Les textes

Rapport du 117e Congrès des notaires de France - Dernière date de mise à jour le 31 janvier 2021

À l'inverse de la signature manuscrite, le certificat servant de support à la signature électronique doit répondre à des exigences techniques définies depuis fort longtemps. Dès 2010, s'appuyant sur un décret de 2001 D. n^o 2001-272, 30 mars 2001, pris pour l'application de l'article 1316-4 du Code civil et relatif à la signature électronique. Ce décret a été abrogé par le décret n^o 2017-1416, 28 sept. 2017, pris pour l'application de l'article 1367 du Code civil et relatif à la signature électronique. transposant la directive européenne 1999/93/CE du 13 décembre 1999, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) Agence assurant la mission d'autorité nationale en matière de sécurité des systèmes d'information. L'ANSSI a des homologues dans les autres pays européens, comme par exemple le Bundesamt für Sicherheit in der Informationstechnik (BSI) en Allemagne. énonce dans un référentiel général de sécurité (RGS) les contraintes techniques pour qualifier des puces électroniques conformes au décret de 2001. Ces dispositions s'appliquent aux prestataires de services de confiance les obligeant en conséquence à être qualifiés par l'ANSSI pour délivrer leurs services.

En 2014, un règlement européen sur l'identification électronique et les services de confiance pour les transactions électroniques est voté PE et Cons. UE, règl. (UE) n^o 910/2014, 23 juill. 2014, sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. . Il entre en application le 1^er juillet 2016. Dès lors, les exigences techniques relatives aux certificats qualifiés de signature électronique sont définies à l'article 28 de ce règlement, ce dernier renvoyant à l'annexe 1 du même règlement. Au nombre de dix, et sans toutes les détailler, il faut relever que les certificats doivent contenir « un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés… » et des précisions « sur le début et la fin de la période de validité du certificat ».

Pour aller plus loin : Exigences applicables aux certificats qualifiés de signature électronique (Annexe 1 du règlement [UE] n 910/2014 du 23 juillet 2014)

Les certificats qualifiés de signature électronique contiennent :

a) une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique ;

b) un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l'État membre dans lequel ce prestataire est établi, et :

pour une personne morale : le nom et, le cas échéant, le numéro d'immatriculation tels qu'ils figurent dans les registres officiels,
pour une personne physique : le nom de la personne ;

c) au moins le nom du signataire ou un pseudonyme ; si un pseudonyme est utilisé, cela est clairement indiqué ;

d) des données de validation de la signature électronique qui correspondent aux données de création de la signature électronique ;

e) des précisions sur le début et la fin de la période de validité du certificat ;

f) le code d'identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié ;

g) la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat ;

h) l'endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé mentionnés au point g) ;

i) l'emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié ;

j) lorsque les données de création de la signature électronique associées aux données de validation de la signature électronique se trouvent dans un dispositif de création de signature électronique qualifié, une mention l'indiquant, au moins sous une forme adaptée au traitement automatisé.

En synthèse, le référentiel général de sécurité (RGS) et le règlement eIDAS cohabitent aujourd'hui. En matière de sécurité, l'ensemble des acteurs économiques français, entreprises et administrations françaises devront respecter les prescriptions du RGS et/ou de l'ANSSI. Dans tous les cas, les critères techniques liés aux certificats qualifiés de signature électronique devront répondre aux contraintes imposées par l'ANSSI en charge de la qualification sur ces deux référentiels. L'obtention d'une signature qualifiée par un prestataire est donc coûteuse, tout comme le maintien de la qualification obtenue. À titre d'exemple, l'Association pour le développement du service notarial (ADSN) consacre une part importante de son budget annuel pour répondre aux exigences de l'ANSSI, et c'est au prix de moyens humains importants que chaque année les audits sont passés avec succès et la qualification régulièrement reconduite.

Toutes ces contraintes très encadrées juridiquement présentent des intérêts majeurs pour les opérateurs, emportant d'importantes conséquences en pratique.

Les textes

Moderniser et encadrer le contrat dans le monde numérique

L'adaptation du droit des contrats au monde numérique

La sécurisation de la pratique du contrat numérique

Protéger la personne et le citoyen dans le monde numérique

Les attributs numériques de la personne

La mort dans le monde numérique

Valoriser et transmettre le patrimoine dans le monde numérique

Le patrimoine immobilier

Le patrimoine familial

Les textes