SIGNATURE ELECTRONIQUE : RETOUR SUR UNE NAISSANCE MOUVEMENTEE
La "signature électronique sécurisée" consiste en
" une signature électronique qui utilise outre un procédé
fiable d'identification, qui est propre au signataire, qui est créée
par des moyens que le signataire puisse garder sous son contrôle
exclusif, et qui garantit avec l'acte auquel elle s'attache un
lien tel que toute modification ultérieure de l'acte soit détectable".
Telle est la définition donnée par le décret d'application de
la loi portant adaptation du droit de la preuve aux technologies
de l'information et relative à la signature électronique.
Publiée au Journal Officiel le 13 mars 2000, la loi prévoit
notamment que les écrits électroniques ont une valeur probante
devant un tribunal, les contractants peuvent d'élaborer leurs
propres règles de preuve privées, la validité de signature électronique
est reconnue au même titre qu'une signature manuscrite si
" elle consiste en l'usage d'un procédé fiable
d'identification garantissant son lien avec l'acte auquel elle
s'attache" et "la fiabilité du procédé est présumée,
jusqu'à preuve contraire, lorsque la signature est créée,
l'identité du signataire assurée et l'intégrité de l'acte
garantie, dans les conditions fixées par décret en Conseil
d'Etat".
Le Gouvernement avait préparé ce projet de décret qu'il a
soumis à consultation publique à la fin de l'année 2000. Ce
texte avait suscité beaucoup de commentaires, lesquels mettaient
en exergue deux soucis majeurs à savoir celui d'assurer un
certain niveau de sécurité et celui d'éviter un encadrement
trop rigide.
Publié le 31 mars 2001 au Journal Officiel, le décret prévoit
que " la fiabilité d'un procédé de signature électronique
est présumée jusqu'à preuve contraire lorsque ce procédé met
en œuvre une signature électronique sécurisée, établie
grâce à un dispositif sécurisé de création de signature électronique
et que la vérification de cette signature repose sur
l'utilisation d'un certificat qualifié ".
Un dispositif sécurisé de création de signature électronique
Un dispositif de création de signature électronique (matériel
ou logiciel) sera réputé sécurisé si un certain nombre de
garanties sont prévues en ce qui concerne les données de création
: Elles doivent être établies une seule fois, leur
confidentialité doit être assurée, elles ne peuvent pas être
déduites, elles ne peuvent pas être falsifiées, elles sont
protégées par le signataire contre toute utilisation par des
tiers. De plus, le dispositif ne doit pas altérer le contenu de
l'acte à signer et ne pas faire obstacle à ce que le signataire
en ait une connaissance exacte avant de le signer.
Pour attester de la sécurisation du dispositif de création de
signature électronique, celui-ci devra être évalué et certifié
conforme (1) soit par les services du Premier ministre chargés
de la sécurité des systèmes d'information conformément à un
arrêté à venir (probablement, la Direction Centrale des Systèmes
de Sécurité et de l'Information, la DCSSI), (2) soit par des
organismes qui seront agrées par ces services, (3) soit par un
organisme européeen assimilé. Les services délivreront un
certificat de conformité. Le contrôle de la mise en oeuvre de
ces procédures d'évaluation et de certification sera assuré
par un Comité directeur de la certification, prochainement
institué par un arrêté du Premier ministre.
Un dispositif de vérification de signature électronique
Un dispositif de vérification de signature électronique (c'est-à-dire
les éléments, tels que les clés publiques, utilisés pour vérifier
la signature électronique) doit être évalué et peut également
être certifié conforme. Ce dispositif devra " permettre de
garantir l'exactitude de la signature électronique, de déterminer
avec certitude le contenu des données signées, de vérifier la
durée et la validité du certificat électronique utilisé,
l'identité du signataire etc. ". La vérification de la
signature repose sur des certificats électroniques qualifiés.
Les certificats électroniques qualifiés
Pour garantir l'identité du signataire, les certificats électroniques
qualifiés devront d'une part comprendre un certain nombre de
mentions obligatoires comme notamment " l'identité du
prestataire, le nom du signataire, la période de validité du
certificat, les conditions d'utilisation du certificat etc.
" et d'autre part être délivrés par un prestataire de
service de certification (PSC), lequel doit offrir un certain
nombre de services (annuaire, révocation, horodatage des
certificats etc.) et s'engager sur un certains nombre de
garanties (délivrance, fiabilité et prévention contre la
falsification des certificats, utilisation de systèmes,
produits, procédures sécurisés, conservation des données,
personnel qualifié etc.).
Un décret n° 2002-535 du 18 avril 2002 ( JO du 19 avril 2002) a crée une procédure de certification de la sécurité des produits et des systèmes des technologies de l’information.
Elle est effectuée selon les standards internationalement reconnus et s’appuie sur des centres d’évaluation agréés, qui effectuent des contrôles et des tests et rendent compte des résultats obtenus. Au vu de ces résultats, le certificat est délivré par le Premier ministre.
Un arrêté est paru le 31 mai 2002 désignant le Centre français d'accréditation (Cofrac) pour accréditer les sociétés qui évalueront, pour deux ans, les prestataires de certification électronique.
Une liste à jour des organismes accrédités sera à la disposition du public. L'évaluation effectuée par ces organismes sera payé par le prestataire de services.
En conclusion, on pourra souligner que ces textes ne sont pas forcément
limpides et laissent planer quelques zones d'incertitudes. Par
exemple, qu'entend-on par la notion de "vérificateur"
ou n'aurait-on pas plutôt pu définir cette notion dès
l'introduction, les limitations de responsabilité et de garantie
de ces prestataires seront-t-elle possibles en ce qui concerne
les certificats, comment se concilie cette réglementation avec
celle sur la protection des données personnelles etc. Tant de
questions que la pratique mettra rapidement en exergue.
retour à la rubrique "Mes références"
Conditions d'utilisation du site:
IDDN
Murielle Cahen ©1997-2002
Ecrire
sommaire | plan | recherche | nouveautés | internet | vie des sociétés | vie quotidienne | Services Online | Votre QUESTION | Conditions générales | haut de page
