=> FORMATION Réponse dématérialisée aux AO
Certificat électronique qualifié au sens du décret 2001-272
Un certificat électronique qualifié est un certificat électronique répondant aux exigences définies à l’article 6 du décret 2001-272 du 30 Mars 2001.
Art. 6. – Un certificat électronique ne peut être regardé comme qualifié que s’il comporte les éléments énumérés au I et que s’il est délivré par un prestataire de services de certification électronique satisfaisant aux exigences fixées au II.
I. – Un certificat électronique qualifié doit comporter :
a) Une mention indiquant que ce certificat est délivré à titre de certificat électronique qualifié ;
b) L’identité du prestataire de services de certification électronique ainsi que l’Etat dans lequel il est établi ;
c) Le nom du signataire ou un pseudonyme, celui-ci devant alors être identifié comme tel ;
d) Le cas échéant, l’indication de la qualité du signataire en fonction de l’usage auquel le certificat électronique est destiné ;
e) Les données de vérification de signature électronique qui correspondent aux données de création de signature électronique ;
f) L’indication du début et de la fin de la période de validité du certificat électronique ;
g) Le code d’identité du certificat électronique ;
h) La signature électronique sécurisée du prestataire de services de certification électronique qui délivre le certificat électronique ;
i) Le cas échéant, les conditions d’utilisation du certificat électronique, notamment le montant maximum des transactions pour lesquelles ce certificat peut être utilisé.
II. – Un prestataire de services de certification électronique doit satisfaire aux exigences suivantes :
a) Faire preuve de la fiabilité des services de certification électronique qu’il fournit ;
b) Assurer le fonctionnement, au profit des personnes auxquelles le certificat électronique est délivré, d’un service d’annuaire recensant les certificats électroniques des personnes qui en font la demande ;
c) Assurer le fonctionnement d’un service permettant à la personne à qui le certificat électronique a été délivré de révoquer sans délai et avec certitude ce certificat ;
d) Veiller à ce que la date et l’heure de délivrance et de révocation d’un certificat électronique puissent être déterminées avec précision ;
e) Employer du personnel ayant les connaissances, l’expérience et les qualifications nécessaires à la fourniture de services de certification électronique ;
f) Appliquer des procédures de sécurité appropriées ;
g) Utiliser des systèmes et des produits garantissant la sécurité technique et cryptographique des fonctions qu’ils assurent ;
h) Prendre toute disposition propre à prévenir la falsification des certificats électroniques ;
i) Dans le cas où il fournit au signataire des données de création de signature électronique, garantir la confidentialité de ces données lors de leur création et s’abstenir de conserver ou de reproduire ces données ;
j) Veiller, dans le cas où sont fournies à la fois des données de création et des données de vérification de la signature électronique, à ce que les données de création correspondent aux données de vérification ;
k) Conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s’avérer nécessaires pour faire la preuve en justice de la certification électronique.
l) Utiliser des systèmes de conservation des certificats électroniques garantissant que :
– l’introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire ;
– l’accès du public à un certificat électronique ne peut avoir lieu sans le consentement préalable du titulaire du certificat ;
– toute modification de nature à compromettre la sécurité du système peut être détectée ;
m) Vérifier, d’une part, l’identité de la personne à laquelle un certificat électronique est délivré, en exigeant d’elle la présentation d’un document officiel d’identité, d’autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité ;
n) S’assurer au moment de la délivrance du certificat électronique :
– que les informations qu’il contient sont exactes ;
– que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature électronique contenues dans le certificat ;
o) Avant la conclusion d’un contrat de prestation de services de certification électronique, informer par écrit la personne demandant la délivrance d’un certificat électronique :
– des modalités et des conditions d’utilisation du certificat ;
– du fait qu’il s’est soumis ou non au processus de qualification volontaire des prestataires de services de certification électronique mentionnée à l’article 7 ;
– des modalités de contestation et de règlement des litiges ;
p) Fournir aux personnes qui se fondent sur un certificat électronique les éléments de l’information prévue au o qui leur sont utiles.
Source : Décret 2001-272 du 30 Mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique.