3) LES CONDITIONS DE VALIDITÉ DE LA SIGNATURE ÉLECTRONIQUE
Le décret pris par le Président du conseil des ministres le 8 février 1999 (document n° 8) détermine toutes les modalités techniques (définition des algorithmes utilisés pour produire et vérifier les signatures, caractéristiques des clés, obligations des détenteurs de clés et des tiers de certification, contenu des certificats...) permettant l'application du décret n° 513. Il précise ainsi les conditions d'équivalence entre la signature " digitale " et la signature manuelle, déjà définies par le décret n° 513 du 10 novembre 1997.
a) Les certificats
La signature " digitale " doit être produite par une clé privée dont la clé publique correspondante, préalablement certifiée par un prestataire de service de certification agréé, est encore valable. Les titulaires des certificats sont des personnes physiques . Le décret de 1999 précise toutes les informations nécessairement présentes sur les certificats. Ces exigences correspondent à celles de l'annexe I de la directive. La validité de ces certificats ne peut excéder trois ans.
b) Les tiers de certification
Les
articles 8 et 9 du décret de 1997, qui précisent respectivement
les critères que doivent remplir les tiers de certification et les
obligations qu'ils doivent respecter, sont similaires aux exigences
posées par l'annexe II de la directive. L'article 8 prévoit en
particulier qu'il doit s'agir de
sociétés par actions dont le
capital social est au moins égal à celui qui est exigé
pour les établissements financiers
.
C'est l'
Autorité pour l'informatique dans l'administration
publique
, organisme indépendant créé par un
décret de février 1993 relatif aux systèmes informatiques
publics, qui vérifie que les tiers de certification remplissent les
conditions requises. Dans le secteur public, l'activité de certification
est réalisée par les administrations elles-mêmes.
Le décret de 1997 ne comporte aucune disposition sur la
responsabilité des tiers de certification
, mais celui de 1999 leur
impose le respect de mesures de sécurité et de dispositions
techniques très sévères (établissement d'un plan
général de sécurité dont la structure est
définie par le décret lui-même ; enregistrement de
toutes les opérations réalisées sur un journal de
contrôle, qui doit être conservé pendant au moins dix
ans ; obligation pour le personnel de remplir les différentes
fonctions énumérées par le décret lui-même et
de détenir certaines compétences...).
Les tiers de certification doivent conserver les clés publiques pendant
au moins dix ans.
c) Le dispositif de création de la signature électronique
Les
clés privées, produites par leur titulaire ou par les tiers de
certification, ne doivent pas l'être à l'aide du système
sur lequel elles seront utilisées ensuite. Le dispositif de
création des clés privées doit remplir des exigences
analogues à celle de l'annexe III de la directive.
Les tiers de certification n'ont pas le droit d'archiver les clés
privées, qui doivent être conservées à
l'intérieur d'un dispositif électronique
ad hoc
, les
informations nécessaires à leur utilisation devant être
stockées séparément.
LA SIGNATURE ELECTRONIQUE