Validité juridique de la signature électronique
Par Julien Vehent le mardi, mars 9 2010, 11:28 - General - Lien permanent
Quelques notes et recherches réalisées afin de préciser les critères de la signature électronique en droit Français.
En Bref
- Un PSCE délivre des certificats de classes *, ** ou *** selon leur niveau de sécurité ;
- La signature électronique est présumée fiable lorsque réalisée avec un certificats de classe *** ;
- Dans le cas contraire, la signature ne dispose pas de la présomption de fiabilité et il peut être nécessaire de démontrer la fiabilité de cette signature ;
- Les certificats de classe *** sont très contraignant et peu répandu ;
- La majorité des PSCE délivrent des certificats de classe * et ** ;
- Les certificats de classe * et ** peuvent permettre la signature et l’authentification avec le même certificat, ce qui est impossible avec un certificat de classe ***.
Introduction, la vision de l’avocat [source]
Le Code civil distingue la signature électronique dite « simple » de la signature électronique présumée fiable (art. 1613-4 al. 2 du Code civ.). Seul un procédé de signature électronique sécurisé peut être utilisé pour les actes authentiques (Décr. n°2005-972 et 973 du 10 août 2005). La signature électronique présumée fiable doit répondre aux exigences du décret du 30 mars 2001 et notamment à son article 2 : pour être présumée fiable une signature électronique doit être établie grâce à un dispositif sécurisé de création de signature électronique certifié puis vérifiée au moyen d’un certificat électronique qualifié.[…]
Les PSCe qui délivrent des certificats qualifiés sont responsables des préjudices causés aux personnes qui se sont fiées à leurs certificats, sauf à ce qu’ils démontrent qu’ils n'ont commis aucune faute intentionnelle ou négligence. Ils peuvent néanmoins indiquer dans leurs certificats des limites, y compris financières, à leur utilisation.
Note : L’intérêt de la signature présumée fiable est que la charge de la preuve est inversée : On considère que la signature est valide jusqu’à ce qu’il soit prouvé qu’elle ne l’est pas. L’utilisation d’une signature dite « simple » ne permet pas cela : il est nécessaire de prouver que la signature est valide, en considérant de prime abord qu’elle pourrait ne pas l’être.Validité réglementaire de la signature électronique
La signature électronique est présumée fiable lorsqu’elle respecte les critères fournit par le législateur. Ces critères s’appliquent :
- Au prestataire qui va fournir le certificat, il doit être un PSCE qualifié (Prestataire de services de certification électronique)
- Au support contenant le certificat et la clé privée
- Au dispositif réalisant la signature
Interprétation par le RGS_A (ex PRISv2)
Note : Il apparait que ce qui était anciennement la norme PRISv2.1 est maintenant intégré dans le Référentiel Général de Sécurité (le RGS) et que, de fait, PRIS n'existe plus mais l'on parle de RGS_A.Le RGS_A fournit une interprétation du décret en critères techniques permettant d’évaluer les PSCE. Il définit trois classes de certificats selon les mesures de sécurités mises en place par le PSCE. Ces classes vont de une étoile (*) à trois étoiles (***).
Dans le document ci-après, on retrouve l’ensemble des critères d’évaluation des PSCE avec le niveau de sécurité correspondant (de * à ***).
Hors ce document fournit également l’information suivante, qui est une interprétation du décret de loi par les rédacteurs du RGS.
La mise en oeuvre d’un procédé de signature électronique
respectant les exigences définies pour le niveau
*** permet de bénéficier de la présomption de fiabilité
du procédé de signature telle que prévue dans
l’article 1316-4 du code civil. En effet, les exigences
formulées dans cette PC Type à l’égard des
prestataires de services de certification électronique et
des dispositifs de création de signature pour le
niveau *** répondent respectivement aux exigences de
l’article 6 et de l’article 3 du décret [SIG].
A ce titre, les certificats de signature *** sont des certificats
qualifiés au sens du décret [SIG] et les
dispositifs de création de signature *** sont des dispositifs
sécurisés de création de signature au sens de
[SIG] sous réserve du respect des procédures de qualification
prévues par l’[ORDONNANCE]. La
procédure de qualification des produits de sécurité et des
offres des prestataires de service de certification
électronique de l’[ORDONNANCE] et de l’arrêté [QPSCe] sont
similaires pour ce niveau.
[SIG] est une référence vers le n°2001-272 du 30 mars 2001 abordé précédemment.
Donc, d’après ce document, les certificats de classes * et ** ne permettent pas de réaliser des signatures présumées fiables. Il faut qu’un PSCE réponde aux exigences de classe *** pour fournir des certificats dits « qualifiés » qui permettront de réaliser cette signature présumée fiable.
Note : il est important de faire le distinguo entre les classes RGS (*,** et ***) et les classes Verisign (1,2 et 3) qui ne sont absolument pas liées. Les PSCE qualifiés
Le gouvernement Français fournit une liste des PSCE avec les classes associés à chacun de leurs services. A la date du 10 février 2010, seul le PSCE Dhimyotis est qualifié pour fournir des certificats de signature de classe ***.[liste des PSCE]
Le gouvernement fournit également un « Trust-service Status List », qui contient « l’ensemble des autorités de certification (AC) qui ont passé avec succès les tests techniques et organisationnels nécessaires à la qualification selon le référentiel général de sécurité (RGS) version 0.98. »
Il s’agit d’un fichier au format XML contenant la liste des PSCE avec leurs certificats les classes associées.
[Page de la TSL]
Cas des SSCD
Les Secure Signature Creation Devices, ou Dispositifs Sécurisés de Création de Signature Electronique, ont besoin d’une validation réalisées par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Les SSCD aujourd’hui validés sont présentés sur le site de l’ANSSI. [Page de l’ANSSI]Il est nécessaire d’utiliser un SSCD validé par l’ANSSI afin de réaliser une signature présumée fiable.
Il est normalement possible d’utiliser des SSCD dont la validation répond aux critères du décret sans pour autant qu’il ait été validés en France ou dans l’UE.
Limite du certificat de classe ***
Une limite importante du certificat de classe *** est qu’il ne peut pas être utilisé pour effectuer de la signature et de l’authentification. Un certificat de classe *** ne peut réaliser que l’une des deux opérations.Afin de réaliser de la signature présumée fiable, tout en offrant une fonction d’authentification par certificat, le porteur devra donc disposer de deux cartes à puces avec deux certificats différents.
Seule l’utilisation d’un certificat de classe « * » ou « ** » permettra d’utiliser la carte à puce afin de réaliser de l’authentification et de la signature avec le même certificat.