31.7.2010
|
FR
|
Journal officiel de l'Union européenne
|
L 199/30
|
DÉCISION DE LA COMMISSION
du 28 juillet 2010
modifiant les dispositions de la décision 2009/767/CE relatives à l’établissement, la mise à jour et la publication de listes de confiance de prestataires de services de certification contrôlés ou accrédités par les États membres
[notifiée sous le numéro C(2010) 5063]
(Texte présentant de l'intérêt pour l'EEE)
(2010/425/UE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu la directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur (1), et notamment son article 8, paragraphe 3,
considérant ce qui suit:
(1)
|
L’utilisation transfrontalière de signatures électroniques avancées, fondées sur un certificat qualifié, avec ou sans dispositif sécurisé de création de signature, a été facilitée par la décision 2009/767/CE de la Commission du 16 octobre 2009 établissant des mesures destinées à faciliter l’exécution de procédures par voie électronique par l’intermédiaire des «guichets uniques», conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (2), qui oblige les États membres à rendre disponibles les informations nécessaires pour valider de telles signatures électroniques. Les États membres doivent notamment faire figurer sur leurs «listes de confiance» des informations sur les prestataires de services de certification délivrant au public des certificats qualifiés conformément à la directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques (3) et supervisés ou accrédités par eux ainsi que sur les services qu’ils proposent.
|
(2)
|
Des essais pratiques avec l’Institut européen des normes de télécommunications (ETSI) ont été réalisés pour permettre aux États membres de vérifier la conformité de leurs listes de confiance avec les spécifications figurant à l’annexe de la décision 2009/767/CE. Compte tenu des résultats de ces essais, il est nécessaire de modifier les spécifications techniques figurant à l’annexe de la décision 2009/767/CE afin de garantir le fonctionnement et l’interopérabilité des listes de confiance.
|
(3)
|
Ces essais ont également confirmé que les États membres devaient rendre accessibles au public non seulement les versions directement lisibles de leurs listes de confiance, conformément à la décision 2009/767/CE, mais aussi les versions destinées à un traitement électronique. L’utilisation manuelle de la version directement lisible des listes de confiance peut être relativement complexe et longue lorsqu’il existe un grand nombre de prestataires de services de certification dans un État membre. La publication des listes de confiance dans leur version destinée à un traitement électronique facilitera leur utilisation en permettant leur traitement automatisé et renforcera ainsi leur utilisation dans les services électroniques publics.
|
(4)
|
Afin de faciliter l’accès à leurs listes de confiance, les États membres devraient communiquer à la Commission les informations relatives à leur emplacement et à leur protection. La Commission devrait mettre ces informations à la disposition des États membres d’une manière sécurisée.
|
(5)
|
Il convient de prendre en considération les résultats des essais pratiques menés sur les listes de confiance des États membres afin de permettre l’utilisation automatisée des listes et de faciliter leur accès.
|
(6)
|
Il y a donc lieu de modifier la décision 2009/767/CE en conséquence.
|
(7)
|
Afin de permettre aux États membres d’apporter les modifications techniques requises à leurs listes de confiance actuelles, il convient que la présente décision s’applique à compter du 1er décembre 2010.
|
(8)
|
Les mesures prévues à la présente décision sont conformes à l’avis du comité de la directive sur les services,
|
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Modifications de la décision 2009/767/CE
La décision 2009/767/CE est modifiée comme suit:
1)
|
L’article 2 est modifié comme suit:
a)
|
le paragraphe 2 est remplacé par le texte suivant:
«2. Les États membres établissent et publient une version directement lisible et une version destinée à un traitement électronique de la liste de confiance conformément aux spécifications figurant en annexe.»;
|
b)
|
le paragraphe 2 bis suivant est inséré:
«2 bis. Les États membre signent électroniquement la version destinée à un traitement électronique de leur liste de confiance et publient, au minimum, la version directement lisible de la liste de confiance par l’intermédiaire d’un canal sécurisé afin de garantir son authenticité et son intégrité.»;
|
c)
|
le paragraphe 3 est remplacé par le texte suivant:
«3. Les États membres communiquent à la Commission les informations suivantes:
a)
|
le nom de l’organe ou des organes responsables de l’établissement, de la mise à jour et de la publication des versions directement lisibles et des versions destinées à un traitement électronique de la liste de confiance;
|
b)
|
l’emplacement où la version directement lisible et celle destinée à un traitement automatique de la liste de confiance sont publiées;
|
c)
|
le certificat de clé publique utilisé pour mettre en œuvre le canal sécurisé par lequel la version directement lisible de la liste de confiance est publiée ou, si celle-ci est signée électroniquement, le certificat de clé publique utilisé pour la signer;
|
d)
|
le certificat de clé publique utilisé pour signer électroniquement la version destinée à un traitement électronique de la liste de confiance;
|
e)
|
toute modification apportée aux informations visées aux points a) à d).»;
|
|
d)
|
le paragraphe 4 suivant est ajouté:
«4. La Commission met à la disposition de tous les États membres, par l’intermédiaire d’un canal sécurisé vers un serveur informatique authentifié, les informations visées au paragraphe 3, telles qu’elles ont été communiquées par les États membres, sous une forme directement lisible et sous une forme destinée à un traitement électronique.»
|
|
2)
|
L’annexe est modifiée conformément à l’annexe de la présente décision.
|
Article 2
Application
La présente décision s’applique à compter du 1er décembre 2010.
Article 3
Destinataires
Les États membres sont destinataires de la présente décision.
Fait à Bruxelles, le 28 juillet 2010.
Par la Commission
Michel BARNIER
Membre de la Commission
(1) JO L 376 du 27.12.2006, p. 36.
(2) JO L 274 du 20.10.2009, p. 36.
(3) JO L 13 du 19.1.2000, p. 12.
ANNEXE
L’annexe de la décision 2009/767/CE est modifiée comme suit:
1)
|
le chapitre I est modifié comme suit:
a)
|
les première et deuxième phrases du deuxième paragraphe sont remplacées par le texte suivant:
«Les présentes spécifications sont fondées sur les spécifications et les prescriptions d’ETSI TS 102 231 v.3.1.2. Lorsque aucune prescription n’est prévue dans les présentes spécifications, les prescriptions d’ETSI TS 102 231 v.3.1.2 DOIVENT être appliquées dans leur intégralité.»;
|
b)
|
le deuxième paragraphe de la section «TSL tag (clause 5.2.1)» est supprimé;
|
c)
|
le paragraphe suivant le titre de la section «TSL sequence number (clause 5.3.2)» est remplacé par le texte suivant:
«Ce champ est OBLIGATOIRE. Il DOIT spécifier le numéro de séquence de la TSL. Cette valeur entière, commençant à “1” pour la première publication de la TSL, DOIT être incrémentée à chaque nouvelle publication de la TSL. Elle NE DOIT PAS être réinitialisée à “1” lorsque le “TSL version identifier” ci-dessus est incrémenté.»;
|
d)
|
le premier paragraphe suivant le titre de la section «TSL type (clause 5.3.3)» est remplacé par le texte suivant:
«Ce champ est OBLIGATOIRE. Il indique le type de TSL. Sa valeur DOIT être http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic (Generic).»;
|
e)
|
le troisième paragraphe suivant le titre de la section «TSL type (clause 5.3.3)» est remplacé par le texte suivant:
«URI: (Generic) http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic»;
|
f)
|
la deuxième phrase du deuxième paragraphe suivant le titre de la section «Scheme operator name (clause 5.3.4)» est remplacée par le texte suivant:
«Il revient à chaque État membre de désigner l’exploitant du système de l’implémentation TSL de la liste de confiance de l’État membre.»;
|
g)
|
le quatrième paragraphe suivant le titre de la section «Scheme operator name (clause 5.3.4)» est remplacé par le texte suivant:
«L’exploitant nommé du système (clause 5.3.4) est l’entité qui signe la TSL.»;
|
h)
|
le quatrième tiret suivant le titre de la section «Scheme name (clause 5.3.6)» est remplacé par le texte suivant:
«“EN_name_value”= “Supervision/Accreditation Status List of certification services from Certification Service Providers, which are supervised/accredited by the referenced Member State for compliance with the relevant provisions laid down in directive 1999/93/EC and its implementation in the referenced Member State’s laws.”»;
|
i)
|
le premier paragraphe suivant le titre de la section «Service type identifier (clause 5.5.1)» est remplacé par le texte suivant:
«Ce champ est OBLIGATOIRE. Il DOIT spécifier l’identification du type de service conformément au type des spécifications TSL en vigueur (c’est-à-dire “/eSigDir-1999-93-EC-TrustedList/TSLType/generic”).»;
|
j)
|
le cinquième tiret suivant le titre de la section «Service current status (clause 5.5.4)» est remplacé par le texte suivant:
«—
|
Accredité (http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/Svcstatus/accredited);»
|
|
k)
|
le neuvième tiret suivant le titre de la section «Service current status (clause 5.5.4)» est remplacé par le texte suivant:
«— Contrôle du service en cours de suspension: Le service spécifié dans “Service digital identity” (clause 5.5.3) fourni par le CSP identifié dans “TSP name” (clause 5.4.1) est actuellement en cours de suspension, mais est toujours contrôlé, jusqu’à la suspension ou la révocation du contrôle. Au cas où une personne morale différente de celle spécifiée dans “TSP name” a endossé la responsabilité de mener à bien cette phase de suspension, l’identification de cette personne morale nouvelle ou de réserve (CSP de réserve) DOIT être fournie dans “Scheme service definition URI” (clause 5.5.6) et dans l’extension “TakenOverBy” (clause L.3.2) de l’entrée du service»;
|
l)
|
le cinquième paragraphe suivant le titre de la section «Service information extensions (clause 5.5.9)» est remplacé par le texte suivant:
«Dans le contexte d’une implémentation XML, le contenu spécifique de ces informations supplémentaires doit être codé à l’aide des fichiers xsd figurant à l’annexe C d’ETSI TS 102 231.»;
|
m)
|
la section intitulée «Service digital identity (clause 5.6.3)» est remplacée par le texte suivant:
«Service digital identity (clause 5.6.3)
Ce champ est OBLIGATOIRE et DOIT spécifier au moins une représentation de l’identifiant numérique (en l’occurrence, le certificat X.509v3) utilisé dans “TSP Service information – Service digital identity” (clause 5.5.3) avec le format et la signification définis dans ETSI TS 102 231, clause 5.5.3.
Note: pour chaque valeur du certificat X.509v3 utilisée dans la clause 5.5.3 “Sdi” d’un service, il ne doit y avoir qu’une seule entrée de service dans une liste de confiance par valeur “Sti:Sie/additionalServiceInformation”. Les informations “Sdi” (clause 5.6.3) utilisées dans les informations de l’historique du statut du service associées à une entrée de service et les informations “Sdi” (clause 5.5.3) utilisées dans cette entrée du service DOIVENT se rapporter à la même valeur du certificat X.509v3. Lorsqu’un service listé modifie sa “Sdi” (renouvellement du certificat X.509v3 ou des clés du certificat d’une CA/PKC ou d’une CA/QC, par exemple) ou crée une nouvelle “Sdi” pour ce service, même avec des valeurs identiques pour les “Sti”, “Sn” et [“Sie”] associés, l’exploitant du système DOIT créer une entrée relative au service différente des précédentes.»;
|
n)
|
la section intitulée «Signed TSL» est remplacée par le texte suivant:
«Signed TSL
L’implémentation TSL directement lisible de la liste de confiance, établie en vertu des présentes spécifications et en particulier du chapitre IV, DEVRAIT être signée par le “Scheme operator name” (clause 5.3.4) pour que l’authenticité et l’intégrité en soient garanties (1). Le format de la signature DEVRAIT être PAdES part 3 (ETSI TS 102 778-3 (2)) mais PEUT être PAdES part 2 (ETSI TS 102 778-2 (3)) dans le contexte du modèle de confiance spécifique établie au moyen de la publication des certificats utilisés pour signer les listes de confiance.
L’implémentation TSL destinée à un traitement électronique de la liste de confiance, établie en vertu des présentes spécifications, DOIT être signée par le “Scheme operator name” (clause 5.3.4) pour que l’authenticité et l’intégrité en soient garanties. Le format de l’implémentation TSL destinée à un traitement électronique de la liste de confiance, établie en vertu des présentes spécifications, DOIT être le XML et DOIT être conforme aux spécifications définies aux annexes B et C d'ETSI TS 102 231.
Le format de la signature DOIT être XAdES BES ou EPES, tel que défini dans les spécifications ETSI TS 101 903 pour les implémentations XML. Cette implémentation de signature électronique DOIT satisfaire aux exigences prévues à l’annexe B de ETSI TS 102 231 (4). Des exigences générales supplémentaires concernant cette signature figurent dans les sections suivantes.
|
o)
|
le deuxième paragraphe suivant le titre de la section «Scheme identification (clause 5.7.2)» est remplacé par le texte suivant:
«Dans le contexte des présentes spécifications, la référence assignée DOIT inclure “TSL type” (clause 5.3.3), “Scheme name” (clause 5.3.6) et la valeur de l’extension SubjectKeyIdentifier du certificat utilisée par l’exploitant du système pour signer électroniquement la TSL.»;
|
p)
|
le deuxième paragraphe suivant le titre de la section «additionalServiceInformation Extension (clause 5.8.2)» est remplacé par le texte suivant:
«Le déréférencement de l’URI DEVRAIT aboutir à des informations directement lisibles (au moins en EN et potentiellement dans une ou plusieurs langues nationales), considérées comme appropriées et suffisantes pour permettre à une partie utilisatrice de comprendre l’extension et expliquant notamment la signification des URI, en spécifiant les valeurs possibles pour serviceInformation et la signification pour chaque valeur.»;
|
q)
|
la section intitulée «Qualifications Extension (clause L.3.1)» est remplacée par le texte suivant:
«Qualifications Extension (clause L.3.1)
Description: ce champ est OPTIONNEL mais DOIT être présent lorsque son usage est OBLIGATOIRE, par exemple pour les services RootCA/QC ou CA/QC, et lorsque:
les informations fournies dans “Service digital identity” sont insuffisantes pour identifier sans ambiguïté les certificats qualifiés délivrés par ce service,
les informations présentes dans les certificats qualifiés correspondants ne permettent pas l’identification lisible en machine du fait que le QC est oui ou non pris en charge par un SSCD.
Lorsqu’elle est utilisée, cette extension au niveau du service DOIT être utilisée uniquement dans le champ défini dans “Service information extension” (clause 5.5.9) et elle DOIT être conforme aux spécifications de l’annexe L.3.1 de ETSI TS 102 231.»;
|
r)
|
après la section «Qualifications Extension» (clause L3.1), la section «TakenOverBy Extension» (clause L3.2) est insérée:
«TakenOverBy Extension (clause L.3.2)
Description: cette extension est OPTIONNELLE mais DOIT être présente lorsqu’un service précédemment placé sous la responsabilité légale d’un CSP est repris par un autre TSP et vise à indiquer officiellement la responsabilité légale d’un service et à permettre au logiciel de vérification de communiquer à l’utilisateur des informations juridiques. Les informations fournies dans cette extension DOIVENT être compatibles avec l’utilisation de la clause 5.5.6 et conformes aux spécifications de l’annexe L.3.2 d'ETSI TS 102 231.»
|
|
2)
|
Le chapitre II est remplacé par le texte suivant:
«CHAPITRE II
Au moment d’établir leur liste de confiance, les États membres utilisent:
|
les codes langue en minuscules et les codes pays en majuscules;
|
|
les codes langue et pays conformément au tableau ci-dessous.
|
Lorsqu’un alphabet latin est utilisé (avec le code langue correspondant), une transcription en alphabet latin, accompagnée des codes langue correspondants indiqués dans le tableau ci-dessous, est ajoutée.
Nom court
(langue source)
|
Nom court
(anglais)
|
Code pays
|
Code langue
|
Notes
|
Transcription en alphabet latin
|
Belgique/België
|
Belgium
|
BE
|
nl, fr, de
|
|
|
България (5)
|
Bulgaria
|
BG
|
bg
|
|
bg-Latn
|
Česká republika
|
Czech Republic
|
CZ
|
cs
|
|
|
Danmark
|
Denmark
|
DK
|
da
|
|
|
Deutschland
|
Germany
|
DE
|
de
|
|
|
Eesti
|
Estonia
|
EE
|
et
|
|
|
Éire/Ireland
|
Ireland
|
IE
|
ga, en
|
|
|
Ελλάδα (5)
|
Greece
|
EL
|
el
|
Code pays recommandé par l'Union
|
el-Latn
|
España
|
Spain
|
ES
|
es
|
européenne aussi catalan (ca), basque (eu), galicien (gl)
|
|
France
|
France
|
FR
|
fr
|
|
|
Italia
|
Italy
|
IT
|
it
|
|
|
Κύπρος/Kıbrıs (5)
|
Cyprus
|
CY
|
el, tr
|
|
el-Latn
|
Latvija
|
Latvia
|
LV
|
lv
|
|
|
Lietuva
|
Lithuania
|
LT
|
lt
|
|
|
Luxembourg
|
Luxembourg
|
LU
|
fr, de, lb
|
|
|
Magyarország
|
Hungary
|
HU
|
hu
|
|
|
Malta
|
Malta
|
MT
|
mt, en
|
|
|
Nederland
|
Netherlands
|
NL
|
nl
|
|
|
Österreich
|
Austria
|
AT
|
de
|
|
|
Polska
|
Poland
|
PL
|
pl
|
|
|
Portugal
|
Portugal
|
PT
|
pt
|
|
|
România
|
Romania
|
RO
|
ro
|
|
|
Slovenija
|
Slovenia
|
SI
|
sl
|
|
|
Slovensko
|
Slovakia
|
SK
|
sk
|
|
|
Suomi/Finland
|
Finland
|
FI
|
fi, sv
|
|
|
Sverige
|
Sweden
|
SE
|
sv
|
|
|
United Kingdom
|
United Kingdom
|
UK
|
en
|
Code pays recommandé par l'Union
|
|
Ísland
|
Iceland
|
IS
|
is
|
|
|
Liechtenstein
|
Liechtenstein
|
LI
|
de
|
|
|
Norge/Noreg
|
Norway
|
NO
|
no, nb, nn
|
|
|
|
3)
|
Le chapitre III est supprimé.
|
4)
|
Dans le chapitre IV, le tiret suivant est inséré après la phase introductive «Le contenu de la forme HR fondée sur PDF/A de l’implémentation TSL de la liste de confiance DEVRAIT respecter les prescriptions suivantes:»:
«—
|
le titre de la version directement lisible des listes de confiance doit être la concaténation des éléments suivants:
—
|
image optionnelle du drapeau national de l’État membre concerné,
|
—
|
nom court du pays dans la (les) langue(s) source (conformément à la première colonne du tableau du chapitre II),
|
—
|
nom court du pays en anglais (conformément à la deuxième colonne du tableau du chapitre II),
|
—
|
“): ” utilisé comme parenthèse fermante et séparateur,
|
—
|
logo optionnel de l’exploitant du système de l’État membre concerné.»
|
|
|
(1) Dans le cas où l’implémentation TSL directement lisible de la liste de confiance n’est pas signée, son authenticité et son intégrité DOIVENT être garanties par un canal de communication approprié offrant un niveau de sécurité équivalent. Utilisation de TLS (IETF RFC 5246: “The Transport Layer Security (TLS) Protocol Version 1.2”) est recommandée à cette fin et les États membres DOIVENT donner aux utilisateurs de la TSL un accès hors bande à l’empreinte du certificat du canal TLS.
(2) ETSI TS 102 778-3 – Infrastructures et signatures électroniques: profils de signature électronique avancée dans un document PDF; partie 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles.
(3) ETSI TS 102 778-2 – Infrastructures et signatures électroniques: profils de signature électronique avancée dans un document PDF; partie 2: PAdES Basic – Profile based on ISO 32000-1.
(4) Il est obligatoire de protéger l’exploitant de système qui signe le certificat avec la signature en utilisant l’un des moyens spécifiés par ETSI TS 101 903 et le ds:keyInfo devrait contenir la chaîne de certificat pertinente, le cas échéant.»;
(5) Transcription en alphabet latin: България – Bulgaria; Ελλάδα = Elláda; Κύπρος = Kýpros.»