Accueil > Profils > Activité > TIC > Signature électronique

Agrandir le texte Diminuer le texte Affichage :

 

TIC



Pour aller plus loin

Signature électronique Qu'en est-il de la mise en application de la signature électronique ?

 

Avec le développement du commerce électronique est apparue la nécessité de créer un cadre légal harmonisé à la mise en œuvre des signatures électroniques au sein des pays membres de l'Union européenne.


D'où la directive européenne n°1999/93/CE du 13 décembre 1999 qui a été transposée en droit français par la loi n°2000-230 du 13 mars 2000 et son décret d'application (décret n°2001-272 du 30 mars 2001).


La loi, en modifiant l'article 1316 du Code civil, pose le principe de la validité juridique de la signature électronique. La preuve par écrit résulte d'une ""suite de lettres de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quel que soit leur support et leur modalité de transmission"".


La signature électronique a donc la même force probante que la signature sous forme papier si elle remplit deux conditions, authentification et intégrité. Son auteur doit pouvoir être identifié de façon sûre.


D'autre part le document auquel elle se rapporte doit être établi et conservé dans des conditions qui garantissent son intégrité. L'authentification de la signature électronique repose sur l'utilisation d'un algorithme qui garantit que le signataire est bien l'auteur et le message est bien celui qu'il a signé.


Le décret définit les conditions techniques pour assurer la fiabilité du procédé au regard de la loi.


Lorsqu'une signature électronique est certifiée, elle bénéficie d'une présomption d'authenticité sinon elle ne constitue qu'un début de preuve.


Les organismes de certification, outre les services de signature électronique proposent également des services d'horodatage (qui permettent de prouver qu'une donnée existait bien à un temps précis) et d'archivage.


Or sur ce dernier point, il reste encore actuellement quelques zones d'ombre dans les textes : si l'organisme de certification a une obligation de conservation des certificats électroniques, aucune durée n'est précisée en l'état et cette procédure concerne le passeport électronique du signataire (sa signature) et non pas l'objet de la transaction.


D'où la nécessité de prévoir en parallèle un contrat d'archivage entre l'entreprise et le prestataire de services, portant sur le texte contractuel lui-même.


Ce contrat peut s'appuyer sur la norme NF Z42-013 qui définit les modalités d'archivage et notamment la façon dont l'information sera transférée selon une périodicité précédemment définie, d'un premier support à un second plus récent.


Des arrêtés devraient compléter ultérieurement l'arsenal législatif en précisant la composition du Comité directeur de la certification, le contenu des procédures d'évaluation, la présentation des demandes de certification….un premier arrêté a été publié concernant la reconnaissance de la qualification des prestataires de certification électronique et l'accréditation des organismes chargés de l'évaluation.


En parallèle à la mise en place du cadre législatif, les instituts de normalisation ne restent pas inactifs :


L'ISO, au niveau international a élaboré un certain nombre de documents.


Un atelier sur la signature électronique a été créé au niveau du CEN, Comité Européen de Normalisation.


Quatre thèmes de travail ont été retenus :


· Sécurité relative aux produits et services de confiance.
· Sécurité pour les dispositifs de création de signature
· Environnement de création des signatures (interfaces utilisateurs et vérification de signature).
· Schémas d'accréditation.


D'autres travaux sont menés dans le cadre de l'ETSI, Institut Européen de Télécommunication.


Des réunions communes sont prévues pour coordonner l'ensemble des activités.


Depuis le début des années 2000 ont été réalisés un certain nombre d'accords d'atelier (CWA ou CEN workshop agreements) sur la signature électronique :


CWA 14167-1 : 2003 Security requirements for trustworthy systems managing certificates for electronic signatures - part 1 : system security requirements


CWA 14167-2 : 2004 Security requirements for trustworthy systems managing certificates for electronic signatures - part 2 : cryptographic module for CSP signing operations with backup - protection profile (MCSO-PP)


CWA 14167-3 : 2004 Security requirements for trustworthy systems managing certificates for electronic signatures - part 3 : cryptographic module for CSP key generation services - protection profile (CMCKG-PP)


CWA 14167-4 : 2004 Security requirements for trustworthy systems managing certificates for electronic signatures - part 4 : cryptographic module for CSP signing operations - protection profile (CMCSO-PP)


CWA 14169 : 2004 Secure signature - creation devices ""EAL 4+""


CWA 14170 : 2004 Security requirements for signature creation applications.


CWA 14171 : 2004 General guidelines for electronic signature verification.


CWA 14172-1 : 2004 EESSI conformity assessment guidance - part 1 : general.


CWA 14172-2 : 2004 EESSI conformity assessment guidance - part 2 : certification authority services and processes.


CWA 14172-3 : 2004 EESSI conformity assessment guidance - part 3 : trustworthy systems managing certificates for electronic signature


CWA 14172-4 : 2004 EESSI conformity assessment guidance - part 4 : signature creation applications and procedures for electronic signature verification


CWA 14172-5 : 2004 EESSI conformity assessment guidance - part 5 : secure signature creation devices


CWA 14172-6 : 2004 EESSI conformity assessment guidance - part 6 : signature creation device supporting signatures other than qualified


CWA 14172-7 : 2004 EESSI conformity assessment guidance - part 7 : cryptographic modules used by certification service providers for signing operations and key generation services


CWA 14172-8 : 2004 EESSI conformity assessment guidance - part 8 : time-stamping authority services and processes


CWA 14355 : 2004 Guidelines for the implementation of secure signature-creation devices


CWA 14365 1: 2004 Guide on the use of electronic signatures - part 1: legal and technical aspects


CWA 14365 2: 2004 Guide on the use of electronic signatures - part 2: protection profile for software signature creation devices


CWA 14890 1: 2004 Application interface for smart cards used as secure signature creation devices - part 1: basic requirements


CWA 14890 2: 2004 Application interface for smart cards used as secure signature creation devices - part 2: additional services


Ces types de référentiels proposés à côté des normes par les Instituts de normalisation et fréquents dans le domaine des technologies de l'information, correspondent à des réalités différentes en termes de niveau de consensus atteint…


Leur durée de vie étant de trois ans la question du devenir de ces documents a été posée d'autant plus que certains ont été mandatés par la Commission européenne et qu'ils sont cités dans une directive.


Un groupe d'experts vient d'être créé en France avec pour mission de suivre les travaux de révision et de transformation en normes européennes de certains de ces documents.


Date de création : 2002-06-14
Dernière date de modification : 2005-06-29


 

Normes, projets de normes, recueils, ouvrages

Normes ou référentiels


AC CWA 14169 (Z74-300) - Octobre 2004
Dispositifs sécurisés de création de signature ""EAL 4+""


AC CWA 14167-1 (Z74-301-1) - Octobre 2004
Exigences de sécurité concernant les systèmes fiables gérant des certificats pour signatures électroniques


AC ETSI/TS 101456 (Z74-400) - Octobre 2004
Exigences concernant la politique mise en oeuvre par les autorités de certification délivrant des certificats qualifiés


AC Z74-600-1 (Z74-600-1) - Août 2005
Attestations électroniques d'antériorité, de dépôt, de retrait et de réception - Partie 1 : concepts généraux


AC Z74-600-2 (Z74-600-2) - Août 2005
Attestations électroniques d'antériorité, de dépôt, de retrait et de réception - Partie 2 : définition des attestations


AC Z74-600-3 (Z74-600-3) - Août 2005
Attestations électroniques d'antériorité, de dépôt, de retrait et de réception - Partie 3 : format des attestations


AC Z74-600-4 (Z74-600-4) - Août 2005
Attestations électroniques d'antériorité, de dépôt, de retrait et de réception - Partie 4 : exigences pour les politiques d'attestations


ISO/CEI 9796-2 (en anglais seulement) - Octobre 2002
Technologies de l'information. Techniques de sécurité. Schémas de signature numérique rétablissant le message. Partie 2 : mécanismes basés sur une factorisation entière


ISO/CEI 9796-3 (en anglais seulement) - Avril 2000
Technologies de l'information - Techniques de sécurité - Schéma de signature numérique rétablissant le message - Partie 3 : mécanismes basés sur les logarithmes discrets


ISO/CEI 14888-1 (en anglais seulement) - Décembre 1998
Technologies de l'information - Techniques de sécurité - signatures digitales avec appendice


ISO/CEI 14888-2 (en anglais seulement) - Décembre1999
Technologies de l'information - Techniques de sécurité - signatures digitales avec appendice - part 2 mécanismes basés sur les identités


ISO/CEI 14888-3 (en anglais seulement) - Décembre 1998 et son rectificatif technique de septembre 2001
Technologies de l'information - Techniques de sécurité - signatures digitales avec appendice - part 3 mécanismes fondés sur certificat


ISO/CEI 15945 - Février 2002
Technologies de l'information - Techniques de sécurité - Spécifications des services TTP pour supporter l'application des signatures numériques


ISO/CEI 15946-2 (en anglais seulement) - Décembre 2002
Technologies de l'information - techniques de sécurité - techniques cryptographiques basées sur les courbes elliptiques- partie 2 : signatures digitales


ISO/TR 17944 (en anglais seulement) - Août 2002
Banque - Sécurité et autres services financiers - Cadre pour la sécurité dans les systèmes financiers


ISO/CEI 18014-1 (en anglais seulement) - Octobre 2002
Technologies de l'information - Techniques de sécurité - Services d'estampillage de temps - Partie 1 : cadre général


ISO/CEI 18014-2 (en anglais seulement) - Décembre 2002
Technologies de l'information - Techniques de sécurité - Services d'horodatage - partie 2 : mécanismes produisant des jetons indépendants


ISO/CEI 18014-2 (en anglais seulement) - Février 2004
Technologies de l'information - Techniques de sécurité - Services d'horodatage - partie 2 : mécanismes produisant des jetons liés


NF Z42-013 ; Z42-013 - Décembre 2001
Archivage électronique - Spécifications relatives à la conception et à l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés dans ces systèmes.


GA Z15-801 - Mars 2004
Cartes et systèmes associés-fonctions transversales et systèmes-signature électronique associée aux titres émis par l'Etat


Ouvrages


3484212 - Septembre 2000
Archivage électronique - aspects technique et juridique.


Pour commander


 

Réglementation

Directive n° 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques.


Décision de la Commission du 14 juillet 2003 relative à la publication des numéros de référence de normes généralement admises pour les produits de signature électroniques conformément à la directive 1999/93/CE du Parlement européen et du Conseil


Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique.


Décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique.


Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l'accréditation des organismes qui procèdent à leur évaluation.


Décret n° 2002-1436 du 3 décembre 2002 modifiant le code de l'organisation judiciaire, le code de procédure civile, le nouveau code de procédure civile et le décret n ° 96-1080 du 12 décembre 1996 portant tarif des huissiers de justice en matière civile et commerciale (titre III chapitre 1er, "" de l'adaptation du droit de la preuve aux technologies de l'information "")


Pour consulter ces textes :
www.legifrance.gouv.fr


 
 

Accessibilité | Mentions légales | Contact