Signature électronique et premiers certificats qualifiés

Sécurité des systèmes d’information
Signature électronique

Signature électronique : les premiers certificats «qualifiés» arrivent

Depuis la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique, le Code civil distingue la signature électronique dite « simple » de la signature électronique présumée fiable (art. 1613-4 al. 2 du Code civ.). Bien que la signature électronique « simple » soit largement plébiscitée, seule un procédé de signature électronique sécurisé peut être utilisé pour les actes authentiques (Décr. n°2005-972 et 973 du 10 août 2005). La signature électronique présumée fiable doit répondre aux exigences du décret du 30 mars 2001 et notamment à son article 2 : pour être présumée fiable une signature électronique doit être établie grâce à un dispositif sécurisé de création de signature électronique certifié puis vérifiée au moyen d’un certificat électronique qualifié.

Le certificat électronique qualifié doit répondre à une double exigence portant sur les informations qu’il doit contenir et sur le prestataire de services de certification électronique (PSCe) qui le délivre (art. 6 I et II du décr. du 30/03/2001). Contrairement au dispositif de création de signature électronique qui, pour être sécurisé, doit impérativement faire l’objet d’une procédure de certification, les PSCe peuvent se soumettre, volontairement, à une procédure de qualification (Arr. du 26/07/2004). Les prestataires qui fournissent des services techniques aux PSCe précités peuvent se soumettre à la même procédure de qualification, pour les exigences qui leurs sont applicables.

En l’absence de qualification, c’est-à-dire d’absence d’évaluation de la conformité des PSCe, par un organisme accrédité, aux exigences de l’article 6 II du décret du 30 mars 2001, les PSCe ne bénéficient pas de la présomption de conformité audites exigences, mais peuvent néanmoins délivrer des certificats qualifiés, conférant avec le dispositif sécurisé de création de signature électronique précité, présomption de fiabilité à la signature électronique. Les PSCe doivent néanmoins, dans le cadre de la formalité déclarative auprès du Premier ministre prévue à l’article 31 de la loi pour la confiance dans l’économie numérique pour la fourniture de prestations de cryptologie, indiquer qu’ils entendent délivrer des certificats électroniques qualifiés.

Les PSCe qui délivrent des certificats qualifiés sont responsables des préjudices causés aux personnes qui se sont fiées à leurs certificats, sauf à ce qu’ils démontrent qu’ils n’ont commis aucune faute intentionnelle ou négligence. Ils peuvent néanmoins indiquer dans leurs certificats des limites, y compris financières, à leur utilisation.

Les PSCe qualifiés selon l’arrêté du 26 juillet 2004 sont encore peu nombreux, puisque le site telecom.gouv.fr recense à ce jour la Banque de France et les Notaires de France, auquel s’ajoute Keynectis. Cette évaluation aux fins de qualification des PSCe porte sur la conformité aux exigences de l’article 6 du décret du 31 mars 2001, telles que précisées par le document AFNOR AC Z 74-400 « exigences concernant la politique mise en œuvre par les autorités de certification délivrant des certificats qualités » et par l’annexe à l’arrêté du 26 juillet 2004.

Quant aux certificats qualifiés, ils doivent être distingués du dispositif sécurisé de création de signature électronique soumis à la procédure de certification précitée ou encore de la liste des certificats référencés PRIS v1 (Politique de référencement intersectorielle de sécurité) dans le cadre de l’administration électronique. Pour autant, la fiabilité de la signature électronique ne repose pas exclusivement sur les PSCE, agissant comme autorité de certification.

La vérification de l’identité de la personne à laquelle un certificat électronique est délivré et de sa qualité, peut être déléguée par l’autorité de certification à l’autorité d’enregistrement, cette dernière devant alors formaliser sa politique en la matière, appelée « politique d’enregistrement ». Cette vérification peut se formaliser par le « face à face », peu adapté aux transactions en ligne ou la remise de justificatifs ou encore, par l’interconnexion avec une base de données administrative (« PRIS v.2.1 »), nécessitant alors d’observer une procédure de demande d’autorisation auprès de la Commission Nationale de l’Informatique et des Libertés (art. 25 I 5° de la loi n°78-17 du 6/01/1978).

Actualité du Minefi du 10 mars 2008

Produits disposant d’un certificat de conformité au décret n°2001-272 du 30 mars 2001

Catégories (familles) de certificats référencés PRIS v 1

(Mise en ligne Mars 2008)