Autorités de certification en vue de la signature digitale : avant-projet de loi belge
Publié le 08/04/1999 par Thierry Léonard
La présente actualité a été rédigée par Thierry Léonard. Nonobstant le problème technique qui nous empêche de la diffuser sous son nom, rendons à César ce qui lui appartient … Cadre législatif général La Belgique ne veut pas rester à la traîne en matière de signature électronique. C’est pourquoi elle s’est lancée dans un programme…
La présente actualité a été rédigée par Thierry Léonard. Nonobstant le problème technique qui nous empêche de la diffuser sous son nom, rendons à César ce qui lui appartient …
Cadre législatif général
La Belgique ne veut pas rester à la traîne en matière de signature électronique. C’est pourquoi elle s’est lancée dans un programme ambitieux de réglementation de l’utilisation des signatures digitales.
Le gouvernement annonçait un processus législatif en quatre phases :
-
Une adaptation des règles en matière de preuve dans le code civil;
-
Des adaptations ponctuelles de lois particulières et d’arrêtés prévoyant l’échange de documents papiers, la signature manuscrite etc;
-
Une réglementation de l’activité des autorités de certification;
-
Une réglementation de l’emploi de signatures digitales dans le secteur public.
Le 26 mars 1999, le gouvernement a adopté un avant projet de loi ayant pour objet la troisième phase évoquée ci-avant : l’avant projet de loi relatif à l’activité d’autorités de certification agréées en vue de l’utilisation de signatures digitales.
Option retenue en matière d’autorités de certification
La technique retenue et soumise à la réglementation est celle de la signature « digitale » basée sur la technique de cryptographie asymétrique, combinée à l’utilisation d’un certificat émis par une autorité de certification agréée.
Deux clés – l’une privée, l’autre publique – seront donc créées pour le futur titulaire du certificat par l’autorité de certification ou par une autre autorité, voire par le titulaire lui-même grâce aux moyens techniques mis à sa disposition par l’autorité de certification. Ce titulaire pourra être une personne physique une personne morale ou une administration publique. A l’émission, la clé privée confidentielle de l’émetteur, couplée à la clef publique du destinataire, permet à l’émetteur de signer son message avant de le transmettre à ce destinataire. A la réception, l’opération inverse se produit : le destinataire peut, à l’aide de sa clef privée couplée à la clef publique de l’émetteur, vérifier la signature. Un certificat digital est en effet émis et transmis par l’autorité de certification à son titulaire, ainsi qu’à tout tiers qui accède au répertoire électronique des certificats. Ce certificat permet de s’assurer de la concordance entre la clef publique et l’émetteur du message
L’activité de certification est libre. L’agrément par l’autorité de certification n’est pas obligatoire. L’avant-projet n’a cependant vocation à s’appliquer qu’aux autorités de certifications agréées et aux titulaires des certificats délivrés par ces dernières. L’article 3 §3 de l’avant projet prévoit toutefois que la loi, le décret ou l’ordonnance peuvent fixer les cas dans lesquels une signature digitale doit être utilisée sur la base d’un certificat émis par une autorité de certification agréée.
Analyse de l’avant-projet
L’avant projet de loi est constitué de trois chapitres.
-
Le premier chapitre arrête les définitions des différents concepts (signature digitale, certificat, autorité de certification, etc.) ainsi que le champ d’application de la loi.
-
Le second chapitre est consacré aux conditions de l’agrément de l’autorité de certification. C’est le Roi qui est chargée de définir celles-ci dans le respect des principes contenus dans ce chapitre. Ainsi, l’autorité devra notamment remplir des conditions particulières concernant l’intégrité, la disponibilité et la sécurité du service, elle devra faire la preuve de son expertise et présenter des garanties financières ainsi que des garanties d’indépendances quant aux futurs utilisateurs du service etc. C’est également le Roi qui fixera les procédures d’agrément, les redevances dues pour la délivrance, la gestion et le contrôle de l’agrément ainsi que les principes tarifaires à respecter par l’autorité de certification.
L’agrément peut avoir une portée variable selon la qualité des futurs utilisateurs. Un agrément pourrait être octroyé uniquement pour la certification au bénéfice, d’avocats, de médecins, de certaines autorités publiques etc.
-
Le troisième chapitre contient le corps de la future réglementation prévoyant le régime juridique des autorités de certification.
-
Une première section définit les missions de l’autorité de certification. Sa mission principale est la délivrances d’un ou plusieurs certificats aux candidats qui en font la demande.
Une obligation particulière d’information pèse sur elle au bénéfice du candidat titulaire : elle doit rappeler l’obligation de maintenir le caractère confidentiel de la clé privée, informer de la procédure à suivre pour produire et vérifier une signature, des garanties précises qu’offrent ses services etc.
Avant de délivrer le certificat, l’autorité doit vérifier l’identité du titulaire et, le cas échéant, le pouvoir de représentation de la personne physique agissant pour une personne morale. Un accès limité et conditionné au registre national est reconnu à l’autorité de certification. Elle doit également vérifier la concordance de la clé publique, présentée en vue de la certification, avec la clé privée du titulaire.
L’autorité doit également tenir un registre électronique des certificats, accessible à tous par voie électronique.
-
Une seconde section réglemente le contenu des certificats. Six types de mentions doivent obligatoirement y figurer et être confirmées par l’autorité : les données d’identification du titulaire, la clé publique du titulaire et de l’autorité de certification, la référence aux algorithmes d’utilisation de la clé publique de l’utilisateur, le code d’identification du certificat, les dates d’émission et d’expiration du certificat et les données d’identification et d’agrément de l’autorité de certification. Les autres informations sont libres mais ne doivent pas nécessairement être confirmées.
-
Les obligations du titulaire du certificat font l’objet d’une troisième section. Il est seul responsable de la confidentialité et de l’intégrité de la clé privée. Toute utilisation de celle-ci est réputée être le fait de son titulaire. Ce dernier doit faire suspendre ou révoquer le certificat en cas de doute quant au maintien de la confidentialité de la clé privée ou d’inadéquation à la réalité des informations y contenues. A l’échéance, ou si le certificat est suspendu ou révoqué, le titulaire ne peut plus (ré)utiliser la clé privée.
-
La quatrième section réglemente les procédures de suspension et de révocation du certificat. On notera seulement que l’autorité devra, indépendamment du titulaire, suspendre ou révoquer le certificat dans les cas prévus par la loi (doutes sérieux ou certitudes quant au caractère erroné de l’information, violation de confidentialité de la clé privée etc.). Mention est faite de ces suspensions ou révocations dans le registre électronique de certificats.
-
La cinquième section réglemente l’arrêt des activités de l’autorité de certification. La sixième prévoit des dispositions particulières en matière de protection de la vie privée notamment une limitation des finalités d’utilisations des données à caractère personnel aux nécessités des missions de l’autorité. La septième section prévoit les conditions d’assimilation des certificats délivrés par des autorités étrangères.
-
La huitième section prévoit une obligation de sécurité. Il est à noter qu’il reviendra à l’administration désignée par le Roi de déterminer l’état de la technique en fonction duquel cette obligation sera appréciée. La neuvième section charge le Roi de fixer des montants minimal et maximal en deçà et au delà desquels les parties ne peuvent limiter ou étendre la responsabilité de l’autorité de certification. Tout convention contraire sera réputée non écrite. La dernière section contient les pouvoirs de contrôle de l’administration ainsi qu’une sanction pénale spécifique en cas d’usurpation de la qualité d’autorité de contrôle agréée.
-
Suivi de l’avant-projet et mise en oeuvre
L’avant projet devrait être déposé incessamment à la Chambre. Reste à savoir ce qu’il deviendra et surtout, si le texte pourra encore être adopté avant les élections du mois de juin afin qu’il ne reste pas lettre morte…