3) LES CONDITIONS DE VALIDITÉ DE LA SIGNATURE ÉLECTRONIQUE
La
qualification de signature " digitale " dépend du respect de
conditions relatives :
- aux certificats ;
- aux tiers de certification ;
- au processus de création de la signature
électronique.
a) Les certificats
L'article 2 de la loi définit le
titulaire
du
certificat comme une
personne physique
.
Il prévoit, outre le certificat de clé, le
certificat
d'attribution,
qui est "
un certificat électronique
séparé contenant de plus amples informations et qui fait
expressément référence à un certificat de
clé spécifique
".
L'article 7 de la loi, qui indique les informations que doit contenir le
certificat de clé, ne correspond pas totalement aux exigences concernant
les certificats " qualifiés " et figurant à
l'annexe I de la directive.
La durée de validité des certificats ne peut excéder
cinq ans.
b) Les tiers de certification
La loi
réglemente l'activité des tiers de certification en instaurant
des licences, qui sont délivrées par une autorité de
contrôle
. Il s'agit de l'
Autorité de régulation pour
les télécommunications et la poste
, mise en place par la loi
sur les télécommunications du 25 juillet 1996, et dont les
membres sont désignés par le gouvernement fédéral,
le Bundestag et le Bundesrat.
La loi n'interdit pas explicitement l'activité de tiers de certification
non accrédités, mais cette activité se déroule
alors en dehors du cadre de la loi. Les signatures associées ne
bénéficient donc pas de la garantie de fiabilité
définie par la loi.
Cet organisme veille également à ce que les tiers de
certification respectent l'ensemble de la réglementation. Elle est
aidée, pour les vérifications techniques, par des organismes (un
public et trois privés) qu'elle désigne et qui lui rendent compte
de façon très détaillée.
L'article 4 de la loi et l'article 1
er
de l'ordonnance
précisent les conditions que doivent remplir les tiers de certification
et les obligations qu'ils doivent respecter. Elles sont analogues aux exigences
posées par l'annexe II de la directive. En revanche,
le
législateur n'a pas introduit de dispositions spécifiques
relatives à la responsabilité des tiers de certification
,
faute d'être parvenu à un consensus.
La loi impose aux tiers de certification le respect de
mesures de
sécurité et de dispositions d'ordre technique assorties de
conditions qualitatives très strictes
. L'article 14
décrit les composants techniques qui doivent être utilisés,
notamment pour la production et l'archivage des clés, ainsi que pour la
production et la vérification des signatures " digitales ".
Des précisions sont apportées dans l'ordonnance par les articles
16 et 17. Ce dernier article fait référence à des normes
techniques particulièrement précises. Ces dispositions ont
été elles-mêmes complétées par la
publication, en 1998, par l'Autorité de régulation pour les
télécommunications et la poste, de deux catalogues de mesures
techniques rédigés selon les conseils du Bureau
fédéral pour la sécurité dans la technique
d'information.
L'article 8 de l'ordonnance oblige le prestataire de service de certification
à conserver les certificats qu'il a délivrés dans un
registre public
. Le certificat doit figurer au registre au moins pendant
la durée de qualification de l'algorithme et des paramètres
pertinents utilisés. L'Autorité de régulation pour les
télécommunications et la poste publie la liste des algorithmes et
paramètres pertinents qualifiés avec leur durée de
validité. Celle-ci doit être d'au moins six ans, sauf
problème particulier.
L'article 13 de l'ordonnance précise que l'
ensemble des informations
relatives aux mesures de sécurité et aux certificats doit
être gardé au moins trente-cinq ans
à compter de
l'émission du certificat de clé et archivé de
manière à être consultable à tout moment pendant
cette période.
L'article 5 de l'ordonnance
interdit l'archivage des clés
privées par l'autorité de certification
.
c) Le dispositif de création de la signature électronique
L'article 6 de l'ordonnance prévoit que le tiers de
certification transmet la clé privée et les données
d'identification
au signataire en personne, qui en accuse réception
par écrit
. Dès cet instant, elles sont
sous la garde
personnelle du signataire
.
En pratique, c'est une carte à puce qui contient la clé
privée et les autres paramètres nécessaires à la
création de la signature " digitale ". Le document
électronique est signé en introduisant cette carte dans un
lecteur spécial branché sur l'ordinateur et en tapant un code
secret.
LA SIGNATURE ELECTRONIQUE