La signature numérique
Aspects juridiques
Directive européenne sur la signature numérique
La directive européenne du 13 décembre 1999 prévoit qu'un document signé électroniquement peut faire preuve lors d'une audience au tribunal.On définit la signature électronique comme :
une donnée sous forme
électronique, qui est jointe ou liée logiquement
à d'autres données électroniques et
qui sert de méthode d'authentification
Cependant, un tel document n'atteint pas la valeur d'une signature
manuscrite. Pour avoir équivalence, il faut mettre en oeuvre
une signature
électronique avancée. L'équivalence
avec la signature manuscrite est aquise dès lors que trois
conditions sont remplies :- La mise en oeuvre d'une signature électronique avancée. Celle-ci doit :
- être liée uniquement au signataire
- permettre d'identifier le signataire
- être créée par des moyens que le signataire puisse garder sous son contrôle exclusif
- être liée aux données auxquelles elle se rapporte, et que toute modification puisse être détectée.
- L'utilisation d'un dispositif sécurisé de création électronique, c'est à dire :
- Les clés utilisées sont uniques et confidentielles,
- Les clés ne peuvent être retrouvées à partir de la signature. La signature est non falsifiable,
- L'utilisation des clés est protégeable par mot de passe,
- Les données à signer sont non modifiables.
- L'utilisation d'un certificat.
- La loi n° 2000-30 du 13 mars 2000 qui adapte le droit de la preuve aux technologies de l'information.
- La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. On retiendra l'article 33 qui précise les résponsabilités des organismes de certification.
- La loi n°2004-801 du 6 août 2004
- Le décret n° 2001-272 du 30 mars 2001
- Le décret n° 2002-535 du 18 avril 2002
- l'arrêté du 26 juillet 2004
Aspects juridiques relatifs à la cryptographie
En France, et en vertu de l'article 30-I de la loi 2004-575 du 21 juin 2004, l'utilisation des moyens de cryptologie est libre. En revanche, la fourniture, l'importation et l'exportation sont réglementées. Il faut savoir que l'importation comprend le téléchargement de logiciels.Il n'est donc pas forcément légal d'utiliser un logiciel de cryptologie s'il n'est pas autorisé à l'importation.
Le tableau ci dessous résume la réglementation en matière d'utilisation, de fourniture et d'importation de logiciels de cryptologie.
Utilisation | Fourniture | Importation | |
Longueur de clé <= 40 bits | Libre | Déclaration | Libre |
40 bits < Longeur de clé <= 128 bits | Libre | Déclaration | Libre |
Longueur de clé > 128 bits | Libre | Autorisation | Autorisation |
Ainsi, vous êtes libre de télécharger et d'utiliser un logiciel de cryptologie utilisant des clés dont la longueur ne dépasse pas 128 bits. En revanche, si vous souhaitez fournir un tel logiciel, vous êtes soumis à une déclaration préalable auprès de la DCSSI .
Si vous souhaitez télécharger puis utiliser un logiciel de cryptologie utilisant des clés dont la longueur dépasse 128 bits, vous devez vous assurer que ce logiciel est autorisé par la DCSSI. Par exemple, les logiciels GnuPG (similaire à PGP) et OpenSSL entrent dans ce cas. Ils sont autorisés à l'importation, ainsi qu'à la fourniture générale. Vous avez donc le droit de redistribuer ces logiciels libres comme bon vous semble.