Accueil > Signature électronique

Agrandir le texte Diminuer le texte Affichage :

 

TIC



Pour aller plus loin

Signature électronique Qu'en est-il de la mise en application de la signature électronique ?

 

Avec le développement du commerce électronique est apparue la nécessité de créer un cadre légal harmonisé à la mise en œuvre des signatures électroniques au sein des pays membres de l'Union européenne.


D'où la directive européenne n°1999/93/CE du 13 décembre 1999 qui a été transposée en droit français par la loi n°2000-230 du 13 mars 2000 et son décret d'application (décret n°2001-272 du 30 mars 2001).


La loi, en modifiant l'article 1316 du Code civil, pose le principe de la validité juridique de la signature électronique. La preuve par écrit résulte d'une ""suite de lettres de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quel que soit leur support et leur modalité de transmission"".


La signature électronique a donc la même force probante que la signature sous forme papier si elle remplit deux conditions, authentification et intégrité. Son auteur doit pouvoir être identifié de façon sûre.


D'autre part le document auquel elle se rapporte doit être établi et conservé dans des conditions qui garantissent son intégrité. L'authentification de la signature électronique repose sur l'utilisation d'un algorithme qui garantit que le signataire est bien l'auteur et le message est bien celui qu'il a signé.


Le décret définit les conditions techniques pour assurer la fiabilité du procédé au regard de la loi.


Lorsqu'une signature électronique est certifiée, elle bénéficie d'une présomption d'authenticité sinon elle ne constitue qu'un début de preuve.


Les organismes de certification, outre les services de signature électronique proposent également des services d'horodatage (qui permettent de prouver qu'une donnée existait bien à un temps précis) et d'archivage.


Or sur ce dernier point, il reste encore actuellement quelques zones d'ombre dans les textes : si l'organisme de certification a une obligation de conservation des certificats électroniques, aucune durée n'est précisée en l'état et cette procédure concerne le passeport électronique du signataire (sa signature) et non pas l'objet de la transaction.


D'où la nécessité de prévoir en parallèle un contrat d'archivage entre l'entreprise et le prestataire de services, portant sur le texte contractuel lui-même.


Ce contrat peut s'appuyer sur la norme NF Z42-013 qui définit les modalités d'archivage et notamment la façon dont l'information sera transférée selon une périodicité précédemment définie, d'un premier support à un second plus récent.


Des arrêtés devraient compléter ultérieurement l'arsenal législatif en précisant la composition du Comité directeur de la certification, le contenu des procédures d'évaluation, la présentation des demandes de certification….un premier arrêté a été publié concernant la reconnaissance de la qualification des prestataires de certification électronique et l'accréditation des organismes chargés de l'évaluation.


En parallèle à la mise en place du cadre législatif, les instituts de normalisation ne restent pas inactifs :


L'ISO, au niveau international a élaboré un certain nombre de documents.


Un atelier sur la signature électronique a été créé au niveau du CEN, Comité Européen de Normalisation.


Quatre thèmes de travail ont été retenus :


· Sécurité relative aux produits et services de confiance.
· Sécurité pour les dispositifs de création de signature
· Environnement de création des signatures (interfaces utilisateurs et vérification de signature).
· Schémas d'accréditation.


D'autres travaux sont menés dans le cadre de l'ETSI, Institut Européen de Télécommunication.


Des réunions communes sont prévues pour coordonner l'ensemble des activités.


Depuis le début des années 2000 ont été réalisés un certain nombre d'accords d'atelier (CWA ou CEN workshop agreements) sur la signature électronique :


CWA 14167-1 : 2003 Security requirements for trustworthy systems managing certificates for electronic signatures - part 1 : system security requirements


CWA 14167-2 : 2004 Security requirements for trustworthy systems managing certificates for electronic signatures - part 2 : cryptographic module for CSP signing operations with backup - protection profile (MCSO-PP)


CWA 14167-3 : 2004 Security requirements for trustworthy systems managing certificates for electronic signatures - part 3 : cryptographic module for CSP key generation services - protection profile (CMCKG-PP)


CWA 14167-4 : 2004 Security requirements for trustworthy systems managing certificates for electronic signatures - part 4 : cryptographic module for CSP signing operations - protection profile (CMCSO-PP)


CWA 14169 : 2004 Secure signature - creation devices ""EAL 4+""


CWA 14170 : 2004 Security requirements for signature creation applications.


CWA 14171 : 2004 General guidelines for electronic signature verification.


CWA 14172-1 : 2004 EESSI conformity assessment guidance - part 1 : general.


CWA 14172-2 : 2004 EESSI conformity assessment guidance - part 2 : certification authority services and processes.


CWA 14172-3 : 2004 EESSI conformity assessment guidance - part 3 : trustworthy systems managing certificates for electronic signature


CWA 14172-4 : 2004 EESSI conformity assessment guidance - part 4 : signature creation applications and procedures for electronic signature verification


CWA 14172-5 : 2004 EESSI conformity assessment guidance - part 5 : secure signature creation devices


CWA 14172-6 : 2004 EESSI conformity assessment guidance - part 6 : signature creation device supporting signatures other than qualified


CWA 14172-7 : 2004 EESSI conformity assessment guidance - part 7 : cryptographic modules used by certification service providers for signing operations and key generation services


CWA 14172-8 : 2004 EESSI conformity assessment guidance - part 8 : time-stamping authority services and processes


CWA 14355 : 2004 Guidelines for the implementation of secure signature-creation devices


CWA 14365 1: 2004 Guide on the use of electronic signatures - part 1: legal and technical aspects


CWA 14365 2: 2004 Guide on the use of electronic signatures - part 2: protection profile for software signature creation devices


Ces types de référentiels proposés à côté des normes par les Instituts de normalisation et fréquents dans le domaine des technologies de l'information, correspondent à des réalités différentes en termes de niveau de consensus atteint…


Leur durée de vie étant de trois ans la question du devenir de ces documents a été posée d'autant plus que certains ont été mandatés par la Commission européenne et qu'ils sont cités dans une directive.


Un groupe d'experts vient d'être créé en France avec pour mission de suivre les travaux de révision et de transformation en normes européennes de certains de ces documents.


Date de mise à jour : 03/04/2012

 

Normes, projets de normes, recueils, ouvrages

Normes ou référentiels


AC CWA 14167-1 (Z74-301-1) - Octobre 2004
Exigences de sécurité concernant les systèmes fiables gérant des certificats pour signatures électroniques


AC ETSI/TS 101456 (Z74-400) - Octobre 2004
Exigences concernant la politique mise en oeuvre par les autorités de certification délivrant des certificats qualifiés


AC Z74-600-1 (Z74-600-1) - Août 2005
Attestations électroniques d'antériorité, de dépôt, de retrait et de réception - Partie 1 : concepts généraux


AC Z74-600-2 (Z74-600-2) - Août 2005
Attestations électroniques d'antériorité, de dépôt, de retrait et de réception - Partie 2 : définition des attestations


AC Z74-600-3 (Z74-600-3) - Août 2005
Attestations électroniques d'antériorité, de dépôt, de retrait et de réception - Partie 3 : format des attestations


AC Z74-600-4 (Z74-600-4) - Août 2005
Attestations électroniques d'antériorité, de dépôt, de retrait et de réception - Partie 4 : exigences pour les politiques d'attestations


ISO/CEI 9796-2 (en anglais seulement) - Décembre 2010
Technologies de l'information. Techniques de sécurité. Schémas de signature numérique rétablissant le message. Partie 2 : mécanismes basés sur une factorisation entière


ISO/CEI 9796-3 (en anglais seulement) - Septembre 2006
Technologies de l'information - Techniques de sécurité - Schéma de signature numérique rétablissant le message - Partie 3 : mécanismes basés sur les logarithmes discrets


ISO/CEI 14888-1 (en anglais seulement) - Avril 2008
Technologies de l'information - Techniques de sécurité - signatures numériques avec appendice - Partie 1 : généralités


ISO/CEI 14888-2 (en anglais seulement) - Avril 2008
Technologies de l'information - Techniques de sécurité - signatures numériques avec appendice - partie 2 : mécanismes basés sur une factorisation entière


ISO/CEI 14888-3 (en anglais seulement) - Novembre 2006 et ses rectificatifs techniques de septembre 2007, de février 2009 et son amendement de juin 2010
Technologies de l'information - Techniques de sécurité - signatures numériques avec appendice - partie 3 : mécanismes fondés sur un logarithme discret.


ISO/CEI 15945 - Février 2002
Technologies de l'information - Techniques de sécurité - Spécifications des services TTP pour supporter l'application des signatures numériques


ISO/CEI 18014-1 (en anglais seulement) - Septembre 2008
Technologies de l'information - Techniques de sécurité - Services d'estampillage de temps - Partie 1 : cadre général


ISO/CEI 18014-2 (en anglais seulement) - Décembre 2009
Technologies de l'information - Techniques de sécurité - Services d'horodatage - partie 2 : mécanismes produisant des jetons indépendants


ISO/CEI 18014-3 (en anglais seulement) - Décembre 2009
Technologies de l'information - Techniques de sécurité - Services d'horodatage - partie 2 : mécanismes produisant des jetons liés


NF Z42-013 ; Z42-013 - Mars 2009
Archivage électronique - Spécifications relatives à la conception et à l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés dans ces systèmes.


GA Z15-801 - Mars 2004
Cartes et systèmes associés-fonctions transversales et systèmes-signature électronique associée aux titres émis par l'Etat


NF EN 14890-1 - Juillet 2009
Interface applicative des cartes à puces utilisées comme dispositifs de création de signature numérique sécurisés - Partie 1 : services de base (indice de classement : Z15-801-1)


NF EN 14890-2 - Juillet 2009 - Interface applicative des cartes à puces utilisées comme dispositifs de création de signature numérique sécurisés
Partie 2 : services complémentaires (indice de classement : Z15-801-2)


Recueil


3237711CD - Février 2011
Sécurité des systèmes d'information


Pour commander

 

Réglementation

Directive n° 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques.


Décision n° 2003/511 de la Commission du 14 juillet 2003 relative à la publication des numéros de référence de normes généralement admises pour les produits de signature électroniques conformément à la directive 1999/93/CE du Parlement européen et du Conseil


Décision n° 2000/709 de la Commission du 6 novembre 2000 relative aux critères minimaux devant être pris en compte par les États membres lors de la désignation des organismes visés à l'article 3, paragraphe 4, de la directive 1999/93/CE du Parlement européen et du Conseil sur un cadre communautaire pour les signatures électroniques - (Texte présentant de l'intérêt pour l'EEE)


Décision n° 2011/130 de la Commission du 25 février 2011 établissant des exigences minimales pour le traitement transfrontalier des documents signés électroniquement par les autorités compétentes conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur - (Texte présentant de l'intérêt pour l'EEE)


Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique.


Décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique. Modifié par le décret n° 2002-535 du 18 avril 2002 et le décret n° 2007-663 du 2 mai 2007


Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l'accréditation des organismes qui procèdent à leur évaluation.


Décret n° 2002-1436 du 3 décembre 2002 modifiant le code de l'organisation judiciaire, le code de procédure civile, le nouveau code de procédure civile et le décret n ° 96-1080 du 12 décembre 1996 portant tarif des huissiers de justice en matière civile et commerciale (titre III chapitre 1er, "" de l'adaptation du droit de la preuve aux technologies de l'information "")


Décret n°2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.


Décret n°2011-434 du 20 avril 2011 relatif à l’horodatage des courriers expédiés par voie électronique pour la conclusion ou l’exécution d’un contrat.


Arrêté du 20 avril 2011 relatif à la reconnaissance de la qualification des prestataires des services d’horodatage électronique et à l’accréditation des organismes qui procèdent à leur évaluation.


Arrêté du 21 juin 2011 relatif à la signature électronique ou numérique en matière pénale.


Arrêté du 23 décembre 2011 relatif aux échanges par voie électronique des données à caractère personnel contenues dans les actes d’état civil.


Arrêté du 18 janvier 2012 relatif au référencement de produits de sécurité ou d’offres de prestataires de services de confiance.


Pour consulter ces textes :
www.legifrance.gouv.fr

 
 

Accessibilité | Mentions légales | Contact