La signature numérique

Aspects juridiques

Directive européenne sur la signature numérique

La directive européenne du 13 décembre 1999 prévoit qu'un document signé électroniquement peut faire preuve lors d'une audience au tribunal.

On définit la signature électronique comme :

Cependant, un tel document n'atteint pas la valeur d'une signature manuscrite. Pour avoir équivalence, il faut mettre en oeuvre une signature électronique avancée. L'équivalence avec la signature manuscrite est aquise dès lors que trois conditions sont remplies :

• La mise en oeuvre d'une signature électronique avancée. Celle-ci doit :
• être liée uniquement au signataire
• permettre d'identifier le signataire
• être créée par des moyens que le signataire puisse garder sous son contrôle exclusif
• être liée aux données auxquelles elle se rapporte, et que toute modification puisse être détectée.
• L'utilisation d'un dispositif sécurisé de création électronique, c'est à dire :
• Les clés utilisées sont uniques et confidentielles,
• Les clés ne peuvent être retrouvées à partir de la signature. La signature est non falsifiable,
• L'utilisation des clés est protégeable par mot de passe,
• Les données à signer sont non modifiables.
• L'utilisation d'un certificat.

Cette directive à été transposée en droit français en plusieurs étapes :

• La loi n° 2000-30 du 13 mars 2000 qui adapte le droit de la preuve aux technologies de l'information.
• La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. On retiendra l'article 33 qui précise les résponsabilités des organismes de certification.
• La loi n°2004-801 du 6 août 2004 
• Le décret n° 2001-272 du 30 mars 2001
• Le décret n° 2002-535 du 18 avril 2002 
• l'arrêté du 26 juillet 2004

Aspects juridiques relatifs à la cryptographie

En France, et en vertu de l'article 30-I de la loi 2004-575 du 21 juin 2004, l'utilisation des moyens de cryptologie est libre. En revanche, la fourniture, l'importation et l'exportation sont réglementées. Il faut savoir que l'importation comprend le téléchargement de logiciels.

Il n'est donc pas forcément légal d'utiliser un logiciel de cryptologie s'il n'est pas autorisé à l'importation. 

Le tableau ci dessous résume la réglementation en matière d'utilisation, de fourniture et d'importation de logiciels de cryptologie.

	Utilisation	Fourniture	Importation
Longueur de clé <= 40 bits	Libre	Déclaration	Libre
40 bits < Longeur de clé <= 128 bits	Libre	Déclaration	Libre
Longueur de clé > 128 bits	Libre	Autorisation	Autorisation

Ainsi, vous êtes libre de télécharger et d'utiliser un logiciel de cryptologie utilisant des clés dont la longueur ne dépasse pas 128 bits. En revanche, si vous souhaitez fournir un tel logiciel, vous êtes soumis à une déclaration préalable auprès de la DCSSI .

Si vous souhaitez télécharger puis utiliser un logiciel de cryptologie utilisant des clés dont la longueur dépasse 128 bits, vous devez vous assurer que ce logiciel est autorisé par la DCSSI. Par exemple, les logiciels GnuPG (similaire à PGP) et OpenSSL entrent dans ce cas. Ils sont autorisés à l'importation, ainsi qu'à la fourniture générale. Vous avez donc le droit de redistribuer ces logiciels libres comme bon vous semble.

Accueil

• Sujet abordé
• Problématique
• Qu'est ce que la signature numérique ?

Fonctionnement

• Cryptographie asymétrique
• Fonctions de hachage
• Signer un document

Aspect juridique

• Directive européenne sur la signature numériqueAspects juridiques relatifs à la cryptographie

Annexes

• Références bibliographiques
• Glossaire