Signature et certificat électroniques : aspects juridiques

Adresse : http://www.bestofmicro.com/entreprise/actualite/test/285-1-signature-certificat-electronique.html
Publiée le : 11 juin 2008 à 11:30 par La rédaction

Aspects juridiques de la signature et du certificat électronique

cadenas sécuritéInternet est devenu un espace d’échanges et de transactions à part entière, nécessitant cependant, en raison de son caractère immatériel, que la confiance puisse être assurée, voire renforcée par rapport au monde physique. Cette confiance ne pouvant être acquise que par la reconnaissance d’une valeur juridique à un « document » électronique, le législateur a progressivement institué, d’abord au niveau communautaire, puis au niveau national, un régime légal dédié à la preuve électronique.

Une preuve électronique intangible

Le droit reconnaît ainsi, depuis la Loi du 13 mars 2000 (article 1316-4 du Code civil), la validité de la signature électronique, contribuant à l’équivalence du support papier et du support numérique, dès lors qu’un certain nombre de conditions sont respectées, celles-ci tenant principalement à la certification de l’identité du signataire de l’acte et à l’intégrité de ce dernier.

Conformément aux disposition du décret d’application de l’article 1316-4 du Code civil*, la présomption de fiabilité du procédé de signature électronique n’est accordée qu’à la triple condition que la signature électronique mise en œuvre soit une signature sécurisée (propre au signataire - créée par des moyens que le signataire puisse garder sous son contrôle exclusif – garantissant que toute modification ultérieure de l’acte sera détectable), établie grâce à un dispositif sécurisé de création de signature électronique et dont la vérification repose sur l’utilisation d’un certificat électronique qualifié.

Une certification encadrée

Le certificat, message électronique par lequel un tiers, le certificateur, contrôle la concordance et l’adéquation entre l’identité du signataire et la clé publique, à savoir la clé de chiffrement du message, est donc au cœurUnité principale de calcul dans un processeur. Les principaux processeurs actuels regroupent désormais deux ou même quatre unités gravées dans la même... du processus de signature électronique. La fiabilité de la signature ne sera en effet présumée, et la sécurisation de l’échange électronique et la non-répudiation de l’engagement du signataire ne pourront être garanties, que sous réserve que la certification et la gestion des certificats répondent à un certain nombre de conditions, sur lesquelles le prestataire de certification devra s’engager contractuellement.

1. Certificat électronique : les critères à valider

Le certificat électronique est une carte d’identité numérique, constituée d’un bloc de données numériques, qui permet d’authentifier l’identité d’une entité physique ou non physique, à savoir une personne ou une ressource, et de créer un lien intangible entre cette entité et un acte ou document électronique. Confronté à la complexité et aux enjeux liés à la validité de la signature électronique, l’utilisateur signataire d’un certificat électronique doit exiger du prestataire de certification qu’il réponde aux exigences réglementaires, et qu’il lui apporte la garantie que les conditions de délivrance du certificat, ainsi que les informations contenues dans celui-ci respectent strictement les dispositions du décret 2001-272 du 30 mars 2001 d’application de l’article 1316-4 du Code civil et relatif à la signature électronique.

Le prestataire de certification

Le prestataire doit satisfaire aux exigences suivantes : Faire preuve de la fiabilité des services de certification électronique qu’il fournit ;

Assurer le fonctionnement d’un service d’annuaire recensant les certificats électroniques des personnes qui en font la demande ;

Assurer le fonctionnement d’un service permettant à la personne à qui le certificat a été délivré de révoquer sans délai et avec certitude ce certificat, et veiller à ce que la date et l’heure de délivrance et de révocation du certificat puissent être déterminées avec précision ;

Employer du personnel ayant les connaissances, l’expérience et les qualifications nécessaires à la fourniture de services de certification électronique ;

Appliquer des procédures de sécurité appropriées et utiliser des systèmes et des produits garantissant la sécurité technique et cryptographique des fonctions qu’ils assurent ;

Prendre toute disposition propre à prévenir la falsification des certificats électroniques ;

Conserver toutes les informations relatives au certificat qui pourraient s’avérer nécessaires pour faire la preuve en justice de la certification électronique ;

Utiliser des systèmes de conservation des certificats garantissant que :
- l’introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire ;
- l’accès du public à un certificat ne peut avoir lieu sans le consentement préalable du titulaire du certificat ;
- toute modification de nature à compromettre la sécurité du système peut être détectée.

2. La délivrance du certificat

Au moment de la délivrance du certificat, le prestataire doit :

Vérifier l’identité de la personne à laquelle le certificat est délivré, en exigeant d’elle la présentation d’un document officiel d’identité, ainsi que la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité ;

S’assurer au moment de la délivrance du certificat :
- que les informations qu’il contient sont exactes ;
- que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature électronique contenues dans le certificat ;

Avant la conclusion d’un contrat de prestation de services de certification électronique, informer par écrit la personne demandant la délivrance d’un certificat :
- des modalités et des conditions d’utilisation du certificat ;
- du fait qu’il s’est soumis ou non au processus de qualification volontaire des prestataires de certification électronique ;
- des modalités de contestation et de règlement des litiges.

Le contenu du certificat

Un certificat électronique qualifié doit comporter :

Une mention indiquant que le certificat est délivré à titre de certificat électronique qualifié ;

L’identité du prestataire ainsi que l’État dans lequel il est établi ;

Le nom du signataire ou un pseudonyme ;

L’indication de la qualité du signataire en fonction de l’usage auquel le certificat est destiné ;

Les données de vérification de signature électronique qui correspondent aux données de création de signature électronique ;

L’indication du début et de la fin de la période de validité du certificat ;

Le code d’identité du certificat ;

La signature électronique sécurisée du prestataire de services de certification électronique qui délivre le certificat ;

Le cas échéant, les conditions d’utilisation du certificat, notamment le montant maximum des transactions pour lesquelles ce certificat peut être utilisé.

Tom's Guide - http://www.tomsguide.com