A retenir sur la preuve de transaction en fintech
- Le clic « Invest » est un ordre financier au sens du règlement ECSP : sa date exacte peut conditionner la validité de l’ordre.
- Un log interne non certifié ne constitue pas une preuve opposable : le règlement ECSP et DORA imposent la conservation des données sans préciser le niveau de preuve requis pour les rendre opposables.
- Seul l’horodatage qualifié eIDAS, en vertu de l’article 41, crée une présomption légale d’exactitude de la date et d’intégrité des données et inverse la charge de la preuve.
- Un dossier de preuve restituable, intégrant l’ensemble des éléments constitutifs de l’ordre horodaté, est la condition d’une réponse efficace en contentieux comme en contrôle régulateur.
Le clic « Invest » : un ordre financier soumis aux exigences du règlement ECSP
Dès sa validation, le clic d’investissement engage juridiquement les parties, indépendamment de son traitement ultérieur. Ce principe découle de l’articulation entre le droit commun de la preuve électronique et le règlement ECSP[1].
Le clic, un acte juridique à part entière
L’article 1366 du Code civil pose le principe : un écrit électronique a la même force probante qu’un écrit papier, sous réserve que son auteur soit dûment identifié et que le document soit établi et conservé dans des conditions garantissant son intégrité. L’article 1369 précise les conditions de validité du contrat conclu par voie électronique. Ce cadre s’applique à toute action en ligne ayant une portée contractuelle, y compris le clic d’investissement.
Dans le contexte des plateformes de crowdfunding immobilier et de P2P lending, ce clic revêt une dimension supplémentaire. Depuis novembre 2021, le règlement ECSP soumet ces plateformes à un agrément obligatoire en tant que prestataires de services de financement participatif (PSFP). À ce titre, elles assurent la réception et la transmission d’ordres de clients : le clic « Invest » n’est pas un acte technique anodin, c’est la matérialisation d’un ordre financier engageant les deux parties.
Un cadre spécifique aux PSFP, avec des angles morts
C’est le modèle qu’ont adopté les plateformes de crowdfunding immobilier et de prêt P2P, et les plateformes d’investissement participatif en général : un parcours entièrement en ligne, accessible à partir de quelques centaines d’euros, sans aucun contact humain dans le processus de validation.
Le règlement ECSP opère à cet égard une distinction entre investisseurs avertis et non avertis. Ces derniers, qui constituent une part significative des utilisateurs de ces plateformes, bénéficient d’un délai de rétractation de quatre jours prévu à l’article 22 du règlement. Ce détail n’est pas anodin : il signifie que la date et l’heure exactes du clic peuvent directement conditionner la validité de l’ordre.
Le règlement ECSP exclut expressément les PSFP de la directive MiFID II[2] qui impose pourtant aux acteurs financiers traditionnels un enregistrement strict des communications liées aux ordres. En l’absence de ce cadre préétabli, la responsabilité de fournir une preuve indiscutable repose entièrement sur la plateforme.
Les trois formes de contestation auxquelles s’expose une fintech en l’absence de preuve certifiée
La contestation d’un ordre passé en ligne ne prend pas une forme unique et les griefs peuvent se cumuler.
Contester l’existence de l’ordre
L’investisseur nie avoir validé l’ordre : il affirme n’avoir jamais cliqué ou oppose simplement sa parole à celle de la plateforme. Face à cette contestation, un log interne peut être présenté. Mais sa valeur probante reste fragile : rien ne garantit qu’il n’ait pas été altéré après coup.
Le principe selon lequel nul ne peut se constituer de preuve à soi-même s’applique pleinement à une donnée produite unilatéralement par les systèmes de la plateforme. La notion de non-répudiation recouvre cet enjeu : la capacité à empêcher un utilisateur de nier une action qu’il a réellement effectuée, ce qui suppose une preuve externe, certifiée et auditable.
Contester la date et l’heure
Dans certains produits, la fenêtre d’entrée est limitée dans le temps. Un cut-off dépassé ou un délai de rétractation de quatre jours encore ouvert au sens de l’article 22 du règlement ECSP : l’heure exacte du clic peut suffire à retourner entièrement la situation. Or un simple timestamp serveur ne résiste pas à cette contestation. Il est produit par les infrastructures de la plateforme elle-même et peut être remis en question précisément pour cette raison.
Contester la version des conditions acceptées
La plateforme a mis à jour ses CGU ou les conditions du produit entre la validation de l’ordre et le moment du litige. Quelle version l’investisseur a-t-il acceptée au moment du clic ? L’affirmer est facile. Le démontrer suppose d’avoir scellé le contenu exact des conditions à l’instant précis de la validation.
Un cadre réglementaire exigeant mais silencieux sur le niveau de preuve
Conserver des données est une obligation réglementaire. Pouvoir les opposer en justice est un enjeu de preuve. Les textes sectoriels imposent la traçabilité sans jamais définir le standard requis en cas de litige.
Le règlement ECSP : une obligation de conservation sans garantie probatoire
Il impose aux PSFP de conserver les enregistrements des ordres et mandats sur support durable pendant une durée minimale de cinq ans. Cette obligation de conservation existe donc bien.
Mais le règlement ne dit rien du niveau technique de preuve exigé pour qu’un enregistrement soit opposable à un tiers contestant. Un log interne répond formellement à cette obligation sans pour autant constituer une preuve inattaquable.
DORA : l’intégrité des données comme obligation de résultat
Applicable depuis janvier 2025, le règlement DORA[3] s’applique expressément aux PSFP et leur impose de préserver l’authenticité et l’intégrité de leurs données numériques. Les petites plateformes bénéficient d’un régime allégé, mais l’obligation de résultat demeure. Là encore, DORA crée une exigence sans en définir les moyens de démonstration face à un juge ou un régulateur.
eIDAS : la présomption comme seule réponse juridique
Seul le règlement eIDAS, en son article 41, crée une présomption légale attachée à la date et à l’intégrité des données horodatées de façon qualifiée. C’est le chaînon manquant : il convertit ces obligations sectorielles de conservation et d’intégrité en preuves juridiquement opposables. Sans lui, la plateforme est en conformité réglementaire, mais désarmée pour faire valoir ses droits en cas de litige.
Cette mécanique probatoire, déjà éprouvée dans le contexte du recueil du consentement RGPD, s’applique ici avec la même logique de présomption légale.
L’horodatage qualifié eIDAS : une présomption légale face au risque de contestation
La notion de non-répudiation trouve ici sa réponse technique et juridique. Empêcher un investisseur de nier une action qu’il a réellement effectuée suppose une preuve qui ne dépende pas des seuls systèmes de la plateforme. L’horodatage qualifié répond à cette exigence.
Contrairement au timestamp serveur produit en interne, l’horodatage qualifié eIDAS est émis par un prestataire de services de confiance qualifié (PSCo qualifié), indépendant de la plateforme. En vertu de l’article 41 du règlement eIDAS, il bénéficie d’une présomption légale d’exactitude de la date et d’intégrité des données.
Cette présomption change la répartition de la charge de la preuve. Ce n’est plus à la plateforme de démontrer que l’ordre est authentique : c’est à celui qui conteste de renverser la présomption. Dans un contexte contentieux ou lors d’un contrôle régulateur, cette inversion est déterminante.
L’horodatage ne porte pas sur le seul clic, mais sur une empreinte cryptographique des éléments constitutifs de l’ordre : identifiant de la transaction, paramètres de l’ordre, version des conditions acceptées au moment de la validation, données de session. C’est ce lien entre la preuve et le contenu exact de l’ordre qui lui confère sa valeur probante.
Conclusion : La constitution d’un dossier de preuve restituable
L’horodatage qualifié constitue le socle de la preuve opposable. Sa pleine efficacité repose néanmoins sur la capacité à restituer un dossier complet intégrant l’ensemble des éléments liés à l’ordre : horodatage qualifié lié par empreinte cryptographique aux paramètres de la transaction, version exacte des conditions acceptées scellée au même instant, données de session et d’identification de l’investisseur, traçabilité conservée sur la durée imposée par le règlement ECSP.
Ce dossier sera sollicité dans deux situations distinctes. En cas de contentieux, la plateforme doit pouvoir le produire devant un juge ou un médiateur AMF. En cas de contrôle régulateur, qu’il s’agisse d’un audit AMF au titre du règlement ECSP ou d’un contrôle DORA sur l’intégrité des systèmes, il doit être restitué à la demande, dans un format auditable.
Des solutions comme Evidency permettent de générer et conserver ce type de dossier, conforme aux exigences eIDAS et restituable à la demande. Pour les plateformes qui souhaitent transformer une obligation réglementaire en véritable capacité probatoire, c’est une réponse technique à portée juridique.
Sources
[1] Règlement (UE) 2020/1503 du Parlement européen et du Conseil du 7 octobre 2020 relatif aux prestataires européens de services de financement participatif pour les entrepreneurs : https://eur-lex.europa.eu/eli/reg/2020/1503/oj
[2] Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers : https://eur-lex.europa.eu/eli/dir/2014/65/oj
[3]Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier : http://data.europa.eu/eli/reg/2022/2554/oj
Clause de non-responsabilité
Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.
L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Evidency. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu’un lien vers ce site Web.



