Aspects juridiques
SIGNATURE ELECTRONIQUE : LEGISLATION ET APPLICATIONS PAR DHIMYOTIS
Sommaire
La directive n° 1999/93/CE du 13/12/99 du Parlement européen et du Conseil
La loi n°2000-230 du 13 mars 2000
Le décret n°2001-272 du 30 mars 2001
La loi n°2004-575 du 21 juin 2004
L’arrêté du 26 juin 2004
L’ordonnance n°2005-674 du 16 juin 2005
L’ordonnance n°2005-1516 du 8 décembre 2005
Le décret sur le Référentiel Général de Sécurité (RGS)
Le décret du 14 octobre 2008
La loi n°2000-230 du 13 mars 2000
Le décret n°2001-272 du 30 mars 2001
La loi n°2004-575 du 21 juin 2004
L’arrêté du 26 juin 2004
L’ordonnance n°2005-674 du 16 juin 2005
L’ordonnance n°2005-1516 du 8 décembre 2005
Le décret sur le Référentiel Général de Sécurité (RGS)
Le décret du 14 octobre 2008
Les applications par Dhimyotis sont présentées ci après.
Dhimyotis : Première entreprise qualifiée RGS en signature trois étoiles. Ci après un tableau décrivant l'organisation juridique et réglementaire en France.
retourner en haut de la page
La directive n° 1999/93/CE du 13/12/99 du Parlement européen et du Conseil
L’essentiel
Cette directive a consacré la reconnaissance de la signature électronique : elle reconnaît que les signatures électroniques répondant à certains critères (les signatures électroniques avancées utilisant un certificat qualifié et créées par un dispositif) ont la même valeur que les signatures manuscrites.La loi n°2000-230 du 13 mars 2000
L’essentiel
C’est la loi principale portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique. C’est la traduction au niveau français de la directive européenne n°1999/93/CE. Cette loi a conduit à la modification du Code Civil en particulier des Articles 1316-1 (reconnaissant la valeur probatoire de l’écrit électronique), 1316-2 (rappelant le principe des conventions de preuve et le règlement des conflits de preuve littérale) et 1316-3 (reconnaissant l’équivalence entre l’écrit électronique et l’écrit papier).Cette loi a été complétée par les textes présentés ci-après, notamment pour définir le cadre technique et réglementaire de la signature électronique.
retourner en haut de la page
Le décret n°2001-272 du 30 mars 2001
L’essentiel
Ce décret traite des dispositifs sécurisés de création et de vérification de signature électronique. Il a pour principale vocation de définir les critères que devra respecter un procédé de signature électronique pour bénéficier de la présomption de fiabilité mentionnée à l’Article 1316-4 du Code civil.La présomption de fiabilité d’un procédé de signature électronique n’est accordée que si la signature électronique mise en œuvre est une signature électronique sécurisée(1), établie avec un dispositif sécurisé(2) ayant fait l’objet d’une certification(3).
La vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié(4).
(1) : propre au signataire, créée par des moyens sous son contrôle exclusif, avec une garantie de détection de toute modification ultérieure du texte signé
(2) : répondant aux exigences liées aux données de création de signature et au contenu de l’acte à signer
(3) : certification aboutissant à la délivrance d’un certificat de conformité par rapport à ces exigences
(4) : comportant un certain nombre d’éléments et émis par un prestataire de service de certification électronique qualifié
Traduction
Ce décret instaure un système cryptographique utilisant un algorithme asymétrique, également appelé algorithme à clé publique, et exploité au niveau des dispositifs de création/vérification de signature.Le décret prévoit, pour les prestataires de service certification électronique qui le souhaitent, un système de qualification volontaire. Si la qualification est obtenue au plus haut niveau de sécurité, cette dernière leur permet de délivrer des certificats de signature qualifiés. La qualification est établie sur de nombreux critères tels que : la fiabilité des services de certification fournis, l’aptitude à pouvoir révoquer sans délai et ave certitude le certificat d’un porteur sur la demande de ce dernier, l’application de procédures de sécurité appropriées, la garantie de date et heure certaines de délivrance ou de révocation d’un certificat, la vérification de l’identité du demandeur du certificat ainsi que de la qualité dont il se prévaut, etc.
Une signature qualifiée ne peut être générée que par un dispositif de création de signature qualifié au niveau renforcé. Cette qualification permet de bénéficier de la présomption de fiabilité du procédé de signature telle que prévue dans l’article 1316-4 du code civil.
Application par Dhimyotis
La technologie utilisant la cryptologie asymétrique est le Certificat numérique, qui est le cœur du métier de Dhimyotis.Dhimyotis s’est engagée dans une procédure de qualification au niveau français et européen. Cette qualification a été obtenue par l’ensemble de ses autorités de certification. En particulier, la qualification obtenue par Certigna ID PRIS *** et Certigna ID PRIS *** Pro lui permet de délivrer des certificats de signature qualifiés au sens de la directive européenne.
retourner en haut de la page
La loi n°2004-575 du 21 juin 2004
L’essentiel
Dans le cadre de la confiance dans l'économie numérique, cette loi définit les conditions de validité des actes juridiques électroniques. En particulier, cette loi définit les responsabilités des prestataires de service de certification électronique qualifiés dans le cadre de préjudices subis par les utilisateurs dans le cas de manquement de ces prestataires par rapport à leurs engagements exprimés dans leur Politique de Certification (en cohérence avec les politiques type servant de référentiel à la certification).Traduction
Les prestataires doivent justifier d’une garantie financière suffisante ou d’une assurance responsabilité civile professionnelle afin de couvrir, dans ces cas de manquement, les préjudices subis par des personnes s’étant raisonnablement fiées aux certificats qualifiés de ces prestataires.Application par Dhimyotis
Pour répondre à l’article 30, Dhimyotis bénéficie d'un contrat d’assurance « Responsabilité civile après livraison ». L'étendue des garanties y est de 500 000 € (cinq cent mille euros) par sinistre et par an (janvier 2010).retourner en haut de la page
L’arrêté du 26 juin 2004
L’essentiel
Cet arrêté précise la reconnaissance de la qualification des prestataires de service de certification électronique ainsi que l’accréditation des cabinets procédant à leur évaluation. En particulier, il définit :• Le COFRAC comme organisme accréditeur des cabinets d’évaluation des prestataires de service de certification électronique ;
• Le référentiel utilisé pour l’évaluation des prestataires de service de certification électronique.
Traduction
Le référentiel de sécurité doit évoluer régulièrement pour suivre les exigences en matière de cryptographie (taille de clés, choix des algorithmes, etc.). Le référentiel actuel est le RGS (Référentiel Général de Sécurité) qui est une évolution de la PRIS (Politique de Référencement Intersectorielle de Sécurité). Ce référentiel (PRIS v1, PRIS v2 et actuellement RGS) initialement utilisé par la sphère publique s’est élargie au secteur privé.Le cabinet LSTI est, à ce jour, le seul cabinet accrédité par le COFRAC pour auditer les prestataires de services de certification électronique.
Application par Dhimyotis
Dhimyotis est périodiquement audité (audit de surveillance pendant toute la durée de l’attestation délivrée) par le cabinet LSTI afin de conserver les qualifications obtenues.Dhimyotis suit les évolutions des référentiels pour notamment prendre en compte, dans ses différentes autorités, les exigences de sécurité imposées par les avancées de la cryptanalyse. Dans la pratique, cela se traduit par l’utilisation de l’algorithme de hachage SHA-256 et de l’algorithme RSA 2048 pour le calcul des signatures des certificats émis par ses autorités qualifiées RGS (*, ** et ***).
retourner en haut de la page
L’ordonnance n°2005-674 du 16 juin 2005
L’essentiel
Cette ordonnance confère une valeur juridique au mail recommandé. Elle introduit l’article 1369-8 dans le Code civil – alinéa 1 en indiquant que la lettre recommandée relative à la conclusion ou l’exécution d’un contrat peut être envoyée électroniquement à condition que ce courrier soit acheminé par un tiers selon un procédé permettant d’identifier le tiers, de désigner l’expéditeur, de garantir l’identité du destinataire et d’établir si la lettre a été remise ou non au destinataire. L’alinéa 3 précise quant à lui lorsque l’apposition de la date d’expédition ou de réception résulte d’un procédé électronique, la fiabilité de celui-ci est présumé, jusqu’à preuve du contraire, s’il satisfait aux exigences fixées par un décret en Conseil d’Etat.Traduction
A ce jour, aucun décret n’est paru pour fixer les exigences du procédé d’horodatage.Toutefois, si toutes les conditions sont réunies et que l’horodatage est effectué par un tiers horodateur, il sera aisé de prouver la fiabilité du processus permettant l’envoi et la réception d’une lettre recommandée électronique. Le rôle du prestataire assurant le service d’acheminement et de remise est primordial dans ce processus.
Il existe des cas pour lesquels le risque juridique sera limité, en particulier pour les cas où l’échange de recommandés est effectué entre des parties ayant mis en place une convention de preuve, convention dont la validité a été expressément reconnue à l’article 1316-2 du Code civil.
Application par Dhimyotis
Dhimyotis offre tous les services de confiance (service de certification électronique qualifiée, service d’horodatage et service d’archivage) et une expertise juridique afin d’accompagner les entités souhaitant mettre en place une solution de recommandé électronique.retourner en haut de la page
L’ordonnance n°2005-1516 du 8 décembre 2005
L’essentiel
Cette ordonnance définit les conditions des échanges électroniques entre les usagers et les autorités administratives et entre autorités administratives. Elle organise :• La simplification des démarches administratives des usagers accomplies par voie électronique ;
• La signature électronique des actes des autorités administratives ;
• La sécurité et l'interopérabilité des transmissions d'informations par voie électronique entre les usagers et les autorités administratives mais également entre administrations ;
• La mise place, au profit de l'usager, d'un espace de stockage en ligne de données administratives.
Traduction
Les usagers souhaitant accéder aux télé-services peuvent se rapprocher des Prestataires de Services de Certification ayant été qualifiées et référencées au niveau du référentiel de sécurité par la DGME (Direction Générale de la Modernisation de l’Etat). Ce référencement garantit l’interopérabilité des certificats émis par ces prestataires qualifiés avec les télé-services.Application par Dhimyotis
En attendant la prise en compte du RGS par l’ensemble des gestionnaires des télé-services, une partie de ces gestionnaires s’appuient sur une version antérieure du référentiel, en l’occurrence la PRIS v1. La raison est le non support du niveau d’exigence imposé, par la version du référentiel la plus récente, sur la longueur de clé des algorithmes utilisés pour générer la signature des certificats électroniques.Dhimyotis a mis en place une autorité qualifiée PRIS v1 pour répondre à ce besoin. Il s’agit de Certigna ID Classe 3, autorité de certification qualifié au niveau PRIV v1 Classe 3 (équivalent au RGS ** excepté sur la longueur des clés mis en œuvre).
retourner en haut de la page
Le décret sur le Référentiel Général de Sécurité (RGS)
L’essentiel
Le Référentiel Général de Sécurité (RGS) fait suite à l’ordonnance 2005-1516, il a été élaboré par l'ANSSI en liaison avec la Direction Générale de la Modernisation de l’État (DGME).Le processus de publication du décret RGS (et du RGS lui-même) touche à sa fin :
• Décret RGS notifié à l'Union Européenne avec fin du statut quo en janvier 2009.
• Avis favorable de la Commission Consultative d'Evaluation des Normes (CCEN) sur le décret RGS le 7 mai 2009.
• Avis favorable donné par le conseil d'Etat le 13 Octobre 2009 mais demande à ce que la CNIL valide l'arrêté RGS.
La publication du RGS sera effective une fois l'arrêté RGS signé, la signature est estimée pour la fin janvier 2010.
Traduction
Les pré-requis au référencement par la DGME des Prestataires de Services de Certification sont :• Leur qualification selon le RGS
• La validation des gabarits des certificats et des listes des certificats révoqués
• La validation de l’interopérabilité des certificats en les testant avec le service de référence de validation de certificats « VALCE »
Le référencement des Prestataires de Service de Certification ne pourra être effectif qu’après la publication de l’arrêté Référencement. Cette dernière n’interviendra que 6 mois après la publication de l’arrêté RGS.
Application par Dhimyotis
Dhimyotis, disposant d’autorités qualifiées RGS, effectuera dès la publication de l’arrêté Référencement les démarches auprès de la DGME pour être référencée RGS. Ce référencement devrait intervenir second semestre 2010.retourner en haut de la page
Le décret du 14 octobre 2008
L’essentiel
Le décret vise la simplification du droit et en particulier l’article 15 de ce décret définit la possibilité et les conditions de la dématérialisation des fiches de paie (notamment accord préalable du salarié). Cette mesure est susceptible de simplifier les démarches des salariés et le fonctionnement des entreprises, qui pourraient économiser jusqu’à 145 millions d’euros par an.Traduction
Le décret n’impose aucunement la dématérialisation des bulletins de paie mais laisse le libre choix aux entreprises dès lors que les salariés sont d’accord pour recevoir leur fiche sous format électronique.Le débat à l’assemblée nationale a soulevé le problème de conservation de ces fiches de paie en cas de problème matériel (panne ou dégradation du support de données).
Application par Dhimyotis
Dhimyotis offre une solution en répondre au problème de conservation de l’information, avec sa signature électronique qualifiée et sa solution d’archivage à valeur probante. Elle assure la conservation et l’intégrité des informations pendant toute la durée fixée par le législateur (durée pouvant atteindre 30 ans), notamment par la multiplicité des supports de stockage (2 serveurs en mirroring, et 2 unités de sauvegarde).retourner en haut de la page
Pour plus d’informations et pour obtenir le texte complet des textes de lois listés, rendez-vous sur le site : www.legifrance.gouv.fr
Glossaire
Directive européenne : Acte qui définit pour les états membres destinataires un résultat à atteindre sans fixer les moyens et le forme. La directive est ensuite transposée au niveau de chaque état membre sous forme de loi. La directive définit le délai sous lequel la transposition par chaque état membre doit être effectuée.
Loi : Règle qui est reçue dans l'État et qui y a force de loi, soit qu'elle ait rapport au gouvernement général, soit qu'elle fixe le droit des particuliers.
Décret : Acte administratif de portée générale ou individuelle signé par le Président de la république ou le premier ministre.
Arrêté : Décision d’une autorité administrative (ministère, préfecture ou municipalité)
Ordonnance : Texte émanant d’une autorité, décision de justice.
Loi : Règle qui est reçue dans l'État et qui y a force de loi, soit qu'elle ait rapport au gouvernement général, soit qu'elle fixe le droit des particuliers.
Décret : Acte administratif de portée générale ou individuelle signé par le Président de la république ou le premier ministre.
Arrêté : Décision d’une autorité administrative (ministère, préfecture ou municipalité)
Ordonnance : Texte émanant d’une autorité, décision de justice.
retourner en haut de la page
