Le décret du 30 mars 2001 pris en application de la loi du 13 mars 2000 (portant adaptation du droit de la preuve aux nouvelles technologies de l ’information et relative à la signature électronique) a été récemment modifié par un décret du 18 avril 2002 puis complété par un arrêté du 31 mai 2002. Ces textes réglementaires très attendus par les praticiens rendent effective la présomption légale de fiabilité prévue à l’article 1316-4 alinéa 2 du Code civil.
En effet, le décret du 30 mars 2001 précité prévoit deux conditions pour qu’une signature électronique puisse bénéficier de la présomption légale de fiabilité :
– la signature doit reposer sur l’utilisation d’un dispositif sécurisé de création et de vérification de la signature électronique ayant fait l’objet d’une certification conforme. Les conditions de cette certification sont prévues par le décret du 18 avril 2002 ;
– la vérification de la signature électronique doit en outre reposer sur l’utilisation d’un « certificat électronique qualifié ». Ce certificat ne doit pas être confondu avec la procédure de certification prévue par le décret du 18 avril 2002. Il est délivré par un prestataire de services de certification (PSC) lui même reconnu comme « qualifié » dans les conditions prévues par l’arrêté du 31 mai 2002.
1. LE DECRET DU 18 AVRIL 2002 PERMETTANT L’EVALUATION ET LA CERTIFICATION DES PRODUITS ET DES SYSTEMES DES TECHNOLOGIES DE L’INFORMATION
L’adoption du décret n°2002-535 du 18 avril 2002 relatif à « l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information » s’inscrit dans le contexte du Schéma Français d’évaluation et de certification de la sécurité des technologies de l’information antérieurement régi par un avis du Premier Ministre de 1995.
Avec l’adoption du décret du 18 avril 2002 les opérateurs économiques (éditeurs de logiciels, fabriquant de matériel, prestataires techniques…) peuvent faire certifier qu’un dispositif (matériel ou logiciel) assure « la disponibilité, l’intégrité ou la confidentialité de l’information face aux menaces dues en particulier à la malveillance ». Toutefois, le décret du 18 avril 2002 concerne tant la signature électronique que l’évaluation et la certification des produits et systèmes des technologies de l’information en général (logiciels, cartes à puces, firewalls etc.).
D’application volontaire, la procédure d’évaluation et de certification peut être résumée en trois étapes :
1ère étape : Le rapport d’évaluation. Le candidat qui souhaite faire certifier son produit (le « commanditaire ») doit adresser sa demande à la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI). Le dossier de demande comporte notamment la description du système à évaluer et des objectifs de sécurité visés. Le commanditaire choisit ensuite un ou plusieurs centres d’évaluation agréés par le Premier Ministre (appelé CESTI) pour procéder à l’évaluation de son produit. Cette évaluation se conclut par un rapport confidentiel établi par le CESTI et remis au candidat et à la DCSSI.
2ème étape : Le rapport de certification. Après validation du rapport d’évaluation par le commanditaire et la DCSSI, cette dernière élabore, dans le délai d’un mois, un rapport de certification concluant soit à la délivrance soit au refus du certificat.
3ème étape : La délivrance du certificat. Le certificat est délivré par le premier ministre pour une durée de deux ans. « Il atteste que le produit ou système informatique répond aux caractéristiques de sécurité spécifiées. Il atteste également que l’évaluation a été conduite conformément aux règles et normes en vigueur, avec la compétence et l’impartialité requise ».
2. L’ARRETE DU 31 MAI 2002 PERMETTANT LA QUALIFICATION DES PRESTATAIRES DE SERVICES DE CERTIFICATION ET L’ACCREDITATION DES ORGANISMES CHARGES DE LEUR EVALUATION
L’arrêté du 31 mai 2002 fixe les conditions dans lesquelles un prestataire de services de certification (PSC) qui en fait la demande peut être reconnu comme « qualifié ». Cette qualification vaut présomption de conformité du PSC aux exigences requises par le décret du 30 mars 2001 (notamment en termes de confidentialité et de sécurité) et permet au PSC de délivrer des « certificats électroniques qualifiés » indispensables pour bénéficier de la présomption de fiabilité de la signature électronique.
La qualification du PSC est reconnue pour une durée maximale d’un an par un « organisme accrédité », après une évaluation faite par ce dernier, aux frais du PSC, dont l’objet est notamment de vérifier que le prestataire satisfait aux exigences mentionnées ci-dessus.
En amont de cette procédure, l’arrêté du 31 mai 2002 prévoit que les organismes chargés d’évaluer et de qualifier les PSC seront accrédités par le Comité Français d’Accréditation (COFRAC), pour une durée de deux ans, après instruction de leur dossier.
