Allez au contenu, Allez à la navigation

2 février 2000 : Signature électronique ( rapport - première lecture )

 

Retour Sommaire Suite

3) LES CONDITIONS DE VALIDITÉ DE LA SIGNATURE ÉLECTRONIQUE

Le décret pris par le Président du conseil des ministres le 8 février 1999 (document n° 8) détermine toutes les modalités techniques (définition des algorithmes utilisés pour produire et vérifier les signatures, caractéristiques des clés, obligations des détenteurs de clés et des tiers de certification, contenu des certificats...) permettant l'application du décret n° 513. Il précise ainsi les conditions d'équivalence entre la signature " digitale " et la signature manuelle, déjà définies par le décret n° 513 du 10 novembre 1997.

a) Les certificats

La signature " digitale " doit être produite par une clé privée dont la clé publique correspondante, préalablement certifiée par un prestataire de service de certification agréé, est encore valable. Les titulaires des certificats sont des personnes physiques. Le décret de 1999 précise toutes les informations nécessairement présentes sur les certificats. Ces exigences correspondent à celles de l'annexe I de la directive. La validité de ces certificats ne peut excéder trois ans.

b) Les tiers de certification

Les articles 8 et 9 du décret de 1997, qui précisent respectivement les critères que doivent remplir les tiers de certification et les obligations qu'ils doivent respecter, sont similaires aux exigences posées par l'annexe II de la directive. L'article 8 prévoit en particulier qu'il doit s'agir de sociétés par actions dont le capital social est au moins égal à celui qui est exigé pour les établissements financiers.

C'est l'Autorité pour l'informatique dans l'administration publique, organisme indépendant créé par un décret de février 1993 relatif aux systèmes informatiques publics, qui vérifie que les tiers de certification remplissent les conditions requises. Dans le secteur public, l'activité de certification est réalisée par les administrations elles-mêmes.

Le décret de 1997 ne comporte aucune disposition sur la responsabilité des tiers de certification, mais celui de 1999 leur impose le respect de mesures de sécurité et de dispositions techniques très sévères (établissement d'un plan général de sécurité dont la structure est définie par le décret lui-même ; enregistrement de toutes les opérations réalisées sur un journal de contrôle, qui doit être conservé pendant au moins dix ans ; obligation pour le personnel de remplir les différentes fonctions énumérées par le décret lui-même et de détenir certaines compétences...).

Les tiers de certification doivent conserver les clés publiques pendant au moins dix ans.

c) Le dispositif de création de la signature électronique

Les clés privées, produites par leur titulaire ou par les tiers de certification, ne doivent pas l'être à l'aide du système sur lequel elles seront utilisées ensuite. Le dispositif de création des clés privées doit remplir des exigences analogues à celle de l'annexe III de la directive.

Les tiers de certification n'ont pas le droit d'archiver les clés privées, qui doivent être conservées à l'intérieur d'un dispositif électronique ad hoc, les informations nécessaires à leur utilisation devant être stockées séparément.

LA SIGNATURE ELECTRONIQUE

Retour Sommaire Suite