Lexipedia

AS 2004 5101

Ordonnance sur les services de certification dans le domaine de la signature électronique

Ordonnance sur les services de certification dans le domaine de la signature électronique (Ordonnance sur la signature électronique, OSCSE)

du 3 décembre 2004

Le Conseil fédéral suisse, vu les art. 4, 6, al. 1, 7, al. 3, 8, al. 2, 9, al. 3, 11, al. 4, 13, al. 2, et 20 de la loi fédérale du 19 décembre 2003 sur les services de certification dans le domaine de la signature électronique (SCSE)1, arrête:

Art. 1 Organismes de reconnaissance 1 Le Service d’accréditation suisse de l’Office fédéral de métrologie et d’accrédita- tion (SAS) accrédite les organismes de reconnaissance des fournisseurs de services de certification selon les dispositions de l’ordonnance du 17 juin 1996 sur l’accrédi- tation et la désignation2. 2 S’il n’existe aucun organisme de reconnaissance accrédité, c’est l’Office fédéral de la communication (office) qui reconnaît les fournisseurs de services de certification.

Art. 2 Assurance 1 Le fournisseur de services de certification qui entend se faire reconnaître doit conclure une assurance responsabilité civile pour un montant d’au moins 2 millions de francs par cas d’assurance et 8 millions de francs par année d’assurance.

2 En lieu et place d’une assurance, il peut produire une garantie équivalente.

Art. 3 Clés de signature et de vérification de signature 1 Pour pouvoir faire l’objet de certificats qualifiés, les clés de signature et de vérifi- cation de signature doivent avoir une longueur suffisante et mettre en œuvre un algorithme reconnu pour être à même de résister à des attaques cryptographiques durant la période de validité du certificat qualifié. 2 L’office règle les détails dans les prescriptions techniques et administratives et fixe les exigences applicables aux dispositifs de création de signature. Il peut également fixer des exigences pour le processus de vérification de la signature.

RS 943.032

2004-2027 5101

Ordonnance sur la signature électronique RO 2004

Art. 4 Certificats qualifiés

1 L’office règle le format des certificats qualifiés.

2 Les fournisseurs de services de certification peuvent émettre des certificats quali- fiés pour eux-mêmes en tant que personnes morales.

Art. 5 Délivrance des certificats qualifiés 1 Les fournisseurs de services de certification reconnus doivent exiger des personnes qui demandent un certificat qualifié qu’elles présentent personnellement une carte d’identité ou un passeport. 2 Ils doivent en outre exiger des personnes qui disposent de qualités spécifiques qu’elles présentent les documents prouvant ces qualités, comme par exemple une procuration. Lorsque les qualités spécifiques se réfèrent à une inscription au registre du commerce, les documents suivants doivent également être présentés: a. un extrait du registre du commerce actuel et certifié conforme; b. la déclaration d’acceptation:

1. du titulaire, dans le cas d’une entreprise individuelle;

2. des associés, dans le cas d’une société de personnes;

3. de l’organe supérieur de direction ou d’administration, dans le cas

d’une personne morale.

3 Les fournisseurs de services de certification reconnus peuvent accepter une

demande munie d’une signature électronique qualifiée lorsqu’une personne sans qualités spécifiques et identifiée conformément à l’al. 1 depuis moins de six ans demande un nouveau certificat qualifié. 4 L’identité d’une personne utilisant un pseudonyme doit être établie conformément aux al. 1 à 3.

Art. 6 Interdiction de copier ou de conserver des doubles Les fournisseurs de services de certification reconnus ne peuvent ni établir ni conserver des doubles des clés de signature de leurs clients.

Art. 7 Annulation des certificats qualifiés

1 Les fournisseurs reconnus informent leurs clients sur la manière de demander

l’annulation des certificats qualifiés. Ils doivent être en mesure de recevoir les demandes d’annulation en tout temps. 2 Ils doivent garantir aux tiers l’accès en ligne aux informations relatives à l’annula- tion d’un certificat qualifié jusqu’à l’expiration de la validité de ce dernier. Ces informations comprennent le numéro de série du certificat, la mention qu’il est annulé, ainsi que la date et l’heure de l’annulation. Elles doivent être authentifiées par la signature électronique qualifiée du fournisseur reconnu.

Ordonnance sur la signature électronique RO 2004

3 Les fournisseurs de services de certification reconnus doivent être en mesure de fournir les informations permettant la vérification des certificats qualifiés qui ne sont plus valables pendant onze ans à partir de l’échéance des certificats.

Art. 8 Service d’annuaire pour les certificats qualifiés L’office détermine les exigences auxquelles doit satisfaire le fournisseur reconnu qui offre un service d’annuaire.

Art. 9 Journal des activités 1 Les fournisseurs de services de certification reconnus conservent les inscriptions relatives à leurs activités ainsi que les pièces justificatives correspondantes pendant onze ans. 2 Pour les activités relatives aux certificats, le délai commence à courir à partir de l’échéance de ces derniers. Pour les certificats qui ont été émis sur la base d’une demande munie d’une signa- ture électronique qualifiée (art. 5, al. 3), les inscriptions et les pièces justificatives relatives à l’identification de leurs titulaires selon l’art. 5, al. 1, doivent être conser- vées jusqu’au terme du délai de onze ans qui s’applique au dernier des certificats ainsi établis.

Art. 10 Cessation d’activité 1 Les fournisseurs de services de certification reconnus annoncent immédiatement, mais au moins 30 jours à l’avance, au SAS et à l’organisme de reconnaissance qu’ils vont cesser leur activité. 2 Lorsqu’il n’existe aucun autre fournisseur de services de certification reconnu auquel le SAS pourrait transférer les tâches conformément à l’art. 13, al. 2, SCSE, l’office se charge des tâches suivantes: a. il continue de traiter les demandes d’annulation des certificats qualifiés; b. il garantit aux tiers l’accès en ligne aux informations relatives à l’annulation des certificats qualifiés jusqu’à l’échéance de ces derniers; c. il tient à jour et conserve le journal des activités et les pièces justificatives correspondantes.

3 Il peut annuler de lui-même les certificats encore valables.

Art. 11 Mesures de sécurité 1 Le titulaire d’un certificat qualifié ne doit confier le dispositif de création de signa- ture à personne. Dans la mesure de ce qui peut être exigé, il doit garder ce dispositif en sa possession ou le mettre en lieu sûr.

Ordonnance sur la signature électronique RO 2004

2 En cas de perte ou de vol du dispositif de création de signature, le titulaire d’un certificat qualifié doit demander l’annulation de ce dernier dans les meilleurs délais. Il en va de même pour le titulaire qui sait ou qui a des raisons de croire qu’un tiers a pu avoir accès à la clé de signature. 3 Les données d’activation du dispositif de création de signature (données d’acti- vation) ne doivent pas se référer à des données personnelles du titulaire d’un certi- ficat qualifié. 4 Les transcriptions des données d’activation doivent être conservées en lieu sûr et séparément du dispositif de création de signature. 5 Le titulaire d’un certificat qualifié doit modifier les données d’activation lorsqu’il sait ou qu’il a des raisons de croire qu’un tiers en a eu connaissance. S’il ne peut pas lui-même modifier les données d’activation, il doit demander l’annulation du certifi- cat dans les meilleurs délais.

Art. 12 Registre du commerce

1 L’art. 36 de l’ordonnance du 7 juin 1937 sur le registre du commerce3 demeure

réservé en ce qui concerne la conservation des pièces justificatives relatives aux certificats qualifiés délivrés à des personnes disposant de qualités spécifiques ins- crites au registre du commerce (art. 5, al. 2). 2 Seules les inscriptions du registre du commerce font foi des qualités spécifiques des personnes titulaires de certificats qualifiés.

Art. 13 Exécution L’office édicte les prescriptions techniques et administratives nécessaires. Il tient compte du droit international pertinent et peut déclarer applicables des normes techniques internationales.

Art. 14 Abrogation du droit en vigueur L’ordonnance du 12 avril 2000 sur les services de certification électronique (OSCert)4 est abrogée.

Art. 15 Entrée en vigueur La présente ordonnance entre en vigueur le 1er janvier 2005.

3 décembre 2004 Au nom du Conseil fédéral suisse: Le président de la Confédération, Joseph Deiss La chancelière de la Confédération, Annemarie Huber-Hotz

3 RS 221.411 4 RO 2000 1257

Ordonnance sur la signature électronique RO 2004

Cette page est vierge pour permettre d’assurer une concordance dans la pagination des trois éditions du RO.

Ordonnance sur la signature électronique RO 2004