Cadre juridique de la signature électronique et de la conformité de ChamberSign
Depuis l’aube des années 2000, tant les réglementations nationales qu’européennes se sont succédées afin d’encadrer l’utilisation des nouvelles technologies en matière de preuve, notamment par la signature électronique, et de s’adapter aux évolutions constantes. Il faut donc noter que l’existence même de ChamberSign France découle de ces exigences légales et réglementaires. Au fil du temps, elle s’est adaptée aux évolutions pour délivrer à ses clients des produits conformes à leurs propres exigences professionnelles.
Cadre juridique de la signature électronique et détails des textes
1999 Directive 1999/93/CE du Parlement Européen et du conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques
En 1999, face à l’émergence des nouvelles technologies dans l’économie mondiale, l’Europe décide de prendre le pas sur ces nouveaux process, et de créer un cadre communautaire sur la signature électronique. Elle espère ainsi inciter les Etats à accepter la signature électronique comme étant l’équivalent de la signature manuscrite d’un point de vue probatoire, afin d’encourager et d’encadrer juridiquement les communications électroniques sur le marché.
2000 Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique
Rapidement, la France transpose les termes de la directive en incluant notamment dans ses articles 1316 et suivant du Code civil la mention de la signature électronique et son équivalence avec la signature manuscrite en tant que preuve.
2001 Décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique
Ce décret est le premier à déterminer un cadre opérationnel relatif à la signature électronique et aux procédés permettant de la créer.
2002 Décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information
Ce décret institue une procédure volontaire de l’évaluation et de la certification des produits et des systèmes des technologies de l’information, ce qui inclut les dispositifs de création de signature électronique.
Cette procédure s’appuie :
- Sur des centres d’évaluation, eux-mêmes agréés, qui effectuent des contrôles et des tests puis rendent compte des résultats obtenus via un rapport d’évaluation ;
- Sur la Direction Centrale de la Sécurité et des Systèmes d’Information (DCSSI) qui élabore un rapport de certification proposé au Premier Ministre. En 2009, la DCSSI deviendra l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information. Elle est aujourd’hui chargée de la qualification des produits et services et tient la liste des Prestataires de Services de Confiance et Prestataires de Services de Certification Electronique, statut de ChamberSign France en tant qu’Autorité de Certification.
2002 Décret n° 2002-692 du 30 avril 2002 pris en application du 1° et du 2° de l’article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics
En 2002, l’objectif pour la France est de dématérialiser petit à petit les échanges avec l’administration. Ce décret a pour objet de permettre aux entités répondant à un marché public d’utiliser la voie électronique et d’apposer une signature électronique dite « sécurisée ».
2004 Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l'accréditation des organismes qui procèdent à leur évaluation
Cet arrêté est venu remplacer un précédent arrêté datant du 31 mai 2002 dans ses dispositions sur les règles relatives à la qualification de PSCE, statut de ChamberSign.
Cette qualification est octroyée après évaluation de la conformité du PSCE à différentes normes par un organisme lui-même accrédité.
2005 Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
La dématérialisation des échanges avec l’administration nécessite un niveau de sécurité important. C’est par cette ordonnance qu’a été instaurée l’idée de créer un Référentiel Général de Sécurité qui décrit les exigences de sécurité que doivent respecter l’administration et les entités privées communiquant avec elle.
2010
Décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives
C’est ce décret qui précise les prescriptions du Référentiel Général de Sécurité (communément appelé RGS), document élaboré par l’ANSSI, et dont la dernière version date du 27 février 2014. Il définit les mesures de sécurité techniques et organisationnelles que doivent appliquer les autorités administratives, mais également les entités privées amenées à traiter avec elles, dans leurs communications et dans les services en ligne proposés aux usagers.
Le RGS défini notamment dans ses annexes les mesures que doit respecter une Autorité de Certification telle que ChamberSign pour gérer le cycle de vie des certificats qu’elle créée et fourni à ses clients. C’est notamment à partir des exigences de ce texte que les produits de ChamberSign sont évalués/audités.
2014 Règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (eIDAS)
Le règlement communément appelé « règlement eIDAS » est le référentiel juridique sur l’identité électronique à l’échelle de l’Union Européenne. L’objectif de ce texte était d’harmoniser les exigences en matière de sécurité des échanges électroniques sur le marché européen, et non pas uniquement au sein des Etats pour les échanges liés à l’administration comme le RGS, mais bien entre toutes les entités privées ou publiques.
2016 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
Le règlement général sur la protection des données, ou RGPD, est le texte qui instaure au niveau européen les règles de protection des données à caractère personnel et met notamment à jour la réglementation déjà applicable en France : la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les données à caractère personnel sont progressivement devenues un enjeu capital des échanges électroniques, avec la nécessité d’une utilisation encadrée et sécurisée afin de ne pas porter atteinte aux droits et libertés de la personne concernée. Il était ainsi devenu essentiel de créer une réglementation générale et pérenne à l’échelle européenne.
Le traitement de données à caractère personnel fait partie de l’essence même de l’activité de ChamberSign qui, en tant qu’Autorité de Certification et Tiers de Confiance, a pour mission de délivrer des certificats électroniques contenant les identités de leurs titulaires. La sécurité des données à caractère personnel traitées et le respect des termes du RGPD sont alors des enjeux importants pour ChamberSign.
2017 Décret n°2017-1416 du 28 septembre 2017 relatif à la signature électronique pris pour l'application de l'article 1367 du Code Civil relatif à la signature électronique
Ce décret est venu remplacer le décret du 30 mars 2001 afin de réactualiser le cadre juridique lié à la signature électronique. Il énonce entre autres que « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. », la notion de « qualifiée » étant directement issue du règlement eIDAS.
Cadre juridique de la signature électronique : la conformité de ChamberSign aujourd'hui
En tant qu’Autorité de certification délivrant des certificats électroniques qualifiés, les différentes réglementations et normes auxquelles ChamberSign se conforme sont le socle de son organisation.
Articles 1366 et 1367 du Code civil
Actuellement, ce sont ces deux articles du Code civil qui posent les principes relatifs à la signature électronique. L’article 1366 lui confère la même force probante que la signature manuscrite, et l’article 1367 inverse même la charge de la preuve lorsque la signature électronique apposée est qualifiée, au sens du décret n°2017-1416.
Référentiel Général de Sécurité (RGS)
Référentiel élaboré par l’ANSSI en application du Décret n° 2010-112 du 2 février 2010. C’est dans ce texte que sont décrites les règles nationales de sécurité techniques et organisationnelles des certificats et entités qui les délivrent s’agissant des communications avec l’administration.
Selon le type de communication ou de service, le niveau de sécurité nécessaire ne sera pas toujours le même, c’est pourquoi le RGS défini trois niveaux différents : RGS*, RGS** et RGS***.
Règlement (UE) n ° 910/2014 dit Règlement eIDAS
Le Règlement eIDAS sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur a, comme son nom l’indique, vocation à définir également des standards d’identification électroniques, mais contrairement au RGS, il ne se limite pas aux frontières nationales, ni aux communications avec l’administration. Ce texte a ainsi pour objet d’harmoniser les exigences à l’échelle de l’Union Européenne.
Il définit également trois niveaux de sécurité applicables, notamment aux certificats de signature ou de cachet électronique, et qui sont les niveaux simple, avancé et qualifié. Les critères pour atteindre ces niveaux sont précisés dans des normes techniques ETSI.
Norme ETSI EN 319 401 – Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers
Cette norme définie les exigences générales sur l’organisation des prestataires de services de confiance.
ETSI EN 319 411-1 – Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements
Cette norme définie les exigences sur les certificats de signature électronique des niveaux simple et avancé.
ETSI EN 319 411-2 – Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates
Cette norme définie les exigences sur les certificats de signature électronique du niveau qualifié.
Règlement (UE) 2016/679 dit Règlement général sur la protection des données (RGPD)
Le RGPD est le texte qui encadre les traitements de données à caractère personnel, à savoir toute opération (collecte, enregistrement, suppression…) effectuée sur des informations permettant d’identifier directement ou indirectement une personne physique. L’un des objectifs est de s’assurer que les données à caractère personnel des personnes physiques ne sont pas utilisées à des fins qui pourraient leur être dommageables en imposant aux entités tant publiques que privées de ne collecter que les données dont elles ont strictement besoin dans le cadre de leur activité, avec le consentement de la personne concernée, et d’assurer également un niveau de sécurité approprié à l’égard de la sensibilité des données.
Pour plus d’informations sur les traitements opérés par ChamberSign dans le cadre de la fourniture de ses produits, veuillez consulter la Charte de confidentialité de ChamberSign.
référentiel ISO 9001
Cette norme définit les exigences sur les systèmes de management et de la Qualité dans les organismes soumis à des obligations de conformité.
Consultez la politique qualité de ChamberSign.
Pour aller plus loin, la liste de toutes les attestations de conformité de ChamberSign est disponible sur la page dédiée.
Contributeur au cadre juridique de la signature électronique : service juridique de ChamberSign
En complément, vous pouvez consulter notre article relatif au cadre légal de la signature électronique parue dans le magazine Archimag