridiction précise que le prestataire de services de paiement ne peut faire supporter au payeur les pertes financières qui découlent de la fraude en se fondant uniquement sur le fait que le dispositif de sécurité lié à son instrument de paiement a été utilisé pour effectuer la transaction contestée. Ainsi, il ressort de cette jurisprudence qu'une opération de paiement authentifiée n'est pas simultanément assimilée à une opération de paiement autorisée. De ce fait, la Cour de cassation écarte toute possibilité pour le prestataire de services de paiement de se replier sur la fiabilité et l'efficacité du système de sécurité mis en place dans le cadre du processus d'authentification forte pour refuser de rembourser . Aussi, quand bien même le processus d'authentification forte de l'opération de paiement était affecté par aucune déficience technique ou piratage, la Cour de cassation n'en déduira pas la négligence grave du porteur de l'instrument de paiement pour refuser le remboursement. Dès lors, il apparait clairement que le niveau de fiabilité du dispositif de sécurité exigé dans l'authentification forte des opérations de paiement numérique est plus un facteur de lutte contre les fraudes en ligne, qu'une arme à la portée du prestataire de services de paiements à même de justifier de manière exclusive la responsabilité du porteur de l'instrument de paiement . Conclusion Les considérations ci-dessus montrent non seulement que les notions d'authentification électronique et de signature électronique, d'autorisation et d'identifications ne font pas l'objet d'une conception uniforme, mais aussi que la force probante qui leur est associée varient en fonction de la phase du contrat. Avec la reconnaissance de l'écrit électronique comme équivalent à l'écrit papier, la notion d'authentification en droit revêt deux définitions aux conséquences juridiques différentes : l'authentification électronique et l'authentification par un officier publique. Contrairement aux signatures sur support papier, la force probante d'une signature électronique dépend du processus de création qui peut varier d'une signature simple à une signature qualifiée, ce qui complique le raisonnement juridique pour les praticiens, y compris les juges. De même, bien que reconnue comme une preuve littérale, l'authentification d'une opération de paiement ne garantit pas son autorisation par le payeur. Or, comme le rappelle Éric A. Caprioli, la conclusion de contrats électroniques et l'exécution des paiements en ligne est devenue courante dans le secteur bancaire et financier. Aussi, une transaction en ligne n'étant jamais à l'abri du risque de détournement, il est fréquent que les consommateurs contestent des engagements effectués en ligne. Ainsi, avec l'émancipation des modes alternatifs de règlement des litiges, le Médiateur est devenu l'un des destinataires privilégiés des contestations de transactions électroniques. Pour résoudre ces litiges, il doit être bien informé de la législation applicable afin de garantir une application juste des textes de loi, ce qui nécessite une veille juridique rigoureuse. Or, le maitre mot dans la contestation des transactions électroniques est l'authentification de l'utilisateur du service bancaire et financier, souvent appelé consommateur. Toutefois, force est de constater que les textes encadrant l'authentification électronique, tant en matière de paiement non autorisé que de souscription de contrats, sont marqués par une évolution continue, révélant l'instabilité des règles de droit applicables. C'est fort de ce constat que nous avons proposé à l'Association française des sociétés financières de soutenir notre thèse, à la suite d'une expérience enrichissante au sein de leur structure durant notre master. Convaincus qu'une thèse CIFRE représente le meilleur moyen d'acquérir une expérience professionnelle significative tout en poursuivant notre développement académique, nous avons choisi un sujet de recherche au cœur des activités du Médiateur. Ainsi, outre les apports que cette recherche pourrait apporter au Médiateur en matière de conformité juridique, et d'anticipation sur les évolutions de la jurisprudence, l'Association française des sociétés financières pourra, sur la base des résultats de cette recherche, recommander à ses adhérents de mettre à jour leur système d'authentification afin de faciliter le travail du Médiateur. Sur le plan académique, cette thèse de doctorat a pour objectif de permettre une compréhension sans équivoque du sens juridique des notions techniques employées dans la sécurisation des transactions électriques. Aussi, après avoir relevé que la notion d'authentification électronique a une force probante qui varie en fonction de la phase du contrat, il sera question de faire des propositions permettant d'harmoniser l'application de l'authentification électronique dans le droit en vigueur. De plus, la vérification de la sincérité des transactions électroniques, notamment en matière de validité des contrats étant un défi pour les juges, en doctrinaire, nous proposerons des méthodes permettant de faciliter l'analyse de la fiabilité de ceux-ci. Ainsi, nous mettrons en place une grille de lecture servant de repère aux intéressés afin de déterminer la force probante correspondant à l'authentification électronique qui aurait permis l'établissement de l'acte contesté. En sus, nous veillerons à faire des publications régulières afin d'attirer l'attention des acteurs sur les risques découlant du défaut d'authentification forte et la nécessité pour les utilisateurs de veiller à la sécurité de leurs données de sécurisation afin d'éviter, au pire, de minimiser les risques de fraude.