Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques
Journal officiel n° L 013 du 19/01/2000 p. 0012 - 0020
DIRECTIVE 1999/93/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE, vu le traité instituant la Communauté européenne, et notamment son article 47, paragraphe 2, et ses articles 55 et 95, vu la proposition de la Commission(1), vu l'avis du Comité économique et social(2), vu l'avis du Comité des régions(3), statuant conformément à la procédure visée à l'article 251 du traité(4), considérant ce qui suit: (1) le 16 avril 1997, la Commission a présenté au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions une communication sur une initiative européenne dans le domaine du commerce électronique; (2) le 8 octobre 1997, la Commission a présenté au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions une communication intitulée "Assurer la sécurité et la confiance dans la communication électronique - Vers un cadre européen pour les signatures numériques et le chiffrement"; (3) le 1er décembre 1997, le Conseil a invité la Commission à présenter dès que possible une proposition de directive du Parlement européen et du Conseil sur les signatures numériques; (4) les communications et le commerce électroniques nécessitent des "signatures électroniques" et des services connexes permettant d'authentifier les données; toute divergence dans les règles relatives à la reconnaissance juridique des signatures électroniques et à l'accréditation des "prestataires de service de certification" dans les États membres risque de constituer un sérieux obstacle à l'utilisation des communications électroniques et au commerce électronique; par ailleurs, l'établissement d'un cadre communautaire clair concernant les conditions applicables aux signatures électroniques contribuera à renforcer la confiance dans les nouvelles technologies et à en favoriser l'acceptation générale; la diversité des législations des États membres ne saurait entraver la libre circulation des marchandises et des services dans le marché intérieur; (5) il convient de promouvoir l'interopérabilité des produits de signature électronique; conformément à l'article 14 du traité, le marché intérieur comporte un espace dans lequel la libre circulation des marchandises est assurée; des exigences essentielles spécifiques aux produits de signature électronique doivent être respectées afin d'assurer la libre circulation dans le marché intérieur et de susciter la confiance dans les signatures électroniques, sans préjudice du règlement (CE) n° 3381/94 du Conseil du 19 décembre 1994 instituant un régime communautaire de contrôle des exportations de biens à double usage(5) et de la décision 94/942/PESC du Conseil du 19 décembre 1994 relative à l'action commune adoptée par le Conseil, concernant le contrôle des exportations de biens à double usage(6); (6) la présente directive n'harmonise pas la fourniture de services en ce qui concerne la confidentialité de l'information quand ils sont couverts par des dispositions nationales relatives à l'ordre public ou à la sécurité publique; (7) le marché intérieur garantit la libre circulation des personnes et, dès lors, les citoyens et résidents de l'Union européenne ont de plus en plus souvent affaire aux autorités d'États membres autres que celui où ils résident; la disponibilité de communications électroniques pourrait être d'une grande utilité dans ce contexte; (8) eu égard a la rapidité des progrès techniques et à la dimension mondiale d'Internet, il convient d'adopter une approche qui prenne en compte les diverses technologies et services permettant d'authentifier des données par la voie électronique; (9) les signatures électroniques seront utilisées dans des circonstances et des applications très variées, ce qui entraînera l'apparition de toute une série de nouveaux services et produits liés à celles-ci ou les utilisant; il convient que la définition de ces produits et services ne soit pas limitée à la délivrance et à la gestion de certificats, mais couvre également tout autre service et produit utilisant des signatures électroniques ou connexe à celles-ci, tels les services d'enregistrement, les services horodateurs, les services d'annuaires, les services informatiques ou les services de consultation liée aux signatures électroniques; (10) le marché intérieur permet aux prestataires de service de certification de développer leurs activités internationales en vue d'accroître leur compétitivité et d'offrir ainsi aux consommateurs et aux entreprises de nouvelles possibilités d'échanger des informations et de commercer en toute sécurité par voie électronique indépendamment des frontières; afin de favoriser la fourniture à l'échelle communautaire de services de certification sur des réseaux ouverts, il y a lieu que les prestataires de service de certification soient libres d'offrir leurs services sans autorisation préalable; on entend par "autorisation préalable" non seulement toute autorisation à obtenir par le prestataire de service de certification au moyen d'une décision des autorités nationales avant d'être autorisé à fournir ses services de certification, mais aussi toute autre mesure ayant le même effet; (11) les régimes volontaires d'accréditation visant à assurer un meilleur service fourni peuvent constituer pour les prestataires de service de certification le cadre propice à l'amélioration de leurs services afin d'atteindre le degré de confiance, de sécurité et de qualité exigés par l'évolution du marché; il est nécessaire que de tels régimes incitent à mettre au point des règles de bonne pratique entre prestataires de service de certification; il y a lieu que ces derniers restent libres de souscrire à ces régimes d'accréditation et d'en bénéficier; (12) il convient de prévoir la possibilité que les services de certification soient fournis soit par une entité publique, soit par une personne morale ou physique, à condition qu'elle ait été établie conformément au droit national; il convient que les États membres n'interdisent pas aux prestataires de service de certification d'opérer en dehors des régimes d'accréditation volontaires; il y a lieu de veiller à ce que les régimes d'accréditation ne limitent pas la concurrence dans le secteur des services de certification; (13) les États membres peuvent décider de la façon dont ils assurent le contrôle du respect des dispositions prévues par la présente directive; celle-ci n'exclut pas la mise en place de systèmes de contrôle faisant intervenir le secteur privé; la présente directive n'oblige pas les prestataires de services de certification à demander à être contrôlés dans le cadre de tout régime d'accréditation applicable; (14) il est important de trouver un équilibre entre les besoins des particuliers et ceux des entreprises; (15) l'annexe III couvre les exigences relatives aux dispositifs sécurisés de création de signature pour garantir les fonctionnalités des signatures électroniques avancées; elle ne couvre pas l'intégralité du cadre d'utilisation de ces dispositifs; pour le bon fonctionnement du marché intérieur, il est nécessaire que la Commission et les États membres agissent rapidement pour permettre la désignation des organismes chargés d'évaluer la conformité des dispositifs sécurisés de création de signature avec l'annexe III; les besoins du marché exigent que l'évaluation de conformité soit effectuée en temps opportun et de manière efficace; (16) la présente directive favorise l'utilisation et la reconnaissance juridique des signatures électroniques dans la Communauté; un cadre réglementaire n'est pas nécessaire pour les signatures électroniques utilisées exclusivement à l'intérieur de systèmes résultant d'accords volontaires de droit privé entre un nombre défini de participants; il est nécessaire que la liberté des parties de convenir entre elles des modalités et conditions dans lesquelles elles acceptent les données signées électroniquement soit respectée dans les limites autorisées par le droit national; il convient de reconnaître l'efficacité juridique des signatures électroniques utilisées dans de tels systèmes et leur recevabilité comme preuves en justice; (17) la présente directive ne vise pas à harmoniser les règles nationales concernant le droit des contrats, en particulier la formation et l'exécution des contrats, ou d'autres formalités de nature non contractuelle concernant les signatures; pour cette raison, il est nécessaire que les dispositions concernant les effets juridiques des signatures électroniques ne portent pas atteinte aux obligations d'ordre formel instituées par le droit national pour la conclusion de contrats ni aux règles déterminant le lieu où un contrat est conclu; (18) le stockage et la copie de données afférentes à la création d'une signature risquent de compromettre la validité juridique des signatures électroniques; (19) les signatures électroniques seront utilisées dans le secteur public au sein des administrations nationales et communautaires et dans les communications entre lesdites administrations ainsi qu'avec les citoyens et les opérateurs économiques, par exemple dans le cadre des marchés publics, de la fiscalité, de la sécurité sociale, de la santé et du système judiciaire; (20) des critères harmonisés relatifs aux effets juridiques des signatures électroniques seront la garantie d'un cadre juridique cohérent dans la Communauté; les droits nationaux fixent des exigences différentes concernant la validité juridique des signatures manuscrites; les certificats peuvent être utilisés pour confirmer l'identité d'une personne qui signe électroniquement; les signatures électroniques avancées basées sur des certificats qualifiés visent à procurer un plus haut degré de sécurité; les signatures électroniques avancées qui sont basées sur des certificats qualifiés et qui sont créées par un dispositif sécurisé de création de signature ne peuvent être considérées comme étant équivalentes, sur un plan juridique, à des signatures manuscrites que si les exigences applicables aux signatures manuscrites ont été respectées; (21) afin de contribuer à l'acceptation générale des méthodes d'authentification électronique, il est nécessaire de veiller à ce que les signatures électroniques puissent avoir force probante en justice dans tous les États membres; il convient que la reconnaissance juridique des signatures électroniques repose sur des critères objectifs et ne soit pas subordonnée à l'autorisation du prestataire de service de certification concerné; le droit national régit la délimitation des domaines juridiques dans lesquels des documents électroniques et des signatures électroniques peuvent être utilisés; la présente directive n'affecte en rien la capacité d'une juridiction nationale de statuer sur la conformité aux exigences de la présente directive ni les règles nationales relatives à la libre appréciation judiciaire des preuves; (22) les prestataires de service de certification fournissant des services de certification au public sont soumis à la législation nationale en matière de responsabilité; (23) le développement du commerce électronique international rend nécessaires des accords internationaux impliquant des pays tiers; afin de garantir l'interopérabilité globale, il pourrait être bénéfique de conclure avec des pays tiers des accords relatifs à des règles multilatérales en matière de reconnaissance mutuelle des services de certification; (24) pour accroître la confiance des utilisateurs dans les communications et le commerce électroniques, il est nécessaire que les prestataires de service de certification respectent la législation sur la protection des données et qu'ils respectent la vie privée; (25) il convient que les dispositions relatives à l'utilisation de pseudonymes dans des certificats n'empêchent pas les États membres de réclamer l'identification des personnes conformément au droit communautaire ou national; (26) les mesures nécessaires pour la mise en oeuvre de la présente directive sont arrêtées en conformité avec la décision 1999/468/CE du Conseil du 28 juin 1999 fixant les modalités de l'exercice des compétences d'exécution conférées à la Commission(7); (27) il y a lieu que la Commission procède, deux ans après sa mise en oeuvre, à un réexamen de la présente directive, entre autres pour s'assurer que l'évolution des technologies ou des modifications du contexte juridique n'ont pas engendré d'obstacles à la réalisation des objectifs qui y sont énoncés; il convient qu'elle examine les incidences des domaines techniques connexes et présente un rapport au Parlement européen et au Conseil à ce sujet; (28) conformément aux principes de subsidiarité et de proportionnalité visés à l'article 5 du traité, l'objectif consistant à instituer un cadre juridique harmonisé pour la fourniture de signatures électroniques et de services connexes ne peut pas être réalisé de manière suffisante par les États membres et peut donc être mieux réalisé par la Communauté; la présente directive n'excède pas ce qui est nécessaire pour atteindre cet objectif, ONT ARRÊTÉ LA PRÉSENTE DIRECTIVE: Article premier Champ d'application L'objectif de la présente directive est de faciliter l'utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique. Elle institue un cadre juridique pour les signatures électroniques et certains services de certification afin de garantir le bon fonctionnement du marché intérieur. Elle ne couvre pas les aspects liés à la conclusion et à la validité des contrats ou d'autres obligations légales lorsque des exigences d'ordre formel sont prescrites par la législation nationale ou communautaire; elle ne porte pas non plus atteinte aux règles et limites régissant l'utilisation de documents qui figurent dans la législation nationale ou communautaire. Article 2 Définitions Aux fins de la présente directive, on entend par: 1) "signature électronique", une donnée sous forme électronique, qui est jointe ou liée logiquement à d'autres données électroniques et qui sert de méthode d'authentification; 2) "signature électronique avancée" une signature électronique qui satisfait aux exigences suivantes: a) être liée uniquement au signataire; b) permettre d'identifier le signataire; c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable; 3) "signataire", toute personne qui détient un dispositif de création de signature et qui agit soit pour son propre compte, soit pour celui d'une entité ou personne physique ou morale qu'elle représente; 4) "données afférentes à la création de signature", des données uniques, telles que des codes ou des clés cryptographiques privées, que le signataire utilise pour créer une signature électronique; 5) "dispositif de création de signature", un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la création de signature; 6) "dispositif sécurisé de création de signature", un dispositif de création de signature qui satisfait aux exigences prévues à l'annexe III; 7) "données afférentes à la vérification de signature", des données, telles que des codes ou des clés cryptographiques publiques, qui sont utilisées pour vérifier la signature électronique; 8) "dispositif de vérification de signature", un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la vérification de signature; 9) "certificat", une attestation électronique qui lie des données afférentes à la vérification de signature à une personne et confirme l'identité de cette personne; 10) "certificat qualifié", un certificat qui satisfait aux exigences visées à l'annexe I et qui est fourni par un prestataire de service de certification satisfaisant aux exigences visées à l'annexe II; 11) "prestataire de service de certification", toute entité ou personne physique ou morale qui délivre des certificats ou fournit d'autres services liés aux signatures électroniques; 12) "produit de signature électronique", tout produit matériel ou logiciel, ou élément spécifique de ce produit destiné à être utilisé par un prestataire de service de certification pour la fourniture de services de signature électronique ou destiné à être utilisé pour la création ou la vérification de signatures électroniques; 13) "accréditation volontaire", toute autorisation indiquant les droits et obligations spécifiques à la fourniture de services de certification, accordée, sur demande du prestataire de service de certification concerné, par l'organisme public ou privé chargé d'élaborer ces droits et obligations et d'en contrôler le respect, lorsque le prestataire de service de certification n'est pas habilité à exercer les droits découlant de l'autorisation aussi longtemps qu'il n'a pas obtenu la décision de cet organisme. Article 3 Accès au marché 1. Les États membres ne soumettent la fourniture des services de certification à aucune autorisation préalable. 2. Sans préjudice des dispositions du paragraphe 1, les États membres peuvent instaurer ou maintenir des régimes volontaires d'accréditation visant à améliorer le niveau du service de certification fourni. Tous les critères relatifs à ces régimes doivent être objectifs, transparents, proportionnés et non discriminatoires. Les États membres ne peuvent limiter le nombre de prestataires accrédités de service de certification pour des motifs relevant du champ d'application de la présente directive. 3. Chaque État membre veille à instaurer un système adéquat permettant de contrôler les prestataires de service de certification établis sur son territoire et délivrant des certificats qualifiés au public. 4. La conformité des dispositifs sécurisés de création de signature aux conditions posées à l'annexe III est déterminée par les organismes compétents, publics ou privés, désignés par les États membres. La Commission, suivant la procédure visée à l'article 9, énonce les critères auxquels les États membres doivent se référer pour déterminer si un organisme peut être désigné. La conformité aux exigences de l'annexe III qui a été établie par les organismes visés au premier alinéa est reconnue par l'ensemble des États membres. 5. Conformément à la procédure visée à l'article 9, la Commission peut attribuer, et publier au Journal officiel des Communautés européennes des numéros de référence de normes généralement admises pour des produits de signature électronique. Lorsqu'un produit de signature électronique est conforme à ces normes, les États membres présument qu'il satisfait aux exigences visées à l'annexe II, point f), et à l'annexe III. 6. Les États membres et la Commission oeuvrent ensemble pour promouvoir la mise au point et l'utilisation de dispositifs de vérification de signature, à la lumière des recommandations formulées, pour les vérifications sécurisées de signature, à l'annexe IV et dans l'intérêt du consommateur. 7. Les États membres peuvent soumettre l'usage des signatures électroniques dans le secteur public à des exigences supplémentaires éventuelles. Ces exigences doivent être objectives, transparentes, proportionnées et non discriminatoires et ne s'appliquer qu'aux caractéristiques spécifiques de l'application concernée. Ces exigences ne doivent pas constituer un obstacle aux services transfrontaliers pour les citoyens. Article 4 Principes du marché intérieur 1. Chaque État membre applique les dispositions nationales qu'il adopte conformément à la présente directive aux prestataires de service de certification établis sur son territoire et aux services qu'ils fournissent. Les États membres ne peuvent imposer de restriction à la fourniture de services de certification provenant d'un autre État membre dans les domaines couverts par la présente directive. 2. Les États membres veillent à ce que les produits de signature électronique qui sont conformes à la présente directive puissent circuler librement dans le marché intérieur. Article 5 Effets juridiques des signatures électroniques 1. Les États membres veillent à ce que les signatures électroniques avancées basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature: a) répondent aux exigences légales d'une signature à l'égard de données électroniques de la même manière qu'une signature manuscrite répond à ces exigences à l'égard de données manuscrites ou imprimées sur papier et b) soient recevables comme preuves en justice. 2. Les États membres veillent à ce que l'efficacité juridique et la recevabilité comme preuve en justice ne soient pas refusées à une signature électronique au seul motif que: - la signature se présente sous forme électronique ou - qu'elle ne repose pas sur un certificat qualifié ou - qu'elle ne repose pas sur un certificat qualifié délivré par un prestataire accrédité de service de certification ou - qu'elle n'est pas créée par un dispositif sécurisé de création de signature. Article 6 Responsabilité 1. Les États membres veillent au moins à ce qu'un prestataire de service de certification qui délivre à l'intention du public un certificat présenté comme qualifié ou qui garantit au public un tel certificat soit responsable du préjudice causé à toute entité ou personne physique ou morale qui se fie raisonnablement à ce certificat pour ce qui est de: a) l'exactitude de toutes les informations contenues dans le certificat qualifié à la date où il a été délivré et la présence, dans ce certificat, de toutes les données prescrites pour un certificat qualifié; b) l'assurance que, au moment de la délivrance du certificat, le signataire identifié dans le certificat qualifié détenait les données afférentes à la création de signature correspondant aux données afférentes à la vérification de signature fournies ou identifiées dans le certificat; c) l'assurance que les données afférentes à la création de signature et celles afférentes à la vérification de signature puissent être utilisées de façon complémentaire, dans le cas où le prestataire de service de certification génère ces deux types de données, sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence. 2. Les États membres veillent au moins à ce qu'un prestataire de service de certification qui a délivré à l'intention du public un certificat présenté comme qualifié soit responsable du préjudice causé à une entité ou personne physique ou morale qui se prévaut raisonnablement du certificat, pour avoir omis de faire enregistrer la révocation du certificat, sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence. 3. Les États membres veillent à ce qu'un prestataire de service de certification puisse indiquer, dans un certificat qualifié, les limites fixées à son utilisation, à condition que ces limites soient discernables par des tiers. Le prestataire de service de certification ne doit pas être tenu responsable du préjudice résultant de l'usage abusif d'un certificat qualifié qui dépasse les limites fixées à son utilisation. 4. Les États membres veillent à ce qu'un prestataire de service de certification puisse indiquer, dans un certificat qualifié, la valeur limite des transactions pour lesquelles le certificat peut être utilisé, à condition que cette limite soit discernable par des tiers. Le prestataire de service de certification n'est pas responsable des dommages qui résultent du dépassement de cette limite maximale. 5. Les dispositions des paragraphes 1 à 4 s'appliquent sans préjudice de la directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs(8). Article 7 Aspects internationaux 1. Les États membres veillent à ce que les certificats délivrés à titre de certificats qualifiés à l'intention du public par un prestataire de service de certification établi dans un pays tiers soient reconnus équivalents, sur le plan juridique, aux certificats délivrés par un prestataire de service de certification établi dans la Communauté: a) si le prestataire de service de certification remplit les conditions visées dans la présente directive et a été accrédité dans le cadre d'un régime volontaire d'accréditation établi dans un État membre ou b) si un prestataire de service de certification établi dans la Communauté, qui satisfait aux exigences visées dans la présente directive, garantit le certificat ou c) si le certificat ou le prestataire de service de certification est reconnu en application d'un accord bilatéral ou multilatéral entre la Communauté et des pays tiers ou des organisations internationales. 2. Afin de faciliter les services de certification internationaux avec des pays tiers et la reconnaissance juridique des signatures électroniques avancées émanant de pays tiers, la Commission fait, le cas échéant, des propositions visant à la mise en oeuvre effective de normes et d'accords internationaux applicables aux services de certification. En particulier et si besoin est, elle soumet des propositions au Conseil concernant des mandats appropriés de négociation d'accords bilatéraux et multilatéraux avec des pays tiers et des organisations internationales. Le Conseil statue à la majorité qualifiée. 3. Lorsque la Commission est informée de l'existence de difficultés rencontrées par des entreprises communautaires pour obtenir l'accès au marché de pays tiers, elle peut, au besoin, soumettre au Conseil des propositions en vue d'obtenir le mandat nécessaire pour négocier des droits comparables pour les entreprises communautaires dans ces pays tiers. Le Conseil statue à la majorité qualifiée. Les mesures prises au titre du présent paragraphe ne portent pas atteinte aux obligations de la Communauté et des États membres qui découlent d'accords internationaux pertinents. Article 8 Protection des données 1. Les États membres veillent à ce que les prestataires de service de certification et les organismes nationaux responsables de l'accréditation ou du contrôle satisfassent aux exigences prévues par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(9). 2. Les États membres veillent à ce qu'un prestataire de service de certification qui délivre des certificats à l'intention du public ne puisse recueillir des données personnelles que directement auprès de la personne concernée ou avec le consentement explicite de celle-ci et uniquement dans la mesure où cela est nécessaire à la délivrance et à la conservation du certificat. Les données ne peuvent être recueillies ni traitées à d'autres fins sans le consentement explicite de la personne intéressée. 3. Sans préjudice des effets juridiques donnés aux pseudonymes par la législation nationale, les États membres ne peuvent empêcher le prestataire de service de certification d'indiquer dans le certificat un pseudonyme au lieu du nom du signataire. Article 9 Comité 1. La Commission est assistée par le "comité sur les signatures électroniques", ci-après dénommé "comité". 2. Dans le cas où il est fait référence au présent paragraphe, les articles 4 et 7 de la décision 1999/468/CE s'appliquent, dans le respect des dispositions de l'article 8 de celle-ci. La période prévue à l'article 4, paragraphe 3, de la décision 1999/468/CE est fixée à trois mois. 3. Le comité adopte son règlement de procédure. Article 10 Tâches du comité Le comité clarifie les exigences visées dans les annexes de la présente directive, les critères visés à l'article 3, paragraphe 4, et les normes généralement reconnues pour les produits de signature électronique établies et publiées en application de l'article 3, paragraphe 5, conformément à la procédure visée à l'article 9, paragraphe 2. Article 11 Notification 1. Les États membres communiquent à la Commission et aux autres États membres: a) les informations sur les régimes volontaires d'accréditation au niveau national ainsi que toute exigence supplémentaire au titre de l'article 3, paragraphe 7; b) les nom et adresse des organismes nationaux responsables de l'accréditation et du contrôle, ainsi que des organismes visés à l'article 3, paragraphe 4 et c) les nom et adresse de tous les prestataires de service de certification nationaux accrédités. 2. Toute information fournie en vertu du paragraphe 1 et les changements concernant celle-ci sont communiqués par les États membres dans les meilleurs délais. Article 12 Examen 1. La Commission procède à l'examen de la mise en oeuvre de la présente directive et en rend compte au Parlement européen et au Conseil pour le 19 juillet 2003 au plus tard. 2. Cet examen doit permettre, entre autres, de déterminer s'il convient de modifier le champ d'application de la présente directive pour tenir compte de l'évolution des technologies, du marché et du contexte juridique. Le compte rendu d'examen doit notamment comporter une évaluation, fondée sur l'expérience acquise, des aspects relatifs à l'harmonisation. Le compte rendu est accompagné, le cas échéant, de propositions législatives. Article 13 Mise en oeuvre 1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive avant le 19 juillet 2001. Ils en informent immédiatement la Commission. Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont adoptées par les États membres. 2. Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu'ils adoptent dans le domaine régi par la présente directive. Article 14 Entrée en vigueur La présente directive entre en vigueur le jour de sa publication au Journal officiel des Communautés européennes. Article 15 Destinataires Les États membres sont destinataires de la présente directive. Fait à Bruxelles, le 13 décembre 1999. Par le Parlement européen La présidente N. FONTAINE Par le Conseil Le président S. HASSI (1) JO C 325 du 23.10.1998, p. 5. (2) JO C 40 du 15.2.1999, p. 29. (3) JO C 93 du 6.4.1999, p. 33. (4) Avis du Parlement européen du 13 janvier 1999 (JO C 104 du 14.4.1999, p. 49), position commune du Conseil du 28 juin 1999 (JO C 243 du 27.8.1999, p. 33) et décision du Parlement européen du 27 octobre 1999 (non encore publiée au Journal officiel). Décision du Conseil du 30 novembre 1999. (5) JO L 367 du 31.12.1994, p. 1. Règlement modifié par le règlement (CE) n° 837/95 (JO L 90 du 21.4.1995, p. 1). (6) JO L 367 du 31.12.1994, p. 8. Décision modifiée en dernier lieu par la décision 1999/193/PESC (JO L 73 du 19.3.1999, p. 1). (7) JO L 184 du 17.7.1999, p. 23. (8) JO L 95 du 21.4.1993, p. 29. (9) JO L 281 du 23.11.1995, p. 31. ANNEXE I Exigences concernant les certificats qualifiés Tout certificat qualifié doit comporter: a) une mention indiquant que le certificat est délivré à titre de certificat qualifié; b) l'identification du prestataire de service de certification ainsi que le pays dans lequel il est établi; c) le nom du signataire ou un pseudonyme qui est identifié comme tel; d) la possibilité d'inclure, le cas échéant, une qualité spécifique du signataire, en fonction de l'usage auquel le certificat est destiné; e) des données afférentes à la vérification de signature qui correspondent aux données pour la création de signature sous le contrôle du signataire; f) l'indication du début et de la fin de la période de validité du certificat; g) le code d'identité du certificat; h) la signature électronique avancée du prestataire de service de certification qui délivre le certificat; i) les limites à l'utilisation du certificat, le cas échéant et j) les limites à la valeur des transactions pour lesquelles le certificat peut être utilisé, le cas échéant. ANNEXE II Exigences concernant les prestataires de service de certification délivrant des certificats qualifiés Les prestataires de service de certification doivent: a) faire la preuve qu'is sont suffisamment fiables pour fournir des services de certification; b) assurer le fonctionnement d'un service d'annuaire rapide et sûr et d'un service de révocation sûr et immédiat; c) veiller à ce que la date et l'heure d'émission et de révocation d'un certificat puissent être déterminées avec précision; d) vérifier, par des moyens appropriés et conformes au droit national, l'identité et, le cas échéant, les qualités spécifiques de la personne à laquelle un certificat qualifié est délivré; e) employer du personnel ayant les connaissances spécifiques, l'expérience et les qualifications nécessaires à la fourniture des services et, en particulier, des compétences au niveau de la gestion, des connaissances spécialisées en technologie des signatures électroniques et une bonne pratique des procédures de sécurité appropriées; ils dovient également appliquer des procédures et méthodes administratives et de gestion qui soient adaptées et conformes à des normes reconnues; f) utiliser des systèmes et des produits fiables qui sont protégés contre les modifications et qui assurent la sécurité technique et cryptographique des fonctions qu'ils assument; g) prendre des mesures contre la contrefaçon des certificats et, dans les cas où le prestataire de service de certification génère des données afférentes à la création de signature, garantir la confidentialité au cours du processus de génération de ces données; h) disposer des ressources financières suffisantes pour fonctionner conformément aux exigences prévues par la présente directive, en particulier pour endosser la responsabilité de dommages, en contractant, par exemple, une assurance appropriée; i) enregistrer toutes les informations pertinentes concernant un certificat qualifié pendant le délai utile, en particulier pour pouvoir fournir une preuve de la certification en justice. Ces enregistrements peuvent être effectués par des moyens électroniques; j) ne pas stocker ni copier les données afférentes à la création de signature de la personne à laquelle le prestataire de service de certification a fourni des services de gestion de clés; k) avant d'établir une relation contractuelle avec une personne demandant un certificat à l'appui de sa signature électronique, informer cette personne par un moyen de communication durable des modalités et conditions précises d'utilisation des certificats, y compris des limites imposées à leur utilisation, de l'existence d'un régime volontaire d'accréditation et des procédures de réclamation et de règlement des litiges. Cette information, qui peut être transmise par voie électronique, doit être faite par écrit et dans une langue aisément compréhensible. Des éléments pertinents de cette information doivent également être mis à la disposition, sur demande, de tiers qui se prévalent du certificat; l) utiliser des systèmes fiables pour stocker les certificats sous une forme vérifiable de sorte que: - seules les personnes autorisées puissent introduire et modifier des données, - l'information puisse être contrôlée quant à son authenticité, - les certificats ne soient disponibles au public pour des recherches que dans les cas où le titulaire du certificat a donné son consentement et - toute modification technique mettant en péril ces exigences de sécurité soit apparente pour l'opérateur. ANNEXE III Exigences pour les dispositifs sécurisés de création de signature électronique 1. Les dispositifs sécurisés de création de signature doivent au moins garantir, par les moyens techniques et procédures appropriés, que: a) les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu'une seule fois et que leur confidentialité soit raisonnablement assurée; b) l'on puisse avoir l'assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles; c) les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d'autres. 2. Les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer ni empêcher que ces données soient soumises au signataire avant le processus de signature. ANNEXE IV Recommandations pour la vérification sécurisée de la signature Durant le processus de vérification de la signature, il convient de veiller, avec une marge de sécurité suffisante, à ce que: a) les données utilisées pour vérifier la signature correspondent aux données affichées à l'intention du vérificateur; b) la signature soit vérifiée de manière sûre et que le résultat de cette vérification soit correctement affiché; c) le vérificateur puisse, si nécessaire, déterminer de manière sûre le contenu des données signées; d) l'authenticité et la validité du certificat requis lors de la vérification de la signature soient vérifiées de manière sûre; e) le résultat de la vérification ainsi que l'identité du signataire soient correctement affichés; f) l'utilisation d'un pseudonyme soit clairement indiquée et g) tout changement ayant une influence sur la sécurité puisse être détecté.