3) LES CONDITIONS DE VALIDITÉ DE LA SIGNATURE ÉLECTRONIQUE
Le
projet de loi relatif au commerce électronique prévoit que les
effets juridiques de la signature électronique dépendent de
conditions relatives :
- aux certificats ;
- aux tiers de certification ;
- au processus de création de la signature
électronique.
a) Les certificats
Le
projet de loi envisage deux catégories de certificats : les
certificats
"
agréés
", qui correspondent
aux certificats " qualifiés " au sens de la directive, et les
autres certificats. La plupart des dispositions du projet ne concernent que les
certificats " agréés ".
Qu'il soit " agréé " ou non, un certificat peut
être détenu par
une personne physique ou morale
. Le projet
de loi ne comporte aucune mention explicite sur la durée de
validité des certificats.
Le contenu des certificats " agréés " sera
déterminé par un règlement, qui devra correspondre
à l'annexe II de la directive. Les certificats
" agréés " devront en particulier comporter
l'indication de leurs dates d'émission et d'expiration.
b) Les tiers de certification
Le
projet de loi consacre le principe du
libre exercice de l'activité de
certification par toute personne physique ou morale
. Il oblige les tiers de
certification à tenir "
un registre des certificats disponibles
au public, accessible en permanence par voie électronique
".
Cependant, la délivrance des certificats
" agréés " sera réservée aux tiers de
certification accrédités, ainsi qu'à ceux qui ne sont pas
accrédités, mais qui "
satisfont aux exigences de
sécurité et de fiabilité déterminées par un
règlement grand-ducal
". Ce règlement devrait reprendre
les termes de l'annexe II de la directive.
Les tiers de certification seront surveillés par
l'
Autorité
nationale d'accréditation et de
surveillance
, qui sera également chargée de délivrer
une accréditation à ceux d'entre eux qui en font la demande.
Le ministère de l'Economie devrait être désigné
comme Autorité nationale d'accréditation et de surveillance
.
Le contenu de l'accréditation sera variable
en fonction des
critères de fiabilité du demandeur (garanties financières,
techniques...) et du domaine dans lequel il souhaite exercer son
activité.
Le projet de loi prévoit la
responsabilité de tous les tiers
de certification
, qu'ils délivrent ou non des certificats
" agréés ", lorsque l'utilisation d'un certificat
entraîne un dommage.
L'article 21 du projet de loi oblige les tiers de certification au
"
secret concernant tous les renseignements qui leur sont
confiés dans le cadre de leurs activités
professionnelles
. " Le
secret professionnel
sera d'ordre
public, et sa violation sera sanctionnée pénalement. Ces
dispositions sont inspirées de la loi modifiée du 5 avril
1993 relative au secteur financier.
* *
*
Au début de l'année 1999, la Chambre de commerce luxembourgeoise s'est engagée dans un partenariat avec la société Globalsign pour délivrer des certificats numériques. Globalsign joue le rôle d'autorité de certification : elle émet des certificats numériques reposant sur la cryptographie à clé publique, les signe à l'aide de sa clé privée et en assure la gestion. La Chambre de commerce tient les fonctions de tiers certificateur en garantissant notamment la vérification des données relatives à l'établissement du certificat numérique.
c) Le dispositif de création de la signature électronique
Le projet de loi prévoit que le titulaire du certificat est " responsable de la confidentialité et de l'intégrité du dispositif de création de signature qu'il utilise ". Par ailleurs, il renvoie à un règlement grand-ducal qui précisera " l'objet et le niveau de sécurité des dispositifs de création de signature ". Ce règlement transposera l'annexe III de la directive.
LA SIGNATURE ELECTRONIQUE