Identification de premiers opérateurs de services essentiels dans le cadre de la directive « Network and Information Security »

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a annoncé le 9 novembre 2018 que, dans le cadre de la mise en œuvre de la directive Network and Information Security (NIS) adoptée en juillet 2016, la France avait identifié 122 opérateurs de services essentiels (OSE), et a précisé que "ce chiffre, non définitif, sera[it] amené à augmenter". En effet, la directive, dont la transposition en droit français a été finalisée le 29 septembre 2018, définit et identifie les OSE qui sont des acteurs qui fournissent "un service essentiel (SE) dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société". Ces opérateurs "devront désigner un représentant auprès de l’ANSSI et identifier leurs systèmes d’information essentiels (SIE)" puis "appliquer les règles de sécurité à leurs systèmes d’information essentiels et notifier à l’ANSSI les incidents de sécurité survenus sur ces systèmes".

Pour lire le communiqué de presse de l'ANSSI

Publication du décret sur la lettre recommandée électronique

Le 9 mai 2018 a été promulgué le décret relatif à la lettre recommandée électronique, pris en application de l’article 93 de la loi du 7 octobre 2016 pour une République numérique. Il fixe notamment les exigences requises en matière de vérification de l’identité et introduit la faculté pour le prestataire de lettre recommandée électronique d’attribuer à l’expéditeur ou au destinataire, postérieurement à la vérification initiale de leur identité, “un moyen d’identification électronique qu’ils utiliseront pour attester de leur identité à chaque envoi ou réception”. Ces dispositions entreront en vigueur le 1er janvier 2019.

Pour lire le décret sur Légifrance

Constitutionnalité du délit de refus de transmission ou de mise en œuvre d’une convention secrète de déchiffrement d’un moyen de cryptologie

Par une décision du 30 mars 2018, le Conseil constitutionnel s’est prononcé sur le recours formé contre le premier alinéa de l’article 434-15-2 du code pénal, qui sanctionne le refus de remettre ou de mettre en œuvre à la demande des autorités judiciaires la convention secrète de déchiffrement d’un moyen de cryptologie “susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”. Le Conseil a déclaré cette disposition conforme à la Constitution, estimant qu’elle ne portait pas atteinte au “droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances”, et qu’elle ne méconnaissait pas non plus “les droits de la défense, le principe de proportionnalité des peines et la liberté d’expression, ni aucun autre droit ou liberté que la Constitution garantit”.

Pour lire la décision du Conseil constitutionnel

Conditions de la présomption de fiabilité de la signature électronique

Par un décret du 28 septembre 2017, le Conseil d’Etat a précisé les conditions “permettant à une signature électronique de bénéficier de la présomption de fiabilité prévue au deuxième alinéa de l’article 1367 du code civil”. Ce dernier prévoit en effet qu’une signature électronique est fiable jusqu’à preuve du contraire lorsqu’elle est créée, que l’identité du signataire est assurée et l’intégrité de l’acte garantie. L’article 1er du décret dispose que "la fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée". Est qualifiée “une signature électronique avancée, (…) et créée à l’aide d’un dispositif de création de signature électronique qualifié (…), qui repose sur un certificat qualifié de signature électronique”, répondant aux exigences du Règlement du 23 juillet 2014 sur l’identification électronique.

Pour lire le décret sur Légifrance

Commercialisation de certificats de signature électronique par des établissement publics

Plusieurs Chambres françaises de commerce et d’industrie (CCI) avaient fondé une association chargée d’établir un réseau de certification de signatures électroniques pour les entreprises et acteurs économiques. Une société commercialisant également des certificats de signature électronique, s’estimant victime de concurrence déloyale, sollicitait des CCI la cessation de toute activité de promotion et de commercialisation des certificats litigieux. Par une décision du 18 mai 2017, la Cour administrative d’appel de Paris a confirmé le jugement de première instance, rappelant que “le principe  de spécialité (…) interdi[sai]t à ces établissements d’exercer des activités extérieures à leur mission,  sauf si ces  activités constitu[ai]ent le complément normal de leur mission principale, et si elles [étaient] à la fois d’intérêt général et directement utiles à l’établissement”. Elle a considéré en l’espèce que les CCI, en assurant la promotion permanente de l’association et en percevant une rémunération, devaient “être regardées comme exerçant une activité de commercialisation de certificats de signature électronique”, ce qui ne pouvait constituer un complément normal de leur mission.

Pour lire l’arrêt sur Légalis.net

Loi pour une République numérique : consécration de l’identification électronique

La loi du 7 octobre 2016 pour une République numérique porte création d’un article L. 136 dans le Code des postes et des communications électroniques, aux termes duquel “la preuve de l’identité électronique aux fins d'accéder à un service de communication au public en ligne peut être apportée par un moyen d'identification électronique”. Cet article instaure une présomption simple de fiabilité du moyen d’identification électronique “lorsqu’il répond aux prescriptions [d’un] cahier des charges [qui sera] établi” par l’ANSSI et fixé par décret. Enfin, l’ANSSI aura pour mission de certifier “la conformité des moyens d’identification électronique aux exigences de ce cahier des charges”.

Pour lire l’article du Code des postes et des communications électroniques

Interdiction de promotion et commercialisation de certificats de signature électronique par les CCI

Par un jugement du 3 mai 2016, le Tribunal administratif de Paris a enjoint à plusieurs chambres de commerce et d’industrie (CCI) qui avaient fondé une association chargée d’établir un réseau de certification de signatures électroniques par les CCI et les chambres régionales de commerce et d’industrie, de cesser toute action de promotion et de commercialisation de tels certificats dans un délai de 8 mois. Le Tribunal a jugé que cette activité ne relevait pas de leur mission d’établissements publics administratifs, consistant à “contribuer au développement économique des territoires et au soutien des entreprises dans leur création et leur développement”, et qu’elle n’en constituait pas non plus un complément normal, n’étant pas nécessaire à son accomplissement. Aussi, le Tribunal a caractérisé une violation du principe de spécialité applicable aux établissements publics.

Pour lire le jugement sur Legalis.net

Appel d’offres : signature électronique de l’offre

Deux sociétés ayant répondu à un appel d’offres par dépôt conjoint d’un dossier compressé en fichier zip, signé électroniquement, et ayant joint au dossier le fichier relatif à sa signature électronique, reprochaient au commanditaire de l’avoir rejeté au motif du “défaut de signature des documents de l’offre et notamment de l’acte d’engagement”. Par une ordonnance de référé du 19 novembre 2015, le Président du TGI, ayant relevé que le commanditaire avait entre-temps reconnu “l’erreur matérielle commise” et acquiescé à la demande des demanderesses, a confirmé la recevabilité du dossier litigieux et sa réintégration à la procédure d’appel d’offres.

 Pour lire l’ordonnance  sur Legalis.net

Vérification d’une signature électronique

Par un arrêt du 6 avril 2016, la Cour de cassation a considéré que le juge qui, sur le fondement des articles 1316-1 et 1316-4 du Code civil, avait retenu à propos d’une demande d’adhésion d’un particulier à une assurance complémentaire sous forme électronique “que la signature a été identifiée par un procédé fiable garantissant le lien de la signature électronique avec l’acte auquel elle s’attache, et que la demande d’adhésion (…) porte mention de la délivrance de ce document par [une] plateforme de contractualisation en ligne (…), permettant une identification et une authentification précise des signataires” a bien vérifié que le procédé de signature électronique en cause procédait d’un dispositif sécurisé de création de signature électronique et que la vérification de cette signature reposait sur l’utilisation d’un certificat électronique qualifié.

Pour lire l’arrêt sur Légifrance

Rejet d’une candidature à une procédure d’appel d’offres pour signature électronique invalide

Par décision du Ministère de la défense, la candidature d’une société à une procédure d’appel d’offres lancée par ce Ministère avait été déclarée irrégulière en raison d’une signature électronique invalide. Le juge des référés du Tribunal administratif de Marseille avait fait droit à la demande en annulation de cette décision formée par la société candidate, et enjoignait au Ministère de la défense de reprendre la procédure d’appel d’offres à compter de l’examen des offres. Par un arrêt du 26 juin 2015, le Conseil d’Etat a annulé cette ordonnance considérant que les contrôles réalisés par l’administration, après communication par la société candidate du mode d’emploi afin de vérifier la  signature électronique  conformément à l’article 2 de l’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics, n’avaient pas permis d’établir la validité de cette signature, et n’avaient notamment pas permis d’établir l’absence de modification de l’acte d’engagement de la candidate postérieurement à la date limite de remise de son offre.

Pour lire l'arrêt sur Légifrance