Signature électronique

Qu’en est-il de la mise en application de la signature électronique ?

 

A noter : AFNOR attire l’attention du lecteur sur le fait que les éléments contenus dans cette fiche ne revêtent qu’une portée strictement informative et ne sauraient en aucun cas se substituer à la réglementation en vigueur.

 

La signature électronique est un mécanisme permettant de garantir l’intégrité d’un document électronique et d’en authentifier l’auteur, par analogie avec la signature manuscrite d’un document papier.

L’authentification  repose sur l’utilisation de la technologie de la cryptographie.

Avec l’intensification des échanges électroniques et des projets de dématérialisation, la signature électronique est en fort développement.

La législation européenne a créé  un cadre légal harmonisé à la mise en œuvre des signatures électroniques au sein des pays membres de l’Union européenne.

La loi 2000-230, en modifiant le code civil, a posé le principe de la validité juridique de la signature électronique, et le décret 2001-272 a défini  les conditions techniques pour assurer la fiabilité du procédé au regard de la loi.

Le procédé de signature électronique est présumé fiable au sens du décret si :

-La signature électronique est sécurisée ;

-Elle est créée par un dispositif sécurisé de création de signature ;

-Et si la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié.

Les certificats délivrés par des prestataires de services de certification sont présumés qualifiés.

En parallèle à la mise en place du cadre législatif, des normes internationales ISO, des accords d’atelier du CEN et des normes NF ont été élaborées sur les différentes techniques de sécurité relatives aux procédés de fiabilité de création et de vérification de signature.

Normes, projets de normes, recueils et ouvrages

Normes

NF Z42-013 (FA125098)(mars 2009) Archivage électronique – Spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes

GA Z15-801 (mars 2004) Cartes et systèmes associés – Fonctions transversales et systèmes – Signature électronique associées aux titres émis par l’Etat

NF EN 419212-1 (janvier 2015) Interface applicative des cartes à puces utilisées comme dispositifs de création de signature numérique sécurisés – Partie 1 : services de base

NF EN 419212-2  (janvier 2015) Interface applicative des cartes à puces utilisées comme dispositifs de création de signature numérique sécurisés – Partie 2 : services complémentaires

AC Z74-600-1 (août 2005) Attestations électroniques d’antériorité, de dépôt, de retrait et de réception – Partie 1 : concepts généraux

AC Z74-600-2 (août 2005) Attestations électroniques d’antériorité, de dépôt, de retrait et de réception – Partie 2 : définition des attestations

AC Z74-600-3 (août 2005) Attestations électroniques d’antériorité, de dépôt, de retrait et de réception – Partie 3 : format des attestations

AC Z74-600-4 (août 2005) Attestations électroniques d’antériorité, de dépôt, de retrait et de réception – Partie 4 : exigences pour les politiques d’attestations

AC CWA 14167-1 (octobre 2004) Exigences de sécurité concernant les systèmes fiables gérant des certificats pour signatures électroniques

NF EN 419211-1 (décembre 2014) Profils de protection pour dispositif sécurisé de signature électronique – Partie 1 : présentation générale

NF EN 419211-2 (septembre 2013) Profils de protection des dispositifs sécurisés de création de signature – Partie 2 : dispositif avec génération de clé

NF EN 419211-3 (novembre 2013) Profils de protection des dispositifs sécurisés de création de signature électronique – Partie 3 : dispositif avec import de clé

NF EN 419211-4 (mars 2014) Profils de protection des dispositifs sécurisés de création de signature – Partie 4 : extension pour un dispositif avec génération de clé et communication sécurisée avec l’application de génération de certificats

NF EN 419211-5 (mars 2014) Profils de protection des dispositifs sécurisés de création de signature – Partie 5 : extension pour un dispositif avec génération de clé et communication sécurisée avec l’application de création de signature

NF EN 419211-6 (décembre 2014) Profils de protection pour dispositif sécurisé de création de signature électronique – Partie 6 : extension pour un dispositif avec import de clé et communication sécurisée avec l’application de création de signature

NF EN 419251-2 (août 2013) Profils de protection pour dispositif d’authentification – Partie 2 : dispositif avec import de clé, génération de clé et administration – Communication sécurisée vers l’application de génération de certificats et l’application d’administration

AC ETSI/TS 101456 (octobre 2004) Exigences concernant la politique mise en œuvre par les autorités de certification délivrant des certificats qualifiés

NF EN 319411-1 (juillet 2016) Signatures électroniques et infrastructures (ESI) – Exigences de politique et de sécurité applicables aux prestataires de service de confiance délivrant des certificats – Partie 1 : exigences générales (V.1.1.1)

NF EN 319411-2 (juillet 2016) Signatures électroniques et infrastructures (ESI) – Exigences de politique et de sécurité applicables aux prestataires de service de confiance délivrant des certificats – Partie 2 : exigences applicables aux prestataires de service de confiance délivrant des certificats qualifiés UE (V.2.1.1)

NF EN 319411-3 (juin 2013) Signatures électroniques et infrastructures (ESI) – Exigences de sécurité et de politique des prestataires de service de confiance délivrant des certificats – Partie 3 : exigences de politique applicables aux autorités de certification délivrant des certificats de clé publique (V1.1.1)

NF EN 319412-1  (juillet 2016) Signatures électroniques et infrastructures (ESI) – Profils de certificat – Partie 1 : présentation générale et structures de données communes (V1.1.1)

NF EN 319412-3 (juillet 2016) Signatures électroniques et infrastructures (ESI) – Profils de certificat – Partie 3 : profils de certificats délivrés à des personnes morales (V1.1.1)

NF EN 319412-5 (juillet 2016) Signatures électroniques et infrastructures (ESI) Profils de certificat – Partie 5 : déclarations de certificat qualité (V2.1.1)

NF EN 319122-1 (octobre 2016) Signatures électroniques et infrastructures (ESI) – Signatures numériques au format CAdES – Partie 1 : blocs de construction et signatures au format de base CAdES (V1.1.1)

NF EN 319122-2 (octobre 2016) Signatures électroniques et infrastructures (ESI) – Signatures au format CAdES – Partie 2 : Signatures au format CAdES étendu (V1.1.1)

NF EN 319142-1 (octobre 2016) Signatures électroniques et infrastructures (ESI) – Signatures numériques au format PAdES – Partie 1 : blocs de construction et signatures au format de base PAdES (V1.1.1)

NF EN 319142-2 (août 2016) Signatures électroniques et infrastructures (ESI) – Signatures numériques au format  PAdES – Profils supplémentaires de signatures PAdES (V1.1.1)

NF EN 319401 (juin 2016) Signatures électroniques et infrastructures (ESI) – Exigences de politique générale des prestataires de service de confiance (V2.1.1)

NF EN 319403  (février 2016) Signatures électroniques et infrastructures (ESI) – Evaluation de la conformité des prestataires de service de confiance – Exigences relatives aux organismes d’évaluation de la conformité évaluant les prestataires de services de confiance (V2.2.2)

NF EN 319421 (juillet 2016) Signatures électroniques et infrastructures (ESI) – Exigences de sécurité et de politique des prestataires de service de confiance délivrant des horodatages (V1.1.1)

NF EN 319422 (juillet 2016) Signatures électroniques et infrastructures (ESI) – Protocole d’horodatage et profils de jetons d’horodatage (V1.1.1)

Accords d’atelier CWA (CEN Workshop Agreements)

CWA 14167-2 (mai 2004) Security requirements for trustworthy systems managing certificates for electronic signatures – Part 2: cryptographic Module for CSP Signing Operations with backup – Protection Profile – CMCSOB PP

CWA 14167-3 (mai 2004) Security requirements for trustworthy systems managing certificates for electronic signatures – Part 3: cryptographic module for CSP key generation services protection profile CMCKG-PP

CWA 14167-4 (mai 2004) Security requirements for trustworthy systems managing certificates for electronic signatures – Part 4: cryptographic module for CSP signing operations – Protection profile – CMCSO PP

CWA 14169 (mars 2004) Secure signature- Creation devices « EAL 4+ »

CWA 14170 (mai 2004) Security requirements for signature creation applications

CWA 14171 (mai 2004) General guidelines for electronic signature verification

CWA 14172-1 (mars 2004) EESSI conformity assessment guidance – Part 1: general introduction

CWA 14172-2 (mars 2004) EESSI conformity assessment guidance – Part 2: certification authority services and processes

CWA 14172-3 (mars 2004) EESSI conformity assessment guidance – Part 3: trustworthy systems managing certificates for electronic signatures

CWA 14172-4 (mars 2004) EESSI conformity assessment guidance – Part 4: signature-creation applications and general guidelines for electronic signature verification

CWA 14172-5 (mars 2004) EESSI conformity assessment guidance – Part 5: secure signature-creation devices

CWA14172-6 (mars 2004) EESSI conformity assessment guidance – Part 6: signature-creation device supporting signatures other than qualified

CWA 14172-7 (mars 2004) EESSI conformity assessment guidance – Part 7: Cryptographic modules used by certification service providers for signing operations and key generation services

CWA 14172-8 (mars 2008) EESSI conformity assessment guidance – Part 8: time-stamping authority services and processes

CWA 14355 (mars 2004) Guidelines for the implementation of Secure Signature-Creation Devices

CWA 14365-1 (mars 2004) Guide on the Use of Electronic Signatures – Part 1: Legal and Technical Aspects

CWA 14365-2 (mars 2004) Guide on the Use of Electronic Signatures – Part 2: Protection Profile for Software Signature Creation Devices

Normes internationales ISO

ISO/CEI 9796-2 (décembre 2010) Technologies de l’information – Techniques de sécurité – Schémas de signature numérique rétablissant le message – Partie 2 : mécanismes basés sur une factorisation entière (en anglais uniquement)

ISO/CEI 9796-3 (septembre 2006) Technologies de l’information – Techniques de sécurité – Schéma de signature numérique rétablissant le message – Partie 3 : mécanismes basés sur les logarithmes discrets (en anglais uniquement)

ISO/CEI 14888-1 (avril 2008) Technologies de l’information – Techniques de sécurité – Signatures numériques avec appendice – Partie 1 : généralités (en anglais uniquement)

ISO/CEI 14888-2 (avril 2008) Technologies de l’information – Techniques de sécurité – Signatures numériques avec appendice – Partie 2 : mécanismes basés sur une factorisation entière (en anglais uniquement)

ISO/CEI 14888-3 (mars 2016) Technologies de l’information – Techniques de sécurité – Signatures numériques avec appendice – Partie 3 : mécanismes basés sur un logarithme discret (en anglais uniquement)

ISO/CEI 15945 (février 2002) Technologies de l’information – Techniques de sécurité – Spécifications des services TTP pour supporter l’application des signatures numériques

ISO/CEI 18014-1 (septembre 2008) Technologies de l’information – Techniques de sécurité – Services d’estampillage de temps – Partie 1 : cadre général (en anglais uniquement)

ISO/CEI 18014-2 (décembre 2009) Technologies de l’information – Techniques de sécurité – Services d’horodatage – Partie 2 : mécanismes produisant des jetons indépendants (en anglais uniquement)

ISO/CEI 18014-3 (décembre 2009) Technologies de l’information – Techniques de sécurité – Services d’horodatage – Partie3 : mécanismes produisant des jetons liés (en anglais uniquement)

ISO/CEI TR 29149 (mars 2012) Technologies de l’information – Techniques de sécurité – Meilleures pratiques pour la fourniture et l’utilisation de services d’horodatage (en anglais uniquement)

ISO/CEI 29150 (décembre 2011) Technologies de l’information – Techniques de sécurité – Signcryptage (en anglais uniquement)

ISO 14533-1 (décembre 2014) Processus, éléments d’informations et documents dans le commerce, l’industrie et l’administration – Profils de signature à long terme – Partie 1 : profils de signature à long terme pour les signatures électroniques avancées CMS (CAdES) (en anglais uniquement)

ISO 14533-2 (septembre 2012) Processus, éléments d’informations et documents dans le commerce, l’industrie et l’administration – Profils de signature à long terme – Partie 2 : profils de signature à long terme pour les signatures électroniques avancées XML (XAdES) (en anglais uniquement)

Projets de normes

PR NF EN 419111-1 Profils de protection pour application de création et de vérification de signature – Partie 1 : introduction

Révision de la CWA 14170 (mai 2004)

PR NF EN 419111-2 Profils de protection pour application de création et de vérification de signature – Application de création de signature – Partie 2 : profils PP de base

Révision de la CWA 14170 (mai 2004)

PR NF EN 419111-3 Profils de protection pour la création et la vérification de signatures électroniques – Application  de création de signature – Partie 3 : extensions possibles

Révision de la CWA 14170 (mai 2004)

PR NF EN 419111-4 Profils de protection pour application de création et de vérification de signature – application de vérification  de signature – Partie 4 : profils PP de base

Révision de la CWA 14171(mai 2004)

PR NF EN 419111-5 Profils de protection pour application  de création et de vérification de signature – application de vérification de signature – Partie 5 : extensions possibles

Révision de la CWA 14171 (mai 2004)

PR NF EN 319132-2 Signatures électroniques et infrastructures (ESI) – Signatures numériques au format XAdES – Partie 2 : Signatures au format XAdES étendu (V1.0.0)

PR NF EN 319412-4 Signatures électroniques et infrastructures (ESI) – Profils de certificats – Partie 4 : Profil de certificat pour les certificats de sites délivrés à des organisations (V1.0.0)

Recueils et ouvrages

Signature électronique (mai 2015 – 3239111CD)

Pour commander les projets de normes…

Réglementation

Réglementation communautaire

Directive n° 1999/93/CE du 13 décembre 1999 modifiée, directive sur un cadre communautaire pour les signatures électroniques (JOCE L13 du 19/01/2000)

Règlement n° 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JOUE L257 du 28/08/2014)

La directive est abrogée avec effet le 1er juillet 2016

Décision d’exécution n°2016/650 de la Commission du 25 avril 2016 établissant des normes relatives à l’évaluation de la sécurité des dispositifs qualifiés de création de signature électronique et de cachet électronique conformément à l’article 30, paragraphe 3, et à l’article 39, paragraphe 2, du règlement (UE) n°910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JOUE L109 du 26/04/2016)

Décision d’exécution n° 2015/1984 du 3 novembre 2015 définissant les circonstances, les formats et les procédures pour les notifications visés à l’article 9, paragraphe 5, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JOUE L289 du 05/11/2015)

Décision d’exécution n° 2015/296/UE du 24 février 2015 établissant les modalités de coopération entre les Etats membres en matière d’identification électronique conformément à l’article 12, paragraphe 7, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JOUE L53 du 25/02/2015)

Règlement d’exécution n° 1502/2015 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JOUE L235 du 09/09/2015)

Décision d’exécution n° 2015/1505/UE de la Commission  du 8 septembre 2015 établissant les spécifications techniques et les formats relatifs aux listes de confiance visées à l’article 22, paragraphe 5, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JOUE L235 du 09/09/2015)

Décision d’exécution n° 2015/1506/UE de la Commission du 8 septembre 2015 établissant les spécifications relatives aux formats des signatures électroniques avancées et des cachets électroniques avancés devant être reconnus par les organismes du secteur public visés à l’article  27, paragraphe 5, et à l’article 37, paragraphe 5, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JOUE L235 du 09/09/2015)

Décision n° 2000/709/CE de la Commission du 6 novembre 2000 relative aux critères minimaux devant être pris en compte par les Etats membres lors de la désignation des organismes visés à l’article 3, paragraphe 4, de la directive 1999/93/CE du Parlement européen et du Conseil sur un cadre communautaire pour les signatures électroniques (JOCE L289 du 16/11/2000)

Décision n° 2003/511/CE de la Commission du 14 juillet 2003 relative à la publication des numéros de référence de normes généralement admises pour les produits de signatures électroniques conformément à la directive 1999/93/CE du Parlement et du Conseil (JOCE L175 du 15/07/2003)

Décision n° 2009/767/CEde la Commission du 16 octobre 2009 modifiée, établissant des mesures destinées à faciliter l’exécution de procédures par voie électronique par l’intermédiaire des « guichets uniques » conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JOUE L299 du 14/11/2009, JOUE L4 du 07/01/2011)

Communication de la Commission du 22 décembre 2011 concernant les informations relatives à la liste compilée par la Commission à partir des listes de confiance des États membres notifiées dans le cadre de la décision 2009/767/CE de la Commission (JOUE C374 du 22/12/2011)

Décision n° 2010/425/CEde la Commission du 28 juillet 2010 modifiant les dispositions de la décision 2009/767/CE relatives à l’établissement, la mise à jour et la publication de listes de confiance de prestataires de services de certification contrôlés ou accrédités par les États membres (JOUE L199 du 31/07/2010)

Décision n° 2013/662/UE de la Commission du 14 octobre 2013 modifiant les dispositions de la décision 2009/767/CE relatives à l’établissement, à la mise à jour et à la publication de listes de confiance de prestataires de services de certification contrôlés ou accrédités par les Etats membres (JOUE L306 du 16/11/2013)

Décision n° 2011/130/CE de la Commission du 25 février 2011modifiée établissant des exigences minimales pour le traitement transfrontalier des documents signés électroniquement par les autorités compétentes conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JOUE L53 du 26/02/2011)

Décision d’exécution  n° 2014/148/UE de la Commission du 17 mars 2014 modifiant la décision 2011/130/UE de la Commission établissant des exigences minimales pour le traitement transfrontalier des documents signés électroniquement par les autorités compétentes conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JOUE L80 du 19/03/2014, JOUE L95 du 29/03/2014).

Réglementation française

Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique (JORF n° 62 du 14/03/2000)

Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives (JORF n° 286 du 09/12/2005)

Décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives (JORF n° 29 du 04/02/2010)

Décret n° 2001-272 du 30 mars 2001 modifié pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique (JORF n° 77 du 31/03/2001)

Décret n° 2002-1436 du 3 décembre 2002 modifiant le code de l’organisation judiciaire, le code de procédure civile, le nouveau code de procédure civile et le décret n° 96-1080 du 12 décembre 1996 portant tarif des huissiers de justice en matière civile et commerciale – (Titre III chapitre 1er,« del’adaptation du droit de la preuve aux technologies de l’information »)(JORF n° 289 du 03/12/2002)

Décret 2011-434 du 20 avril 2011 relatif à l’horodatage des courriers expédiés ou reçus par voie électronique pour la conclusion ou l’exécution d’un contrat (JORF n° 94 du 21/04/2011)

Décret n°2013-956 du 24 octobre 2013 relatif à la dématérialisation de certains actes établis en application du code des douanes (JORFn°250 du 26/10/2013)
Le présent décret est pris en application de l’article 322 du code des douanes, qui permet la dématérialisation par l’apposition d’une signature numérique ou électronique ; le décret définit la liste des actes concernés, ainsi que les modalités de la signature numérique et les personnes qui peuvent y recourir.

Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation (JORF n° 182 du 07/08/2004)

Arrêté du 20 avril 2011 relatif à la reconnaissance de la qualification des prestataires des services d’horodatage électronique et à l’accréditation des organismes qui procèdent à leur évaluation (JORF n° 94 du 21/04/2011)

Arrêté du 18 janvier 2012 modifié relatif au référencement de produits de sécurité ou d’offres de prestataires de service de confiance (JORF n° 44 du 21/02/2012)

Arrêté du 25 juillet 2013 modifiant l’arrêté du 18 janvier 2012 relatif au référencement de produits de sécurité ou d’offres de prestataires de services de confiance (JORF n° 179 du 03/08/2013)

Arrêté du 21 juin 2011 relatif à la signature électronique en matière pénale (JORF n° 146 du 25/06/2011)

Arrêté du 23 décembre 2011 relatif aux échanges par voie électronique des données à caractère personnel contenues dans les actes d’état civil (JORF n° 301 du 29/12/2011)

Arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics (JORF n° 153 du 03/07/2012)

Arrêté du 18 octobre 2013 relatif à la signature électronique des décisions de justice rendues en matière civile par la Cour de cassation (JORF n°247 du 23/10/13)

Pour consulter ces textes :

Date de mise à jour : 06/10/2016

Adhérez pour agir !

Élaborez les normes volontaires

norminfo

Découvrez nos engagements !