a "signature électronique sécurisée" consiste en " une signature électronique qui utilise outre un procédé fiable d'identification, qui est propre au signataire, qui est créée par des moyens que le signataire puisse garder sous son contrôle exclusif, et qui garantit avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable". Telle est la définition donnée par le décret d'application de la loi portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique.

Publiée au Journal Officiel le 13 mars 2000, la loi prévoit notamment que les écrits électroniques ont une valeur probante devant un tribunal, les contractants peuvent d'élaborer leurs propres règles de preuve privées, la validité de signature électronique est reconnue au même titre qu'une signature manuscrite si " elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache" et "la fiabilité du procédé est présumée, jusqu'à preuve contraire, lorsque la signature est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans les conditions fixées par décret en Conseil d'Etat".

Le Gouvernement avait préparé ce projet de décret qu'il a soumis à consultation publique à la fin de l'année 2000. Ce texte avait suscité beaucoup de commentaires, lesquels mettaient en exergue deux soucis majeurs à savoir celui d'assurer un certain niveau de sécurité et celui d'éviter un encadrement trop rigide.

Publié le 31 mars 2001 au Journal Officiel, le décret prévoit que " la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat qualifié ".

Un dispositif sécurisé de création de signature électronique

Un dispositif de création de signature électronique (matériel ou logiciel) sera réputé sécurisé si un certain nombre de garanties sont prévues en ce qui concerne les données de création : Elles doivent être établies une seule fois, leur confidentialité doit être assurée, elles ne peuvent pas être déduites, elles ne peuvent pas être falsifiées, elles sont protégées par le signataire contre toute utilisation par des tiers. De plus, le dispositif ne doit pas altérer le contenu de l'acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.

Pour attester de la sécurisation du dispositif de création de signature électronique, celui-ci devra être évalué et certifié conforme (1) soit par les services du Premier ministre chargés de la sécurité des systèmes d'information conformément à un arrêté à venir (probablement, la Direction Centrale des Systèmes de Sécurité et de l'Information, la DCSSI), (2) soit par des organismes qui seront agrées par ces services, (3) soit par un organisme européeen assimilé. Les services délivreront un certificat de conformité. Le contrôle de la mise en oeuvre de ces procédures d'évaluation et de certification sera assuré par un Comité directeur de la certification, prochainement institué par un arrêté du Premier ministre.

Un dispositif de vérification de signature électronique

Un dispositif de vérification de signature électronique (c'est-à-dire les éléments, tels que les clés publiques, utilisés pour vérifier la signature électronique) doit être évalué et peut également être certifié conforme. Ce dispositif devra " permettre de garantir l'exactitude de la signature électronique, de déterminer avec certitude le contenu des données signées, de vérifier la durée et la validité du certificat électronique utilisé, l'identité du signataire etc. ". La vérification de la signature repose sur des certificats électroniques qualifiés.

Les certificats électroniques qualifiés

Pour garantir l'identité du signataire, les certificats électroniques qualifiés devront d'une part comprendre un certain nombre de mentions obligatoires comme notamment " l'identité du prestataire, le nom du signataire, la période de validité du certificat, les conditions d'utilisation du certificat etc. " et d'autre part être délivrés par un prestataire de service de certification (PSC), lequel doit offrir un certain nombre de services (annuaire, révocation, horodatage des certificats etc.) et s'engager sur un certains nombre de garanties (délivrance, fiabilité et prévention contre la falsification des certificats, utilisation de systèmes, produits, procédures sécurisés, conservation des données, personnel qualifié etc.).

En conclusion, on pourra souligner que ce décret n'est pas forcément limpide et laisse planer quelques zones d'incertitudes. Par exemple, qu'entend-on par la notion de "vérificateur" ou n'aurait-on pas plutôt pu définir cette notion dès l'introduction, les limitations de responsabilité et de garantie de ces prestataires seront-t-elle possibles en ce qui concerne les certificats, comment se concilie cette réglementation avec celle sur la protection des données personnelles etc. Tant de questions que la pratique mettra rapidement en exergue et auxquelles le gouvernement devra trouver des réponses tout en préparant la désignation de l'instance chargées de l'accréditation des organismes de qualification des PSC (probablement, le comité français de l'accréditation, la COFRAC) ainsi que la procédure d'évaluation et de qualification des PSC. De nombreux éditeurs et PSC préparent déjà leur dossier et affûtent leurs arguments afin de recevoir le sésame officiel (certificat de conformité ou qualification) qui leur donnera accès à ce nouveau marché porteur.

.Murielle-Isabelle CAHEN

Retrouver cet article sur le site
http://www.murielle.cahen.com