1
- EXIGENCES TECHNIQUES SUR LES PROCEDES DE SIGNATURE ELECTRONIQUE
Le projet de décret soulève un certain nombre de questions, résumées ci-dessous pour lancer le débat auprès de tous les acteurs concernés ; une note explicative sur le dispositif mis en place vous permettra de comprendre l'environnement technique, juridique et économique de la reconnaissance de la signature électronique.
1
- EXIGENCES TECHNIQUES SUR LES PROCEDES DE SIGNATURE ELECTRONIQUE
Le projet de décret reprend les exigences fonctionnelles de la directive sur les dispositifs de création de signature mis en œuvre par les utilisateurs (article 3 du décret et Annexe III de la directive), sur les certificats électroniques (article 6.1 du décret et Annexe I de la directive) et sur les prestataires de service de certification (article 6.2 du décret et Annexe II de la directive). Ces exigences sont très importantes dans la mesure où elles conditionnent la présomption de fiabilité de la signature électronique (article 1 du décret).
Ces exigences techniques doivent-elles être complétées par des exigences supplémentaires, comme l'utilisation de procédés d'horodatage et de re-signature pour palier à l'obsolescence des technologies ou l'imposition d'un format pour les documents électroniques sur lesquels on signe électroniquement ?
De telles exigences seraient-elles
:
-objectivement nécessaires à l'efficacité du dispositif de présomption de fiabilité
?
-rattachables à des critères figurant dans la directive (resignature : Annexe
III, 1. b) ; format : Annexe III, 2).
2 - LE REGIME DE CONTRÔLE DES PRESTATAIRES DE SERVICE DE CERTIFICATION
L'article 7 du projet de décret prévoit un contrôle des prestataires de service de certification par les services du premier ministre, sur la base d'un régime déclaratif.
Le texte actuel n'implique-t-il pas un contrôle trop contraignant pour les services de certification ? Ou est-ce que ce contrôle n'est pas au contraire insuffisant au regard des enjeux de fiabilité des procédés de signature électronique ?
Le projet de texte ne prévoit pas des sanctions pénales en cas de non respect des critères de l'article 6 des certificats délivrés comme étant conformes à ces critères ? Faut-il prévoir de telles sanctions ?
3 - LE SCHEMA DE CERTIFICATION DES DISPOSITIFS DE CREATION DE SIGNATURE
Les articles 4 et 5 du décret prévoient la mise en œuvre par les services du premier ministre d'un processus d'évaluation et de certification des dispositifs de création de signature et la présomption de conformité aux critères de l'article 3 de ces procédés dès lors qu'ils sont certifiés dans le cadre de ce processus.
L'arrêté du premier ministre cité dans le décret, qui vise à la mise en place de ce schéma d'évaluation et de certification, se basera sur le schéma plus général existant pour les produits de sécurité des technologies de l'information, qui s'appuie sur des critères d'évaluation harmonisées ITSEC au niveau européen et Critères Communs au niveau mondial.
Ce schéma mérite-t-il des aménagements ? Si oui, lesquels ?
Enfin, conformément à la directive européenne, la présomption de conformité prévaut lorsque la certification est délivrée de la même manière dans un autre Etat membre. Cette reconnaissance mutuelle des certificats entre pays se basera, conformément à l'article 3.4) b), sur des normes et spécifications reconnues par le Comité article 9. Quel niveau d'assurance sera-t-il choisi pour l'évaluation des dispositifs de création de signature ? Cette procédure ne risque-t-elle pas d'aboutir à des dispositifs conformes mais insuffisamment sécurisés ? ou bien au contraire à un étouffement de l'offre de ces produits du fait d'exigences de sécurité trop élevées ?
4 -LE SCHEMA D'ACCREDITATION VOLONTAIRE DES PRESTATAIRES DE SERVICES DE CERTIFICATION
L'article 8 du décret prévoit l'instauration d'un régime d'accréditation volontaire (en aucun cas obligatoire) des prestataires de services de certification. Ce régime vise à augmenter le niveau de sécurité et de confiance du système. Les prestataires de service de certification vont avoir en effet un rôle important dans la confiance que pourront avoir dans les technologies de signature électronique, aussi bien les utilisateurs (émetteurs et destinataires de signataires électroniques) que les autorités judiciaires chargées de régler les conflits qui ne manqueront pas de naître entre les différents acteurs (répudiation de signature, fausse signature, conflit de preuves, etc.)
. Le texte du décret prévoit implicitement de se baser sur un schéma général de certification de services, de type de celui développé par le Comité Français d'Accréditation (COFRAC), ce qui permettra de bénéficier d'un acquis dans le domaine des processus d'évaluation et de certification de services et d'inscrire plus aisément le dispositif dans un cadre européen (reconnaissance mutuelle).
Conformément à ce schéma, les prestataires de services de certification n'auront pas à s'adresser à un seul organisme disposant d'un monopole mais pourront se faire « labelliser » auprès de plusieurs organismes, publics ou privés, qui auront été habilités à cet effet par une instance du type du COFRAC.
Ce dispositif permettra-t-il de trouver un juste équilibre entre la nécessité de développer l'offre dans ce secteur et la volonté d'établir des exigences de qualité des services offerts ? Sous quelles conditions ?
© Ministère de l'Économie, des Finances et de l'Industrie, 26/02/2001