UNION EUROPEENNE
Le
13 mai 1998, la Commission a présenté la
proposition de
directive sur un cadre commun pour les signatures électroniques
.
Le Parlement européen l'a approuvée le 13 janvier 1999,
après avoir introduit quelques amendements. La Commission a donc
présenté une proposition modifiée le 29 avril 1999,
sur laquelle le Conseil a adopté une position commune. Le
27 octobre 1999, le Parlement européen a adopté quelques
amendements formels à ce texte, sur lequel le Conseil s'est
prononcé le 29 novembre 1999.
1) La reconnaissance juridique de la signature électronique
L'article premier de la directive énonce :
"
L'objectif de la présente directive est de faciliter
l'utilisation des signatures électroniques et de contribuer à
leur reconnaissance juridique (...)
".
A l'article suivant, elle définit
deux niveaux de signature
électronique
. Elle distingue en effet la " signature
électronique ", qu'elle qualifie de "
donnée
sous forme électronique, qui est jointe ou liée logiquement
à d'autres données électroniques et qui sert de
méthode d'authentification
", de la " signature
électronique avancée ", qui doit en outre satisfaire aux
exigences suivantes :
"
a) être liée uniquement au signataire ;
"
b) permettre d'identifier le signataire ;
"
c) être créée par des moyens que le signataire
puisse garder sous son contrôle exclusif ; et
"
d) être liée aux données auxquelles elle se
rapporte de telle sorte que toute modification ultérieure des
données soit détectable
".
2) Les effets juridiques de la signature électronique
D'après la directive,
seules les signatures
électroniques
créées dans des conditions de
sécurité optimale peuvent avoir la même valeur que les
signatures manuscrites
. En effet, cette équivalence est
réservée aux signatures électroniques avancées
"
basées sur un certificat qualifié et
créées par un dispositif sécurisé de
création de signature
".
Toutefois,
les autres signatures électroniques doivent pouvoir
être reconnues en justice
. Le seul fait qu'elles ne reposent pas sur
un certificat qualifié, que le certificat n'ait pas été
délivré par un tiers de certification agréé, ou
qu'elles ne résultent pas d'un dispositif sécurisé de
création de signature ne doit pas empêcher
a priori
qu'elles soient reçues comme preuves.
3) Les conditions de validité de la signature électronique
La
recevabilité en justice des signatures électroniques et la
qualification de signature électronique " avancée ",
reposent sur des conditions relatives :
- aux certificats ;
- aux tiers de certification ;
- au processus de création de la signature électronique.
a) Les certificats
Les
titulaires des certificats sont des
personnes physiques
qui peuvent, le
cas échéant, agir pour le compte d'une personne morale. La
directive ne mentionne aucune indication de durée de validité
maximale pour les certificats.
L'annexe I de la directive énumère les exigences relatives aux
certificats " qualifiés ".
Ces derniers comportent
nécessairement :
"
a) une mention indiquant que le certificat est délivré
à titre de certificat qualifié ;
" b) l'identification du prestataire de service de certification, ainsi que le
pays dans lequel il est établi ;
" c) le nom du signataire ou un pseudonyme qui est identifié comme
tel ;
" d) la possibilité d'inclure, le cas échéant, une
qualité spécifique du signataire, en fonction de l'usage auquel
le certificat est destiné ;
" e) des données afférentes à la vérification de
signature qui correspondent aux données pour la création de
signature sous le contrôle du signataire ;
" f) l'indication du début et de la fin de la période de
validité du certificat ;
" g) le code d'identité du certificat ;
" h) la signature électronique avancée du prestataire de service
de certification qui délivre le certificat ;
" i) les limites à l'utilisation du certificat, le cas
échéant ; et
" j) les limites à la valeur des transactions pour lesquelles le
certificat peut être utilisé, le cas
échéant
".
b) Les tiers de certification
Si la
fourniture de services de certification ne peut être soumise à une
autorisation préalable, et peut être assurée par toute
personne physique ou morale, les Etats membres doivent cependant instaurer un
système de contrôle des tiers de certification. La directive
prévoit par ailleurs que les Etats membres puissent, pour
"
améliorer le niveau du service de certification
fourni
", instaurer un système d'accréditation.
L'annexe II de la directive définit les exigences concernant les
tiers de certification qui délivrent des certificats
agréés.
" Les prestataires de service de certification doivent :
" a) faire la preuve qu'ils sont suffisamment fiables pour fournir des services
de certification ;
" b) assurer le fonctionnement d'un service d'annuaire rapide et sûr et
d'un service de révocation sûr et immédiat ;
" c) veiller à ce que la date et l'heure d'émission et de
révocation d'un certificat puissent être déterminées
avec précision ;
" d) vérifier, par des moyens appropriés et conformes au droit
national, l'identité et, le cas échéant, les
qualités spécifiques de la personne à laquelle un
certificat qualifié est délivré ;
" e) employer du personnel ayant les connaissances spécifiques,
l'expérience et les qualifications nécessaires à la
fourniture des services et, en particulier, des compétences au niveau de
la gestion, des connaissances spécialisées en technologie des
signatures électroniques et une bonne pratique des procédures de
sécurité appropriées ; ils doivent également
appliquer des procédures et méthodes administratives et de
gestion qui soient adaptées et conformes à des normes
reconnues ;
" f) utiliser des systèmes et des produits fiables qui sont
protégés contre les modifications et qui assurent la
sécurité technique et cryptographique des fonctions qu'ils
assument ;
" g) prendre des mesures contre la contrefaçon des certificats et, dans
les cas où le prestataire de service de certification
génère des données afférentes à la
création de signature, garantir la confidentialité au cours du
processus de génération de ces données ;
" h) disposer des ressources financières suffisantes pour fonctionner
conformément aux exigences prévues par la présente
directive, en particulier pour endosser la responsabilité de dommages,
en contractant, par exemple, une assurance appropriée ;
" i) enregistrer toutes les informations pertinentes concernant un certificat
qualifié pendant le délai utile, en particulier, pour pouvoir
fournir une preuve de la certification en justice. Ces enregistrements peuvent
être effectués par des moyens électroniques ;
" j) ne pas stocker ni copier les données afférentes à la
création de signature de la personne à laquelle le prestataire de
service de certification a fourni des services de gestion de clés ;
" k) avant d'établir une relation contractuelle avec une personne
demandant un certificat à l'appui de sa signature électronique,
informer cette personne par un moyen de communication durable des
modalités et conditions précises d'utilisation des certificats, y
compris des limites imposées à leur utilisation, de l'existence
d'un régime volontaire d'accréditation et des procédures
de réclamation et de règlement des litiges. Cette information,
qui peut être transmise par voie électronique, doit être
faite par écrit et dans une langue aisément
compréhensible. Des éléments pertinents de cette
information doivent également être mis à la disposition,
sur demande, de tiers qui se prévalent du certificat ;
" l) utiliser des systèmes fiables pour stocker les certificats sous une
forme vérifiable, de sorte que :
- seules les personnes autorisées puissent introduire et modifier des
données,
- l'information puisse être contrôlée quant à son
authenticité,
- les certificats ne soient disponibles au public pour des recherches que dans
les cas où le titulaire du certificat a donné son consentement,
et
- toute modification technique mettant en péril ces exigences de
sécurité soit apparente pour l'opérateur.
"
La directive prévoit la responsabilité des tiers de
certification pour tout préjudice causé par l'utilisation d'un
certificat inexact ou invalide
. Ils peuvent cependant dégager leur
responsabilité en prouvant qu'ils n'ont commis aucune négligence.
c) Le dispositif de création de la signature électronique
Les
dispositifs sécurisés de création de signature sont
définis à l'annexe III de la directive :
"
1. Les dispositifs sécurisés de création de
signature doivent au moins garantir, par les moyens techniques et
procédures appropriés, que :
"
a) les données utilisées pour la création de la
signature ne puissent, pratiquement, se rencontrer qu'une seule fois et que
leur confidentialité soit raisonnablement assurée ;
"
b) l'on puisse avoir l'assurance suffisante que les données
utilisées pour la création de la signature ne puissent être
trouvées par déduction et que la signature soit
protégée contre toute falsification par les moyens techniques
actuellement disponibles ;
"
c) les données utilisées pour la création de la
signature puissent être protégées de manière fiable
par le signataire légitime contre leur utilisation par d'autres.
"
2. Les dispositifs sécurisés de création de signature
ne doivent pas modifier les données à signer ni empêcher
que ces données soient soumises au signataire avant le processus de
signature
".