Arrêté du 20 avril 2011 relatif à la reconnaissance de la qualification des prestataires de services d'horodatage électronique et à l'accréditation des organismes qui procèdent à leur évaluation

JORF n°0094 du 21 avril 2011 page 7094
texte n° 52




Arrêté du 20 avril 2011 relatif à la reconnaissance de la qualification des prestataires de services d'horodatage électronique et à l'accréditation des organismes qui procèdent à leur évaluation

NOR: INDI1104788A
ELI: https://www.legifrance.gouv.fr/eli/arrete/2011/4/20/INDI1104788A/jo/texte


Le ministre auprès de la ministre de l'économie, des finances et de l'industrie, chargé de l'industrie, de l'énergie et de l'économie numérique,
Vu la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 modifiée prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information, et notamment la notification n° 2010/0682 F du 18 octobre 2010 adressée à la Commission européenne ;
Vu le code de la consommation, notamment son article L. 115-28 ;
Vu le décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;
Vu le décret n° 2011-434 du 20 avril 2011 relatif à l'horodatage des courriers expédiés ou reçus par voie électronique pour la conclusion ou l'exécution d'un contrat, notamment son article 6,
Arrête :

  • CHAPITRE IER : ACCREDITATION DES ORGANISMES QUI PROCEDENT A L'EVALUATION DES PRESTATAIRES DE SERVICES D'HORODATAGE ELECTRONIQUE EN VUE DE RECONNAITRE LEUR QUALIFICATION


    Les organismes qui procèdent à l'évaluation des prestataires de services d'horodatage électronique en vue de reconnaître leur qualification doivent être accrédités par l'instance nationale d'accréditation mentionnée à l'article L. 115-28 du code de la consommation ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne, membre de la Coopération européenne pour l'accréditation et ayant signé les accords de reconnaissance mutuelle multilatéraux couvrant la certification considérée. Le référentiel d'accréditation comprend la norme ISO 17021 ou une norme équivalente ainsi que les règles d'application établies par l'instance d'accréditation.


    La demande d'accréditation adressée par un organisme à une instance d'accréditation doit comprendre les éléments suivants :
    1° Les statuts de l'organisme, son règlement intérieur et tout autre texte régissant son fonctionnement ;
    2° Les noms et qualités des dirigeants de l'organisme et des membres de son conseil d'administration ou des organes en tenant lieu ;
    3° Les noms et les qualifications des personnels de l'organisme prenant part à la procédure d'évaluation ;
    4° La description des activités de l'organisme, de sa structure et de ses moyens techniques ;
    5° Les comptes des deux exercices précédents ;
    6° La description des procédures et des moyens qui seront mis en œuvre par l'organisme pour évaluer les prestataires de services d'horodatage électronique en vue de reconnaître leur qualification, compte tenu des normes ou prescriptions techniques en vigueur.
    L'organisme demandeur doit, en outre, signaler à l'instance d'accréditation les liens éventuels qu'il a avec des prestataires de services d'horodatage électronique. En ce cas, il doit préciser les mesures qu'il compte mettre en œuvre pour éviter tout conflit d'intérêts.
    L'organisme demandeur doit disposer, conformément à la clause 6.2 de la norme ISO 17021, d'une structure en son sein qui préserve son impartialité. Cette structure doit notamment comprendre au titre des organismes gouvernementaux, et à leur demande, un représentant de l'Agence nationale de la sécurité des systèmes d'information et un représentant de la direction générale de la modernisation de l'Etat.


    L'instance d'accréditation instruit la demande d'accréditation. Elle peut solliciter tous renseignements complémentaires de l'organisme demandeur. Elle peut demander à effectuer des vérifications dans les locaux de l'organisme demandeur.
    A l'issue de l'instruction, l'instance d'accréditation prend une décision motivée qu'elle notifie à l'organisme demandeur et dont elle adresse copie à l'Agence nationale de la sécurité des systèmes d'information. Lorsqu'elle accorde l'accréditation, l'instance d'accréditation peut soumettre l'organisme bénéficiaire à des obligations particulières.


    L'accréditation est valable pour une durée qui ne peut excéder cinq ans. Les organismes accrédités informent l'instance d'accréditation de tout changement par rapport aux éléments communiqués dans le dossier de demande d'accréditation.
    Pendant la durée de l'accréditation, l'instance d'accréditation effectue une surveillance régulière, qui peut conduire selon les cas à une suspension ou à un retrait de l'accréditation, en vertu des règles en vigueur en la matière de l'instance d'accréditation. La suspension ou le retrait de l'accréditation ne peut être prononcé qu'après que le représentant de l'organisme précédemment accrédité a été mis à même de présenter ses observations. L'Agence nationale de la sécurité des systèmes d'information est informée de toute suspension ou de tout retrait d'accréditation.


    L'instance d'accréditation met à la disposition du public, notamment sur un site internet, la liste des organismes accrédités. Cette liste est tenue à jour.

  • CHAPITRE II : RECONNAISSANCE DE LA QUALIFICATION DES PRESTATAIRES DE SERVICES D'HORODATAGE ELECTRONIQUE


    Un prestataire de services d'horodatage électronique qui demande à être reconnu comme qualifié choisit un organisme accrédité pour procéder à l'évaluation de ses activités.
    Le prestataire est tenu de fournir à l'organisme choisi tous les éléments nécessaires au bon accomplissement de la procédure d'évaluation.


    L'évaluation est effectuée par l'organisme aux frais du prestataire de services d'horodatage électronique. Son objet est de vérifier que le prestataire se conforme aux exigences relatives aux prestataires de services d'horodatage électronique fixées par le décret n° 2011-434 du 20 avril 2011 susvisé en vue de la reconnaissance de sa qualification. Les spécifications techniques, déterminées en annexe, précisent ces exigences.
    A l'issue de la procédure d'évaluation, l'organisme accrédité établit un rapport qui est notifié au prestataire afin que celui-ci puisse, le cas échéant, formuler des observations sur son contenu.


    Les rapports d'évaluation sont communiqués par les organismes accrédités à l'Agence nationale de la sécurité des systèmes d'information.


    L'organisme accrédité reconnaît ou non la qualification du prestataire de services d'horodatage électronique au vu du rapport d'évaluation et des éventuelles observations du prestataire et en informe l'Agence nationale de la sécurité des systèmes d'information.
    Lorsqu'il reconnaît la qualification d'un prestataire, l'organisme accrédité délivre une attestation qui décrit les activités couvertes par la qualification ainsi que la durée pendant laquelle l'attestation est valable. Il en adresse une copie à l'Agence nationale de la sécurité des systèmes d'information. Pendant cette durée, qui ne peut excéder trois ans, le prestataire doit faire l'objet d'un audit de surveillance au moins annuel de la part de l'organisme accrédité, qui peut conduire à une suspension ou à un retrait de l'attestation de la part de l'organisme accrédité. Ce dernier en informe alors aussitôt l'Agence nationale de la sécurité des systèmes d'information.
    Les prestataires dont la qualification est reconnue communiquent à toute personne qui en fait la demande une copie de l'attestation délivrée par l'organisme accrédité.


    Les prestataires qui fournissent des services techniques aux prestataires de services d'horodatage électronique peuvent solliciter auprès d'un organisme accrédité, dans les mêmes conditions, une attestation de conformité de ces services aux spécifications techniques, figurant en annexe, qui leur sont applicables.


    Le directeur général de la compétitivité, de l'industrie et des services, le directeur général de l'Agence nationale de la sécurité des systèmes d'information et le directeur général de la modernisation de l'Etat sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

  • Annexe



    A N N E X E


    SPÉCIFICATIONS TECHNIQUES RELATIVES AUX PRESTATAIRES DE SERVICES D'HORODATAGE ÉLECTRONIQUE EN VUE DE LA RECONNAISSANCE DE LEUR QUALIFICATION
    Les spécifications techniques requises à la qualification des prestataires de services d'horodatage électronique, qui précisent les exigences fixées par les articles 3 à 6 du décret n° 2011-434 du 20 avril 2011 susvisé, sont celles définies par la norme européenne suivante, publiée par l'Institut européen des normes de télécommunications (ETSI), et ses mises à jour régulières, ou des normes équivalentes : ETSI TS 102 023 V1.2.2.


Fait le 20 avril 2011.


Eric Besson