Le ministère de l’économie et des finances publiques est en effervescence: après avoir sorti l’arrêté relatif à la signature électronique, le projet de nouveau code, voilà maintenant le décret relatif à la lettre recommandée électronique (LRE) publié au JO du 12 mai 2018.
L’importance de ce nouveau décret ne doit pas être sous-estimée. Il entrera en vigueur le 1er janvier 2019 (article 3), date à laquelle il abrogera l’ancien décret du 2 février 2011 (article 2). Et comme toute évolution normative, ce décret apporte son lot de bonnes et de mauvaises surprises. Ainsi, la LRE contractuelle (conforme au décret de 2011) ne nécessitant pas de vérification de l’identité du destinataire disparaitra au 1er janvier 2019 pour laisser place à la LRE conforme au règlement eIDAS de 2014, forcément plus contraignante.
Le décret modifie le code des postes et des communications électroniques afin d’y créer un nouveau livre consacré à la LRE (article 1). Deux sections relatives à la définition de la LRE d’une part et aux exigences requises pour celle-ci d’autre part, sont ainsi ajoutées.
La définition de la LRE
Le nouvel article R53 du code des postes définit la LRE comme un « envoi recommandé électronique » en renvoyant vers l’article L100 du même code qui renvoie lui, tout en finesse, vers les exigences de l’article 44 du règlement eIDAS.
Pour que la LRE soit équivalente à une lettre recommandée classique il faut donc désormais
- Que le service soit fourni par un prestataire de services de confiance (PSCo) et non plus un simple « tiers chargé de l’acheminement ». Pour prétendre à la qualification de PSCo, il faudra se conformer aux exigences de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
- Que l’identité de l’expéditeur comme du destinataire soient garanties avant la fourniture des données. Il faudra donc pour les PSCo vérifier rigoureusement l’identité du destinataire, ce qui n’était pas requis sous le décret de 2011.
- Que la LRE soit signée électroniquement par le prestataire et horodatée.
Les exigences requises pour la LRE
Le nouvel article R53-1 prévoit les modalités de la vérification initiale de l’identité du destinataire et de l’expéditeur. Simplification du droit oblige, cet article renvoie pour l’expéditeur vers les modalités prévues par l’article 24 du règlement eIDAS et pour le destinataire vers le point 2.1 de l’annexe du règlement n°2015/1502. Dans les deux cas c’est l’identité de la personne physique ou du représentant de la personne morale qu’il convient de vérifier.
Pour l’expéditeur, il conviendra de vérifier son identité en personne au moins une fois à moins d’utiliser une signature électronique qualifiée (définie par le règlement eIDAS).
Pour le destinataire, les dispositions sont d’une complexité telle, qu’il est tout à fait impossible de résumer les exigences en quelques lignes. La seule solution consiste à se lancer à corps perdu dans l’étude du point 2.1 de l’annexe du règlement n°2015/1502. De longues heures de plaisir en perspective.
Les nouveaux articles R53-2 et R53-3 imposent quant à eux une conservation par le prestataire d’une preuve du dépôt, d’une preuve de refus ou de non réclamation, ainsi que des données transmises au moment de la réception pour une durée d’au minimum 1 an.
Pour conclure, le nouvel article R53-4 règle la question de la responsabilité du prestataire en cas de retard dans la réception ou de perte de données. Elle sera limitée, par le jeu de renvois multiples à d’autres dispositions, à la coquette somme de … 16 euros.