Loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification

CHAPITRE I. DISPOSITION GENERALE

Article 1er.

La présente loi règle une matière visée à l'article 78 de la Constitution.

CHAPITRE II. DEFINITIONS ET CHAMP D'APPLICATION DE LA LOI

SECTION 1. DEFINITIONS

Art. 2.

La présente loi transpose les dispositions de la directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques.

Pour l'application de la présente loi et de ses arrêtés d'exécution, on entend par :

1° « signature électronique » : une donnée sous forme électronique jointe ou liée logiquement à d'autres données électroniques et servant de méthode d'authentification;

2° « signature électronique avancée » : une donnée électronique, jointe ou liée logiquement à d'autres données électroniques, servant de méthode d'authentification et satisfaisant aux exigences suivantes :

a) être liée uniquement au signataire;

b) permettre l'identification du signataire;

c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif;

d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectée;

3° « certificat » : une attestation électronique qui lie des données afférentes à la vérification de signature à une personne physique ou morale et confirme l'identité de cette personne;

4° « certificat qualifié » : un certificat qui satisfait aux exigences visées à l'annexe I de la présente loi et qui est fourni par un prestataire de service de certification satisfaisant aux exigences visées à l'annexe II de la présente loi;

5° « titulaire de certificat » : une personne physique ou morale à laquelle un prestataire de service de certification a délivré un certificat;

6° « données afférentes à la création de signature » : des données uniques, telles que des codes ou des clés cryptographiques privées, que le signataire utilise pour créer une signature électronique avancée;

7° « dispositif sécurisé de création de signature » : un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la création de signature qui satisfait aux exigences de l'annexe III de la présente loi;

8° « données afférentes à la vérification de signature » : des données, telles que des codes ou des clés cryptographiques publiques, qui sont utilisées pour vérifier une signature électronique avancée;

9° « dispositif de vérification de signature » : un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la vérification de signature;

10° « prestataire de service de certification » : toute personne physique ou morale qui délivre et gère des certificats ou fournit d'autres services liés aux signatures électroniques;

11° « produit de signature électronique » : tout produit matériel ou logiciel, ou élément spécifique de ce produit, destiné à être utilisé par un prestataire de service de certification pour la fourniture de services de signature électronique ou pour la création ou la vérification de signatures électroniques;

12° « Administration » : l'administration du ministère des Affaires économiques qui est chargée des tâches relatives à l'accréditation et au contrôle des prestataires de service de certification délivrant des certificats qualifiés et établis en Belgique;

13° « entité » : organisme qui démontre sa compétence sur base d'un certificat délivré par le système belge d'accréditation conformément à la loi du 20 juillet 1990 concernant l'accréditation des organismes de certification et de contrôle, ainsi que des laboratoires d'essais, ou par un organisme équivalent établi dans l'Espace économique européen.

SECTION 2. CHAMP D'APPLICATION

Art. 3.

La présente loi fixe certaines règles relatives au cadre juridique pour les s ignatures électroniques et définit le régime juridique applicable aux opérations effectuées par les prestataires de service de certification ainsi que les règles à respecter par ces derniers et les titulaires de certificats sans préjudice des dispositions légales concernant les règles de représentations des personnes morales.

La présente loi instaure également un régime d'accréditation volontaire.

CHAPITRE III. PRINCIPES GENERAUX

Art. 4.

§ 1er. A défaut de dispositions légales contraires, nul ne peut être contraint de poser un acte juridique par voie électronique.

§ 2. Nul prestataire de service de certification ne peut être contraint de demander une autorisation préalable pour exercer ses activités.

Néanmoins, les prestataires de service de certification délivrant des certificats qualifiés établis en Belgique doivent communiquer les informations suivantes à l'Administration, soit dans le mois suivant la publication de la présente loi, soit avant le début de leurs activités :

  • leur nom;
  • l'adresse géographique où ils sont établis;
  • les coordonnées permettant de les contacter rapidement, y compris leur adresse de courrier électronique;
  • le cas échéant, leur titre professionnel et leurs références et leurs numéros d'identification (registre de commerce, T.V.A.);
  • la preuve qu'une assurance a été souscrite en vue de couvrir leurs obligations visées à l'article 14.

L'Administration leur délivre un récépissé dans les cinq jours ouvrables suivant la réception de leur communication.

§ 3. Le Roi peut, par arrêté délibéré en Conseil des Ministres, soumettre l'usage des signatures électroniques dans le secteur public à des exigences supplémentaires éventuelles. Ces exigences doivent être objectives, transparentes, proportionnées et non discriminatoires et ne s'appliquer qu'aux caractéristiques spécifiques de l'application concernée. Ces exigences ne peuve nt pas constituer un obstacle aux services transfrontaliers pour les citoyens.

§ 4. Sans préjudice des articles 1323 et suivants du Code civil, une signature électronique avancée réalisée sur la base d'un certificat qualifié et conçue au moyen d'un dispositif sécurisé de création de signature électronique, est assimilée à une signature manuscrite, qu'elle soit réalisée par une personne physique ou morale.

§ 5. Une signature électronique ne peut être privée de son efficacité juridique et ne peut être refusée comme preuve en justice au seul motif :

  • que la signature se présente sous forme électronique, ou
  • qu'elle ne repose pas sur un certificat qualifié, ou
  • qu'elle ne repose pas sur un certificat qualifié délivré par un prestataire accrédité de service de certification, ou
  • qu'elle n'est pas créée par un dispositif sécurisé de création de signature.

Art. 5.

§ 1er. Sans préjudice de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, un prestataire de service de certification qui délivre des certificats à l'intention du public ne peut recueillir des données personnelles que directement auprès de la personne concernée ou avec le consentement explicite de celle-ci et uniquement dans la mesure où cela est nécessaire à la délivrance et à la conservation du certificat. Les données ne peuvent être recueillies ni traitées à d'autres fins sans le consentement explicite de la personne intéressée.

§ 2. Lorsque le titulaire du certificat utilise un pseudonyme et lorsque les nécessités de l'instruction l'exigent, le prestataire de service de certification ayant délivré le certificat est tenu de communiquer toute donnée relative à l'identité du titulaire dans les circonstances et selon les conditions prévues par les articles 90ter à 90decies du Code d'instruction criminelle.

CHAPITRE IV. DES PRODUITS DE SIGNATURE ELECTRONIQUE

Art. 6.

Lorsqu'un produit de signature électronique est conforme à des normes dont les numéros de référence sont publiés au Journal officiel des Communautés européennes conformément à la procédure visée par la directive 99/93/CE du Parlement et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques, ce produit est présumé conforme aux exigences visées à l'annexe II point f), et à l'annexe III de la présente loi.

Art. 7.

§ 1er. Les exigences relatives aux dispositifs sécurisés de création de signature électronique sont reprises à l'annexe III de la présente loi.

§ 2. La conformité des dispositifs sécurisés de création de signature électronique par rapport aux exigences visées à l'annexe III de la présente loi est attestée par des organismes compétents désignés par l'Administration et dont la liste est communiquée à la Commission européenne.

§ 3. Le Roi détermine les conditions auxquelles doivent répondre les organismes visés au paragraphe précèdent.

§ 4. La conformité établie par un organisme désigné par un autre Etat membre de l'Espace économique européen est reconnue en Belgique.

CHAPITRE V. DES PRESTATAIRES DE SERVICE DE CERTIFICATION DELIVRANT DES CERTIFICATS QUALIFIES

SECTION 1. DES CERTIFICATS QUALIFIES

SOUS-SECTION 1. DES MISSIONS

Art. 8.

§ 1er. Préalablement à la délivrance d'un certificat, le prestataire de service de certification vérifie la complémentarité des données afférentes à la création et à la vérification de signature.

§ 2. Après avoir vérifié son identité et, le cas échéant, ses qualités spécifiques, le prestataire de service de certification délivre un ou plusieurs certificats à toute personne qui en fait la demande.

§ 3. En ce qui concerne les personnes morales, le prestataire de services de certification tient un registre contenant le nom et la qualité de la personne physique qui représente la personne morale et qui fait usage de la signature liée au certificat, de telle manière qu'à chaque utilisation de cette signature, on puisse établir l'identité de la personne physique.

Art. 9.

Le prestataire de service de certification fournit un exemplaire du certificat au candidat titulaire.

Art. 10.

Le prestataire de service de certification conserve un annuaire électronique comprenant les certificats qu'il délivre et le moment de leur expiration.

SOUS-SECTION 2. EXIGENCES RELATIVES AUX CERTIFICATS QUALIFIES

Art. 11.

§ 1er. Les certificats qualifiés doivent satisfaire aux exigences visées à l'annexe I de la présente loi.

§ 2. Les prestataires de service de certification qui délivrent des certificats qualifiés doivent satisfaire aux exigences visées à l'annexe II de la présente loi.

SOUS-SECTION 3. DE LA REVOCATION DES CERTIFICATS QUALIFIES

Art. 12.

§ 1er. A la demande du titulaire du certificat, préalablement identifié, le prestataire de service de certification révoque immédiatement le certificat.

§ 2. Le prestataire de service de certification révoque également un certificat lorsque :

1° il existe des raisons sérieuses pour admettre que le certificat a été délivré sur base d'informations erronées ou falsifiées, que les informations contenues dans le certificat ne sont plus conformes à la réalité ou que la confidentialité des données afférentes à la création de signature a été violée;

2° les tribunaux ont ordonné les mesures prévues à l'article 20, § 4, b);

3° le prestataire de service de certification arrête ses activités sans qu'il n'y ait reprise de celles-ci par un autre prestataire de service de certification garantissant un niveau de qualité et de sécurité équivalent;

4° le prestataire de service de certification est informé du décès de la personne physique ou de la dissolution de la personne morale qui en est le titulaire.

Le prestataire de service de certification informe le titulaire de certif icat, sauf en cas de décès, de la révocation et motive sa décision. Un mois avant l'expiration d'un certificat, le prestataire de service de certification informe son titulaire de celle-ci.

§ 3. La révocation d'un certificat est définitive.

Art. 13.

§ 1er. Le prestataire de service de certification prend les mesures nécessaires afin de répondre à tout moment et sans délai à une demande de révocation.

§ 2. Immédiatement après la décision de révocation, le prestataire de service de certification inscrit la mention de la révocation du certificat dans l'annuaire électronique visé à l'article 10.

La révocation est opposable aux tiers à partir de cette inscription.

SSOUS-SECTION 4. DE LA RESPONSABILITE DES PRESTATAIRES DE SERVICE DE CERTIFICATION DELIVRANT DES CERTIFICATS QUALIFIES

Art. 14. § 1er. Un prestataire de service de certification qui délivre à l'intention du public un certificat présenté comme qualifié ou qui garantit au public un tel certificat est responsable du préjudice causé à tout organisme ou personne physique ou morale qui, en bon père de famille, se fie raisonnablement à ce certificat pour ce qui est de:

a) l'exactitude de toutes les informations contenues dans le certificat qualifié à la date où il a été délivré et la présence, dans ce certificat, de toutes les données prescrites pour un certificat qualifié;

b) l'assurance que, au moment de la délivrance du certificat, le signataire identifié dans le certificat qualifié détenait les données afférentes à la création de signature correspondant aux données afférentes à la vérification de signature fournies ou identifiées dans le certificat;

c) l'assurance que les données afférentes à la création de signature et celles afférentes à la vérification de signature puissent être utilisées de façon complémentaire, dans le cas où le prestataire de service de certification génère ces deux types de données;

sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence.

§ 2. Un prestataire de service de certification qui a délivré à l'intention du public un certificat présenté comme qualifié est responsable du préjudice causé à un organisme ou à une personne physique ou morale qui se prévaut raisonnablement du certificat, pour avoir omis de faire enregistrer la révocation du certificat, sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence.

§ 3. Un prestataire de service de certification peut indiquer, dans un certificat qualifié, les limites fixées à son utilisation, à condition que ces limites soient discernables par des tiers. Le prestataire de service de certification ne doit pas être tenu responsable du préjudice résultant de l'usage d'un certificat qualifié qui dépasse les limites fixées à son utilisation.

§ 4. Un prestataire de service de certification peut indiquer, dans un certificat qualifié, la valeur maximale des transactions pour lesquelles le certificat peut être utilisé, à condition que cette valeur soit discernable par des tiers. Le prestataire de service de certification n'est pas responsable des dommages qui résultent du dépassement de cette valeur maximale.

SOUS-SECTION 5. DE L'ARRET DES ACTIVITES DES PRESTATAIRES DE SERVICE DE CERTIFICATION DELIVRANT DES CERTIFICATS QUALIFIES

Art. 15. § 1er. Le prestataire de service de certification qui délivre des certificats qualifiés informe l'Administration dans un délai raisonnable de son intention de mettre fin à ses activités de prestataire de service de certification qualifiée ainsi que de toute action qui pourrait conduire à la cessation de ses activités. Dans ce cas, il doit s'assurer de la reprise de celles-ci par un autre prestataire de service de certification garantissant un même niveau de qualité et de sécurité, ou à défaut, révoque les certificats deux mois après en avoir averti les titulaires. Dans ce cas, le prestataire de service de certification prend les mesures nécessaires pour satisfaire à l'obligation prévue à l'Annexe II, i).

§ 2. Le prestataire de service de certification qui arrête ses activités pour des raisons indépendantes de sa volonté ou en cas de faillite en informe immédiatement l'Administration. Il procède, le cas échéant, à la révocation des certificats et prend les mesures nécessaires pour satisfaire à l'obligation prévue à l'Annexe II, i).

SOUS-SECTION 6. CERTIFICATS DELIVRES A TITRE DE CERTIFICATS QUALIFIES PAR DES PRESTATAIRES DE SERVICE DE CERTIFICATION ETRANGERS

Art. 16. § 1er. Un certificat qualifié délivré à l'intention du public par un prestataire de service de certification qui est établi dans un Etat membre de l'Espace économique européen est assimilé aux certificats qualifiés délivrés par un prestataire de service de certification établi en Belgique.

§ 2. Les certificats délivrés à titre de certificats qualifiés à l'intention du public par un prestataire de service de certification établi dans un pays tiers sont reconnus équivalents, sur le plan juridique, aux certificats délivrés par un prestataire de service de certification établi en Belgique :

a) si le prestataire de service de certification remplit les conditions visées par sa réglementation nationale transposant la directive 99/93/CE du Parlement et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques et a été accrédité dans le cadre d'un régime volontaire d'accréditation établi dans un Etat membre de l'Espace économique européen;

ou

b) si un prestataire de service de certification établi dans la Communauté européenne, qui satisfait aux exigences visées par la réglementation nationale transposant la directive 99/93/CE du Parlement et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques, garantit le certificat;

ou

c) si le certificat ou le prestataire de service de certification est reconnu en application d'un accord bilatéral ou multilatéral entre la Communauté européenne et des pays tiers ou des organisations internationales.

SECTION 2. DES PRESTATAIRES DE SERVICE DE CERTIFICATION ACCREDITES

Art. 17. § 1er. Un prestataire de service de certification qui répond aux exigences de l'annexe II, délivrant des certificats qualifiés qui répondent aux exigences de l'annexe I et qui utilise des dispositifs de création répondant aux exigences de l'annexe III, peut demander une accréditation à l'Administration.

L'accréditation prévue par la présente loi se base sur le résultat d'une évaluation, par une entité visée à l'article 2, 13°, de la conformité aux exigences des annexes I, II et III, et le cas échéant, à celles liées à d'autres services et produits délivrés par les prestataires de service de certification.

§ 2. Le Roi précise les conditions visées au § 1er et fixe :

1° la procédure de délivrance, de suspension et de retrait de l'accréditation;

2° les redevances dues au « Fonds pour l'accréditation » pour la délivrance, la gestion et la surveillance de l'accréditation;

3° les délais d'examen de la demande;

4° les modalités du contrôle des prestataires de service de certification accrédités.

§ 3. Le choix de recourir à un prestataire de services de certification accrédité est libre.

Art. 18. L'Administration :

1° octroie et retire les accréditations. Cette mission s'exerce selon des règles, par des services et des personnes distincts de ceux visés à l'article 20, § 2;

2° coordonne l'application cohérente et transparente des principes et procédures d'accréditation en application de la présente loi;

3° supervise les procédures d'audit des entités visées à l'article 2, 13°) ainsi que les activités de ces entités dans le cadre des procédures d'accréditation;

4° communique à la Commission et aux Etats de l'Espace économique européen :

a) les informations sur le régime volontaire d'accréditation instauré en application de la présente loi;

b) les nom et adresse de tous les prestataires de service de certification accrédités dans ce cadre;

5° exécute l'ensemble des notifications visées à l'article 11 de la directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques.

CHAPITRE VI. DES TITULAIRES DE CERTIFICAT

Art. 19. § 1er. Dès le moment de la création des données afférentes à la création de signature, le titulaire du certificat est seul responsable de la confidentialité de ces données.

§ 2. En cas de doute quant au maintien de la confidentialité des données afférentes à la création de signature ou de perte de conformité à la réalité des informations contenues dans le certificat, le titulaire est tenu de faire révoquer le certificat.

§ 3. Lorsqu'un certificat est arrivé à échéance ou a été révoqué, le titulaire de celui-ci ne peut, après l'expiration du certificat ou après révocation, utiliser les données afférentes à la création de signature correspondantes pour signer ou faire certifier ces données par un autre prestataire de service de certification.

CHAPITRE VII. DU CONTROLE ET DES SANCTIONS

Art. 20. § 1er. Le Roi détermine, par arrêté délibéré en Conseil des Ministres, les règles relatives au contrôle des prestataires de service de certification ainsi que les moyens de droit dont l'Administration peut se prévaloir.

§ 2. L'Administration est chargée du contrôle des prestataires de service de certification qui délivrent des certificats qualifiés au public. Sous certaines conditions, fixées par le Roi, l'Administration est habilitée à demander aux prestataires de service de certification, toutes les informations nécessaires à la vérification de l'observation, par ceux-ci, de la présente loi.

§ 3. Lorsque l'Administration constate qu'un prestataire de service de certification, établi en Belgique, qui délivre des certificats qualifiés, n'observe pas les prescriptions de la présente loi, elle le met en défaut et fixe un délai raisonnable endéans lequel le prestataire de service de certification doit avoir pris les mesures nécessaires afin d'agir à nouveau en conformité avec la loi.

§ 4. Si après l'expiration de ce délai, les mesures nécessaires n'ont pas été prises, l'Administration saisira les tribunaux afin :

a) de défendre au prestataire de service de certification de continuer à délivrer des certificats qualifiés et

b) d'enjoindre au prestataire de service de certification d'informer immédiatement les titulaires des certificats qualifiés, délivrés par lui, de leur non-conformité aux prescriptions de la présente loi.

§ 5. Si, après l'écoulement du délai précité, le prestataire de service de certification accrédité en vertu de l'article 17 n'a pas régularisé sa situation, l'Administration procède au retrait d'office de son accréditation.

Le prestataire de service de certification est tenu de mentionner dans son annuaire électronique le retrait de l'accréditation et d'en informer sans délai les titulaires de certificats.

Art. 21. § 1er. Sera puni d'une peine de huit jours à trois mois de prison et d'une amende de mille à dix mille francs, ou d'une de ces peines seulement, quiconque aura usurpé la qualité de prestataire de service de certification accrédité.

§ 2. En condamnant du chef d'infraction visé au paragraphe 1er, la juridiction compétente peut ordonner l'insertion du jugement, intégralement ou par extraits, dans un ou plusieurs journaux, dans les conditions qu'elle détermine, aux frais du condamné.

Promulguons la présente loi, ordonnons qu'elle soit revêtue du sceau de l'Etat et publiée par le Moniteur belge.

Donné à Bruxelles, le 9 juillet 2001.