Les premiers certificats électroniques qualifiés arrivent en matière de signature électronique.
Le Code civil distingue la signature électronique dite « simple » de la signature électronique présumée fiable (art. 1613-4 al. 2 du Code civ.). Bien que la première soit largement plébiscitée, seule un procédé de signature électronique sécurisé peut être utilisé pour les actes authentiques.
La signature électronique présumée fiable doit répondre aux exigences du décret du 30 mars 2001 et notamment à son article 2 :
- pour être présumée fiable une signature électronique doit être établie grâce à un dispositif sécurisé de création de signature électronique certifié puis vérifiée au moyen d’un certificat électronique qualifié.
Caractéristiques des certificats électroniques qualifiés
Le certificat électronique qualifié doit répondre à une double exigence portant sur les informations qu’il doit contenir et sur le prestataire de services de certification électronique (PSCe) qui le délivre. Contrairement au dispositif de création de signature électronique qui, pour être sécurisé, doit impérativement faire l’objet d’une procédure de certification, les PSCe peuvent se soumettre, volontairement, à une procédure de qualification. Les prestataires qui fournissent des services techniques aux PSCe précités peuvent se soumettre à la même procédure de qualification, pour les exigences qui leurs sont applicables.
En l’absence de qualification, c’est-à-dire d’absence d’évaluation de la conformité des PSCe, par un organisme accrédité, aux exigences de l’article 6 II du décret du 30 mars 2001 :
- les PSCe ne bénéficient pas de la présomption de conformité audites exigences,
- mais peuvent néanmoins délivrer des certificats qualifiés, conférant avec le dispositif sécurisé de création de signature électronique précité, présomption de fiabilité à la signature électronique.
Les PSCe doivent néanmoins, dans le cadre de la formalité déclarative auprès du Premier ministre prévue à l’article 31 de la loi pour la confiance dans l’économie numérique pour la fourniture de prestations de cryptologie, indiquer qu’ils entendent délivrer des certificats électroniques qualifiés.
Les PSCe qui délivrent des certificats qualifiés :
- sont responsables des préjudices causés aux personnes qui se sont fiées à leurs certificats,
- sauf à ce qu’ils démontrent qu’ils n’ont commis aucune faute intentionnelle ou négligence.
Ils peuvent néanmoins indiquer dans leurs certificats des limites, y compris financières, à leur utilisation.
Les PSCe qualifiés selon l’arrêté du 26 juillet 2004 sont encore peu nombreux, puisque le site telecom.gouv.fr recense à ce jour :
- la Banque de France et
- les Notaires de France, auquel s’ajoute
- Keynectis.
L’évaluation de conformité
Cette évaluation aux fins de qualification des PSCe porte sur la conformité aux exigences de l’article 6 du décret du 31 mars 2001, telles que précisées par :
- le document AFNOR AC Z 74-400 « exigences concernant la politique mise en œuvre par les autorités de certification délivrant des certificats qualités » et
- l’annexe à l’arrêté du 26 juillet 2004.
Quant aux certificats qualifiés, ils doivent être distingués :
- du dispositif sécurisé de création de signature électronique soumis à la procédure de certification précitée ou encore
- de la liste des certificats référencés PRIS v1 (Politique de référencement intersectorielle de sécurité) dans le cadre de l’administration électronique.
Pour autant, la fiabilité de la signature électronique ne repose pas exclusivement sur les PSCE, agissant comme autorité de certification.
La vérification de l’identité de la personne et de sa qualité, peut être déléguée à l’autorité d’enregistrement. Cette dernière doit alors formaliser sa politique en la matière, appelée « politique d’enregistrement ».
Cette vérification peut se formaliser par :
- le « face à face », peu adapté aux transactions en ligne ou la remise de justificatifs ou encore,
- l’interconnexion avec une base de données administrative (« PRIS v.2.1 ») nécessitant une demande d’autorisation auprès de la Cnil.
Actualité du Minefi du 10 mars 2008
Produits disposant d’un certificat de conformité au décret n°2001-272 du 30 mars 2001
Catégories (familles) de certificats référencés PRIS v 1
(Mise en ligne Mars 2008)