La signature électronique dans l'UE

Cette directive établit, au niveau européen, le cadre juridique pour les signatures électroniques et la reconnaissance de certains prestataires de services de certification. L'objectif est de:

—	faciliter l'utilisation des signatures électroniques; et de

—	contribuer à leur reconnaissance juridique au sein de tous les pays de l'UE.

ACTE

Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 portant sur un cadre communautaire pour les signatures électroniques.

SYNTHÈSE

La présente directive établit les critères qui forment la base de la reconnaissance juridique des signatures électroniques. Elle vise à réglementer les prestataires de services de certification et fixe:

—	des exigences communes pour les prestataires de services de certification afin d’assurer la reconnaissance transfrontière des signatures électroniques et des certificats dans l'Union européenne (UE);

—	des règles de responsabilité communes pour soutenir le processus de création de la confiance, en ce qui concerne les consommateurs qui se fondent sur les certificats;

—	des mécanismes coopératifs pour faciliter la reconnaissance transfrontalière des signatures électroniques et des certificats avec les pays tiers.

La directive définit de nouvelles notions:

—	la signature électronique, une donnée sous forme électronique, qui est jointe ou liée logiquement à d'autres données électroniques et qui sert de méthode d'authentification.

—

la signature électronique avancée, signature électronique qui satisfait aux exigences suivantes:

—	être liée uniquement au signataire;

—	permettre d'identifier le signataire;

—	être créée par des moyens que les signataires puissent garder sous leur contrôle exclusif;

—	être liée au document électronique à authentifier de telle sorte que toute modification ultérieure du document soit détectable.

—

le certificat qualifié, certificat qui doit notamment comporter:

—	une mention indiquant que le certificat est délivré à titre de certificat qualifié;

—	l'identification du prestataire de service de certification;

—	le nom du signataire;

—	la possibilité d'ajouter un élément d'authentification supplémentaire du signataire, tel que la date de naissance (en fonction de l'usage auquel le certificat est destiné);

—	des données afférentes à la vérification de signature qui doivent correspondre aux données pour la création de signature sous le contrôle du signataire;

—	les dates de début et de fin de la période de validité du certificat;

—	le code d'identité du certificat;

—	la signature électronique avancée du prestataire de service de certification qui délivre le certificat.

Le certificat doit également être fourni par un prestataire de service de certification qui satisfait à certaines exigences exposées dans la directive.

Accès au marché

Les pays de l'UE ne doivent soumettre la fourniture des services de certification à aucune autorisation préalable.

Les pays de l'UE peuvent disposer de leurs propres régimes afin d'encourager la certification au moyen de fonctionnalités améliorées. Les pays de l'UE ne peuvent limiter le nombre de prestataires accrédités de service de certification. Ils ne peuvent pas non imposer de restrictions à la fourniture de services de certification provenant d'un autre pays de l'UE.

Les pays de l'UE peuvent soumettre l'usage des signatures électroniques dans le secteur public à des exigences supplémentaires éventuelles. Ces exigences doivent être objectives, transparentes, proportionnées et non discriminatoires.

Effets juridiques des signatures électroniques

Une signature électronique avancée, basée sur un certificat qualifié, répond aux exigences légales de signatures à l’égard de données électroniques de la même manière qu’une signature manuscrite réponde à ces exigences à l’égard de données manuscrites ou imprimées sur papier. [Par commodité, une telle signature peut être appelée «signature électronique qualifiée». Bien que la directive la décrive, elle n’en donne pas la définition]. Elle est également recevable comme preuve en justice.

Une signature électronique ne peut pas être refusée comme preuve en justice, au seul motif qu'elle:

—	se présente sous forme électronique;

—	ne repose pas sur un certificat qualifié;

—	n'est pas créée par un dispositif sécurisé de création de signature.

Responsabilité

Les pays de l'UE doivent veiller à ce qu’un prestataire de service de certification qui délivre un certificat agréé assume certaines responsabilités. Le prestataire est notamment responsable du préjudice causé à toute entité ou personne qui se fie raisonnablement à ce certificat en ce qui concerne:

—	l’exactitude de toutes les informations contenues dans le certificat qualifié à la date où il a été délivré;

—	le fait que le certificat comporte toutes les données prescrites pour un certificat qualifié à la date où il a été délivré et que le signataire identifié dans le certificat est la personne à laquelle il a été délivré.

Le prestataire de service de certification peut imposer une valeur limite des transactions pour lesquelles le certificat peut être utilisé. Cette limite doit être discernable par des tiers. Le prestataire ne peut être tenu responsable du préjudice résultant de l'usage abusif d'un certificat qualifié qui dépasse les limites fixées à son utilisation.

Aspect internationaux

Les pays de l'UE veillent à ce qu'une reconnaissance mutuelle juridique des certificats qualifiés et des signatures électroniques de pays tiers soit appliquée. Certaines conditions de fiabilité doivent être remplies, telles que:

—	les prestataires de pays tiers remplissent les conditions visées dans la directive et ont été accrédités dans le cadre d'un régime volontaire d'accréditation établi dans un pays de l'UE;

—	un prestataire établi dans l'UE, qui satisfait aux exigences visées dans la directive, peut garantir les certificats établis par des prestataires de pays tiers au même titre que ses propres certificats.

La Commission européenne fera éventuellement des propositions afin d'assurer une mise en œuvre effective de normes et d'accords internationaux.

Protection des données

Les pays de l'UE veillent à ce que les prestataires de service de certification et les organismes nationaux responsables de l’accréditation ou de la supervision satisfassent aux exigences prévues par la directive 95/46/CE sur la protection des données à caractère personnel.

Adoption du nouveau règlement sur l’identification électronique et les services de confiance (eIDAS)

Le règlement eIDAS (règlement (UE) no910/2014) a été adopté en 2014. Il est entré en vigueur le 17.9.2014 et s'appliquera à compter du 1.7.2016, à l'exception de certains articles répertoriés à son article 52. Le règlement (UE) no 910/2014 abroge la directive 1999/93/CE à compter du 30.6.2016.

Pour plus d'informations, veuillez consulter la page internet de la Commission européenne consacrée à la stratégie numérique pour l'Europe en ce qui concerne les services de confiance.

RÉFÉRENCES

Acte	Entrée en vigueur	Délai de transposition dans les États membres	Journal officiel
Directive 1999/93/CE	19.1.2000	18.7.2001	JO L 13 du 19.1.2000, p. 12-20

Les modifications et corrections successives de la directive 1999/93/CE ont été intégrées au texte de base. Cette version consolidée n'a qu'une valeur documentaire.

ACTES LIÉS

Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social européen et au Comité des régions, sur «Plan d’action en faveur de l’utilisation des signatures électroniques et de l’identification électronique pour faciliter la fourniture de services publics transfrontaliers dans le marché unique» (COM(2008) 798 final du 28.11.2009).

Par cette communication, la Commission propose un plan d'action qui vise à aider les pays de l'UE à mettre en œuvre des solutions de signature et d'identification électroniques interopérables et mutuellement reconnues, afin de faciliter la fourniture de services publics transfrontaliers dans un environnement électronique. Il est indispensable d’arriver à un tel résultat pour ne pas fragmenter le marché unique.

Les actions de ce plan sont de deux types:

—	des actions ciblées pour améliorer l'interopérabilité des signatures électroniques qualifiées et des signatures avancées basées sur des certificats qualifiés,

—	des actions visant à rendre l’identification électronique transfrontière interopérable.

Rapport de la Commission au Parlement européen et au Conseil - Rapport sur la mise en œuvre de la directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques (COM(2006) 120 final du 15 mars 2006).

Le rapport indique que les pays de l'UE ont mis en œuvre les grands principes de la directive.

La Commission souligne que la transposition de la directive dans le droit national des pays de l'UE a permis de satisfaire le besoin de reconnaissance juridique des signatures électroniques. Elle estime ainsi que les objectifs de la directive ont été atteints et qu'à ce stade, il n'est donc pas nécessaire de la réviser. La Commission prévoit néanmoins de consulter les pays de l 'UE et les parties intéressées afin d'examiner une série de questions, notamment sur les problèmes d'interopérabilité, les aspects techniques et la normalisation.

Décision 2003/511/CE de la Commission du 14 juillet 2003, relative à la publication des numéros de référence de normes généralement admises pour les produits de signatures électroniques conformément à la directive 1999/93/CE du Parlement européen et du Conseil (Journal officiel L 175 du 15.7.2003, p. 45-46).

Cette décision cite les références de 3 «normes généralement admises» pour les produits de signatures électroniques qui donnent présomption de conformité à la signature électronique qualifiée.

Décision 2000/709/CE de la Commission du 6 novembre 2000 relative aux critères minimaux devant être pris en compte par les États membres lors de la désignation des organismes visés à l'article 3, paragraphe 4, de la directive 1999/93/CE du Parlement européen et du Conseil sur un cadre communautaire pour les signatures électroniques (Journal officiel L 289 du 16.11.2000, p. 42-43).

Cette décision énonce les critères auxquels les pays de l'UE doivent se référer pour désigner les organismes nationaux chargés d'évaluer la conformité des dispositifs sécurisés de création de signature.

Dernière modification le: 09.01.2015