Elektronik İmza Davada Hukuki Kanıt Olarak

Fransa'da, sektör tahminlerine göre her yıl 2,5 milyardan fazla belge elektronik olarak imzalanmaktadır. Ancak bir ticari uyuşmazlık çıktığında, her zaman aynı soru ortaya çıkmaktadır: elektronik imza bir mahkemede güçlü bir kanıt oluşturur mu? Cevap evet, belirli koşullar altında. Medenî Kanun, Avrupa eIDAS yönetmeliği ve 2016'dan beri yoğunlaşan Fransız içtihadı arasında, çerçeve net — ama karmaşıktır. Bu makale, bir davada elektronik imzanın kabulünün koşullarını, imza türüne göre farklı kanıt düzeylerini ve belgenizin bir yargısal itiraz karşısında hayatta kalması için yapılması gereken hataları açıklamaktadır.

Elektronik imzanın ispat değeri: Fransız hukuku ne diyor

Elektronik imza yasal açıdan yeni bir kavram değildir. 13 Mart 2000 tarihli kanundan bu yana, Fransız hukuku elektronik yazıyı kağıt kadar etkili bir kanıt aracı olarak açıkça tanımıştır. Bu tanıma bugün Medenî Kanunun 1366 ve 1367 maddelerinde kodlanmıştır ve iki temel ilkeyi öne koymaktadır.

İlk ilke: elektronik yazı, kağıt yazı ile aynı ispat gücüne sahiptir, kaynağı olan kişinin düzgün şekilde tanımlandığı ve belgenin bütünlüğü garantilendiği koşuluyla. İkinci ilke: güvenilir elektronik imza yasal bir geçerlilik tahminiyle yararlanır. 1367 maddesi, bu güvenilirliğin varsayılacağını — önceden kanıt olmaksızın kabul edileceğini — imza, kararname tarafından belirlenen teknik gereksinimlere uygun olduğu zaman açıklamaktadır.

Pratikte, bu kararname Avrupa eIDAS yönetmeliğine yönlendirir; bununla ilgili detaylı analizi eIDAS 2.0 yönetmeliği hakkındaki rehberimizde bulabilirsiniz. Mekanizma böyledir: eIDAS anlamında nitelikli bir imza Fransız hukukunda kesin olmayan bir tahminden yararlanır, ispat yükünü itiraz edene aktarır.

Üç imza türü ve bunların ispat kapsamı

eIDAS yönetmeliği, mahkeme önünde aynı sağlamlığı sunmayan üç imza düzeyini ayırt etmektedir:

Basit elektronik imza (BEİ) bir belgeye eklenen elektronik verilere dayanmaktadır — tipik olarak bir e-posta veya işaretli bir kutu. Zayıf bir ispat değerine sahiptir: uyuşmazlık durumunda, bunu ileri süren kişi bunun orijinalliğini kanıtlamak zorundadır. Düşük değeri olan veya sınırlı riskli bağlamlar için uygundur.

Gelişmiş elektronik imza (GEİ) imzalayana benzersiz biçimde bağlıdır, onu tanımlamaya izin verir, onun münhasır kontrolü altındaki verilerden oluşturulur ve sonraki herhangi bir değişikliği tespit eder. Önemli ölçüde daha yüksek bir ispat değeri sunmaktadır ve ticari sözleşmelerin çoğuna uygundur. Ancak otomatik yasal tahmini yararından yararlanmaz.

Nitelikli elektronik imza (NEİ) sertifikalı bir cihaz aracılığıyla oluşturulur ve bir devlet üyesi tarafından Güven Listesinde yer alan bir güven hizmetleri sağlayıcısı (HSS) tarafından verilen nitelikli bir sertifika üzerine dayanmaktadır. Bu, Medenî Kanunun 1367 maddesinde öngörülen yasal geçerlilik tahmininden yararlanabilen tek düzeydir. Çözümler arasındaki farklılıklar hakkında daha fazla bilgi almak için, elektronik imza çözümlerinin karşılaştırması, piyasada mevcut olan teklifleri detaylandırmaktadır.

Mahkemelerin gerçekten incelediği şey

Elektronik imza Fransız yargısında itiraz edildiğinde, yargıçlar tipik olarak beş unsuru incelemektedir:

1. İmzalayanın tanımlaması: kimliği hangi mekanizmayla doğrulandı? Basit bir SMS OTP, e-posta yoluyla gönderilen kod, yoksa kimlik belgesi üzerinde biyometrik doğrulama mı?
2. Bilinçli onay: imzalayan, imzalama sırasında belgenin içeriğini bilmekte miydi?
3. Belgenin bütünlüğü: imzalanan dosya, imzalandıktan sonra değiştirilmediğini kanıtlayabilir mi (şifreleme mühürü, SHA parmak izi)?
4. İzlenebilirlik: yıllar geçtikten sonra dava sırasında sunulması gereken her eylemi listeleyen, bağımsız bir üçüncü taraf tarafından tutulan, saatli audit günlüğü var mı?
5. Koruma: belge ve ilgili kanıtlar, yıllar sonra mahkemeye sunulmasına izin verecek koşullar altında arşivlenmiş midir?

2018'den beri ticari mahkemeler tarafından verilen kararlar açık bir eğilimi göstermektedir: hakim elektronik imzayı kendi başına reddetmemektedir, ama izlenebilirlik eksiklikleri cezalandırmaktadır. Tam bir audit günlüğü sunmakta acız olan veya horodatamaları sertifikalı olmayan bir hizmet sağlayıcı, belgesinin zayıflaması veya hatta hariç tutulması görmektedir.

Uyuşmazlık durumunda ispat yükü

İspat yükü sorusu, elektronik imzayı içeren herhangi bir davada stratejik açıdan kritiktir. Rejim, kullanılan imza türüne göre farklılık göstermektedir.

Güvenilirlik tahmini ve yükün ters çevrilmesi

Nitelikli bir imza ile, kanun güvenilirliğini varsaymaktadır. Somut olarak, bir taraf imzayı itiraz ederse, tahminlemenin kaldırılması gerektiğini kanıtlamak ona düşmektedir — örneğin sertifikanın süresi geçtiğini, hizmet sağlayıcının nitelikli olmadığını veya imza oluşturma cihazının tehlikede olduğunu kanıtlayarak. Bu ters çevirme çok büyüktür: imzanın yararlanıcısını korumaktadır.

Gelişmiş veya basit imza ile, imzayı ileri süren operatör bunun güvenilirliğini olumlu biçimde kurmalıdır. İmzalayanı tanımlamaya izin veren tüm unsurları sunmalıdır: bağlantı IP adresi, sertifikalı horodatama, kimlik doğrulama günlüğü, açık olarak kaydedilen onay. Bu nedenle imza hizmet sağlayıcısının seçimi ve audit günlüğünün kalitesi yasal değişkenlerdir, yalnızca teknik değil.

Fransız içtihadı: temel eğilimler

Birkaç son karar Fransız mahkemelerin konumunu aydınlatmaktadır:

• Paris Temyiz Mahkemesi, 2021: mahkeme, hizmet sağlayıcının SMS OTP, horodatama ve SHA-256 belge parmak izini içeren tam kanıt dosyası sunduğunu belirterek, bir dağıtım sözleşmesi uyuşmazlığında gelişmiş elektronik imzayı onaylamıştır.
• Ceza Yüksek Mahkemesi, 2022: Yüksek Mahkeme, elektronik imzanın itirazının davacı tarafından açık şekilde gerekçelendirilmesi gerektiğini, sadece genel biçimde iddia edilmemesi gerektiğini hatırlatmıştır.
• Paris Adli Mahkemesi, 2023: bir adli mahkeme, çalışma hukuku uyuşmazlığında basit elektronik imzayı, imzalayanın kimliğinin yalnızca doğrulanmamış bir e-posta adresiyle, OTP veya çift kimlik doğrulaması olmaksızın kurulduğu gerekçesiyle hariç tutmuştur.

Bu kararlar temel bir kuralı onaylamaktadır: belgenin biçiminden çok kanıt dosyasının sağlamlığı, yargısal sonucu belirlemektedir.

Mahkemede karşı koymaya uygun bir kanıt dosyası oluşturma

Uyuşmazlığı öngörmek kötümserlik anlamına gelmemektedir; sözleşmesel katılığı göstermek anlamına gelmektedir. Elektronik imzanın ispat değerini önemli ölçüde güçlendiren birkaç uygulama vardır.

Kanıt dosyası: temel bileşenler

Sağlam bir kanıt dosyası en azından şunları içermelidir:

• İmza şifreleme ile imzalanan dosya (PDF'ler için PAdES biçimi, XML için XAdES), ETSI EN 319 132 ve ETSI EN 319 122 standartlarında tanımlandığı gibi.
• İmzalayanın elektronik sertifikası, emission tarihi ve geçerlilik dönemi ile.
• Tam audit günlüğü: her adım (davet, belge açılması, OTP doğrulaması, imza tıklaması) bir güven üçüncü tarafından sertifikalı ve tarihlendirilmiş.
• Kimlik kanıtı: kullanılan tanımlama verilerinin kanıtı (doğrulanan e-posta, telefon numarası, gerekirse tarandı kimlik belgesi).
• Nitelikli horodatama: imzanın beyan edilen anında yapıldığını garanti eden, eIDAS uyumlu bir Sertifika Otoritesi tarafından yayınlanan bir saat tokeni.

Bu belgesel mimari, Certyneo'nun imza uyumluluğu çerçevesinde her imza sırasında otomatik olarak oluşturduğu şeyin kalbindedir, işletmede elektronik imza hakkındaki yaklaşımımızça uygun olarak.

Kanıtların korunması: süre ve biçim

Kanıtların korunması sıklıkla ihmal edilmektedir, oysa sözleşmenin zamanla savunulabilirliğini belirlemektedir. Ticari hukukta, imzadan sonra beş yıla kadar uyuşmazlık çıkabilir (genel hukuk perspektifi, Medenî Kanunun 2224 maddesi). Bazı sözleşmeler — ticari kira, garantı, sözleşmesel sorumluluk — daha uzun süreler maruz bırakmaktadır.

Bu nedenle korumak gerekir:

• Belge imzalı kalıcı bir biçimde (imza gömülü PDF/A),
• İlişkili kanıt dosyası tamamı,
• Uzun vadeli bütünlüğü garanti eden bir arşivleme sisteminde (ideal olarak NF Z 42-026 veya eArchiving uyumlu).

Ticari hayatını aşan bir arşivleme garantisi sunmayan bir SaaS hizmet sağlayıcısı gerçek bir yasal riski temsil etmektedir: işletme durdu, kanıtlar kaybolabilir. Hizmet sağlayıcı sözleşmelerinizde sistematik olarak tersine çevirme ve veri dışa aktarma şartlarını doğrulayın — bu, DocuSign veya YouSign'dan Certyneo'ya geçişle ilgili rehberimizde detaylandırdığımız bir kriterdir.

Nitelikli imzayı ne zaman tercih etmeli?

Tüm sözleşmelerin maksimum düzeye ihtiyacı yoktur. İmza düzeyinin seçimi, yasal ve finansal riski oranında olmalıdır:

• Düşük değerli sözleşmeler (sipariş onay belgeleri, KŞS, iç gizlilik anlaşmaları): gelişmiş imza yeterli.
• Anlamlı ticari sözleşmeler (hizmetler > 10 000 €, yıllık çerçeve sözleşmeler, haklar devri): risk düzeyine göre gelişmiş veya nitelikli imza tavsiyesi verilmektedir.
• Otantik veya yarı-autentik bir form gerektiren belgeler (bazı noterlik belgeleri, kişisel garantiler): nitelikli imza zorunlu veya elektronik noterlik belgesi.
• İşletme hukuku alanındaki sözleşmeler (işe alım sözleşmesi, uygun çözüm, ek): DGEFP minimum gelişmiş imzayı tavsiye etmektedir ve Danışma Kurulu'nun birkaç kararı basit imzaları cezalandırmıştır.

Yüksek hacimde sözleşmeyi işleyen işletmeler için, Certyneo ROI hesaplayıcısı seçilen imza düzeyine göre karşılaştırmalı maliyeti değerlendirmeye, kalıntı yasal riski içine alarak izin vermektedir.

Elektronik imza ile kanıtlandırma için geçerli yasal çerçeve

Elektronik imzanın Fransa'daki yasal değeri, kendi aralarında tutarlı metinlerin yığını üzerinde dayanmaktadır, bunun ustalığı bir ticari davaya engel olan herkes için gereklidir.

Medenî Kanun, maddeler 1366 ve 1367: bu iki madde Fransa'da elektronik kanıt hukukunun temelini oluşturmaktadır. 1366 maddesi, elektronik yazıyı kağıt yazı ile eşitlemektedir, kaynağı kişi tanımlanabilir olduğu ve bütünlüğü sağlandığı zaman. 1367 maddesi, yasal gereksinimlere uygun elektronik imzaya yasal bir güvenilirlik tahmini sağlamaktadır, ispat yükünü bunu sunana lehine tersine çevirmiştir.

eIDAS yönetmeliği n°910/2014 (AB): 1 Temmuz 2016'dan beri tüm Üye Devletlerde doğrudan uygulanabilir olan bu yönetmelik, üç imza düzeyini (basit, gelişmiş, nitelikli), her düzey için teknik gereksinimleri ve nitelikli güven hizmetleri sağlayıcılarının (GHSS) listesini tanımlamaktadır. AB'nin sınırları içinde nitelikli imzaların karşılıklı tanınması yurtdışı haklarını kurmaktadır, bu da farklı Üye Devlet taraflarını içeren davalar için çok önemlidir. eIDAS 2.0 revizyonu (yönetmelik 2024/1183) bu gereksinimleri güçlendirmektedir ve Avrupa dijital kimlik cüzdanını (AUDI) getirmektedir.

Kararname n°2017-1416, 28 Eylül 2017: bu kararname, 1367 maddesinde öngörülen tahmini güvenilirliğin koşullarını Fransız hukukunda detaylandırmaktadır, nitelikli imza için eIDAS gereksinimlerine açıkça göndererek.

ETSI EN 319 132 (XAdES) ve ETSI EN 319 122 (CAdES), ETSI EN 319 162 (ASiC) normaları: bu normlar eIDAS'a uygun olarak tanınan elektronik imza biçimlerini tanımlamaktadır. Bunlar mahkemede imzanın geçerliğini değerlendirmenin teknik referans çerçevesi olarak karşılandıktan sorumlu tutulmaktadır.

KVKK — Yönetmelik n°2016/679: imzalayanın doğrulanması amaçlı biyometrik veya kimlik verilerinin toplanması ve işlenmesi KVKK ilkelerine uymak zorundadır. İmza hizmet sağlayıcısı olan tüm kuruluşlar açık yasal temele (sözleşme yerine getirmesi, yasal yükümlülük veya meşru menfaat) sahip olmalı ve kullanıcıyı KVKK'nın 13 ve 14 maddelerine uygun şekilde bilgilendirmelidir.

NIS2 Direktifi (2022/2555/AB): nitelikli güven hizmetleri sağlayıcıları artık NIS2 uyarınca temel veya önemli kuruluşlar kapsamında yer almaktadır. Onlar bilgi sistemleri güvenliğinin güçlendirilmiş yükümlülüklerine tabidir, bu da dolaylı biçimde bunların oluşturduğu kanıtların sağlamlığını güçlendirmektedir.

Uyumsuzluk durumunda yasal riskler: eIDAS'a uyumlu olmayan bir imza çözümü kullanmak birkaç riske maruz bırakmaktadır: mahkeme tarafından belgenin reddedilmesi, güvenilirlik tahmini iddia etmek imkansızlığı, sözleşmesel diyaflık eksikliği için sözleşmesel sorumluluk başlatılması ve bazı durumlarda form zorunluysa belgenin geçersizliği. Kanıt konularında, sertifikalı audit günlüğü olmaması, taraflar arasında silah dengesizliği açılmasına ve onu sunana göre konumu kütlüğe düşebilir.

Kullanım senaryoları: elektronik imza bir davaya zorlanmış olarak

Senaryo 1 — Hukuki firması ve uyuşmazlıkta görev sözleşmesi

Birleşme-devralmalar alanında uzmanlaşmış, yaklaşık yirmi çalışanı olan bir ticaret hukuku firması, iki yıldır misyon mektupları için gelişmiş elektronik imza çözümü kullanmaktadır. Bu görevlerden biri, 85 000 € değerine sahip bir araştırma hakkında uyuşmazlıktadır: müşteri, misyon mektubunu belirtilen koşullar altında imzalamadığını, bilinçli onay eksikliğini ileri sürmektedir.

Firma, mahkeme nezdinde platform tarafından oluşturulan tam kanıt dosyasını sunmaktadır: sertifikalı gönderim horodataması, belge açılış günlükleri, boarding sırasında müşteri tarafından sağlanan telefon numarasına gönderilen OTP kodu ve imzalı ile sunulan sürüm arasında aynı şifreleme parmak izi. Yargıç imzanın geçerliğini kabul etmektedir. İspat yükü firma tarafından sunulduğu için, müşteri için sahtecilik kanıtlamak kalır — başaramaz. Firma parada tam olarak tahsil etmektedir. Temel öğretim: tam kanıt dosyası bir davayı birkaç sayfada baş döndürebilir.

Senaryo 2 — KOBİ endüstriyel ve tedarikçi davası sipariş belgesi

Yaklaşık 300 tedarikçi sözleşmesini yıllık olarak yöneten bir endüstriyel KOBİ, gelişmiş kimlik doğrulama olmaksızın sipariş belgeleri için basit elektronik imzaya geçmiştir. Bir tedarikçi, geç iptal edilen bir sipariş belgesinin alınmasını itiraz etmektedir ve değiştirilen sürümü hiç imzalamadığını ileri sürmektedir.

KOBİ, sertifikalı bir audit günlüğü sunmak konusunda yetersizdir: çözümü kimlik doğrulaması kanıtı olarak yalnızca bir e-posta adresi saklamıştır. Mahkeme, yetersiz kanıt unsurları olmaması nedeniyle, ortak hukuk kanıt rejimine başvurmakta ve tedarikçiye uyuşmazlığın bir noktasında haklılık vermektedir. Uyuşmazlığı çözmek maliyeti 40 000 €'yu aşmaktadır, buna avukat ücretleri eklenmektedir.

Bu davadan sonra, KOBİ OTP ve sertifikalı audit günlüğü ile gelişmiş imza çözümüne geçmektedir. Sonraki iki muhasebe döneminde sözleşmesel davalardaki oranını %60 azaltmaktadır, iç bilançosuna göre. Temel öğretim: sağlam imza çözümünün maliyeti, tek bir kötü belgelenen davayı karşılaştırıldığında marjinal olur.

Senaryo 3 — Sağlık gruplandırması ve pratisyen sözleşmeleri

Yaklaşık 600 yatağı olan bir hastane grubu, özerk pratisyenler ile sözleşmeleri elektronik yoldan resmileştirmektedir. Bu sözleşmelerden biri bir sonlandırmada itiraz edilmektedir: pratisyen belgede entegre edilen özel koşulları almadığını, imzadan sonra değişiklik iddia etmektedir.

Grup tarafından kullanılan platform ETSI EN 319 132 normuna uygun PAdES (PDF Gelişmiş Elektronik İmzalar) biçiminde imzalar oluşturmaktadır. Belgenin her revizyonu yeni bir şifreleme parmak izi oluşturmaktadır. Mahkeme sekreterliği, Avrupa Komisyonu tarafından tanınan çevrimiçi imza doğrulayıcı aracılığıyla, belgenin imzası yapıldığından beri değiştirilmediğini doğrulayabilir. İtiraz hızlı yargılama da reddedilmektedir. Temel öğretim: imzanın teknik biçimi (PAdES, XAdES) doğrudan mahkemede belgenin doğrulanabilirliğini belirlemektedir — çözüm seçimi sırasında sıklıkla küçümsenmiş bir kriter.

Sonuç

Elektronik imza, uyuşmazlık durumunda güçlü bir hukuki kanıttır — doğru imza düzeyini seçmek, güvenilir bir hizmet sağlayıcı seçmek ve tam bir kanıt dosyası tutmak şartıyla. Nitelikli imzanın sunduğu yasal güvenilirlik tahmini davada stratejik bir avantajdır: ispat yükünü contestere tersine çevirir. Daha yaygın uyuşmazlık sözleşmeleri için, sertifikalı audit günlüğüne bağlı gelişmiş imza, Fransız ticari mahkemeleri önünde çok tatmin edici bir koruma düzeyi sunmaktadır.

Sözleşmelerinizi yeterli kanıt eksikliği nedeniyle uyuşmazlığa maruz bırakmayın. Certyneo her imza için sertifikalı, horodatma ve arşivlenmiş bir kanıt dosyası otomatik olarak oluşturmaktadır, eIDAS ve Medenî Kanun'a tam uyumluluğu ile. Certyneo hesabınızı ücretsiz oluşturun ve sözleşme taahhütlerinizi bugün güvenli hale getirin.