Cadre juridique de la signature électronique et de la conformité de ChamberSign

Depuis l’aube des années 2000, tant les réglementations nationales qu’européennes se sont succédées afin d’encadrer l’utilisation des nouvelles technologies en matière de preuve, notamment par la signature électronique, et de s’adapter aux évolutions constantes. Il faut donc noter que l’existence même de ChamberSign France découle de ces exigences légales et réglementaires. Au fil du temps, elle s’est adaptée aux évolutions pour délivrer à ses clients des produits conformes à leurs propres exigences professionnelles.

Cadre juridique de la signature électronique et détails des textes

infographie cadre juridique de la signature électronique

En 1999, face à l’émergence des nouvelles technologies dans l’économie mondiale, l’Europe décide de prendre le pas sur ces nouveaux process, et de créer un cadre communautaire sur la signature électronique. Elle espère ainsi inciter les Etats à accepter la signature électronique comme étant l’équivalent de la signature manuscrite d’un point de vue probatoire, afin d’encourager et d’encadrer juridiquement les communications électroniques sur le marché.

Consultez le texte

Rapidement, la France transpose les termes de la directive en incluant notamment dans ses articles 1316 et suivant du Code civil la mention de la signature électronique et son équivalence avec la signature manuscrite en tant que preuve.

Consultez le texte

Ce décret est le premier à déterminer un cadre opérationnel relatif à la signature électronique et aux procédés permettant de la créer.

Consultez le texte

Ce décret institue une procédure volontaire de l’évaluation et de la certification des produits et des systèmes des technologies de l’information, ce qui inclut les dispositifs de création de signature électronique.

Cette procédure s’appuie :

  • Sur des centres d’évaluation, eux-mêmes agréés, qui effectuent des contrôles et des tests puis rendent compte des résultats obtenus via un rapport d’évaluation ;
  • Sur la Direction Centrale de la Sécurité et des Systèmes d’Information (DCSSI) qui élabore un rapport de certification proposé au Premier Ministre. En 2009, la DCSSI deviendra l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information. Elle est aujourd’hui chargée de la qualification des produits et services et tient la liste des Prestataires de Services de Confiance et Prestataires de Services de Certification Electronique, statut de ChamberSign France en tant qu’Autorité de Certification.

Consultez le texte

En 2002, l’objectif pour la France est de dématérialiser petit à petit les échanges avec l’administration. Ce décret a pour objet de permettre aux entités répondant à un marché public d’utiliser la voie électronique et d’apposer une signature électronique dite « sécurisée ».

Consultez le texte

Cet arrêté est venu remplacer un précédent arrêté datant du 31 mai 2002 dans ses dispositions sur les règles relatives à la qualification de PSCE, statut de ChamberSign.

Cette qualification est octroyée après évaluation de la conformité du PSCE à différentes normes par un organisme lui-même accrédité.

Consultez le texte

La dématérialisation des échanges avec l’administration nécessite un niveau de sécurité important. C’est par cette ordonnance qu’a été instaurée l’idée de créer un Référentiel Général de Sécurité qui décrit les exigences de sécurité que doivent respecter l’administration et les entités privées communiquant avec elle.

Consultez le texte

C’est ce décret qui précise les prescriptions du Référentiel Général de Sécurité (communément appelé RGS), document élaboré par l’ANSSI, et dont la dernière version date du 27 février 2014. Il définit les mesures de sécurité techniques et organisationnelles que doivent appliquer les autorités administratives, mais également les entités privées amenées à traiter avec elles, dans leurs communications et dans les services en ligne proposés aux usagers.

Le RGS défini notamment dans ses annexes les mesures que doit respecter une Autorité de Certification telle que ChamberSign pour gérer le cycle de vie des certificats qu’elle créée et fourni à ses clients. C’est notamment à partir des exigences de ce texte que les produits de ChamberSign sont évalués/audités.

Consultez le texte

Le règlement communément appelé « règlement eIDAS » est le référentiel juridique sur l’identité électronique à l’échelle de l’Union Européenne. L’objectif de ce texte était d’harmoniser les exigences en matière de sécurité des échanges électroniques sur le marché européen, et non pas uniquement au sein des Etats pour les échanges liés à l’administration comme le RGS, mais bien entre toutes les entités privées ou publiques.

Consultez le texte

Le règlement général sur la protection des données, ou RGPD, est le texte qui instaure au niveau européen les règles de protection des données à caractère personnel et met notamment à jour la réglementation déjà applicable en France : la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les données à caractère personnel sont progressivement devenues un enjeu capital des échanges électroniques, avec la nécessité d’une utilisation encadrée et sécurisée afin de ne pas porter atteinte aux droits et libertés de la personne concernée.  Il était ainsi devenu essentiel de créer une réglementation générale et pérenne à l’échelle européenne.

Le traitement de données à caractère personnel fait partie de l’essence même de l’activité de ChamberSign qui, en tant qu’Autorité de Certification et Tiers de Confiance, a pour mission de délivrer des certificats électroniques contenant les identités de leurs titulaires. La sécurité des données à caractère personnel traitées et le respect des termes du RGPD sont alors des enjeux importants pour ChamberSign.

Consultez le texte

Ce décret est venu remplacer le décret du 30 mars 2001 afin de réactualiser le cadre juridique lié à la signature électronique. Il énonce entre autres que « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. », la notion de « qualifiée » étant directement issue du règlement eIDAS.

Consultez le texte

Cadre juridique de la signature électronique : la conformité de ChamberSign aujourd'hui

En tant qu’Autorité de certification délivrant des certificats électroniques qualifiés, les différentes réglementations et normes auxquelles ChamberSign se conforme sont le socle de son organisation.

Actuellement, ce sont ces deux articles du Code civil qui posent les principes relatifs à la signature électronique. L’article 1366 lui confère la même force probante que la signature manuscrite, et l’article 1367 inverse même la charge de la preuve lorsque la signature électronique apposée est qualifiée, au sens du décret n°2017-1416.

Référentiel élaboré par l’ANSSI en application du Décret n° 2010-112 du 2 février 2010. C’est dans ce texte que sont décrites les règles nationales de sécurité techniques et organisationnelles des certificats et entités qui les délivrent s’agissant des communications avec l’administration.

Selon le type de communication ou de service, le niveau de sécurité nécessaire ne sera pas toujours le même, c’est pourquoi le RGS défini trois niveaux différents : RGS*, RGS** et RGS***.

Le Règlement eIDAS sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur a, comme son nom l’indique, vocation à définir également des standards d’identification électroniques, mais contrairement au RGS, il ne se limite pas aux frontières nationales, ni aux communications avec l’administration. Ce texte a ainsi pour objet d’harmoniser les exigences à l’échelle de l’Union Européenne.

Il définit également trois niveaux de sécurité applicables, notamment aux certificats de signature ou de cachet électronique, et qui sont les niveaux simple, avancé et qualifié. Les critères pour atteindre ces niveaux sont précisés dans des normes techniques ETSI.

Cette norme définie les exigences générales sur l’organisation des prestataires de services de confiance.

Le RGPD est le texte qui encadre les traitements de données à caractère personnel, à savoir toute opération (collecte, enregistrement, suppression…) effectuée sur des informations permettant d’identifier directement ou indirectement une personne physique. L’un des objectifs est de s’assurer que les données à caractère personnel des personnes physiques ne sont pas utilisées à des fins qui pourraient leur être dommageables en imposant aux entités tant publiques que privées de ne collecter que les données dont elles ont strictement besoin dans le cadre de leur activité, avec le consentement de la personne concernée, et d’assurer également un niveau de sécurité approprié à l’égard de la sensibilité des données.

Pour plus d’informations sur les traitements opérés par ChamberSign dans le cadre de la fourniture de ses produits, veuillez consulter la Charte de confidentialité de ChamberSign.

Cette norme définit les exigences sur les systèmes de management et de la Qualité dans les organismes soumis à des obligations de conformité.

Consultez la politique qualité de ChamberSign.

Pour aller plus loin, la liste de toutes les attestations de conformité de ChamberSign est disponible sur la page dédiée.

Contributeur au cadre juridique de la signature électronique : service juridique de ChamberSign

icone service juridique MLS

En complément, vous pouvez consulter notre article relatif au cadre légal de la signature électronique parue dans le magazine Archimag