Règlement grand-ducal du 1er juin 2001 relatif aux signatures électroniques, au paiement électronique et à la création du Comité commerce électronique.

Adapter la taille du texte :

Règlement grand-ducal du 1er juin 2001 relatif aux signatures électroniques, au paiement électronique et à la création du comité «commerce électronique».



Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau;

Vu la loi du 14 août 2000 relative au commerce électronique modifiant le code civil, le nouveau code de procédure civile, le code de commerce, le code pénal et transposant la directive 1999/93 du 13 décembre 1999 relative à un cadre communautaire pour les signatures électroniques, la directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, certaines dispositions de la directive 97/7/CEE du 20 mai 1997 concernant la vente à distance des biens et des services autres que les services financiers et notamment les articles 17, 22, 24, 25, 68 et 71;

Vu les avis de la Chambre de commerce et de la Chambre des métiers;

Notre Conseil d'Etat entendu;

Sur le rapport de Notre Ministre de l'Economie et après délibération du Gouvernement en Conseil;

Arrêtons:

Art. 1er.

Au sens du présent règlement, on entend par:

Données afférentes à la création de signature: des données uniques, telles que des codes ou des clés cryptographiques privées, que le signataire utilise pour créer une signature électronique.
Dispositif de création de signature: un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la création de signature.
Dispositif sécurisé de création de signature: dispositif de création de signature qui satisfait aux exigences prévues à l'article 4 du présent règlement grand-ducal.
Données afférentes à la vérification de signature: des données, telles que des codes ou des clés cryptographiques publiques, qui sont utilisés pour vérifier la signature électronique.
Dispositif de vérification de signature: un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la vérification de signature.
Certificat: une attestation électronique qui lie des données afférentes à la vérification de signature à une personne et confirme l'identité de cette personne.
Certificat qualifié: un certificat qui satisfait aux exigences visées à l'article 2 du présent règlement et qui est fourni par un prestataire de service certification satisfaisant aux exigences de l'article 3 du présent règlement.
Produit de signature électronique: tout produit matériel ou logiciel, ou élément spécifique de ce produit destiné à être utilisé par un prestataire de service de certification pour la fourniture de services de signature électronique ou destiné à être utilisé pour la création ou la vérification de signatures électroniques.
Signature électronique du prestataire de service de certification délivrant des certificats qualifiés, une signature électronique qui satisfait aux exigences suivantes:
- être liée uniquement au signataire;
- permettre d'identifier le signataire;
- être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et
- être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable.
CHAPITRE I - EXIGENCES RELATIVES AU CERTIFICAT QUALIFIE

Art. 2.

(1)

Tout certificat qualifié doit contenir les informations suivantes:

une mention spécifiant que le certificat est délivré à titre de certificat qualifié;
l'identification du prestataire de service de certification, ainsi que le pays dans lequel il est établi;
le nom du signataire ou un pseudonyme qui est identifié comme tel;
les données afférentes à la vérification de signature qui correspondent aux données pour la création de signature sous le contrôle du signataire;
l'indication du début et de la fin de la période de validité du certificat, qui ne peut dépasser 3 ans;
le code d'identité du certificat;
la signature électronique du prestataire de service de certification délivrant des certificats qualifiés tel que prévu à l'Art.1. point 9°.

(2)

Le certificat qualifié contient également, selon les cas, les informations suivantes:

une qualité spécifique du signataire, en fonction de l'usage auquel le certificat est destiné;
l'accréditation du prestataire de service de certification;
les limites à l'utilisation du certificat, ainsi que les limites à la valeur des transactions pour lesquelles le certificat peut être utilisé.

(3)

Le Ministre ayant la normalisation dans ses compétences publie au Mémorial les références des normes ou réglementations techniques généralement admises y compris nationales, relatives au certificat qualifié, avec renvoi au présent règlement.

CHAPITRE II - EXIGENCES RELATIVES AUX PRESTATAIRES DE SERVICE DE CERTIFICATION DELIVRANT DES CERTIFICATS QUALIFIES

Art. 3.

(1)

Un prestataire de service de certification doit:

faire la preuve qu'il est suffisamment fiable pour fournir des services de certification;
assurer le fonctionnement d'un service d'annuaire rapide et sûr et d'un service de révocation sûr et immédiat;
veiller à ce que la date et l'heure d'émission et de révocation d'un certificat puissent être déterminées avec précision;
vérifier, sur présentation d'un document officiel d'identité, l'identité et, le cas échéant, les qualités spécifiques de la personne à laquelle un certificat qualifié est délivré;
avoir recours à du personnel ayant les connaissances spécifiques, l'expérience et les qualifications nécessaires à la fourniture des services et, plus particulièrement, des compétences au niveau de la gestion, des connaissances spécialisées en technologie des signatures électroniques et une bonne pratique des procédures de sécurité appropriées; ils doivent également appliquer des procédures et méthodes administratives et de gestion qui soient adaptées et conformes à des normes reconnues;
utiliser des systèmes et des produits fiables qui sont protégés contre les modifications et qui assurent la sécurité technique et cryptographique des fonctions qu'ils assument;
prendre des mesures contre la contrefaçon des certificats et, dans les cas où le prestataire de service de certification génère des données afférentes à la création de signature, garantir la confidentialité au cours du processus de génération de ces données;
disposer des ressources financières suffisantes pour fonctionner conformément aux exigences prévues par la loi et les règlements grand-ducaux, en particulier pour endosser la responsabilité de dommages;
enregistrer toutes les informations pertinentes concernant un certificat qualifié pendant un délai d'au moins dix ans, à dater de sa délivrance, en particulier, pour pouvoir fournir une preuve de la certification en justice. Ces enregistrements peuvent être effectués par des moyens électroniques;
10° ne pas stocker ni copier les données afférentes à la création de signature de la personne à laquelle le prestataire de service de certification a fourni des services de gestion de clés;
11° utiliser des systèmes fiables pour stocker les certificats sous une forme vérifiable de telle sorte que:
- seules les personnes autorisées puissent introduire et modifier des données,
- l'information puisse être contrôlée quant à son authenticité,
- les certificats ne soient disponibles au public pour des recherches que dans les cas où le titulaire du certificat a donné son consentement et
- toute modification technique mettant en péril ces exigences de sécurité soit apparente pour l'opérateur.

(2)

Le Ministre ayant la normalisation dans ses compétences publie au Mémorial les références des normes ou réglementations techniques généralement admises y compris nationales, relatives au prestataire de service de certification délivrant des certificats qualifiés, avec renvoi au présent règlement.

Ne sont pas publiées au Mémorial, les normes relatives aux produits de signature électronique, dont les numéros de référence ont été publiés au Journal officiel des Communautés européennes.

CHAPITRE III - EXIGENCES RELATIVES AUX DISPOSITIFS SECURISES DE CREATION DE SIGNATURE ELECTRONIQUE

Art. 4.

(1)

Les dispositifs sécurisés de création de signature doivent garantir, par les moyens techniques et les procédures appropriés, que:

les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu'une seule fois et que leur confidentialité soit raisonnablement assurée;
l'on puisse avoir l'assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles;
les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par des tiers.

(2)

Les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer ni empêcher que ces données soient soumises au signataire avant le processus de signature.

(3)

Le Ministre ayant la normalisation dans ses compétences publie au Mémorial les références des normes ou réglementations techniques généralement admises y compris nationales relatives aux produits de signature électronique, avec renvoi au présent règlement, à l'exception des normes relatives aux produits de signature électronique, dont les numéros de référence ont été publiés au Journal officiel des Communautés européennes.

Sont également publiés au Mémorial avec renvoi au présent règlement la référence aux dispositifs sécurisés de création de signature électronique qui ont été certifiés conformes aux exigences définies au présent article par un organisme désigné à cet effet par un Etat membre de la Communauté européenne.

CHAPITRE IV - PAIEMENT ELECTRONIQUE

Art. 5.

Sauf dans les cas où il s'est rendu coupable d'une fraude ou d'une négligence grave, le titulaire d'un instrument de paiement électronique assume jusqu'à la notification prévue à l'article 68 §1 de la loi du 14 août 2000 relative au commerce électronique les conséquences liées à la perte, au vol ou à son utilisation frauduleuse par un tiers, à concurrence d'un montant de 150 euros.

CHAPITRE V - CREATION DU COMITE «COMMERCE ELECTRONIQUE»

Art. 6.

Il est institué auprès du Ministère de l'Economie un organisme consultatif appelé Comité commerce électronique, ci-après dénommé le Comité.

Art. 7.

Le Comité a pour missions:

d'assurer que toutes les parties intéressées soient associées aux activités dans ce domaine;
de contribuer à la clarification des exigences concernant les certificats qualifiés;
de contribuer à la clarification des exigences concernant les prestataires délivrant les certificats qualifiés;
de contribuer à la clarification des exigences concernant les dispositifs sécurisés de création de signature électronique;
de faire des recommandations pour la vérification sécurisée de la signature;
de diffuser les informations sur le commerce électronique;

Art. 8.

Le Comité comprend les membres suivants:

cinq nommés sur proposition des Ministres ayant dans leurs attributions l'État, l'Economie, la Justice, les Classes Moyennes et les Finances;
un membre nommé sur proposition de l'Office Luxembourgeois d'Accréditation et de Surveillance (OLAS);
un membre nommé sur proposition de l'Organisme luxembourgeois de normalisation;
trois membres nommés sur proposition des chambres professionnelles patronales;
deux membres choisis pour leur compétence particulière dans la matière;
un membre représentant les consommateurs.

Les membres sont nommés par le Ministre ayant dans ses attributions l'Economie.

Le Ministre ayant dans ses attributions l'Economie nomme un président et un vice-président parmi les membres du Comité.

Le mandat est accordé pour une durée de trois ans. Il est renouvelable.

Art. 9.

Il est adjoint au Comité un secrétariat dont la gestion est assurée par un agent désigné par le Ministre ayant dans ses attributions l'Economie.

Art. 10.

Le Comité se réunit sur convocation de son président.

Le président doit convoquer le Comité sur demande d'au moins trois de ses membres.

Art. 11.

Des experts peuvent être appelés à assister aux réunions.

Art. 12.

A défaut d'avis spécifique, le procès-verbal de la réunion fait figure d'avis du Comité. Il indique le point de vue de la majorité simple des membres du Comité. Les membres qui sont d'un avis différent ont le droit d'y faire insérer leur point de vue. Le procès-verbal est soumis pour approbation aux membres du Comité pour être transmis au Ministre ayant dans ses attributions l'Economie.

Art. 13.

Le Comité peut constituer des groupes de travail chargés de préparer une étude ou un avis à soumettre au Comité dans des matières spécifiques.

Art. 14.

Un jeton de présence, à fixer par arrêté motivé du Gouvernement en Conseil, est alloué par séance aux membres présents du Comité, aux groupes de travail, aux experts présents ainsi qu'à l'agent assurant la gestion du secrétariat du Comité.

Art. 15.

Notre Ministre de l'Economie est chargé de l'exécution du présent règlement grand-ducal qui sera publié au Mémorial.

Le Ministre de l'Economie,

Henri Grethen

Luxembourg, le 1er juin 2001.

Henri


Retour
haut de page