1
Loi fédérale sur les services de certification dans le domaine de la signature électronique (Loi sur la signature électronique, SCSE)
du 19 décembre 2003 (Etat le 1er août 2008)
L’Assemblée fédérale de la Confédération suisse, vu les art. 95, al. 1, et 122, al. 1, de la Constitution1, vu le message du Conseil fédéral du 3 juillet 20012, arrête:
Section 1 Dispositions générales
Art. 1 Objet et but 1 La présente loi règle:
a. les conditions auxquelles les fournisseurs de services de certification dans le domaine de la signature électronique peuvent être reconnus;
b. les droits et les devoirs des fournisseurs de services de certification recon- nus.
2 Elle vise à: a. promouvoir la fourniture de services de certification électronique sûrs à un
large public; b. favoriser l’utilisation des signatures électroniques qualifiées; c. permettre la reconnaissance internationale des fournisseurs de services de
certification et de leurs prestations.
Art. 2 Définitions Au sens de la présente loi, on entend par:
a. signature électronique: données électroniques jointes ou liées logiquement à d’autres données électroniques et qui servent à vérifier leur authenticité;
RO 2004 5085 1 RS 101 2 FF 2001 5423
943.03
Commerce
2
943.03
b. signature électronique avancée: signature électronique qui satisfait aux exi- gences suivantes: 1. être liée uniquement au titulaire, 2. permettre d’identifier le titulaire, 3. être créée par des moyens que le titulaire peut garder sous son contrôle
exclusif, 4. être liée aux données auxquelles elle se rapporte de telle sorte que toute
modification ultérieure des données soit détectable; c. signature électronique qualifiée: signature électronique avancée fondée sur
un dispositif sécurisé de création de signature au sens de l’art. 6, al. 1 et 2, et sur un certificat qualifié valable au moment de sa création;
d. clé de signature: données uniques telles que des codes ou des clés cryptogra- phiques privées que le titulaire utilise pour composer une signature électro- nique;
e. clé de vérification de signature: données telles que des codes ou des clés cryptographiques publiques utilisées pour vérifier une signature électroni- que;
f. certificat qualifié: certificat numérique qui remplit les conditions de l’art. 7; g. fournisseur de services de certification (fournisseur): organisme qui certifie
des données dans un environnement électronique et qui délivre à cette fin des certificats numériques;
h. organisme de reconnaissance: organisme qui, selon les règles de l’accrédita- tion3, est habilité à reconnaître et à surveiller les fournisseurs.
Section 2 Reconnaissance des fournisseurs
Art. 3 Conditions de la reconnaissance 1 Peuvent être reconnus comme fournisseurs les personnes physiques ou morales qui:
a. sont inscrites au registre du commerce; b. sont en mesure de délivrer et de gérer des certificats qualifiés conformément
aux exigences de la présente loi; c. emploient du personnel possédant les connaissances, l’expérience et les qua-
lifications nécessaires; d. utilisent des systèmes et des produits informatiques fiables et sûrs, notam-
ment des dispositifs de création de signatures; e. possèdent des ressources ou des garanties financières suffisantes;
3 LF du 6 oct. 1995 sur les entraves techniques au commerce, LETC (RS 946.51) et les dispositions d’exécution pertinentes.
L sur la signature électronique
3
943.03
f. contractent les assurances nécessaires à la couverture de la responsabilité prévue à l’art. 16 et des frais que peuvent entraîner les mesures prévues à l’art. 13, al. 2 et 3;
g. assurent le respect du droit applicable, notamment de la présente loi et des dispositions d’exécution pertinentes.
2 Les conditions prévues à l’al. 1 sont également applicables aux fournisseurs étran- gers. Lorsqu’un fournisseur étranger a déjà obtenu une reconnaissance de la part d’un organisme de reconnaissance étranger, l’organisme de reconnaissance suisse peut le reconnaître s’il est prouvé que:
a. la reconnaissance a été octroyée selon le droit étranger; b. les règles du droit étranger applicables à l’octroi de la reconnaissance sont
équivalentes à celles du droit suisse; c. l’organisme de reconnaissance étranger possède des qualifications équiva-
lentes à celles qui sont exigées d’un organisme de reconnaissance suisse; d. l’organisme de reconnaissance étranger garantit sa collaboration à l’orga-
nisme de reconnaissance suisse pour la surveillance du fournisseur en Suis- se.
3 Les unités administratives de la Confédération, des cantons et des communes peu- vent être reconnues comme fournisseurs sans avoir à s’inscrire au registre du com- merce.
Art. 4 Désignation de l’organisme d’accréditation 1 Le Conseil fédéral désigne l’organisme d’accréditation des organismes de recon- naissance (organisme d’accréditation). 2 Si aucun organisme n’a été accrédité pour effectuer des reconnaissances, le Conseil fédéral désigne l’organisme d’accréditation ou un autre organisme compétent com- me organisme de reconnaissance.
Art. 5 Liste des fournisseurs 1 Les organismes de reconnaissance annoncent à l’organisme d’accréditation les fournisseurs qu’ils reconnaissent. 2 L’organisme d’accréditation tient à la disposition du public la liste des fournisseurs reconnus.
Commerce
4
943.03
Section 3 Elaboration et utilisation de clés de signature et de vérification de signature
Art. 6 1 Le Conseil fédéral règle l’élaboration des clés de signature et de vérification de signature pouvant faire l’objet de certificats qualifiés au sens de la présente loi. Ce faisant, il veille à assurer un degré de sécurité élevé, conforme à l’évolution de la technique. 2 Les dispositifs de création de signature doivent au moins:
a. garantir que la clé de signature utilisée pour l’élaboration de la signature ne puisse pratiquement se rencontrer qu’une seule fois et que sa confidentialité soit suffisamment garantie;
b. assurer avec une marge de sécurité suffisante que la clé de signature utilisée pour la création de la signature ne puisse être trouvée par déduction et que la signature soit protégée contre toute falsification par les moyens techniques disponibles;
c. garantir que la clé de signature utilisée pour la création de la signature puisse être protégée de manière fiable par le titulaire légitime contre toute utilisa- tion abusive.
3 Lors de la mise en place du processus de vérification de la signature, il convient de veiller à ce que les exigences suivantes soient remplies avec une marge de sécurité suffisante:
a. les données utilisées pour vérifier la signature correspondent aux données affichées à l’intention du vérificateur;
b. la signature est vérifiée de manière sûre et le résultat de cette vérification est correctement affiché;
c. le vérificateur peut, si nécessaire, déterminer de manière sûre le contenu des données signées;
d. l’authenticité et la validité du certificat requis lors de la vérification de la signature sont vérifiées de manière sûre et le résultat de cette vérification est correctement affiché;
e. l’identité du titulaire de la clé de signature est correctement affichée; f. l’utilisation d’un pseudonyme est clairement indiquée; g. tout changement ayant une influence sur la sécurité peut être détecté.
L sur la signature électronique
5
943.03
Section 4 Certificats qualifiés
Art. 7 1 Tout certificat qualifié doit contenir au moins les informations suivantes:
a. le numéro de série; b. la mention qu’il est délivré à titre de certificat qualifié; c. le nom ou le pseudonyme de la personne physique titulaire de la clé de véri-
fication de signature; s’il existe un risque de confusion, le nom doit être complété par un élément distinctif;
d. la clé de vérification de signature; e. la durée de validité; f. le nom, le pays d’établissement et la signature électronique qualifiée du
fournisseur qui délivre le certificat; g. la mention du caractère reconnu ou non du fournisseur et, s’il est reconnu, le
nom de l’organisme de reconnaissance. 2 Le certificat doit également contenir les éléments suivants:
a. les qualités spécifiques du titulaire de la clé de signature, telle que la qualité de représenter une personne morale déterminée;
b. le domaine d’utilisation du certificat; c. la valeur des transactions pour lesquelles le certificat peut être utilisé.
3 Le Conseil fédéral règle le format des certificats.
Section 5 Devoirs des fournisseurs reconnus
Art. 8 Délivrance des certificats qualifiés 1 Les fournisseurs reconnus doivent exiger des personnes qui demandent un certifi- cat qualifié qu’elles se présentent en personne et qu’elles apportent la preuve de leur identité. S’agissant de l’art. 7, al. 2, let. a, les pouvoirs du représentant doivent faire l’objet d’une vérification; les renseignements professionnels ou autres relatifs à cette personne doivent être confirmés par l’organisme compétent. 2 Le Conseil fédéral détermine les documents de nature à prouver l’identité et, le cas échéant, les qualités des personnes qui demandent un certificat. Il peut, à certaines conditions, prévoir l’exemption de l’obligation de se présenter en personne. 3 Les fournisseurs reconnus doivent en outre s’assurer que les personnes qui deman- dent un certificat qualifié possèdent la clé de signature qui s’y rapporte. 4 Ils peuvent déléguer leur tâche d’identification à des tiers (bureaux d’enregis- trement). Ils répondent de l’exécution correcte de cette tâche par le bureau d’enregistrement.
Commerce
6
943.03
Art. 9 Obligation d’informer 1 Les fournisseurs reconnus doivent tenir à la disposition du public leurs conditions contractuelles générales et des informations sur leur politique de certification. 2 Ils doivent informer leurs clients des conséquences de l’utilisation abusive de leur clé de signature, au plus tard lors de la délivrance des certificats qualifiés, ainsi que des dispositions à prendre, selon les circonstances, pour assurer la confidentialité de leur clé de signature. 3 Ils tiennent un journal de leurs activités. Le Conseil fédéral règle la durée pendant laquelle le journal et les documents qui s’y rapportent doivent être conservés.
Art. 10 Annulation des certificats qualifiés 1 Les fournisseurs reconnus annulent immédiatement les certificats qualifiés:
a. si le titulaire ou son représentant le demande; b. s’il s’avère qu’ils ont été obtenus de manière frauduleuse; c. s’ils ne permettent plus de garantir le lien entre une clé de vérification de
signature et une personne. 2 En cas d’annulation sur demande selon l’al. 1, let. a, les fournisseurs s’assurent que le requérant a qualité pour demander l’annulation. 3 Les fournisseurs informent immédiatement les titulaires de certificats qualifiés de l’annulation de ces derniers.
Art. 11 Service d’annuaire pour les certificats qualifiés 1 Tout fournisseur reconnu garantit aux intéressés de pouvoir vérifier de façon fia- ble, en tout temps et selon une procédure usuelle, la validité de tous les certificats qualifiés qu’il aura délivrés. 2 Il peut en outre offrir un service d’annuaire permettant aux intéressés de rechercher et de consulter les certificats qualifiés qu’il aura délivrés. Un certificat n’est inscrit dans cet annuaire qu’à la demande de son titulaire. 3 Les pouvoirs publics peuvent consulter ces données gratuitement. 4 Le Conseil fédéral détermine la durée minimale pendant laquelle doit demeurer possible la vérification des certificats qualifiés qui ne sont plus valables.
Art. 12 Système d’horodatage Les fournisseurs reconnus délivrent, sur demande, une attestation munie de leur signature électronique qualifiée aux fins d’établir l’existence de données numériques à un moment précis.
L sur la signature électronique
7
943.03
Art. 13 Cessation d’activité 1 Les fournisseurs reconnus annoncent en temps utile à l’organisme d’accréditation la cessation de leur activité. Ils lui annoncent immédiatement toute commination de faillite qui leur a été notifiée. 2 L’organisme d’accréditation charge un autre fournisseur reconnu de tenir la liste des certificats qualifiés valables, échus ou annulés et de conserver le journal de ses activités ainsi que les pièces justificatives correspondantes. Le Conseil fédéral dési- gne l’organisme compétent pour reprendre ces tâches lorsqu’il n’y a pas de fournis- seur reconnu. Le fournisseur reconnu qui cesse son activité supporte les frais qui en résultent. 3 L’al. 2 est également applicable en cas de faillite d’un fournisseur reconnu.
Art. 14 Protection des données 1 Les fournisseurs reconnus et les bureaux d’enregistrement qu’ils ont mandatés ne peuvent traiter que les données personnelles nécessaires à l’accomplissement de leurs tâches. Tout commerce de ces données est interdit. 2 Au surplus, la législation sur la protection des données est applicable.
Section 6 Surveillance des fournisseurs reconnus
Art. 15 1 La surveillance des fournisseurs reconnus est assurée par les organismes de recon- naissance selon les règles de l’accréditation4. 2 Lorsqu’un organisme de reconnaissance retire la reconnaissance d’un fournisseur, il l’annonce immédiatement à l’organisme d’accréditation. L’art. 13, al. 2, est appli- cable.
Section 7 Responsabilité
Art. 16 Responsabilité des fournisseurs 1 Lorsque des fournisseurs contreviennent à des obligations découlant de la présente loi ou des dispositions d’exécution, ils répondent du dommage causé au titulaire d’une clé de signature et aux tiers qui se sont fiés à un certificat qualifié valable. 2 Il leur incombe d’apporter la preuve qu’ils ont respecté les obligations découlant de la présente loi et des dispositions d’exécution.
4 LF du 6 oct. 1995 sur les entraves techniques au commerce, LETC (RS 946.51) et les dispositions d’exécution pertinentes.
Commerce
8
943.03
3 Les fournisseurs ne peuvent exclure leur responsabilité découlant de la présente loi non plus que celle de leurs auxiliaires. Ils ne répondent toutefois pas du dommage résultant de l’inobservation ou de la violation d’une restriction de l’utilisation du certificat (art. 7, al. 2).
Art. 17 Responsabilité des organismes de reconnaissance Lorsque les organismes de reconnaissance au sens de l’art. 2, let. h, contreviennent à des obligations découlant de la présente loi et des dispositions d’exécution, ils répondent du dommage causé au titulaire de la clé de signature et aux tiers qui se sont fiés à un certificat qualifié valable. L’art. 16, al. 2 et 3, est applicable par ana- logie.
Art. 18 Prescription Les actions prévues par la présente loi se prescrivent par un an à compter du jour où la partie lésée a eu connaissance du dommage et de l’identité de la personne qui en est l’auteur et, dans tous les cas, par dix ans à compter du jour où le fait dommagea- ble s’est produit. Les prétentions résultant d’un contrat sont réservées.
Section 8 Conventions internationales
Art. 19 1 Pour faciliter l’utilisation et la reconnaissance juridique internationales des signatu- res électroniques, le Conseil fédéral peut conclure des conventions internationales, notamment sur:
a. la reconnaissance des signatures électroniques et des certificats; b. la reconnaissance des fournisseurs et l’accréditation des organismes de
reconnaissance; c. la reconnaissance des essais et des évaluations de conformité; d. la reconnaissance des signes de conformité; e. la reconnaissance des systèmes d’accréditation et des organismes accrédités; f. l’octroi de mandats de normalisation à des organismes internationaux de
normalisation, dans la mesure où les dispositions sur la signature électroni- que renvoient à des normes techniques déterminées ou lorsqu’un tel renvoi est prévu;
g. l’information et la consultation concernant l’élaboration, l’adoption, la modification et l’application de prescriptions ou de normes techniques.
2 Le Conseil fédéral arrête les dispositions d’exécution des conventions internatio- nales portant sur les domaines énumérés à l’al. 1.
L sur la signature électronique
9
943.03
3 Il peut déléguer à des organismes privés des activités relatives à l’information et à la consultation pour ce qui est de l’élaboration, de l’adoption et de la modification de dispositions et de normes techniques sur la signature électronique et prévoir une rémunération à ce titre.
Section 9 Dispositions finales
Art. 20 Exécution 1 Le Conseil fédéral édicte les dispositions d’exécution. Il tient compte du droit inter- national pertinent et peut déclarer applicables des normes techniques internationales. 2 Le Conseil fédéral peut charger l’Office fédéral de la communication d’édicter des prescriptions administratives et techniques. 3 Afin d’atteindre le but de la loi, il peut charger une unité de l’administration de délivrer des certificats qualifiés couvrant aussi les rapports juridiques de droit privé ou de participer à l’entreprise d’un fournisseur privé.
Art. 21 Modification du droit en vigueur La modification du droit en vigueur est réglée en annexe.
Art. 225
Art. 23 Référendum et entrée en vigueur 1 La présente loi est sujette au référendum. 2 Le Conseil fédéral fixe la date de l’entrée en vigueur.
Date de l’entrée en vigueur: 1er janvier 20056
5 Abrogé par le ch. II 55 de la LF du 20 mars 2008 relative à la mise à jour formelle du droit fédéral, avec effet au 1er août 2008 (RO 2008 3437 3452; FF 2007 5789).
6 ACF du 3 déc. 2004 (RO 2004 5094).
Commerce
10
943.03
Annexe (art. 21)
Modification du droit en vigueur
Les lois mentionnées ci-après sont modifiées comme suit: …7
7 Les mod. peuvent être consultées au RO 2004 5085.