Le 28 juillet 2020, la loi du 17 juillet 2020, portant modification de la loi modifiée du 14 aout 2000 relative au commerce électronique, a été publiée au Journal Officiel du Grand-Duché de Luxembourg, avec effet dès le 1 aout 2020. (Voir ici)
Cette dernière modifie la loi luxembourgeoise du 14 aout 2000 sur le commerce électronique et se met en conformité avec le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (ci-après le « Règlement eIDAS ») (Voir ici).
En effet, la loi luxembourgeoise était auparavant basée sur la directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques. Le Règlement eIDAS, entré en vigueur le 1er juillet 2016, a abrogé la directive sur les signatures électroniques.
Par conséquence, la loi luxembourgeoise, basée principalement sur la directive 1999/93/CE, était devenue incompatible avec le Règlement eIDAS sur certains points.
L’objectif de cette nouvelle loi est d’éliminer les incohérences et de permettre de clarifier certains aspects de la mise en application nationale du Règlement eIDAS:
La terminologie utilisée dans la nouvelle loi sur les signatures électroniques est désormais entièrement alignée sur le Règlement eIDAS (Article 1 de la nouvelle loi).
Introduction d’une nouvelle section (Section II de la nouvelle loi) sur les obligations des « prestataires de services de confiance qualifiés » et « prestataires de services de confiance non-qualifiés».
→ Les sociétés qui fournissent des services de confiance sont soit des prestataires de services de confiance non-qualifiés, soit des prestataires de services de confiance qualifiés en vertu du Règlement eIDAS (Voir la liste des prestataires de confiance au Luxembourg ici).
Suite à la nouvelle section II, les articles 21bis et 21ter sont venus s’insérer. L’article 21bis apporte des obligations à respecter pour le titulaire de certificat qualifié de cachet électronique.
Le cachet électronique, qu’est-ce que c’est exactement ?
C’est l’équivalent du tampon en caoutchouc classique des sociétés, qui certifie et protège l’origine et la fiabilité des données. Il repose sur les mêmes mécanismes que la signature électronique, mais n’implique toutefois aucun engagement ni aucune obligation de la part du signataire concernant le contenu du document. Il peut être exécuté à la fois automatiquement et manuellement, simplifiant ainsi les processus des sociétés.
→ Bien que le cachet électronique était déjà utilisé par certaines sociétés à Luxembourg, il ne faisait pas encore partie du droit luxembourgeois. Seules les obligations provenant du Règlement eIDAS étaient prises en compte. Aujourd’hui la nouvelle loi vient apporter des clarifications et des nouvelles règles à respecter pour les sociétés qui utilisent le cachet électronique, comme par exemple, l’obligation de le lier à l’identité du signataire et permettre d’identifier clairement son créateur qui a, sous son contrôle exclusif, les données de création du cachet électronique.
→ Au vu de son haut niveau de reconnaissance juridique, il était important que le droit luxembourgeois apporte des clarifications sur son utilisation au sein des entreprises.
Introduction et clarification sur les obligations des prestataires de services de confiance (Articles 19 à 26 de la nouvelle loi):
→ Les obligations du prestataire de service de confiance ont été légèrement modifiées par la nouvelle loi afin de refléter les dispositions du Règlement eIDAS. La nouvelle loi stipule que les règles de responsabilité applicables sont désormais celles qui figurent dans le Règlement eIDAS (e.g. Article 13 du Règlement eIDAS).
Introduction de l’Institut Luxembourgeois de la Normalisation, de l’Accréditation, de la Sécurité et qualité des produits et services (« ILNAS »), qui est chargé de contrôler les prestataires de services de confiance qualifiés luxembourgeois par des activités de contrôle ex ante et ex post.
→ Introduction de dispositions détaillées sur le rôle (Article 29 de la nouvelle loi) et les pouvoirs de l’ILNAS en tant qu’organe de contrôle des prestataires de services de confiance, ainsi que l’introduction d’un régime de sanctions administratives et pénales (Articles 34bis et 45bis de la nouvelle loi) :
→ La nouvelle loi permet à l’ILNAS d’imposer des sanctions administratives pouvant aller de 250 jusqu’à 15.000,- EUR pour les prestataires qui refusent de coopérer avec l’ILNAS par exemple (Article 34bis de la nouvelle loi).
Cette nouvelle loi permet donc aux utilisateurs de mieux comprendre les règles applicables lorsque l’on décide d’utiliser la signature électronique et de passer par un prestataire de service de confiance.
Elle reflète également les besoins actuels qui ont fait surface durant la crise COVID-19 et permettra de faciliter l’usage de signatures électroniques durant cette montée de télétravail qui rend la signature de documents parfois compliquée, et cette poussée vers le digital.