51999AG0028

POSITION COMMUNE (CE) N° 28/1999

arrêtée par le Conseil le 28 juin 1999

en vue de l'adoption de la directive 1999/.../CE du Parlement européen et du Conseil du ... sur un cadre communautaire pour les signatures électroniques

(1999/C 243/02)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité instituant la Communauté européenne, et notamment son article 47, paragraphe 2, et ses articles 55 et 95,

vu la proposition de la Commission(1),

vu l'avis du Comité économique et social(2),

vu l'avis du Comité des régions(3),

statuant conformément à la procédure visée à l'article 251 du traité(4),

(1) considérant que, le 16 avril 1997, la Commission a présenté au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions une communication sur une initiative européenne dans le domaine du commerce électronique;

(2) considérant que, le 8 octobre 1997, la Commission a présenté au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions une communication intitulée "Assurer la sécurité et la confiance dans la communication électronique - Vers un cadre européen pour les signatures numériques et le chiffrement";

(3) considérant que, le 1er décembre 1997, le Conseil a invité la Commission à présenter dès que possible une proposition de directive du Parlement européen et du Conseil sur les signatures numériques;

(4) considérant que les communications et le commerce électroniques nécessitent des "signatures électroniques" et des services connexes permettant d'authentifier les données; que toute divergence dans les règles relatives à la reconnaissance juridique des signatures électroniques et à l'accréditation des "prestataires de service de certification" dans les États membres risque de constituer un sérieux obstacle à l'utilisation des communications électroniques et au commerce électronique, que, par ailleurs, l'établissement d'un cadre communautaire clair concernant les conditions applicables aux signatures électroniques contribuera à renforcer la confiance dans les nouvelles technologies et à en favoriser l'acceptation générale; que la diversité des législations des États membres ne saurait entraver la libre circulation des marchandises et des services dans le marché intérieur;

(5) considérant qu'il convient de promouvoir l'interopérabilité des produits de signature électronique; que, conformément à l'article 14 du traité, le marché intérieur comporte un espace dans lequel la libre circulation des marchandises est assurée; que des exigences essentielles spécifiques aux produits de signature électronique doivent être respectées afin d'assurer la libre circulation dans le marché intérieur et de susciter la confiance dans les signatures électroniques, sans préjudice du règlement (CE) n° 3381/94 du Conseil du 19 décembre 1994 instituant un régime communautaire de contrôle des exportations de biens à double usage(5) et de la décision 94/942/PESC du Conseil du 19 décembre 1994 relative à l'action commune, adoptée par le Conseil sur la base de l'article J.3 du traité sur l'Union européenne, concernant le contrôle des exportations de biens à double usage(6);

(6) considérant que la présente directive n'harmonise pas la fourniture de services en ce qui concerne la confidentialité de l'information quand ils sont couverts par des dispositions nationales relatives à l'ordre public ou à la sécurité publique;

(7) considérant que le marché intérieur garantit la libre circulation des personnes et que, dès lors, les citoyens et résidents de l'Union européenne ont de plus en plus souvent affaire aux autorités d'États membres autres que celui où ils résident; que la disponibilité de communications électroniques pourrait être d'une grande utilité dans ce contexte;

(8) considérant que, eu égard à la rapidité des progrès techniques et à la dimension mondiale d'Internet, il convient d'adopter une approche qui prenne en compte les diverses technologies et services permettant d'authentifier des données par la voie électronique;

(9) considérant que les signatures électroniques seront utilisées dans des circonstances et des applications très variées, ce qui entraînera l'apparition de toute une série de nouveaux services et produits liés à celles-ci ou les utilisant; qu'il convient que la définition de ces produits et services ne soit pas limitée à la délivrance et à la gestion de certificats, mais couvre également tout autre service et produit utilisant des signatures électroniques ou connexe à celles-ci, tels les services d'enregistrement, les services horodateurs, les services d'annuaires, les services informatiques ou les services de consultation liée aux signatures électroniques;

(10) considérant que le marché intérieur permet aux prestataires de service de certification de développer leurs activités internationales en vue d'accroître leur compétitivité et d'offrir ainsi aux consommateurs et aux entreprises de nouvelles possibilités d'échanger des informations et de commercer en toute sécurité par voie électronique indépendamment des frontières; que, afin de favoriser la fourniture à l'échelle communautaire de services de certification sur des réseaux ouverts, il y a lieu que les prestataires de service de certification soient libres d'offrir leurs services sans autorisation préalable; qu'on entend par "autorisation préalable", non seulement toute autorisation à obtenir par le prestataire de service de certification au moyen d'une décision des autorités nationales avant d'être autorisé à fournir ses services de certification, mais aussi toute autre mesure ayant le même effet;

(11) considérant que les régimes volontaires d'accréditation visant à assurer un meilleur service fourni peuvent constituer pour les prestataires de service de certification le cadre propice à l'amélioration de leurs services afin d'atteindre le degré de confiance, de sécurité et de qualité exigés par l'évolution du marché; qu'il est nécessaire que de tels régimes incitent à mettre au point des règles de bonne pratique entre prestataires de service de certification; qu'il y a lieu que ces derniers restent libres de souscrire à ces régimes d'accréditation et d'en bénéficier;

(12) considérant qu'il convient de prévoir la possibilité que les services de certification soient fournis soit par une entité publique, soit par une personne morale ou physique, à condition qu'elle ait été établie conformément au droit national; qu'il convient que les États membres n'interdisent pas aux prestataires de service de certification d'opérer en dehors des régimes d'accréditation volontaires; qu'il y a lieu de veiller à ce que les régimes d'accréditation ne limitent pas la concurrence dans le secteur des services de certification;

(13) considérant que les Étas membres peuvent décider de la façon dont ils assurent le contrôle du respect des dispositions prévues par la présente directive; que celle-ci n'exclut pas la mise en place de systèmes de contrôle faisant intervenir le secteur privé; que la présente directive n'oblige pas les prestataires de service de certification à demander à être contrôlés dans le cadre de tout régime d'accréditation applicable;

(14) considérant qu'il est important de trouver un équilibre entre les besoins des particuliers et ceux des entreprises;

(15) considérant que l'annexe III couvre les exigences relatives aux dispositifs sécurisés de création de signature pour garantir les fonctionnalités des signatures électroniques avancées; qu'elle ne couvre pas l'intégralité du cadre d'utilisation de ces dispositifs; que, pour le bon fonctionnement du marché intérieur, il est nécessaire que la Commission et les États membres agissent rapidement pour permettre la désignation des organismes chargés d'évaluer la conformité des dispositifs sécurisés de création de signature avec l'annexe III; que les besoins du marché exigent que l'évaluation de conformité soit effectuée en temps opportun et de manière efficace;

(16) considérant que la présente directive favorise l'utilisation et la reconnaissance juridique des signatures électroniques dans la Communauté; qu'un cadre réglementaire n'est pas nécessaire pour les signatures électroniques utilisées exclusivement à l'intérieur de systèmes fermés; qu'il y a lieu, néanmoins, de reconnaître juridiquement les signatures électroniques répondant aux exigences énoncées dans la présente directive et utilisées au sein de groupes fermés d'utilisateurs; qu'il est nécessaire que la liberté des parties à convenir entre elles des modalités et conditions dans lesquelles elles acceptent les données signées électroniquement soit respectée dans les limites autorisées par le droit national;

(17) considérant que la présente directive ne vise pas à harmoniser les règles nationales concernant le droit des contrats, en particulier la formation et l'exécution des contrats, ou d'autres formalités de nature non contractuelle concernant les signatures; que, pour cette raison, il est nécessaire que les dispositions concernant les effets juridiques des signatures électroniques ne portent pas atteinte aux obligations d'ordre formel instituées par le droit national pour la conclusion de contrats ni aux règles déterminant le lieu où un contrat est conclu;

(18) considérant que le stockage et la copie de données afférentes à la création d'une signature risquent de compromettre la validité juridique des signatures électroniques;

(19) considérant que les signatures électroniques seront utilisées dans le secteur public au sein des administrations nationales et communautaires et dans les communications entre lesdites administrations ainsi qu'avec les citoyens et les opérateurs économiques, par exemple dans le cadre des marchés publics, de la fiscalité, de la sécurité sociale, de la santé et du système judiciaire;

(20) considérant que des critères harmonisés relatifs aux effets juridiques des signatures électroniques seront la garantie d'un cadre juridique cohérent dans la Communauté; que les droits nationaux fixent des exigences différentes concernant la validité juridique des signatures manuscrites; que les certificats peuvent être utilisés pour confirmer l'identité d'une personne qui signe électroniquement; que les signatures électroniques avancées basées sur des certificats agréés visent à procurer un plus haut degré de sécurité; que les signatures électroniques avancées qui sont basées sur des certificats agréés et qui sont créées par un dispositif sécurisé de création de signature ne peuvent être considérées comme étant équivalentes, sur un plan juridique, à des signatures manuscrites que si les exigences applicables aux signatures manuscrites ont été respectées;

(21) considérant que, afin de contribuer à l'acceptation générale des méthodes d'authentification électronique, il est nécessaire de veiller à ce que les signatures électroniques puissent avoir force probante en justice dans tous les États membres; qu'il convient que la reconnaissance juridique des signatures électroniques repose sur des critères objectifs et ne soit pas subordonnée à l'autorisation du prestataire de service de certification concerné; que le droit national régit l'utilisation des documents électroniques et des signatures électroniques; que la présente directive n'affecte en rien la capacité d'une juridiction nationale de statuer sur la conformité aux exigences de la présente directive ni les règles nationales relatives à la libre appréciation judiciaire des preuves;

(22) considérant que les prestataires de service de certification fournissant des services de certification au public sont soumis à la législation nationale en matière de responsabilité;

(23) considérant que le développement du commerce électronique international rend nécessaires des accords internationaux impliquant des pays tiers;

(24) considérant que, pour accroître la confiance des utilisateurs dans les communications et le commerce électroniques, il est nécessaire que les prestataires de service de certification respectent la législation sur la protection des données et qu'ils respectent la vie privée;

(25) considérant qu'il convient que les dispositions relatives à l'utilisation de pseudonymes dans des certificats n'empêchent pas les États membres de réclamer l'identification des personnes conformément au droit communautaire ou national;

(26) considérant que, pour l'application de la présente directive, il y a lieu que la Commission soit assistée d'un comité de gestion;

(27) considérant qu'il y a lieu que la Commission procède, deux ans après sa mise en oeuvre, à un réexamen de la présente directive, entre autres pour s'assurer que l'évolution des technologies ou des modifications du contexte juridique n'ont pas engendré d'obstacles à la réalisation des objectifs qui y sont énoncés; qu'il convient qu'elle examine les incidences des domaines techniques connexes et présente un rapport au Parlement européen et au Conseil à ce sujet;

(28) considérant que, conformément aux principes de subsidiarité et de proportionnalité visés à l'article 5 du traité, l'objectif consistant à instituer un cadre juridique harmonisé pour la fourniture de signatures électroniques et de services connexes ne peut pas être réalisé de manière suffisante par les États membres et peut donc être mieux réalisé par la Communauté, que la présente directive n'excède pas ce qui est nécessaire pour atteindre cet objectif,

ONT ARRÊTÉ LA PRÉSENTE DIRECTIVE:

Article premier

Champ d'application

L'objectif de la présente directive est de faciliter l'utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique. Elle institue un cadre juridique pour les signatures électroniques et certains services de certification afin de garantir le bon fonctionnement du marché intérieur.

Elle ne couvre pas les aspects liés à la conclusion et à la validité des contrats ou d'autres obligations légales lorsque des exigences d'ordre formel sont prescrites par la législation nationale ou communautaire; elle ne porte pas non plus atteinte aux règles et limites régissant l'utilisation de documents, qui figurent dans la législation nationale ou communautaire.

Article 2

Définitions

Aux fins de la présente directive, on entend par:

1) "signature électronique", une donnée sous forme électronique, qui est jointe ou liée logiquement à d'autres données électroniques et qui sert de méthode d'authentification;

2) "signature électronique avancée", une signature électronique qui satisfait aux exigences suivantes:

a) être liée uniquement au signataire;

b) permettre d'identifier le signataire;

c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif

et

d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable;

3) "signataire", toute personne qui détient un dispositif de création de signature et qui agit soit pour son propre compte, soit pour celui d'une entité ou personne physique ou morale qu'elle représente;

4) "données afférentes à la création de signature", des données uniques, telles que des codes ou des clés cryptographiques privées, que le signataire utilise pour créer une signature électronique;

5) "dispositif de création de signature", un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la création de signature;

6) "dispositif sécurisé de création de signature", un dispositif de création de signature qui satisfait aux exigences prévues à l'annexe III;

7) "données afférentes à la vérification de signature", des données, telles que des codes ou des clés cryptographiques publiques, qui sont utilisées pour vérifier la signature électronique;

8) "dispositif de vérification de signature", un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la vérification de signature;

9) "certificat", une attestation électronique qui lie des données afférentes à la vérification de signature à une personne et confirme l'identité de cette personne;

10) "certificat qualifié", un certificat qui satisfait aux exigences visées à l'annexe I et qui est fourni par un prestataire de service de certification satisfaisant aux exigences visées à l'annexe II;

11) "prestataire de service de certification", toute entité ou personne physique ou morale qui délivre des certificats ou fournit d'autres services liés aux signatures électroniques;

12) "produit de signature électronique", tout produit matériel ou logiciel ou élément spécifique de ce produit destiné à être utilisé par un prestataire de service de certification pour la fourniture de services de signature électronique ou destiné à être utilisé pour la création ou la vérification de signatures électroniques;

13) "accréditation volontaire", toute autorisation indiquant les droits et obligations spécifiques à la fourniture de services de certification, accordée, sur demande du prestataire de service de certification concerné, par l'organisme public ou privé chargé d'élaborer ces droits et obligations et d'en contrôler le respect, lorsque le prestataire de service de certification n'est pas habilité à exercer les droits découlant de l'autorisation aussi longtemps qu'il n'a pas obtenu la décision de cet organisme.

Article 3

Accès au marché

1. Les États membres ne soumettent la fourniture des services de certification à aucune autorisation préalable.

2. Sans préjudice des dispositions du paragraphe 1, les États membres peuvent instaurer ou maintenir des régimes volontaires d'accréditation visant à améliorer le niveau du service de certification fourni. Tous les critères relatifs à ces régimes doivent être objectifs, transparents, proportionnés et non discriminatoires. Les États membres ne peuvent limiter le nombre de prestataires accrédités de service de certification pour des motifs relevant du champ d'application de la présente directive.

3. Chaque État membre veille à instaurer un système adéquat permettant de contrôler les prestataires de service de certification établis sur son territoire et délivrant des certificats agréés au public.

4. La conformité des dispositifs sécurisés de création de signature aux conditions posées à l'annexe III est déterminée par les organismes compétents, publics ou privés, désignés par les États membres. La Commission, suivant la procédure visée à l'article 9, énonce les critères auxquels les États membres doivent se référer pour déterminer si un organisme peut être désigné.

La conformité aux exigences de l'annexe III qui a été établie par les organismes visés au premier alinéa est reconnue par l'ensemble des États membres.

5. Conformément à la procédure visée à l'article 9, la Commission peut attribuer, et publier au Journal officiel des Communautés européennes, des numéros de référence de normes généralement admises pour des produits de signature électronique. Lorsqu'un produit de signature électronique est conforme à ces normes, les États membres présument qu'il satisfait aux exigences visées à l'annexe II, point f), et à l'annexe III.

6. Les États membres et la Commission oeuvrent ensemble pour promouvoir la mise au point et l'utilisation de dispositifs de vérification de signature, à la lumière des recommandations formulées, pour les vérifications sécurisées de signature, à l'annexe IV et dans l'intérêt du consommateur.

7. Les États membres peuvent soumettre l'usage des signatures électroniques dans le secteur public à des exigences supplémentaires éventuelles. Ces exigences doivent être objectives, transparentes, proportionnées et non discriminatoires et ne s'appliquer qu'aux caractéristiques spécifiques de l'application concernée. Ces exigences ne doivent pas constituer un obstacle aux services transfrontaliers pour les citoyens.

Article 4

Principes du marché intérieur

1. Chaque État membre applique les dispositions nationales, qu'il adopte conformément à la présente directive, aux prestataires de service de certification établis sur son territoire et aux services qu'ils fournissent. Les États membres ne peuvent imposer de restriction à la fourniture de services de certification provenant d'un autre État membre dans les domaines couverts par la présente directive.

2. Les États membres veillent à ce que les produits de signature électronique qui sont conformes à la présente directive puissent circuler librement dans le marché intérieur.

Article 5

Effets juridiques des signatures électroniques

1. Les États membres veillent à ce que les signatures électroniques avancées basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature:

a) répondent aux exigences légales d'une signature à l'égard de données électroniques de la même manière qu'une signature manuscrite répond à ces exigences à l'égard de données manuscrites ou imprimées sur papier

et

b) soient recevables comme preuves en justice.

2. Les États membres veillent à ce que l'efficacité juridique et la recevabilité comme preuve en justice ne soient pas refusées à une signature électronique au seul motif:

- que la signature se présente sous forme électronique

ou

- qu'elle ne repose pas sur un certificat qualifié

ou

- qu'elle ne repose pas sur un certificat qualifié délivré par un prestataire accrédité de service de certification

ou

- qu'elle n'est pas créée par un dispositif sécurisé de création de signature.

Article 6

Responsabilité

1. Les États membres veillent au moins à ce qu'un prestataire de service de certification qui délivre à l'intention du public un certificat présenté comme agréé ou qui garantit au public un tel certificat soit responsable du préjudice causé à toute entité ou personne physique ou morale qui se fie raisonnablement à ce certificat pour ce qui est de:

a) l'exactitude de toutes les informations contenues dans le certificat qualifié à la date où il a été délivré;

b) l'assurance que, au moment de la délivrance du certificat, le signataire identifié dans le certificat qualifié détenait les données afférentes à la création de signature correspondant aux données afférentes à la vérification de signature fournies ou identifiées dans le certificat;

c) l'assurance que les données afférentes à la création de signature et celles afférentes à la vérification de signature puissent être utilisées de façon complémentaire, dans le cas où le prestataire de service de certification génère ces deux types de données,

sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence.

2. Les États membres veillent au moins à ce qu'un prestataire de service de certification qui a délivré à l'intention du public un certificat présenté comme agréé soit responsable du préjudice causé à une entité ou personne physique ou morale qui se prévaut raisonnablement du certificat, pour avoir omis de faire enregistrer la révocation du certificat, sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence.

3. Les États membres veillent à ce qu'un prestataire de service de certification puisse indiquer, dans un certificat qualifié, les limites fixées à son utilisation, à condition que ces limites soient discernables par des tiers. Le prestataire de service de certification ne doit pas être tenu responsable du préjudice résultant de l'usage abusif d'un certificat qualifié qui dépasse les limites fixées à son utilisation.

4. Les États membres veillent à ce qu'un prestataire de service de certification puisse indiquer, dans un certificat qualifié, la valeur limite des transactions pour lesquelles le certificat peut être utilisé, à condition que cette limite soit discernable par des tiers.

5. Les dispositions des paragraphes 1 à 4 s'appliquent sans préjudice de la directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs(7).

Article 7

Aspects internationaux

1. Les États membres veillent à ce que les certificats délivrés à titre de certificats agréés à l'intention du public par un prestataire de service de certification établi dans un pays tiers soient reconnus équivalents, sur le plan juridique, aux certificats délivrés par un prestataire de service de certification établi dans la Communauté:

a) si le prestataire de service de certification remplit les conditions visées dans la présente directive et a été accrédité dans le cadre d'un régime volontaire d'accréditation établi dans un État membre

ou

b) si un prestataire de service de certification établi dans la Communauté, qui satisfait aux exigences visées dans la présente directive, garantit le certificat

ou

c) si le certificat ou le prestataire de service de certification est reconnu en application d'un accord bilatéral ou multilatéral entre la Communauté et des pays tiers ou des organisations internationales.

2. Afin de faciliter les services de certification internationaux avec des pays tiers et la reconnaissance juridique des signatures électroniques avancées émanant de pays tiers, la Commission fait, le cas échéant, des propositions visant à la mise en oeuvre effective de normes et d'accords internationaux applicables aux services de certification. En particulier et si besoin est, elle soumet des propositions au Conseil concernant des mandats appropriés de négociation d'accords bilatéraux et multilatéraux avec des pays tiers et des organisations internationales. Le Conseil statue à la majorité qualifiée.

3. Lorsque la Commission est informée de l'existence de difficultés rencontrées par des entreprises communautaires pour obtenir l'accès au marché de pays tiers, elle peut, au besoin, soumettre au Conseil des propositions en vue d'obtenir le mandat nécessaire pour négocier des droits comparables pour les entreprises communautaires dans ces pays tiers. Le Conseil statué à la majorité qualifiée.

Les mesures prises au titre du présent paragraphe ne portent pas atteinte aux obligations de la Communauté et des États membres qui découlent d'accords internationaux pertinents.

Article 8

Protection des données

1. Les États membres veillent à ce que les prestataires de service de certification et les organismes nationaux responsables de l'accréditation ou du contrôle satisfassent aux exigences prévues par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(8).

2. Les États membres veillent à ce qu'un prestataire de service de certification qui délivre des certificats à l'intention du public ne puisse recueillir des données personnelles que directement auprès de la personne concernée ou avec le consentement explicite de celle-ci et uniquement dans la mesure où cela est nécessaire à la délivrance et à la conservation du certificat. Les données ne peuvent être recueillies ni traitées à d'autres fins sans le consentement explicite de la personne intéressée.

3. Sans préjudice des effets juridiques donnés aux pseudonymes par la législation nationale, les États membres ne peuvent empêcher le prestataire de service de certification d'indiquer dans le certificat un pseudonyme au lieu du nom du signataire.

Article 9

Comité

1. Le "Comité sur les signatures électroniques" (ci-après dénommé "comité") est constitué. Il est composé de représentants des États membres et présidé par le représentant de la Commission.

2. La Commission est assistée par le comité.

3. Le représentant de la Commission soumet au comité un projet des mesures à prendre. Le comité émet son avis sur ce projet, dans un délai que le président peut fixer en fonction de l'urgence de la question en cause. L'avis est émis à la majorité prévue à l'article 205, paragraphe 2, du traité pour l'adoption des décisions que le Conseil est appelé à prendre sur proposition de la Commission. Lors des votes au sein du comité, les voix des représentants des États membres sont affectées de la pondération définie à l'article précité. Le président ne prend pas part au vote.

4. La Commission arrête des mesures qui sont immédiatement applicables. Toutefois, si elles ne sont pas conformes à l'avis émis par le comité, ces mesures sont aussitôt communiquées par la Commission au Conseil. Dans ce cas:

- la Commission diffère l'application des mesures décidées par elle de trois mois à compter de la date de la communication,

- le Conseil, statuant à la majorité qualifiée, peut prendre une décision différente dans le délai prévu au premier tiret.

Article 10

Tâches du comité

Le comité clarifie les exigences visées dans les annexes de la présente directive, les critères visés à l'article 3, paragraphe 4, et les normes généralement reconnues pour les produits de signature électronique établies et publiées en application de l'article 3, paragraphe 5, conformément à la procédure visée à l'article 9.

Article 11

Notification

1. Les États membres communiquent à la Commission et aux autres États membres:

a) les informations sur les régimes volontaires d'accréditation au niveau national, ainsi que toute exigence supplémentaire au titre de l'article 3, paragraphe 7;

b) les nom et adresse des organismes nationaux responsables de l'accréditation et du contrôle, ainsi que des organismes visés à l'article 3, paragraphe 4

et

c) les nom et adresse de tous les prestataires de service de certification nationaux accrédités.

2. Toute information fournie en vertu du paragraphe 1 et les changements concernant celle-ci sont communiqués par les États membres dans les meilleurs délais.

Article 12

Examen

1. La Commission procède à l'examen de la mise en oeuvre de la présente directive et en rend compte au Parlement européen et au Conseil pour le ...(9) au plus tard.

2. Cet examen doit permettre, entre autres, de déterminer s'il convient de modifier le champ d'application de la présente directive pour tenir compte de l'évolution des technologies, du marché et du contexte juridique. Le compte rendu d'examen doit notamment comporter une évaluation, fondée sur l'expérience acquise, des aspects relatifs à l'harmonisation. Le compte rendu est accompagné, le cas échéant, de propositions législatives.

Article 13

Mise en oeuvre

1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive avant le ...(10). Ils en informent immédiatement la Commission.

Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont adoptées par les États membres.

2. Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu'ils adoptent dans le domaine régi par la présente directive.

Article 14

Entrée en vigueur

La présente directive entre en vigueur le jour de sa publication au Journal officiel des Communautés européennes.

Article 15

Destinataires

Les États membres sont destinataires de la présente directive.

Fait à ...

Par le Parlement européen

Le président

Par le Conseil

Le président

(1) JO C 325 du 23.10.1998, p. 5.

(2) JO C 40 du 15.2.1999, p. 29.

(3) JO C 93 du 6.4.1999, p. 33.

(4) Avis du Parlement européen du 13 janvier 1999 (JO C 104 du 14.4.1999, p. 49), position commune du Conseil du 28 juin 1999 et décision du Parlement européen du ... (non encore parue au Journal officiel).

(5) JO L 367 du 31.12.1994, p. 1. Règlement modifié par le règlement (CE) n° 837/95 (JO L 90 du 21.4.1995, p. 1).

(6) JO L 367 du 31.12.1994, p. 8. Décision modifiée en dernier lieu par la décision 1999/193/PESC (JO L 73 du 19.3.1999, p. 1).

(7) JO L 95 du 21.4.1993, p. 29.

(8) JO L 281 du 23.11.1995, p. 31.

(9) Trois ans et six mois après le jour de son entrée en vigueur.

(10) Au plus tard dix-huit mois après la date d'entrée en vigueur de la présente directive.

ANNEXE I

Exigences concernant les certificats agréés

Tout certificat qualifié doit comporter:

a) une mention indiquant que le certificat est délivré à titre de certificat qualifié:

b) l'identification du prestataire de service de certification, ainsi que le pays dans lequel il est établi;

c) le nom du signataire ou un pseudonyme qui est identifié comme tel;

d) la possibilité d'inclure, le cas échéant, une qualité spécifique du signataire, en fonction de l'usage auquel le certificat est destiné;

e) des données afférentes à la vérification de signature qui correspondent aux données pour la création de signature sous le contrôle du signataire;

f) l'indication du début et de la fin de la période de validité du certificat;

g) le code d'identité du certificat;

h) la signature électronique avancée du prestataire de service de certification qui délivre le certificat;

i) les limites à l'utilisation du certificat, le cas échéant

et

j) les limites à la valeur des transactions pour lesquelles le certificat peut être utilisé, le cas échéant.

ANNEXE II

Exigences concernant les prestataires de service de certification délivrant des certificats agréés

Les prestataires de service de certification doivent:

a) faire la preuve qu'ils sont suffisamment fiables pour fournir des services de certification;

b) assurer le fonctionnement d'un service d'annuaire rapide et sûr et d'un service de révocation sûr et immédiat;

c) veiller à ce que la date et l'heure d'émission et de révocation d'un certificat puissent être déterminées avec précision;

d) vérifier par des moyens appropriés et conformes au droit national, l'identité et le cas échéant, les qualités spécifiques de la personne à laquelle un certificat qualifié est délivré;

e) employer du personnel ayant les connaissances spécifiques, l'expérience et les qualifications nécessaires à la fourniture des services et, en particulier, des compétences au niveau de la gestion, des connaissances spécialisées en technologie des signatures électroniques et une bonne pratique des procédures de sécurité appropriées; ils doivent également appliquer des procédures et méthodes administratives et de gestion qui soient adaptées et conformes à des normes reconnues;

f) utiliser des systèmes et des produits fiables qui sont protégés contre les modifications et qui assurent la sécurité technique et cryptographique des fonctions qu'ils assument;

g) prendre des mesures contre la contrefaçon des certificats et, dans les cas où le prestataire de service de certification génère des données afférentes à la création de signature, garantir la confidentialité au cours du processus de génération de ces données;

h) disposer des ressources financières suffisantes pour fonctionner conformément aux exigences prévues par la présente directive, en particulier pour endosser la responsabilité de dommages, en contractant, par exemple, une assurance appropriée;

i) enregistrer toutes les informations pertinentes concernant un certificat qualifié pendant le délai utile, en particulier pour pouvoir fournir une preuve de la certification en justice. Ces enregistrements peuvent être effectués par des moyens électroniques;

j) ne pas stocker ni copier les données afférentes à la création de signature de la personne à laquelle le prestataire de service de certification a fourni des services de gestion de clés;

k) avant d'établir une relation contractuelle avec une personne demandant un certificat à l'appui de sa signature électronique, informer cette personne par un moyen de communication durable des modalités et conditions précises d'utilisation des certificats, y compris des limites imposées à leur utilisation, de l'existence d'un régime volontaire d'accréditation et des procédures de réclamation et de règlement des litiges. Cette information, qui peut être transmise par voie électronique, doit être faite par écrit et dans une langue aisément compréhensible. Des éléments pertinents de cette information doivent également être mis à la disposition, sur demande, de tiers qui se prévalent du certificat;

l) utiliser des systèmes fiables pour stocker les certificats sous une forme vérifiable, de sorte que:

- seules les personnes autorisées puissent introduire et modifier des données,

- l'information puisse être contrôlée quant à son authenticité,

- les certificats ne soient disponibles au public pour des recherches que dans les cas où le titulaire du certificat a donné son consentement

et

- toute modification technique mettant en péril ces exigences de sécurité soit apparente pour l'opérateur.

ANNEXE III

Exigences pour les dispositifs sécurisés de création de signature électronique

1. Les dispositifs sécurisés de création de signature doivent au moins garantir, par les moyens techniques et procédures appropriés, que:

a) les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu'une seule fois et que leur confidentialité soit raisonnablement assurée;

b) l'on puisse avoir l'assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles;

c) les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d'autres.

2. Les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer ni empêcher que ces données soient soumises au signataire avant le processus de signature.

ANNEXE IV

Recommandations pour la vérification sécurisée de la signature

Durant le processus de vérification de la signature, il convient de veiller, avec une marge de sécurité suffisante, à ce que:

a) les données utilisées pour vérifier la signature correspondent aux données affichées à l'intention du vérificateur;

b) la signature soit vérifiée de manière sûre et que le résultat de cette vérification soit correctement affiché;

c) le vérificateur puisse, si nécessaire, déterminer de manière sûre le contenu des données signées;

d) l'authenticité et la validité du certificat requis lors de la vérification de la signature soient vérifiées de manière sûre;

e) le résultat de la vérification ainsi que l'identité du signataire soient correctement affichés;

f) l'utilisation d'un pseudonyme soit clairement indiquée

et

g) tout changement ayant une influence sur la sécurité puisse être détecté.

EXPOSÉ DES MOTIFS DU CONSEIL

I. INTRODUCTION

1. La Commission a présenté le 16 juin 1998 une proposition de directive du Parlement européen et du Conseil sur un cadre commun pour les signatures électroniques.

2. Le Parlement européen a rendu son avis en première lecture le 13 janvier 1999, tandis que le Comité économique et social et le Comité des régions ont rendu le leur respectivement le 3 décembre 1998 et le 14 janvier 1999.

3. Le 28 juin 1999, le Conseil a arrêté sa position commune conformément à l'article 251 du traité.

II. OBJECTIF

La présente proposition vise à assurer le bon fonctionnement du marché intérieur dans le domaine des signatures électroniques par l'institution d'un cadre juridique harmonisé.

Ce cadre, qui consiste en un ensemble de critères devant servir de base à la reconnaissance juridique des signatures électroniques, facilitera l'utilisation de ces signatures et permettra ainsi aux consommateurs et aux entreprises en Europe de profiter pleinement des possibilités offertes par les communications électroniques.

III. ANALYSE DE LA POSITION COMMUNE

A. OBSERVATIONS GÉNÉRALES

Bien que le Conseil ait fait siennes l'approche et les finalités proposées par la Commission et soutenues par le Parlement, il a estimé nécessaire, en élaborant sa position commune, d'apporter un certain nombre de changements sur le fond et sur le plan rédactionnel au texte de la proposition de directive.

En procédant à ces changements, le Conseil a été notamment animé par les préoccupations suivantes:

- clarifier et faciliter la lecture des dispositions de la nouvelle directive,

- assurer davantage de sécurité dans les communications électroniques,

- prendre mieux en compte les diverses technologies et services permettant d'authentifier les données transmises par la voie électronique,

- tenir davantage compte de la diversité des situations nationales.

B. OBSERVATIONS SPÉCIFIQUES

1. Principaux changements apportés à la proposition de la Commission

a) Distinction entre les signatures électroniques avancées et les autres signatures électroniques

Suivant l'approche choisie par le Conseil, la signature électronique avancée est une signature offrant un haut niveau de sécurité qui se voit reconnaître à ce titre une validité équivalente à celle d'une signature manuscrite (voir article 2, point 2, et article 5, paragraphe 1).

Une telle signature doit en effet, d'une part, reposer sur un certificat agréé établi et délivré dans le respect d'un certain nombre d'exigences (voir les exigences reprises à l'annexe I, concernant le certificat agréé, et celles reprises à l'annexe II, concernant le prestataire de service), d'autre part, être créée par un dispositif sécurisé de création de signature électronique (voir les exigences reprises à l'annexe III).

Les autres signatures électroniques doivent, quant à elles, à tout le moins bénéficier du principe de la non-discrimination et ne peuvent donc pas être considérées comme dépourvues d'effet juridique pour le seul motif qu'elles se présentent sous forme électronique ou qu'elles ne répondent pas aux exigences prévues pour les signatures électroniques avancées (voir article 2, point 1, et article 5, paragraphe 2).

b) Mesures additionnelles destinées à améliorer le niveau du service de certification fourni par les prestataires de ce service

La position commune, tout en consacrant le principe de l'interdiction de toute autorisation préalable à la fourniture de services de certification, soutient, d'une part, la mise en place au niveau national de régimes volontaires d'accréditation destinés à améliorer le niveau de ces services et, d'autre part, fait obligation aux États membres d'instaurer un système adéquat de contrôle des prestataires de services délivrant des certificats agréés au public (voir article 3, paragraphe 2 et 3).

Par ailleurs, la position commune étend la responsabilité des prestataires de service pour ce qui est de la validité du contenu des certificats agréés qu'ils délivrent, afin d'augmenter la confiance des utilisateurs de ces certificats (voir article 6). Cette responsabilité couvre, notamment, la révocation des certificats (voir article 6, paragraphe 2).

c) Comité assistant la Commission

Le Conseil a jugé souhaitable de retenir pour ce comité une procédure réglementaire de type II b) en raison de l'importance des tâches qui lui sont confiées (voir articles 9 et 10).

Ce comité aura en effet pour tâches:

- de clarifier les exigences visées dans les annexes de la directive,

- d'énoncer les critères de désignation des organismes nationaux chargés de vérifer la conformité à la directive des dispositifs sécurisés de création de signature utilisés pour les signatures avancées (voir article 3, paragraphe 4),

- de déterminer les normes généralement reconnues pour les produits de signatures électroniques, dont le respect conférera une présomption de conformité de ces produits aux exigences de la directive (voir article 3, paragraphe 5),

d) Recommandations concernant les dispositifs de vérification de signature

La position commune formule un certain nombre de recommandations visant à rendre aussi sûr que possible le processus de vérification de la signature électronique avancée et invite les États membres et la Commission à oeuvrer ensemble pour promouvoir, à partir de ces recommandations, la mise au point et l'utilisation de dispositifs de signature sûrs (voir article 3, paragraphe 6, et annexe IV).

2. Position du Conseil vis-à-vis des amendements du Parlement européen

a) Amendements repris dans la position commune dans la totalité ou en partie

Le Conseil a repris textuellement les amendements 3, 11, 12, 14, 18, 20, 31, 32, 33 et 34 et, dans le principe, les amendements 2, 13, 21, 22 et 25.

Le Conseil a repris en partie les amendements 4, 9 et 17 en s'alignant à cet égard sur la position de la Commission.

b) Amendements non repris dans la position commune

En ne reprenant pas les amendements 1, 6, 7, 10, 15, 23, 24, 26, 28 et 29, le Conseil a suivi l'avis négatif de la Commission.

En ne reprenant pas les amendements 5, 16, 27 et 30, le Conseil s'est basé sur les considérations suivantes:

- amendement 5, concernant l'accès plus aisé des citoyens de l'Union européenne aux services administratifs d'un État membre autre que celui dans lequel ils résident (nouveau considérant):

le Conseil a estimé que l'article 3, paragraphe 7, qui stipule que les États membres en réglementant l'usage des signatures électroniques dans le secteur public ne pouvaient pas créer des obstacles aux services transfrontaliers pour les citoyens, tenait compte des préoccupations du Parlement européen dans cette matière,

- amendement 16, concernant la reconnaissance des régimes d'accréditation gérés par des organismes non gouvernementaux (article 3, paragraphe 2):

le Conseil a estimé que les préoccupations du Parlement européen sont prises en compte dans la définition de l'accréditation volontaire insérée à l'article 2, point 13,

- amendement 27, relatif à la transmission aux pouvoirs publics des données concernant l'identité des personnes utilisant un pseudonyme (article 8, paragraphe 4):

le Conseil a considéré que la proposition de n'autoriser cette transmission que dans les cas d'une enquête pénale ou d'un recours en justice était par trop restrictive et pourrait, notamment, comporter le risque d'encourager l'usage illégal des communications électroniques,

- amendement 30, visant à se référer aux organismes nationaux "reconnus", en matière de notification des organismes responsables de l'accréditation et du contrôle (article 11):

le Conseil a été d'avis que l'expression "organismes reconnus", qui ne fait l'objet d'aucune définition ni d'aucune mention dans le reste de la directive, pourrait donner lieu à des problèmes d'interprétation.