Feuille de présence d’une assemblée générale de SA : à quelles conditions peut-on utiliser la signature électronique?
La tenue de l’assemblée générale d’une société anonyme requiert, à peine de nullité des délibérations, l’établissement d’une feuille de présence de ses actionnaires1, émargée par chacun des actionnaires présents et par les mandataires des actionnaires représentés.
On en comprend la raison d’être : la feuille de présence doit non seulement permettre de calculer si le quorum prévu par la loi ou les statuts a été réuni, mais encore renseigner sur les participants. On en perçoit cependant les difficultés de mise en œuvre : l’établissement d’une feuille de présence émargée individuellement par chacun des participants peut s’avérer un exercice fastidieux et délicat dans les sociétés à l’actionnariat éclaté. L’évolution des techniques, et en particulier de signature, paraît à cet égard potentiellement bénéfique : gain de temps, automatisation du processus, diminution du nombre d’erreurs matérielles… Sur le plan technique, il s’agirait pour l’actionnaire de signer électroniquement une feuille de présence gérée également de manière électronique, par l’application d’une clé de chiffrage privée qui lui serait spécifique et après vérification de données personnelles d’identification (nom, prénom, nombre d’actions, etc.).
Le procédé de signature électronique est-il pour autant opportun en la matière ? Comme souvent, le droit donne la mesure de l’opportunité du schéma. Or, si aucun obstacle ne semble s’opposer a priori à l’utilisation des procédés de signatures électroniques, qui conféreraient leur pleine valeur aux feuilles de présence, certaines réserves, potentiellement génératrices de coûts, doivent toutefois être formulées. Ces réserves sont d’ordre formel tout d’abord, afin de sécuriser la validité des délibérations de l’assemblée ; elles sont d’ordre procédural ensuite, afin d’accroître la sécurité du dispositif, pour la société comme pour l’actionnaire.
1. Exigences formelles
Le format électronique de la feuille de présence générée préalablement à l’ouverture de l’assemblée n’exonère pas du respect d’un certain nombre d’exigences, énoncées par l’article R. 225-95 du Code de commerce, dont le non-respect peut être sanctionné par la nullité des délibérations de l’assemblée2.
Sans revenir sur l’ensemble des mentions et formalités requises, il convient de rappeler que les pouvoirs des actionnaires représentés et les bulletins de vote à distance devront être annexés à la feuille de présence, le cas échéant sous format électronique ou numérisé3. Une version scannée des originaux des pouvoirs et des formulaires de vote par correspondance devra donc être systématiquement annexée à la feuille de présence électronique.
Par ailleurs, il devra être organisé une procédure de conservation de la feuille de présence globale, la feuille de présence, les pouvoirs et les formulaires de vote à distance devant pouvoir être consultés sous format papier, et le cas échéant, numérisé ou électronique.
2. Exigences procédurales
Plus substantielles, diverses exigences procédurales doivent retenir l’attention, liées au procédé même de signature électronique. Et pour cause, la signature (qu’elle soit ou non électronique) identifie en principe son auteur, manifestant son consentement aux obligations qui découlent de cet acte4. Le principe est identique s’agissant de la signature d’un document électronique, encore que le format informatisé implique une distanciation nécessaire entre le signataire et le document, inédite s’agissant des documents écrits5. A cet égard, la signature électronique devra satisfaire un niveau de sécurité et de fiabilité suffisant, de nature à garantir son lien avec l’acte auquel elle s’attache. Par ailleurs, parce qu’elle implique l’utilisation de données personnelles d’identification du signataire, la signature électronique devra procéder d’un traitement conforme aux exigences du règlement général sur la protection des données (RGPD)6.
i) Fiabilité de la signature
Une signature électronique a en principe la même force probante qu’une signature manuscrite. Encore faut-il qu’elle respecte les conditions du second alinéa de l’article 1367 du Code civil, ie qu’elle utilise un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. Ce caractère fiable est présumé de manière simple dès lors que certaines conditions fixées par décret sont respectées : ces dernières ont été récemment redéfinies par un décret du 28 septembre 20177 portant transposition du règlement sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS)8. Ainsi, seule une signature électronique dite qualifiée au sens du règlement eIDAS sera présumée fiable jusqu’à preuve du contraire.
Pour rappel, constitue une signature électronique qualifiée « une signature électronique avancée […] créée à l’aide d’un dispositif de création de signature qualifiée répondant aux exigences de l’article 29 [du règlement eIDAS], qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l’article 28 de ce règlement »9.
Pour être avancée au sens du règlement, la signature doit respecter un certain nombre d’exigences. A cet égard, le règlement eIDAS a pu apporter quelques souplesses par rapport aux conditions requises par l’ancienne directive du 13 décembre 199910, dans la mesure où le signataire n’a plus besoin de détenir les données de création de sa signature dès lors qu’il les utilise sous son contrôle exclusif avec un niveau de confiance élevé. La signature devra cependant être liée de manière univoque au signataire, permettre d’identifier le signataire, et être liée aux données associées à cette signature de telle sorte que toute modification ultérieure de la feuille de présence soit détectable. En d’autres termes, la signature électronique et ses données de création doivent renvoyer exclusivement au signataire, et doivent permettre de l’identifier. Par ailleurs, il faudra s’assurer que le procédé de signature permette une vérification par le signataire de l’intégrité du document signé. Les mécanismes cryptographiques de chiffrage du document par clé privée sont à même de remplir de telles conditions.
La qualification de signature avancée ne suffit pas pour bénéficier de la présomption de fiabilité. Deux séries d’exigences supplémentaires devront être respectées. Elles sont édictées sous les articles 28 et 29 du règlement eIDAS, lesquelles supposent l’intervention d’un prestataire de services de confiance qualifié, ie ayant obtenu de l’organe de contrôle compétent ce statut11.
A défaut, la présomption de fiabilité ne pourra jouer : il reviendra alors à la société d’établir la preuve de la fiabilité du processus en cas de contestation, sans quoi la prétendue signature sera dénuée de toute force probante.
ii) Traitement des données personnelles
Par ailleurs, le recours à une procédure de signature électronique suppose la collecte de données personnelles, relatives à l’identification du signataire et de sa participation dans le capital social. Ces données font l’objet d’un traitement qui, conformément au RGPD, devra reposer sur une base légale suffisante12. L’obtention du consentement de l’actionnaire serait en ce sens utile, étant entendu que le RGPD définit le consentement comme une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que des données personnelles la concernant fassent l’objet d’un traitement13. Un tel acte positif clair, dans le contexte d’un formulaire rempli via une application par exemple, ne pourra s’entendre que d’un « opt-in ».
Le traitement devra être en outre être réalisé de manière conforme aux principes du RGPD14. Pour rappel, les données doivent être traitées de manière licite, loyale et transparente ; elles doivent être adéquates, pertinentes et limitées, c’est-à -dire que toute donnée traitée doit être nécessaire à la finalité du traitement ; elles devront enfin être conservées pour une durée qui n’excède pas la durée nécessaire à l’accomplissement de la finalité du traitement.
A cet égard, la société, responsable du traitement, sera assujettie à une obligation d’information de l’actionnaire15, et devra en conséquence lui communiquer les finalités du traitement, sa base juridique, les destinataires ou catégories de destinataires des données à caractère personnel, ou encore la durée de conservation de telles données ou les critères utilisés pour déterminer une telle durée, entre autres.
La solution est intéressante, et ouverte aux opérateurs ; elle nécessite toutefois le recours à des procédures techniques précises, dont il conviendra de préciser les coûts générés en interne.
Notes
1 C. Com., art. L. 225-114 ; c. com., art. R. 225-95
2 C. com., art. L. 225-114 al. 3
3 C. com., art. R. 225-95
4 C. civ., art. 1367
5 En ce sens, P.-Y. Gautier, X. Linant de Bellefonds, De l’écrit électronique et des signatures qui s’y attachent, JCP E 14 juin 2000, doctr. 236, n° 28 ; E. Caprioli, Décret n° 2017-1416 du 28 septembre 2017 relatif à la présomption de fiabilité de la signature électronique, Comm. Commerce électronique n° 11, nov. 2017, comm. 92 ; A. Raynouard, Adaptation du droit de la preuve aux technologies de l’information et à la signature électronique, Defrénois, 2000, p. 593
6 Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
7 Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique
8 Règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit eIDAS (electronic identification and trust services for electronic transactions)
9 Décret n° 2017-1416, art. 1er
10 Directive n° 1999/93 du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques
11 En France, l’Agence nationale de la sécurité des systèmes d’information est habilitée à établir la liste des prestataires de services de confiance qualifiés.
12 RGPD, art. 6
13 RGPD, art. 4, 11)
14 RGPD, art. 5
15 RGPD, art. 13
Auteurs
Anne-Laure Villedieu, avocat associée, droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Isabelle Prodhomme, avocat, droit des sociétés, droit boursier et Private Equity.