Chaque
semaine, gros plan sur la loi et l'Internet
Une
nouvelle étape
pour la signature électronique
(Deuxième
partie)
- Mercredi 6 juin 20001 -
La
reconnaissance juridique de la notion de "signature électronique"
est un événement majeur, fondant de nombreux espoirs pour
le développement du commerce électronique.
Suite de l'article
du 29/05/01.
 |
|
par
Eric Barbry, avocat au barreau de Paris, président
de Cyberlex
|
1.
Les dispositifs sécurisés de création
Pour
être qualifié de "dispositif sécurisé de création de signature
électronique", un tel système doit impérativement garantir,
par des moyens techniques et des procédures appropriées, que
les données de création de signature électronique :
1. Ne peuvent être établies plus d'une fois et que leur confidentialité
est assurée ;
2. Ne peuvent être trouvées par déduction et que la signature
électronique est protégée contre toute falsification ;
3. Peuvent être protégées de manière satisfaisante par le
signataire contre utilisation par des tiers .
En dehors
de la confidentialité qui paraît naturelle, sur un plan technique,
le système devra donc être d'usage unique, comporter un mécanisme
de nature à éviter les copies et contrefaçons et reposer sur
un dispositif de contrôle d'accès évitant tout usage par des
tiers. De plus, le dispositif de création ne doit pas entraîner
la moindre altération quant au contenu de l'acte à signer
et ne pas faire obstacle à ce que le signataire en ait une
connaissance exacte avant de signer.
La notion
"d'altération" est délicate à apprécier dans la mesure où
si le décret interdit l'altération du contenu de l'acte, la
loi impose qu'il y ait un lien, pour le moins technique, entre
la signature et l'acte auquel il s'attache. C'est d'ailleurs
l'un des points fort de la signature que d'être "liée", c'est
à dire ne faire qu'un acte sur lequel elle est apposée. Mais
répondre en tous points à ces critères techniques du décret
ne suffit pas dans la mesure ou pour être qualifié de "dispositif
sécurisé de création de signature électronique", ledit dispositif
doit être certifié conforme à ces mêmes critères soit par
les services du Premier ministre chargés de la sécurité des
systèmes d'information, après une évaluation réalisée par
des organismes agréés par ces services; soit par un organisme
désigné à cet effet par un Etat membre de la Communauté européenne.
Le parcours
du combattant n'est donc pas terminé pour les sociétés qui
souhaiteraient être certifiées dans la mesure ou le texte
du décret prévoit que les modalités d'évaluation seront définies
dans
un arrêté. Ceux qui attendait avec impatience le décret
devront donc redoubler de patience.
L'article
4 du décret précise en effet que " le contrôle de la mise
en uvre des procédures d'évaluation et de certification prévues
(
) est assurée par un comité directeur de la certification,
institué auprès du Premier ministre " et que pour ce faire
un arrêté du Premier ministre " précise les missions attribuées
à ce comité, fixe sa composition, définit les procédures de
certification et d'évaluation des dispositifs de création
de signature électronique (
) ainsi que les procédures d'agrément
des organismes d'évaluation ". Les dispositifs de vérification
de signature électronique qui sont des matériels ou logiciels
destinés à mettre en application les données de vérification
de signature électronique font eux aussi l'objet d'une certification
en application des dispositions de l'arrêté à intervenir et
sous réserve de respecter la liste des prescriptions techniques
et juridiques de l'article 5 du décret.
2.
Les certificats électroniques qualifiés
et prestataires de services
Rappelons
que celui qui souhaite utiliser un système lui garantissant
une fiabilité par principe (c'est à dire sauf preuve contraire)
doit s'assurer qu'il répond aux critères cumulatifs suivants
:
- qu'il utilise une signature électronique sécurisée ;
- établie grâce à un dispositif sécurisé de création ;
- et que la vérification de cette signature repose sur l'utilisation
de certificats qualifiés.
Le décret
précise donc également ce qu'il faut entendre par "certificat
électroniques qualifiés" et qui sont les "prestataires de
services de certification électronique". Pour être reconnu
comme un certificat électronique qualifié au sens du décret
ledit certificat doit répondre à deux critères :
1. Il doit d'abord comporter un certain nombre d'éléments
techniques ou technico-juridiques dont la liste est énumérée
au point I. de l'article 6 du décret. A titre d'exemple, le
certificat doit comporter "une mention indiquant que ce certificat
est délivré à titre de certificat électronique qualifié",
"l'identité du prestataire de service de certification électronique
ainsi que l'Etat dans lequel il est établi"...
2. Il doit être délivré par un prestataire de service de certification
électronique qui satisfait aux exigences du point II de l'article
6 du décret. Le prestataire devra par exemple "faire preuve
de la fiabilité des services de certification électronique
qu'il fournit", "appliquer des procédures de sécurité appropriées"
A la différence
des dispositifs de création de signature, pour lesquels la
certification est impérative, les prestataires de services
de certification électronique qui satisfont aux exigences
du décret peuvent "demander à être reconnus comme qualifiés".
Une telle certification, qui vaudra là encore présomption
simple de conformité aux dispositions du décret, sera délivrée
par une instance désignée par arrêté du ministre chargé de
l'industrie. Cet arrêté détermine la procédure d'accréditation
des organismes et la procédure d'évaluation et de qualification
des prestataires de services de certification électronique.
Les certificats
délivrés par des prestataires étrangers pourront être admis
à titre de certificats qualifiés à la condition de répondre
aux critères définis dans le décret et avoir été accrédités
au sens de la directive communautaire sur la signature électronique.
L'article 9 du décret rappelle pour sa part que le prestataire
qui souhaite délivrer des certificats qualifiés, dès lors
qu'il est tenu à la déclaration préalable prévue pour la fourniture
de prestations de cryptologie (article 28 de la loi du 29
décembre 1990), doit le préciser. Mais le même article prévoit
un mécanisme de "contrôle" assez innovant. Les prestataires
visés à l'article 9 sont en effet contrôlés par un organisme
public désigné par arrêté du Premier ministre et agissant
sous l'autorité des Services du Premier ministre chargés de
la sécurité des systèmes d'information.
Ce contrôle
porte sur le respect des dispositions de l'article 6 du décret,
autrement dit sur les critères qui permettent de qualifier
un certificat et les obligations imposées aux prestataires
désireux de proposer ce type de service mais l'intérêt même
du contrôle est ailleurs qui porte sur ses modes de mise en
uvre et sur ses conséquences. Ce contrôle peut être effectué
d'office mais aussi à l'occasion de toute réclamation mettant
en cause l'activité d'un prestataire de services de certification.
Si le ou les organismes ne souhaitent pas être submergés de
demandes en tout genre, il reviendra au rédacteur de l'arrêté
d'être très attentif quant à la définition même du terme "tout
réclamation mettant en cause"
S'agissant
des conséquences du contrôle, on peut se féliciter d'une part
qu'en cas de contrôle non satisfaisant (le prestataire ne
respecte pas l'article 6 du décret), les résultats soient
publié,s encore que les modalités pratiques de cette publication
ne soient pas précisées et que le décret ne prévoit aucune
sanction spécifique (il est vrai que la publicité mensongère
ou d'autres fondements d'ordre pénal pourraient suffire).
A l'inverse, lorsque le contrôle se sera révélé satisfaisant,
on peut se féliciter du fait que l'organisme de contrôle ait
à en aviser l'organisme certificateur, même si là encore rien
ne précise les modalités et les effets de cette "information".
Le prestataire contrôlé "positif" (autrement dit "satisfaisant")
bénéficiera t-il alors d'une certification ?
Les mesures
(au moins pour la publicité) pouvant s'apparenter à une sanction,
le décret prévoit qu'elle s'inscrivent dans une procédure
contradictoire "permettant au prestataire de présenter ses
observations", cette procédure n'étant pour l'heure, là encore,
pas précisée.
Conclusion
provisoire
De ce qui précède, il faut rappeler que ce n'est pas un arrêté
mais au moins deux qu'il nous faudra encore attendre pour
pouvoir appréhender l'environnement juridique de la signature
électronique. Rappelons également que la loi du 13 mars 2000
prévoyait aussi l'adoption d'un autre décret pris, celui-là,
en application de l'article 1317 du code civil pour ce qui
concerne les supports électroniques. Affaire à suivre donc,
d'autant plus que la loi annoncée dite LSI (Loi sur la société
de l'Information) semble traiter sous le titre "liberté d'utilisation
des moyens et prestations de cryptologie" certains aspects
juridiques de la signature électronique.
Début
de l'article
[ebarbry@club-internet.fr]
A
lire également :
Au
sommaire de l'actualité
|
