www.industrie.gouv.fr

Synthèse des réponses à la consultation publique sur l'avant projet de décret sur la signature électronique

Sommaire
I -Introduction
II - Remarques générales
III - Définitions et exigences techniques
IV - Le régime de contrôle des prestataires de services de certification (PSC)
V - La certification des dispositifs de creation de signature
VI - L'accréditation volontaire des PSC

I. Introduction

Les réponses à la consultation organisée sur le site Internet.gouv.fr, et les contributions écrites adressées au ministère de la justice ou au secrétariat d'Etat à l'industrie, au nombre de 120 environ, proviennent tant de particuliers, juristes ou non, que de professionnels isolés ou de groupements de professionnels.

Le contenu de ces réponses va des simples encouragements - ou critiques - aux propositions de rédaction les plus techniques. Certaines de ces réponses sont en fait des questions exprimant un vif intérêt pour le sujet. Plusieurs personnes font valoir que la signature électronique aura une application très utile dans leur domaine (collectivités locales, notaires, médecins, banques).

Certaines réponses estiment que la consultation devrait également porter sur le contenu des différents arrêtés prévus en application du projet de décret, ou expriment le souhait d'une meilleure information sur les travaux de normalisation, au niveau de l'EESSI par exemple, qui serviront de référence à certains de ces arrêtés.

La consultation met principalement en évidence deux soucis dont la conciliation n'est pas évidente : assurer un niveau de sécurité suffisant pour favoriser la confiance nécessaire au développement de la signature électronique, mais ne pas entraver ce développement par un encadrement trop rigide ou exigeant.

II. Remarques générales

1. Signatures simples, signatures avancées, neutralité technologique

Des contributeurs relèvent que le projet ne traite que des signatures correspondant au concept de signature avancée de la directive européenne, alors qu'il semble qu'une signature simple a sa place dans les relations entre professionnels (AFB, AFECIE, CCIP DRCA département NTIC). Certains s'interrogent donc sur le sort des signatures ne répondant pas aux exigences posées par le décret (AFEP, CCIP).

Plus généralement, des contributeurs soulignent que le projet de décret - tout comme la directive elle-même - n'est pas tout à fait neutre technologiquement : seul le procédé de signature électronique reposant sur une certification à clé publique paraît pouvoir être présumé fiable (ADIJ, A. de La Presle, Castelnau). Il y a un risque d'exclusion de technologies nouvelles (Guillern, Choukroun, Guinier), telles que la biométrie par exemple, d'autant plus grand que la directive ne prévoit un rapport sur la mise en oeuvre d'éventuels aménagements qu'en 2003 (Favereau).

2. L'accès à la signature électronique

Certaines contributions, notamment de particuliers, font apparaître une sensibilité aux coûts que pourrait occasionner l'acquisition d'une signature électronique conforme aux exigenges du projet. Elles appellent à un service public national ou européen accessible aux particuliers (Claude Honnore), offert gratuitement par l'Etat (D. Pate) ou faisant l'objet d'une tarification établie suivant des règles communautaires, compatible avec les exigences de service universel (Ablys). D'autres proposent que le système fonctionne sur la base d'un logiciel indépendant à diffusion mondiale (Michel Rousseaux).

Plusieurs contributions se demandent si le projet de décret, qu'elles jugent maximaliste, ne se focalise pas trop sur la signature électronique dans les relations entre entreprises et administrations, au détriment de la signature électronique pour tous.

Diverses contributions insistent sur la nécessité d'adapter le niveau de sécurité à la nature des transactions (Natkin, Nogatchewsky…), ce qui pourrait se traduire par plusieurs niveaux de certification.

D'autres contributions estiment que compte-tenu de la complexité des dispositifs en cause, sauf à se rapprocher des procédés existants (signature manuscrite, carte bancaire) bon nombre d'utilisateurs renonceront à recourir à la signature électronique.

3. La protection des utilisateurs

D'une manière générale les particuliers expriment des craintes au sujet de la gestion et de la sécurité des informations nominatives qui seront recueillies lors de la mise en œuvre du processus de signature, ou des possibilités de traçabilité. Plusieurs contributions s'inquiètent des utilisations possibles de ces données en cas de fraude.

Certains contributeurs expriment une méfiance de principe à l'égard de l'obligation de recourir à un tiers certificateur (Clerc), soulignant en outre le risque que le tiers impose sa technologie (Richard). D'autres contributeurs appellent à une politique volontariste en matière d'infrastructure de gestion de clés nationale (Guinier, Castelnau).

III. Définitions et exigences techniques

Certaines contributions soulignent que les risques de piratage imposent, de manière générale, des exigences techniques très élevées (AFEP), portant aussi bien sur les matériels que sur les conditions de leur utilisation (Spirit Onetel).

A l'inverse, d'autres contributions insistent plutôt sur la nécessité d'adapter le degré d'exigence à la nature des transactions en cause (Natkin).

Certains contributeurs estiment que le projet de décret, en restant aussi proche que possible de la directive, qu'il s'agisse des critères retenus ou de leur rédaction, présente des garanties suffisantes et donne les orientations adéquates compte tenu des exigences d'évolutivité du dispositif (Ernst & Young).

A. Différences par rapport à la directive

Sur la forme, plusieurs contributions s'étonnent que le projet de décret ne reprenne pas les termes employés par la directive européenne, qu'il s'agisse de la notion de dispositif sécurisé de signature, de signature électronique avancée, de certificat qualifié.

Les contributions les plus techniques relèvent dans le détail les différences existant entre le projet de décret et la directive concernant la rédaction des définitions ou la formulation des exigences techniques (cf ci-dessous).

Plusieurs contributions estiment que le décret ne transpose pas l'intégralité des obligations de la directive en matière de reconnaissance internationale.

Certains contributeurs demandent comment seront abordées les exigences dans le secteur public (article 3.7 de la directive).

Enfin, certaines contributions souhaitent que les recommandations de la directive sur les dispositifs sécurisés de vérification de signature soient reprises dans le décret, soulignant que la sécurité et la confiance dépendent aussi largement de l'efficacité de ces dispositifs (PA Pays).

B. Définitions

Bon nombre de contributions estiment préférable de s'en tenir aux définitions de la directive, notamment pour ce qui est de la signature, du signataire, des données de signature ou du certificat (AFEP, CIGREF, Pinkas, Munoz).

Certaines contributions demandent des éclaircissements sur certains termes techniques, tels que " données uniques " ou " codes " (Castelnau), ou proposent d'apporter des précisions supplémentaires (ex : préciser si les termes " toute personne " se réfèrent explicitement tant à des personnes physiques qu'à des personnes morales / AFEP-AGREF).

Quelques contributions suggèrent de compléter les définitions reprises de la directive pour lever toute ambiguïté, notamment sur les termes relatifs à l'évaluation, à la certification/accréditation, la différence de vocabulaire entre la directive et le droit de la consommation étant génératrice de confusions.

C. Exigences techniques relatives aux dispositifs de création de signature (DCS)

1. Observations sur les exigences prévues par le projet de décret

La sécurité des dispositifs de signature électronique constitue une préoccupation générale relayée essentiellement par les particuliers. Ces derniers transposent à la signature électronique tant leurs craintes que leur confiance dans l'utilisation de la carte bancaire. Certains contributeurs s'interrogent ainsi sur ce qui se passe si une signature est imitée, sur la manière de le prouver (JG Poullain), ou encore sur la possibilité de " faire opposition " à une signature volée (AM Beh).

® Niveau de Sécurité

Des contributions jugent que le projet de décret est maximaliste en termes de sécurité et pose des exigences " inaccessibles ". Elles relèvent que l'annexe III de la directive emploie des termes comme "pratiquement" ou "assurance suffisante" qui ne sont pas repris par l'article 3 du projet de décret alors qu'ils fournissent une flexibilité opportune (E&Y). Des contributions estiment que la formulation du projet de décret aboutirait à retirer du champ de la présomption de fiabilité prévue par la loi la majorité des signatures électroniques (Paul-André Pays). Dans le meilleur des cas, elle conduirait à n'accepter que les dispositifs de signature basés sur la carte à puce. D'autres contributions estiment d'ailleurs souhaitable que cette technologie soit explicitement privilégiée (Schlumberger).

Une contribution estime qu'aucun produit disponible sur le marché n'est apte à satisfaire les exigences demandées par les normes en vigueur, par exemple les Critères Communs, pour une réelle sécurité des dispositifs. Certains proposent de hiérarchiser les niveaux selon la nature des engagements à signer électroniquement (S.Natkim) ou encore soulignent l'intérêt d'une échelle souple de référentiels de signatures fiables, parmi lesquels les signataires pourraient librement choisir.

Enfin, afin de renforcer la sécurité, plusieurs contributions souhaitent voir mis en place des procédés de contrôle bio métrique.

· Périmètre du dispositif de création de signature et des contrôles

De nombreuses contributions demandent à préciser le périmètre du dispositif de création de signature soumis aux exigences techniques du projet de décret, et s'interrogent sur les exigences complémentaires qui pourraient être nécessaires sur l'environnement de ce dispositif.

2. Observations sur d'éventuelles exigences supplémentaires

® Publication des algorithmes cryptographiques

Des contributions lient la confiance qui pourra être accordée aux procédés de signature à la mise à disposition du public des protocoles et algorithmes utilisés (Laurent Pelé, Arnaud Chevalier).

Certains contributeurs soulignent qu'à défaut, les victimes d'un piratage, dans l'impossibilité de mettre en évidence les failles d'un dispositif, pourraient en définitive pâtir du principe d'inversion de la preuve qui jouera en faveur du pirate ayant imité leur signature.

D'autres contributeurs souhaitent qu'un standard soit imposé par les autorités publiques, plutôt que par le marché (A. Pukall).

® L'horodatage

Plusieurs réponses à la consultation s'expriment en faveur de l'insertion d'un mécanisme d'horodatage dans le décret (IALTA, Certinomis, CIGREF, Conseil National des Greffiers des tribunaux de commerce, Chevrier, Herault, Bourdon) bien qu'elles reconnaissent que de tels procédés sont encore incertains et coûteux (Cyber-Comm, Sécurité et Normalisation...). Il n'y a pas de consensus sur ce point (opposition Ernst & Young). Certains voient dans l'horodatage un service supplémentaire que peut offrir un prestataire. L'introduction de l'horodatage obligerait à prévoir un régime des tiers d'horodatage.

L'horodatage a également été appréhendé dans le cadre de la reconnaissance de la validité d'une signature. Ainsi cette dernière ne sera considérée comme valide que si elle a été produite à l'aide d'une clé privée dont le certificat était valide à l'instant de la signature. L'auteur de cette contribution estime que cette question n'est pas abordée par la directive mais que le texte communautaire n'interdit pas aux Etats membres de l'exiger. (D. Pinkas, Bull SA).

® La resignature

De nombreuses craintes s'expriment sur l'évolution dans le temps de la présomption de preuve. Qu'en est-il de la validité d'une signature ancienne ? De manière plus générale, certains s'interrogent sur la fiabilité dans le temps des documents électroniques (AFB).

Une contribution met en exergue deux échelles de temps : celle propre au cycle de vie du certificat et celle du message électronique signé (IALTA France et EDIFRANCE).

Une resignature est souhaitée par certaines des réponses à la consultation. Les commentateurs justifient cette resignature, prévue à intervalles réguliers, par l'obsolescence rapide des technologies en ce domaine (CIGREF). Cette exigence pour la nécessité d'une preuve sur un long terme est à rapprocher des procédures de " notarisation " chez des tiers certifiés (Cyber-Comm, Sécurité et Normalisation).

En revanche d'autres contributions remarquent qu'au-delà de la phase transactionnelle, il importe peu de garder une signature électronique conforme à l'état le plus avancé de l'art puisqu'elle aura déjà validé un message électronique qui aura lui-même produit les effets juridiques attendus (IALTA France et EDIFRANCE).

Enfin d'autres contributions émettent des réserves sur le principe de resignature qui risquerait de fragiliser la crédibilité de la signature électronique.

® Le format des documents électroniques

D'une manière générale, les réponses ne se prononcent pas en faveur d'un format unique de document électronique (CIGREF). Toutefois certains proposent des limitations à certains formats, alors que d'autres suggèrent des exigences de forme particulières pour certains types de documents (AFB).

® Processus de vérification d'une signature

Beaucoup de contributions déplorent l'absence d'obligations sur les dispositifs de vérification de la signature qui font l'objet d'une recommandation dans la directive. Plusieurs contributeurs estiment que les tentatives de fraude seront principalement basées sur une exploitation des vulnérabilités des processus de vérification et non pas sur une attaque cryptographique ou sur une attaque des procédés de création de signature (Paul-André Pays).

® Manisfestation de volonté du signataire

Certains jugent que les exigences du décret sont insuffisantes en ce qui concerne les moyens techniques garantissant que l'assentiment du signataire est donné en toute connaissance de cause et souhaiterait que l'on puisse s'assurer que ce qui est signé est ce qui est lu.

D. Exigences techniques relatives aux certificats

Des contributions proposent que dans l'exigence relative au dispositif de création de signature du PSC (art. 6.1.h) les conditions mentionnées soient celles de l'ensemble de l'article 3, voire celles de l'article 4 et 5.

Des contributions proposent une rédaction plus souple (" éventuellement " plutôt que " le cas échéant ") de l'exigence relative à l'inclusion des qualités spécifiques du signataire (6.1.d).

Certaines contributions envisagent que le certificat mentionne les limites de chacunes des transactions pour lesquelles il est émis.

Plusieurs contributions insistent sur l'insuffisance de la notion de nom (risque d'homonymie) et sur la nécessité de garantir l'unicité du signataire.

E. Exigences techniques relatives aux prestataires de services de certification (PSC)

1. Observations sur les exigences prévues par le projet de décret

De nombreuses contributions soulignent l'imprécision des critères figurant dans le projet de décret, tels qu'ils sont repris de la directive, et souhaitent des clarifications concernant la manière dont ces critères pourront être contrôlés, ou des précisions sur la nature des obligations posées (obligation de moyen ou de résultat). Certaines remettent en cause la pertinence même de quelques unes des exigences prévues.

® Exigence de fiabilité (a)

Des contributions appellent à préciser les critères au vu desquels est appréciée la fiabilité d'un PSC, ainsi que les instances auprès desquelles cette fiabilité pourrait être démontrée (AFB, AFEP, Castelnau) ;

® Service d'annuaire (b)

Sur la forme, des contributions s'interrogent sur le sens à donner aux termes " rapide et sûr ".

Sur le fond, plusieurs contributions ne jugent pas pertinent de rendre obligatoire un service d'annuaire. D'une part, un tel service ne serait pas nécessaire (Certinomis), d'autre part, il poserait des problèmes de protection des informations personnelles. L'instauration d'un service d'annuaire soulèverait la question de la constitution d'un fichier au regard du secret professionnel. Ce service serait-il ouvert au public ou d'accès réservé? (AFB, AFEP-AGREP).

Une contribution explique que si la mise à disposition d'un annuaire est optionnelle, seule la conservation locale est alors nécessaire. (D. Pinkas, Bull).

® Contrôle des émissions et des révocations (b, c)

Une contribution s'interroge sur la possibilité de gérer l'heure d'émission ou de révocation (AFB). Une autre estime que cela impose le recours à l'horodatage (Certinomis).

D'une manière générale les contributions abordant ce sujet s'interrogent sur la notion de " service de révocation sûr et immédiat ". Bien que les commentateurs reconnaissent l'intérêt d'un tel service, ils estiment que la notion d'immédiateté devrait être remplacée par l'engagement du PSC à fournir le service dans un délai qu'il jugera possible. Ce délai pourrait alors constituer un argument concurrentiel.

Une contribution estime qu'une étape de suspension provisoire de certificat pourrait être utile en attendant les résultats de l'investigation en cas de doute sur la fiabilité (AFEP- AGREF).

® Exigences relatives à l'identification du signataire

De nombreuses contributions s'interrogent sur les moyens de vérifier l'identité du signataire et sur la nécessité d'exiger un contrôle en présence physique du signataire.

D'autres se demandent s'il ne conviendrait pas de recourir à un répertoire de référence établit sous l'autorité de l'Etat.

Enfin, certains vont même jusqu'à émettre l'idée d'une carte d'identité numérique.

® Exigences relatives à la vérification des informations contenues dans le certificat (6-2-h)

Plusieurs réponses posent la question des obligations des PSC en matière de vérification de l'authenticité des informations fournies et jugent que le décret n'y répond pas.

Certaines contributions demandent à ce que soient reprises les dispositions de l'annexe II de la directive (AFB, AFEP), d'autres soulignent au contraire la difficulté de vérifier l'exactitude des informations et préfèrent utiliser la notion de conformité.

Elles s'interrogent en outre sur lemoment où cette vérification devrait être exercée (Certinomis). Enfin certains estiment que les PSC ne devrait jamais générer les données de création de la signature (Certinomis).

® Délai de conservation des données relatives à la signature électronique (i)

Des contributions s'interrogent sur ce que sont une " information pertinente " ou un " délai utile ". Certaines soulignent que le " délai utile " peut varier, selon l'usage qui sera fait du certificat, de 5 à 30 ans, et proposent que le PSC précise la durée de conservation dans le certificat (Bull).

Une contribution souhaite à l'inverse que le délai minimum de conservation des clés publiques par les PSC soit inscrit dans le décret et soit aligné sur leurs obligations comptables et fiscales, et propose 10 ans (CIGREF). A défaut d'une durée spécifiée explicitement, les exigences du droit commun s'appliquent, avec des délais de prescription allant jusqu'à 30 ans, ce qui pourrait engendrer une distorsion de concurrence avec les autres pays européens (Certinomis).

Certaines contributions estiment que le décret devrait prévoir la pérennité des données concernant la signature électronique afin de pouvoir présenter les documents électroniquement signés pendant un délai assez long (20ans) (AFECEI, AFB).

® Non séquestre de clé (j)

Une contribution s'interroge sur le point de savoir si ce paragraphe interdit le séquestre des clés de confidentialité par les organismes de certification, prestation qui peut intéresser les PME (CCIP-DRCA).

® Stockage des certificats (l)

Une contribution propose que l'accès aux certificats soit également ouvert aux autorités judiciaires (Pinkas)

2. Observations sur d'éventuelles exigences supplémentaires

® Solidité financière

La non reprise dans le décret des exigences de la directive en matière de solvabilité est relevée par plusieurs contributions, qui le regrettent (AFECEI, AFEP, CCIP). Certains proposent que les PSC soient soumis à une obligation d'assurance.

® Responsabilité des PSC

Le projet ne mentionne pas le régime de responsabilité applicable aux PSC (CIGREF, AFECEI) alors que la Directive l'aborde explicitement en annexe II h) notamment (CCIP-DRCA département NTIC). Certaines contributions estiment qu'il s'agit d'une responsabilité de droit commun dont il faudra préciser la nature (AFB).

3. Autres questions

® En cas de réseau privé

Une contributio se demande si l'autorité de certification est obligatoirement un tiers (AFB).

Par ailleurs certaines grandes entreprises souhaitent endosser le rôle de PSC vis-à-vis de leur salariés et de leur partenaires. Elles s'interrogent sur la validité d'un tel système et notamment si elles peuvent faire certifier leur dispositif de création de signature électronique interne auprès de la DCSSI (CIGREF).

Par ailleurs, elles souhaiteraient rencontrer des conditions de certification différentes suivant que l'usage de la signature électronique est interne ou externe (CIGREF).

® Personne morale

Une contribution relève que la directive (article 2-3) vise les entités qui ne sont ni personnes physiques, ni personnes morales et qu'aucune dispositionéquivalente ne figure dans le projet (AFB).

IV. Le régime de contrôle des prestataires de services de certification (PSC)

Le régime de contrôle est une préoccupation importante qui ressort des contributions à la consultation publique, au point que certaines d'entre elles, en dépit du principe de libre accès posé par la directive, demandent une certification préalable obligatoire (NoiZeEz). D'autres contributions estiment au contraire inutile, voire nuisible, la mise en place d'un régime de contrôle spécifique aux PSC. Certaines soulignent les risques d'un contrôle trop contraignant par rapport à nos partenaires et s'interrogent sur les possibilités de contrôle des PSC établis dans des pays tiers (AFEP).

Plusieurs contributions jugent, en tout état de cause, que le contrôle n'est pas suffisamment décrit au niveau du projet de décret pour permettre une analyse circonstanciée. Une réponse propose que le décret renvoie à un arrêté l'organisation des modalités de ce contrôle, pour des raisons de transparence et de référencement international (Bull).

A. Les conditions d'accès à l'activité de PSC

La directive européenne indique que les Etats auront à mettre en place un " système adéquat permettant de contrôler les prestataires de services de certification établis sur son territoire et délivrant des certificats qualifiés au public ". Certaines contributions estiment que dans ces conditions, le volet déclaratif du contrôle prévu au chapitre III du projet ne devrait s'appliquer qu'aux PSC délivrant des certificats qualifiés (D. Pinkas Bull SA).

Néanmoins, des commentateurs insistent, dans un souci de crédibilisation, sur l'utilité de maintenir une obligation de déclaration systématique d'activité pour la totalité des PSC, telle qu'elle découle aujourd'hui de l'article 28 de la loi du 29 décembre 1990 sur la réglementation des télécommunications et telle qu'elle pourrait être maintenue dans la loi sur la société de l'information (AFEP-AGREF).

Certaines contributions estiment que les conditions de création d'une activité de PSC sont beaucoup trop souples (pas d'exigence en matière de capital....) (CIGREF). Les garanties relatives à la solidité et à la pérennité des PSC définies en annexe II § h de la directive n'ont pas été reprises dans le projet de décret et apparaissent dès lors aux yeux des grandes entreprises comme inexistantes (CIGREF, AFECEI, AFB). Beaucoup demandent que les PSC soient assurés pour pouvoir répondre à leurs obligations.

D'autres estiment toutefois qu'il ne semble pas nécessaire d'instaurer une garantie financière minimum obligatoire, ni d'instituer un régime de profession réglementée (AFB).

B. Le contrôle a posteriori

Une contribution souhaite que la déclaration soit complétée par un contrôle a posteriori par la DCSSI systématique (d'office et sur réclamation) (AFEP-AGREF). Une autre contribution estime que la responsabilité du contrôle prévu par le projet devrait revenir plutôt à la DGCCRF, la DCSSI intervenant en tant qu'expert (Ernst & Young).

Ce contrôle paraît à certains contributeurs suffisamment contraignant pour les services de certification (IALTA France et EDIFRANCE). Les contributeurs soulignent le risque d'un contrôle trop lourd par rapport à nos partenaires dès lors que jouent les mécanismes de reconnaissance mutuelle prévus par la directive.

La principale critique adressée au projet concerne l'articulation entre accréditation et contrôle. Un contrôle sur la totalité des critères risquerait, selon certaines contributions, de faire double emploi avec le dispositif d'accréditation, et de détourner de celui-ci. La combinaison du régime de contrôle et du régime d'accréditation aboutirait à multiplier excessivement les catégories de signature en fonction des vérifications auxquelles elles auraient donné lieu - 5 types différents de signature suivant que le prestataire est accrédité ou non, qu'il a été contrôlé ou non et si oui, selon le résultat de ce contrôle (Ernst & Young).

Certains préconisent donc d'en rester au régime déclaratif (7-I seulement) ou demandent, dans le cas du maintien d'un contrôle, à ce que son articulation avec le processus d'accréditation soit précisé (procédure contradictoire, quelle expertise prévaut ?, etc.).

C. Sanctions encourues par les PSC en cas d'infraction ou de défaillance

La seule mesure prévue se limite à une publicité sur un site (Internet) prévu à cet effet. Certaines contributions estiment, qu'en cas de manquement, les certificats devraient être automatiquement frappés de nullité et le prestataire devrait être tenu de révoquer les certificats déjà émis et présentés comme " qualifiés " (Bull, Gemplus, Ersnt & Young, CCIP). Dans le cas où il n'obtempérait pas, des mesures complémentaires devraient être prévues (D. Pinkas Bull SA). Un régime de sanction serait incitatif (Cyber-Comm, Sécurité et Normalisation).

Certaines contributions sont toutefois formellement opposées à la prévision de sanctions pénales (AFB, AFEP-AGREF). Des contributeurs soulignent que le Code civil accorde une présomption de fiabilité au PSC qui réunit les conditions posées par la loi et le décret mais n'interdit pas à celui qui ne les réunirait plus de prouver sa fiabilité : il devra seulement supporter la charge de la preuve sans bénéficier du renversement légal de celle-ci ; même en cas de non conformité aux exigences de l'article 6, le procédé technique peut être utile à d'autres applications moins gourmandes en sécurité (IALTA France et EDIFRANCE). Enfin, certains redoutent que l'absence d'harmonisation européenne en matière de sanction suscite un risque " d'évasion " des PSC vers les pays les moins exigeants (Cyber-Comm, Sécurité et Normalisation).

V. La certification des dispositifs de création de signature

A. L'organisme chargé de certifier les dispositif de création de signature

De nombreuses contributions s'interrogent sur le rôle central réservé aux services du Premier ministre chargés de la sécurité des systèmes d'information dans le processus de certification. Une contribution souhaite qu'en tout état de cause la composition du Comité directeur de la certification soit élargie (AFB).

Certaines contributions estiment que la certification devrait pouvoir être délivrée directement par les organismes d'évaluation, qui resteraient agréés par ces services (AFEP, Bull).

D'autres contributions estiment que le système d'évaluation-certification de l'article 4 ne doit pas être l'unique procédé pour reconnaître la conformité des dispositifs de création de signature. La réglementation ne doit pas empêcher d'autres organisations, françaises, européennes ou internationales, de procéder à un contrôle de conformité, sans que ce contrôle soit nécessairement validé par une certification provenant des services du Premier Ministre (IALTA France et EDIFRANCE, CCIP-DRCA Département NTIC). Ces contributions relèvent que le projet de décret prévoit qu'est réputé conforme le dispositif de création de signature électronique certifié par un organisme d'un autre Etat membre (art. 4 al. 2).

Une contribution estime enfin qu'une certification par les services du Premier ministre est incompatible avec les obligations de la loi n° 94-442 du 3 juin 1994 (code de la consommation) qui prévoit que les organismes de certification doivent être indépendants et composés de représentants des fournisseurs, utilisateurs, commerçants, constructeurs, experts (Laurent Pelé).

B. Les modalités de la certification

Une contribution souhaite que le décret précise les grandes lignes du régime d'évaluation-certification (AFECEI). En tout état de cause, l'arrêté prévu par le projet devrait, selon les contributeurs, clarifier les conclusions que doit donner une évaluation (AFEP), et apporter des garanties de rapidité dans la délivrance des certificats de dispositifs de signature, en précisant les délais et les critères de l'évaluation, ainsi que les conditions de certification d'appel éventuel (Cigref). Il est également demandé que l'arrêté détaille les modalités de contrôle des organismes d'évaluation (AFEP).

Une contribution souligne la nécessité d'adapter le schéma actuel au cas spécifique des signatures : simplification de la documentation nécessaire, analyse poussée des codes source et objet, quantification plus précise de la résistance des mécanismes, et définition d'un niveau d'exigence maximal - ITSEC 6 (Bertin).

Une contribution estime que l'(es) organisme(s) en charge de la certification devrai(ent) avoir le pouvoir de répudier un système technique obsolète ; cette répudiation devrait pouvoir être exigée d'office par l'organisme ou demandée par toute personne ; la certification délivrée devrait être valable pour une durée de cinq ans maximum et tout renouvellement devrait être soumis à une nouvelle étude complète du dossier (Laurent Pelé).

VI. L'accréditation volontaire des PSC

De nombreuses contributions contestent l'utilisation des termes certification et accréditation en tant que non-conformes au sens communément admis par l'ensemble des acteurs en France (COFRAC, Bull, Ernst & Young).

A. Organismes chargés de l'accréditation

Certains contributeurs doutent de la nécessité de faire intervenir l'Etat pour l'accréditation de tous PSC, et proposent que son intervention se limite à la désignation d'un organisme accréditeur (le COFRAC par exemple).

Quelques contributions insistent sur la nécessité de prévoir la possibilité d'une accréditation par des organismes sectoriels agréés (AFEP). Une contribution s'interroge sur la nécessité pour un organisme accrédité par ChamberSign Europe pour la délivrance de certificats électroniques d'obtenir une accréditation d'un organisme français, en soulignant qu'il faut éviter de multiplier les procédures (CCIP-DRCA, Département NTIC).

B. Schémas d'accréditation

L'intérêt d'un schéma d'accréditation tel que défini dans l'article 8 apparaît limité dans la mesure où, contrairement aux dispositifs de création de signature, aucune présomption de conformité aux critères de l'article 6 n'est instaurée pour un prestataire accrédité suivant un certain niveau. Une telle présomption serait la seule véritable justification de l'institution par voie réglementaire d'un tel dispositif (Ernst & Young).

Une contribution estime qu'un schéma d'accréditation limité aux seuls PSC est non viable économiquement mais qu'il doit englober les tiers de confiance au sens large.

Une contribution estime que si les conditions d'accréditation sont supérieures à celles des autres pays, les sociétés françaises iront se faire accréditer à l'étranger (IALTA France et EDIFRANCE). Certaines réponses craignent un risque de certification ou d'accréditation dans le pays le moins-disant (AFB).

Une contribution estime que le schéma d'accréditation volontaire du PSC va inciter les grandes entreprises à n'utiliser que les PSC qui disposeront d'une accréditation (CIGREF). De surcroît, il créera une véritable hiérarchisation des PSC en fonction de la qualité de leurs prestations avec pour une incidence attendue une concurrence stimulée (Conseil National des Greffiers des tribunaux de commerce).

Une contribution fait mention du système de référencement du Ministère de l'Economie, des Finances, et de l'Industrie bien qu'il soit établi plus pour les certificats que pour les certificateurs. Elle estime que se constituera dès lors une véritable hiérarchie dans les procédures de vérification et de contrôle qui se transformerait en hiérarchie des prestataires de services de certification ayant réussi à passer tous les obstacles.

Elle considèrent dans une telle hiérarchie la forme supérieure de prestation de services de certification serait dédiée à la sécurisation des échanges avec l'administration et que ceux qui ne (voudraient ou) pourraient être référencés pour les téléprocédures ne pourraient que se rabattre sur le commerce électronique. (IALTA France et EDIFRANCE). Un contributeur s'interroge sur la légalité de la procédure d'accréditation par rapport à l'article 3.1 de la directive 1999/93/CE et à l'article 4 de la directive sur le commerce électronique, qui dispose que " les Etats Membres veillent à ce que l'accès à l'activité d'un prestataire de services et l'exercice de celle-ci ne puissent être soumis à un régime d'autorisation préalable ou toute autre exigence ayant un effet équivalent " (Luc Grynbaum).

Un contributeur estime que la durée de validité de l'accréditation (4 ans) apparaît beaucoup trop grande et devrait être ramenée à 12 mois maximum, quitte à prévoir des réévaluations plus légères (Ernst & Young).

Enfin il est demandé que le texte français soit plus précis que la directive et définisse ce qu'on entend par "exigences particulières de qualité" (IALTA).