La signature électronique, signature sous surveillance.

 

 

 

La signature électronique est au centre de toutes les sollicitations politiques, comme l’atteste la signature par le président américain, le 30 juin 2000, du Digital Signature Act, loi américaine légalisant la signature électronique à l’échelle fédérale [1]. Elle est aussi la notion sur laquelle les craintes les plus grandes se font jour, notamment pour les consommateurs.

Pour saisir les enjeux du présent décret réglementant la question de la signature électronique et, plus généralement, la notion d’authentification informatique [2], il faut se reporter à la loi qui sert de fondement à l’intervention du gouvernement par voie de décret en Conseil d’état, la loi n°2000-230 du 13 mars 2000.

 

Pour synthétiser les apports de cette loi [3], on peut retenir qu’il a été énoncé une définition légale de la preuve littérale (art 1316) intégrant désormais l’écrit virtuel  (« la preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient leur support et leurs modalités de transmission »). C’est la consécration d’une preuve par écrit électronique que conforte l’article 1316-1 nouveau disposant que « l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier ». L’article 1316-3 complète enfin la place de l’écrit électronique sur le plan probatoire en affirmant que « l’écrit sur support électronique a la même force probante que l’écrit sur support papier ».

Restait une limite à cette affirmation du principe de la force probatoire de l’écrit électronique, limite résidant dans le fait que l’article 1316-4 du Code civil était complété par un second alinéa en vertu duquel « lorsqu’elle est électronique, elle [la signature nécessaire à la perfection d’un acte juridique] consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’état ».

 

C’est justement le présent décret qui doit venir préciser la notion de fiabilité en matière de signature. L’enjeu est majeur puisque le principe de validité de la preuve électronique et du consentement par signature électronique est posé sous l’unique condition de la fiabilité des informations, plus précisément de la garantie nécessaire de l’intégrité du contenu de l’écrit virtuel et de celle de l’identité de l’auteur de l’acte virtuel.

 

 

Nous présenterons en premier lieu et brièvement les éléments essentiels du présent décret reproduit in extenso en annexe (I) avant de présenter une approche plus critique du système retenu par le pouvoir réglementaire (II).

 

I – Présentation du décret

 

Le présent décret se décompose en plusieurs temps. Le premier (art 1^er et 2) consiste en un ensemble de définitions applicables aux dispositions du décret. Il est ensuite abordé successivement  la procédure de certification publique des dispositifs de création de signature électronique (art 3 et 4), les exigences techniques minimales relativement à ces créations de signatures (art 3), les dispositions énonçant une obligation de transparence permettant une véritable possibilité de contrôle pour le vérificateur (art 5) et les dispositions applicables aux  prestataires de certification (art 6 et 7 et 8). Nous reviendrons successivement sur ces différents points.

 

·         La certification des dispositifs de création de signature électronique :

 

Selon une technique traditionnelle de liberté contrôlée, le gouvernement a décidé de retenir  un système de certification des dispositifs permettant l’émission d’une signature électronique. L’article 3 du décret, partie II, prévoit ainsi que ce sont les services du premier ministre qui désigneront des organismes agréés pour délivrer un certificat de conformité qui fera l’objet d’une publicité (ou un organisme désigné à cet effet par un état membre de la Communauté européenne). La procédure menée par ces instances sera définie par décret du premier ministre déterminant les obligations incombant à ces organismes et fixant les conditions dans lesquelles seront présentées et instruites les demandes de certification. Enfin, cette instance désignée pour la certification sera elle-même sous le contrôle d’un comité directeur de la certification institué auprès du premier ministre (art 4) dont la mission, la composition, les procédures de certification et d’évaluation seront  fixées par décret.

 

·         les exigences techniques minimales relativement à ces créations de signatures :

 

L’article 3 pose deux exigences relatives d’une part à la certitude quant à l’identité du signataire et d’autre part à la certitude quant au contenu faisant l’objet de la signature.

Ainsi, pour obtenir la certification, le matériel ou un logiciel destiné à mettre en application les données de création de signature électronique (ou « Dispositif de création de signature électronique ») devra répondre à certaines exigences, notamment assurer que la signature ne peut être falsifiée et qu’elle est confidentielle et « incopiable », qu’elle offre enfin une protection « satisfaisante contre « toute utilisation par un tiers » (art 3-I-1).

Par ailleurs, quant au contenu de l’acte, l’article 3-I-2 précise qu’aucune altération du contenu de l'acte à signer ne doit être possible tout en garantissant au signataire la possibilité d’avoir une parfaite connaissance de l’acte avant de le signer.

 

Ces dispositions semblent particulièrement inapplicables, si l’on se réfère à une affaire récente et concernant d’une part une des entreprises les plus importantes du marché informatique (Microsoft) et d’autre part, le leader de la certification et de l’authentification (Verisign). Les certificats numériques fonctionnent comme une signature électronique et sont employés pour authentifier l'émetteur d'une information ou d'un logiciel (en l’occurrence, Microsoft). S’agissant de deux entreprises majeures du secteur, on doit être étonné d’une part de la possibilité de falsification, d’autre part, et peut-être surtout, du temps qu’il a fallu à Verisign pour avertir la société Microsoft dont la signature était falsifiée (survenance de la falsification le 31 janvier et alerte le 22 mars 2001). Ce petit exemple souligne de manière flagrante les limites du présent décret.

 

·         Les dispositifs de vérification de signature électronique :

 

Le présent décret définit ces dispositifs comme « un matériel ou un logiciel destiné à mettre en application les données de vérification de signature électronique ».

En vertu de l’article 5 du décret, il est prévu une certification de ces matériels ou logiciels de vérification. Pour obtenir la certification, il faut que ces produits répondent à des exigences :

-          garantir l'exactitude de la signature et donner au vérificateur un résultat sécurisé « sans altération » possible (b)

-          garantir au vérificateur le contenu de l’acte signé (c)

-          garantir au vérificateur, sans fraude possible, que le contenu de l’acte et la signature sont liés (d)

-          donner au vérificateur, sans falsification possible, l’identité précise du signataire (e)  et préciser à ce dernier lorsque le signataire use d’un pseudonyme (f)

-          permettre au vérificateur de détecter toute falsification ou toute modification d’un des éléments précités (g).

 

·         Les prestataires de certification :

 

Le présent décret procède ensuite à la définition des conditions à remplir en vue de la qualification d’un certificat électronique (entendu comme un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire). Il s’agit de conditions qui concernent, d’une part, le document lui-même et, d’autre part, le prestataire susceptible de le délivrer.

 

Quant au document lui-même, il est dressé des conditions à l’article 6-I. Trois types d’exigences sont imposées :

-          celles concernant le certificat lui-même : le certificat doit être présenté comme tel (a), les indications de la durée de validité de ce document (f) ainsi que, le cas échéant , le nombre de transactions que le certificat est susceptible d’autoriser (i), le code d’identité du certificat ;

-          celles concernant l’identité du prestataire : le nom du prestataire et son pays d’établissement (b), sa propre signature sécurisée (h) ;

-          enfin, les dernières conditions concernent l’identification stricto sensu du signataire : nom ou pseudo (c), éventuellement sa qualité (d), les éléments permettant de vérifier d’origine de la signature (e).

 

Le décret impose ensuite un certain nombre de conditions relatives aux prestataires de certification (II). En France, plusieurs sociétés sont déjà spécialisées dans ce domaine,  comme Certinomis (groupe La Poste) ou Certplus (actionnaires : Gemplus, France Télécom, EADS et VeriSign). Ces sociétés devront donc répondre aux conditions du décret pour que leur certificat soit qualifié. Il s’agit essentiellement d’exigences concernant, d’une part, la fiabilité des services et des compétences des entreprises de certification et, d’autre part, les modalités des certifications effectuées. L’obtention de ce certificat qui emporte présomption pour les entreprises qui en font l’objet de répondre aux conditions fixées par le décret est attribuée selon une procédure et par un organisme qui feront l’objet d’un arrêté du Premier ministre (art 7). Enfin, il est prévu un mécanisme de reconnaissance des entreprises extérieures à l’Europe (article 8).

 

II – Commentaire du décret

 

·         Sur le plan du système retenu pour garantir la sécurité des données par le réseau :

 

La démarche de départ était intéressante. Les pouvoirs publics ont en effet procédé à une consultation en ligne dans un site de forum afin de recevoir les points de vue sur cette question débattue de la sécurisation des données du réseau. Cette démarche était cependant en partie biaisée puisque des questions aiguillaient l’intervenant vers un seul système de sécurisation : la certification par un tiers. Or, sans vouloir être exhaustif, il existe nombre de moyens potentiels pour garantir les données. On peut citer l’identification biométrique consistant à certifier de l’identité par une analyse d’un élément propre à la personne (son iris, ses empreintes…), un système de rappel de la personne qui émet le consentement, une identification du nœud ie l’identification de la machine d’où provient le consentement, un système de login (mot de passe), un système par authentification de carte à puce, de cartes électroniques… La certitude est qu’il fallait un débat sur le système le plus approprié pour la meilleure sécurisation en tenant compte des coûts, chacune des techniques ayant des avantages et des inconvénients. Faute d’avoir procédé à un débat de la sorte, le décret retient un système unique de sécurisation qui consiste en une certification par un tiers. La solution diffère en cela curieusement de celle retenue par les états-unis. Il est d’ailleurs assez intéressant de constater que la carte à puce, spécialité jusque-là française, a été reprise par la loi américaine sur la signature électronique, ce qui explique la campagne actuelle d’American express relativement à sa nouvelle carte à puce (« Blue »). Les limites de la certification sont nombreuses à raison même de la relation tripartite qu’elle impose. Augmenter le nombre d’intervenants constitue une augmentation assurée du coût et surtout des risques. Dans l’affaire Verisign-Microsoft (supra), on a constaté que le risque ne tenait pas nécessairement à la technique employée, mais simplement au fait que le tiers pouvait connaître, en interne, des difficultés (salarié mécontent, détournement d’informations…).

La solution de la certification consiste à créer un système de garantie privée. L’article 6-II pose ainsi un certain nombre de garanties dues par le certificateur qualifié à l’usager : garantir la confidentialité de ces données lors de leur création et s'abstenir de conserver ou de reproduire ces données (i) ; ainsi qu’un certain nombre de garanties sur le contenu faisant l’objet de la certification et l’identité de la personne signataire (n) ; enfin, il est posé un système d’obligation d’information pré-contractuelle (o) qui souligne l’optique de responsabilité et de garantie inhérente au système de certification. En un mot, en intégrant un tiers dans une relation bilatérale, le pouvoir réglementaire ajoute un risque en vue d’une garantie extérieure.

 

·         Sur le plan du fond :

 

Plus grave est le constat que l’on doit tirer de l’article 2 du présent décret. Il pose en effet que la présomption de fiabilité de l’accord donné par signature électronique ne vaut que lorsque la signature électronique est sécurisée, émise au moyen d’un dispositif de création de signature électronique tel que défini par le décret et faisant l’objet d’un certificat électronique qualifié.

On est à même de se demander si la loi est privée de sa substance par le décret. L’objectif était de rendre plus nette la possibilité d’un engagement par voie virtuelle. Le résultat est de rendre plus délicat un tel en engagement. En effet, en l’absence de texte, on devait tirer du principe contractuel de droit positif que la rencontre des volontés suffisait à faire naître un contrat (solo consensu) et que seule la preuve posait difficulté. Aujourd’hui, la loi a renvoyé au décret la définition de la fiabilité et de l’infalsifiabilité nécessaire à la validité de la signature électronique. En retenant une définition limitée à un seul système technique, celui de la certification, le pouvoir réglementaire limite par là-même l’avancée de la loi. Seule la signature encadrée dans les procédés techniques décrits par le décret engage au même titre que l’écrit. En-dehors de ce système, la signature n’est donc pas fiable et infalsifiable. Elle ne peut, au sens même de l’article 1316-4 du Code civil, engager celui qui a consenti par voie électronique. Il s’agit donc d’une régression dans la liberté des actes juridiques dématérialisés.

 

Cyrille Charbonneau

et

Frédéric-Jérôme Pansier

Annexe

 

J.O. Numéro 77 du 31 Mars 2001 page 5070

Textes généraux

Ministère de la justice

Décret n°2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique

 

NOR : JUSC0120141D

Le Premier ministre,

Sur le rapport de la garde des sceaux, ministre de la justice,

Vu la directive 1999/93/CE du Parlement européen et du Conseil en date du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques ;

Vu le code civil, notamment ses articles 1316 à 1316-4 ;

Vu la loi no 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications, notamment son article 28 ;

Le Conseil d'Etat (section de l'intérieur) entendu,

Décrète :

Art. 1er. - Au sens du présent décret, on entend par :

1. « Signature électronique » : une donnée qui résulte de l'usage d'un procédé répondant aux conditions définies à la première phrase du second alinéa de l'article 1316-4 du code civil ;

2. « Signature électronique sécurisée » : une signature électronique qui satisfait, en outre, aux exigences suivantes :

-          être propre au signataire ;

-          être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;

-          garantir avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable ;

 

3. « Signataire » : toute personne physique, agissant pour son propre compte ou pour celui de la personne physique ou morale qu'elle représente, qui met en oeuvre un dispositif de création de signature électronique ;

4. « Données de création de signature électronique » : les éléments propres au signataire, tels que des clés cryptographiques privées, utilisés par lui pour créer une signature électronique ;

5. « Dispositif de création de signature électronique » : un matériel ou un logiciel destiné à mettre en application les données de création de signature électronique ;

6. « Dispositif sécurisé de création de signature électronique » : un dispositif de création de signature électronique qui satisfait aux exigences définies au I de l'article 3 ;

7. « Données de vérification de signature électronique » : les éléments, tels que des clés cryptographiques publiques, utilisés pour vérifier la signature électronique ;

8. « Dispositif de vérification de signature électronique » : un matériel ou un logiciel destiné à mettre en application les données de vérification de signature électronique ;

9. « Certificat électronique » : un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire ;

10. « Certificat électronique qualifié » : un certificat électronique répondant aux exigences définies à l'article 6 ;

11. « Prestataire de services de certification électronique » : toute personne qui délivre des certificats électroniques ou fournit d'autres services en matière de signature électronique ;

12. « Qualification des prestataires de services de certification électronique » : l'acte par lequel un tiers, dit organisme de qualification, atteste qu'un prestataire de services de certification électronique fournit des prestations conformes à des exigences particulières de qualité.

Art. 2. - La fiabilité d'un procédé de signature électronique (une donnée qui résulte de l'usage d'un procédé répondant aux conditions définies à la première phrase du second alinéa de l'article 1316-4 du code civil) est présumée jusqu'à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée (une signature électronique qui satisfait, en outre, aux exigences suivantes : être propre au signataire ; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; garantir avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable), établie grâce à un dispositif sécurisé de création de signature électronique (un matériel ou un logiciel destiné à mettre en application les données de création de signature électronique et un dispositif de création de signature électronique qui satisfait aux exigences définies au I de l'article 3) et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié (un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire et répondant aux exigences définies à l'article 6).

 

Chapitre I^er

Des dispositifs sécurisés de création

de signature électronique

 

Art. 3. - Un dispositif de création de signature électronique ne peut être regardé comme sécurisé que s'il satisfait aux exigences définies au I et que s'il est certifié conforme à ces exigences dans les conditions prévues au II.

I. - Un dispositif sécurisé de création de signature électronique doit :

1. Garantir par des moyens techniques et des procédures appropriés que les données de création de signature électronique :

a) Ne peuvent être établies plus d'une fois et que leur confidentialité est assurée ;
b) Ne peuvent être trouvées par déduction et que la signature électronique est protégée contre toute falsification ;

c) Peuvent être protégées de manière satisfaisante par le signataire contre toute utilisation par des tiers.

2. N'entraîner aucune altération du contenu de l'acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.

II. - Un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définies au I :

1° Soit par les services du Premier ministre chargés de la sécurité des systèmes d'information, après une évaluation réalisée, selon des règles définies par arrêté du Premier ministre, par des organismes agréés par ces services. La délivrance par ces services du certificat de conformité est rendue publique ;

2° Soit par un organisme désigné à cet effet par un état membre de la Communauté européenne.

Art. 4. - Le contrôle de la mise en oeuvre des procédures d'évaluation et de certification prévues au 1o du II de l'article 3 est assuré par un comité directeur de la certification, institué auprès du Premier ministre.

Un arrêté du Premier ministre précise les missions attribuées à ce comité, fixe sa composition, définit les procédures de certification et d'évaluation des dispositifs de création de signature électronique mentionnées à l'alinéa précédent ainsi que les procédures d'agrément des organismes d'évaluation. Il détermine, en outre, les obligations incombant à ces organismes et fixe les conditions dans lesquelles sont présentées et instruites les demandes de certification.

 

Chapitre II

Des dispositifs de vérification de signature électronique

Art. 5. - Un dispositif de vérification de signature électronique peut faire, après évaluation, l'objet d'une certification, selon les procédures définies par l'arrêté mentionné à l'article 4, s'il répond aux exigences suivantes :

a)      Les données de vérification de signature électronique utilisées doivent être celles qui ont été portées à la connaissance de la personne qui met en oeuvre le dispositif et qui est dénommée « vérificateur » ;

b)      Les conditions de vérification de la signature électronique doivent permettre de garantir l'exactitude de celle-ci et le résultat de cette vérification doit sans subir d'altération être porté à la connaissance du vérificateur ;

c)      Le vérificateur doit pouvoir, si nécessaire, déterminer avec certitude le contenu des données signées ;

d)      Les conditions et la durée de validité du certificat électronique utilisé lors de la vérification de la signature électronique doivent être vérifiées et le résultat de cette vérification doit sans subir d'altération être porté à la connaissance du vérificateur ;

e)      L'identité du signataire doit sans subir d'altération être portée à la connaissance du vérificateur ;

f)        Lorsqu'il est fait usage d'un pseudonyme, son utilisation doit être clairement portée à la connaissance du vérificateur ;

g)      Toute modification ayant une incidence sur les conditions de vérification de la signature électronique doit pouvoir être détectée.

 

Chapitre III

Des certificats électroniques qualifiés

et des prestataires de services de certification électronique

 

Art. 6. - Un certificat électronique ne peut être regardé comme qualifié que s'il comporte les éléments énumérés au I et que s'il est délivré par un prestataire de services de certification électronique satisfaisant aux exigences fixées au II.

I. - Un certificat électronique qualifié doit comporter :

a)      Une mention indiquant que ce certificat est délivré à titre de certificat électronique qualifié ;

b)      L'identité du prestataire de services de certification électronique ainsi que l'Etat dans lequel il est établi ;

c)      Le nom du signataire ou un pseudonyme, celui-ci devant alors être identifié comme tel ;

d)      Le cas échéant, l'indication de la qualité du signataire en fonction de l'usage auquel le certificat électronique est destiné ;

e)      Les données de vérification de signature électronique qui correspondent aux données de création de signature électronique ;

f)        L'indication du début et de la fin de la période de validité du certificat électronique ;

g)      Le code d'identité du certificat électronique ;

h)      La signature électronique sécurisée du prestataire de services de certification électronique qui délivre le certificat électronique ;

i)        Le cas échéant, les conditions d'utilisation du certificat électronique, notamment le montant maximum des transactions pour lesquelles ce certificat peut être utilisé.

II. - Un prestataire de services de certification électronique doit satisfaire aux exigences suivantes :

a)      Faire preuve de la fiabilité des services de certification électronique qu'il fournit ;

b)      Assurer le fonctionnement, au profit des personnes auxquelles le certificat électronique est délivré, d'un service d'annuaire recensant les certificats électroniques des personnes qui en font la demande ;

c)      Assurer le fonctionnement d'un service permettant à la personne à qui le certificat électronique a été délivré de révoquer sans délai et avec certitude ce certificat ;

d)      Veiller à ce que la date et l'heure de délivrance et de révocation d'un certificat électronique puissent être déterminées avec précision ;

e)      Employer du personnel ayant les connaissances, l'expérience et les qualifications nécessaires à la fourniture de services de certification électronique ;

f)        Appliquer des procédures de sécurité appropriées ;

g)      Utiliser des systèmes et des produits garantissant la sécurité technique et cryptographique des fonctions qu'ils assurent ;

h)      Prendre toute disposition propre à prévenir la falsification des certificats électroniques ;

i)        Dans le cas où il fournit au signataire des données de création de signature électronique, garantir la confidentialité de ces données lors de leur création et s'abstenir de conserver ou de reproduire ces données ;

j)        Veiller, dans le cas où sont fournies à la fois des données de création et des données de vérification de la signature électronique, à ce que les données de création correspondent aux données de vérification ;

k)      Conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s'avérer nécessaires pour faire la preuve en justice de la certification électronique.

l)        Utiliser des systèmes de conservation des certificats électroniques garantissant que :

-                           l'introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire ;

-                           l'accès du public à un certificat électronique ne peut avoir lieu sans le consentement préalable du titulaire du certificat ;

-                           toute modification de nature à compromettre la sécurité du système peut être détectée ;

m)   Vérifier, d'une part, l'identité de la personne à laquelle un certificat électronique est délivré, en exigeant d'elle la présentation d'un document officiel d'identité, d'autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité ;

n)      S'assurer au moment de la délivrance du certificat électronique :

-                           que les informations qu'il contient sont exactes ;

-                           que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature électronique contenues dans le certificat ;

o)      Avant la conclusion d'un contrat de prestation de services de certification électronique, informer par écrit la personne demandant la délivrance d'un certificat électronique :

-                           des modalités et des conditions d'utilisation du certificat ;

-                           du fait qu'il s'est soumis ou non au processus de qualification volontaire des prestataires de services de certification électronique mentionnée à l'article 7 ;

-                           des modalités de contestation et de règlement des litiges ;

p)      Fournir aux personnes qui se fondent sur un certificat électronique les éléments de l'information prévue au o qui leur sont utiles.

 

Art. 7. - Les prestataires de services de certification électronique qui satisfont aux exigences fixées à l'article 6 peuvent demander à être reconnus comme qualifiés.

Cette qualification, qui vaut présomption de conformité aux dites exigences, est délivrée par les organismes ayant reçu à cet effet une accréditation délivrée par une instance désignée par arrêté du ministre chargé de l'industrie. Elle est précédée d'une évaluation réalisée par ces mêmes organismes selon des règles définies par arrêté du Premier ministre.
L'arrêté du ministre chargé de l'industrie prévu à l'alinéa précédent détermine la procédure d'accréditation des organismes et la procédure d'évaluation et de qualification des prestataires de services de certification électronique.

 

Art. 8. - Un certificat électronique délivré par un prestataire de services de certification électronique établi dans un Etat n'appartenant pas à la Communauté européenne a la même valeur juridique que celui délivré par un prestataire établi dans la Communauté, dès lors :

a)      Que le prestataire satisfait aux exigences fixées au II de l'article 6 et a été accrédité, au sens de la directive du 13 décembre 1999 susvisée, dans un Etat membre ;

b)      Ou que le certificat électronique délivré par le prestataire a été garanti par un prestataire établi dans la Communauté et satisfaisant aux exigences fixées au II de l'article 6 ;

c)      Ou qu'un accord auquel la Communauté est partie l'a prévu.

Art. 9.

I. - Au titre de la déclaration de fourniture de prestations de cryptologie effectuée conformément aux dispositions de l'article 28 de la loi du 29 décembre 1990 susvisée, le prestataire de services de certification électronique doit, quand il entend délivrer des certificats électroniques qualifiés, l'indiquer.

II. - Le contrôle des prestataires visés au I est effectué par des organismes publics désignés par arrêté du Premier ministre et agissant sous l'autorité des services du Premier ministre chargés de la sécurité des systèmes d'information.

Ce contrôle porte sur le respect des exigences définies à l'article 6. Il peut être effectué d'office ou à l'occasion de toute réclamation mettant en cause l'activité d'un prestataire de services de certification électronique.

Lorsque le contrôle révèle qu'un prestataire n'a pas satisfait à ces exigences, les services du Premier ministre chargés de la sécurité des systèmes d'information assurent la publicité des résultats de ce contrôle et, dans le cas où le prestataire a été reconnu comme qualifié dans les conditions fixées à l'article 7, en informent l'organisme de qualification.

Les mesures prévues à l'alinéa précédent doivent faire l'objet, préalablement à leur adoption, d'une procédure contradictoire permettant au prestataire de présenter ses observations.

 

Chapitre IV

Dispositions diverses

Art. 10. - Le présent décret est applicable en Nouvelle-Calédonie, en Polynésie française, aux îles Wallis et Futuna et à Mayotte.

Art. 11. - Le ministre de l'économie, des finances et de l'industrie, la garde des sceaux, ministre de la justice, le ministre de l'intérieur, le secrétaire d'Etat à l'outre-mer et le secrétaire d'État à l'industrie sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.

Fait à Paris, le 30 mars 2001.

Lionel Jospin

Par le Premier ministre :

La garde des sceaux, ministre de la justice,
Marylise Lebranchu

Le ministre de l'économie,

des finances et de l'industrie,

Laurent Fabius

Le ministre de l'intérieur,
Daniel Vaillant

Le secrétaire d'État à l'outre-mer,

Christian Paul

Le secrétaire d'État à l'industrie,
Christian Pierret