Allez au contenu, Allez à la navigation

2 février 2000 : Signature électronique ( rapport - première lecture )

 

Retour Sommaire Suite

3) LES CONDITIONS DE VALIDITÉ DE LA SIGNATURE ÉLECTRONIQUE

La qualification de signature " digitale " dépend du respect de conditions relatives :

- aux certificats ;

- aux tiers de certification ;

- au processus de création de la signature électronique.

a) Les certificats

L'article 2 de la loi définit le titulaire du certificat comme une personne physique.

Il prévoit, outre le certificat de clé, le certificat d'attribution, qui est " un certificat électronique séparé contenant de plus amples informations et qui fait expressément référence à un certificat de clé spécifique ".

L'article 7 de la loi, qui indique les informations que doit contenir le certificat de clé, ne correspond pas totalement aux exigences concernant les certificats " qualifiés " et figurant à l'annexe I de la directive.

La durée de validité des certificats ne peut excéder cinq ans.

b) Les tiers de certification

La loi réglemente l'activité des tiers de certification en instaurant des licences, qui sont délivrées par une autorité de contrôle. Il s'agit de l'Autorité de régulation pour les télécommunications et la poste, mise en place par la loi sur les télécommunications du 25 juillet 1996, et dont les membres sont désignés par le gouvernement fédéral, le Bundestag et le Bundesrat.

La loi n'interdit pas explicitement l'activité de tiers de certification non accrédités, mais cette activité se déroule alors en dehors du cadre de la loi. Les signatures associées ne bénéficient donc pas de la garantie de fiabilité définie par la loi.

Cet organisme veille également à ce que les tiers de certification respectent l'ensemble de la réglementation. Elle est aidée, pour les vérifications techniques, par des organismes (un public et trois privés) qu'elle désigne et qui lui rendent compte de façon très détaillée.

L'article 4 de la loi et l'article 1er de l'ordonnance précisent les conditions que doivent remplir les tiers de certification et les obligations qu'ils doivent respecter. Elles sont analogues aux exigences posées par l'annexe II de la directive. En revanche, le législateur n'a pas introduit de dispositions spécifiques relatives à la responsabilité des tiers de certification, faute d'être parvenu à un consensus.

La loi impose aux tiers de certification le respect de mesures de sécurité et de dispositions d'ordre technique assorties de conditions qualitatives très strictes. L'article 14 décrit les composants techniques qui doivent être utilisés, notamment pour la production et l'archivage des clés, ainsi que pour la production et la vérification des signatures " digitales ". Des précisions sont apportées dans l'ordonnance par les articles 16 et 17. Ce dernier article fait référence à des normes techniques particulièrement précises. Ces dispositions ont été elles-mêmes complétées par la publication, en 1998, par l'Autorité de régulation pour les télécommunications et la poste, de deux catalogues de mesures techniques rédigés selon les conseils du Bureau fédéral pour la sécurité dans la technique d'information.

L'article 8 de l'ordonnance oblige le prestataire de service de certification à conserver les certificats qu'il a délivrés dans un registre public. Le certificat doit figurer au registre au moins pendant la durée de qualification de l'algorithme et des paramètres pertinents utilisés. L'Autorité de régulation pour les télécommunications et la poste publie la liste des algorithmes et paramètres pertinents qualifiés avec leur durée de validité. Celle-ci doit être d'au moins six ans, sauf problème particulier.

L'article 13 de l'ordonnance précise que l'ensemble des informations relatives aux mesures de sécurité et aux certificats doit être gardé au moins trente-cinq ans à compter de l'émission du certificat de clé et archivé de manière à être consultable à tout moment pendant cette période.

L'article 5 de l'ordonnance interdit l'archivage des clés privées par l'autorité de certification.

c) Le dispositif de création de la signature électronique

L'article 6 de l'ordonnance prévoit que le tiers de certification transmet la clé privée et les données d'identification au signataire en personne, qui en accuse réception par écrit. Dès cet instant, elles sont sous la garde personnelle du signataire.

En pratique, c'est une carte à puce qui contient la clé privée et les autres paramètres nécessaires à la création de la signature " digitale ". Le document électronique est signé en introduisant cette carte dans un lecteur spécial branché sur l'ordinateur et en tapant un code secret.

LA SIGNATURE ELECTRONIQUE

Retour Sommaire Suite