Le Premier ministre,
Sur le rapport de la ministre de l'économie, des finances et de l'industrie,
Vu la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 modifiée prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société d'information, ensemble la communication n° 2010/0682 F du 18 octobre 2010 adressée à la Commission européenne ;
Vu le code civil, notamment ses articles 1369-7 et 1369-8 ;
Vu le décret n° 2002-535 du 18 avril 2002 modifié relatif à l'évaluation et à la certification de la sécurité offerte par les produits et systèmes des technologies de l'information ;
Le Conseil d'Etat (section des finances) entendu,
Décrète :
Au sens du présent décret, on entend par :
1° Source de temps fiable : ensemble de moyens permettant de fournir une date reconnue comme fiable selon les normes internationales en vigueur ;
2° Procédé d'horodatage électronique : mécanisme associant une représentation d'une donnée à un temps particulier et attestant de l'existence de la représentation de cette donnée à cet instant au moyen d'une contremarque de temps ;
3° Contremarque de temps : donnée sous forme électronique liant une représentation d'une donnée à un temps particulier et attestant de l'existence de la représentation de cette donnée à cet instant. La contremarque de temps comporte un cachet du prestataire de services d'horodatage électronique établi à l'aide des données de signature de la contremarque de temps ;
4° Prestataire de services d'horodatage électronique : personne en charge de la production et de la délivrance de contremarques de temps ;
5° Cachet d'une contremarque de temps : donnée sous forme électronique permettant d'identifier le prestataire de services d'horodatage électronique qui la délivre et d'assurer un lien avec la contremarque de temps à laquelle il s'attache. Le cachet d'une contremarque de temps satisfait aux obligations suivantes :
a) Etre propre au prestataire de services d'horodatage électronique ;
b) Etre créé par des moyens que le prestataire de services d'horodatage électronique peut garder sous son contrôle exclusif ;
c) Garantir avec la contremarque de temps à laquelle il s'attache un lien tel que toute modification ultérieure de la contremarque de temps est détectable ;
6° Données de signature d'une contremarque de temps : éléments propres au prestataire de services d'horodatage électronique, tels que des clés cryptographiques privées, utilisés pour créer un cachet d'une contremarque de temps ;
7° Module d'horodatage : dispositif, matériel ou logiciel, comportant un module cryptographique et une horloge interne synchronisée avec une ou plusieurs sources de temps, et destiné à mettre en application les données nécessaires à la production d'une contremarque de temps, dont les données de signature de la contremarque de temps ;
8° Données de vérification d'une contremarque de temps : éléments tels que des clés cryptographiques publiques, utilisés pour vérifier le cachet d'une contremarque de temps ;
9° Certificat d'horodatage : document sous forme électronique attestant du lien entre les données de vérification de la contremarque de temps et le prestataire de services d'horodatage électronique ;
10° Abonné : personne physique ou morale bénéficiant, selon des conditions définies et acceptées, d'un service d'horodatage électronique assuré par un prestataire de services d'horodatage électronique ;
11° Utilisateur : personne physique ou morale, dont l'abonné, qui se fie à une contremarque de temps.Versions
Un procédé d'horodatage électronique est présumé fiable si le prestataire de services d'horodatage électronique mettant en œuvre ce procédé et le module d'horodatage utilisé satisfont aux exigences fixées au présent chapitre.Versions
Le prestataire de services d'horodatage électronique se conforme aux exigences suivantes :
1° Disposer de personnel ayant les connaissances, l'expérience et les qualifications nécessaires à la fourniture de services d'horodatage électronique ;
2° Appliquer des procédures de sécurité appropriées ;
3° Utiliser des systèmes et des produits assurant la sécurité technique et cryptographique des fonctions qu'ils assurent, notamment un module d'horodatage satisfaisant aux exigences de l'article 4 ;
4° Assurer que l'horloge interne du module d'horodatage est synchronisée avec une ou plusieurs sources de temps fiable selon les performances garanties par le prestataire de services d'horodatage électronique et cesser de délivrer des contremarques de temps en cas de désynchronisation en dehors des performances garanties ;
5° Prendre toute disposition propre à prévenir la falsification des contremarques de temps ;
6° Disposer d'un certificat d'horodatage ;
7° Conserver toutes les informations relatives au fonctionnement du service d'horodatage électronique et utiles à la manifestation de la preuve d'une date selon des règles appropriées de confidentialité et d'intégrité ;
8° Mettre à disposition des utilisateurs et des abonnés par les moyens les plus appropriés les informations suivantes :
a) Ses coordonnées permettant d'entrer en contact rapidement et de communiquer directement avec lui ;
b) Les conditions générales d'utilisation des services d'horodatage électronique ;
c) Les conditions générales de vérification des contremarques de temps et notamment le certificat d'horodatage ;
d) Les performances garanties et notamment la précision de la date des contremarques de temps et l'échelle de temps utilisée ;
e) Les principales caractéristiques techniques des dispositifs utilisés et les procédures qu'il met en place ;
f) Le cas échéant la mention de la qualification visée à l'article 6 ;
g) Les voies ouvertes pour les réclamations et le règlement des litiges ;
9° Avoir défini un plan de cessation d'activité permettant de garantir la continuité du service de vérification des contremarques de temps émises ; en particulier, en cas de cessation d'activité le prestataire de services d'horodatage électronique doit informer préalablement les utilisateurs de cette cessation et des conditions dans lesquelles sera assurée la continuité du service de vérification des contremarques de temps ;
10° Publier sans délai tout événement affectant la fiabilité des contremarques de temps émises ;
11° Etre capable de démontrer le respect des exigences précitées.Versions
Le module d'horodatage satisfait aux exigences suivantes :
1° Délivrer des contremarques de temps comportant chacune, selon les règles et normes en vigueur, au moins les éléments suivants :
a) La représentation de la donnée horodatée ;
b) La valeur du temps au moment de sa production ;
c) Le cachet de la contremarque de temps ;
2° Générer des données de signature des contremarques de temps du prestataire de services d'horodatage électronique, garantir que cette production peut être réalisée exclusivement par des personnes autorisées et empêcher toute importation ou exportation de ces données ;
3° Assurer, par des moyens techniques et des procédures appropriés, la confidentialité et l'intégrité des données de signature des contremarques de temps du prestataire de services d'horodatage électronique durant tout le cycle de vie de ces données et permettre la destruction sûre de ces mêmes données en fin de vie ;
4° Assurer, par des moyens techniques appropriés, la fiabilité de la synchronisation de l'horloge interne avec une ou plusieurs sources de temps fiables ;
5° Etre capable d'identifier et d'authentifier les personnes accédant au module d'horodatage ;
6° Contrôler l'accès aux composantes du module d'horodatage selon l'identité et la fonction des personnes ;
7° Détecter toute compromission ou tentative de compromission et d'altérations physiques à l'encontre du module cryptographique et entrer dans un état sûr lorsque de telles tentatives sont détectées sur la protection des données de signature de contremarque de temps ;
8° Etre capable de mener une série de tests pour vérifier que le module cryptographique fonctionne correctement et entrer dans un état sûr si ce module cryptographique détecte une erreur ;
9° Créer des enregistrements d'audit pour chaque modification concernant la sécurité du module cryptographique et la synchronisation de l'horloge interne avec une ou plusieurs sources de temps fiables ;
10° Permettre de créer un cachet de contremarque de temps qui ne révèle pas les données de signature de contremarque de temps du prestataire de services d'horodatage électronique et qui ne peut pas être falsifié sans la connaissance de ces données.Versions
Le module d'horodatage peut être certifié, par le Premier ministre, conforme aux exigences définies à l'article 4 dans les conditions prévues par le décret du 18 avril 2002 susvisé.VersionsLiens relatifs
Peuvent demander à être reconnus comme qualifiés les prestataires de services d'horodatage électronique qui satisfont aux exigences fixées à l'article 3 et dont le module d'horodatage est certifié conforme dans les conditions fixées à l'article 5.
Cette qualification, qui vaut présomption de conformité auxdites exigences, est délivrée par des organismes accrédités après une évaluation favorable réalisée par ces mêmes organismes.
La procédure d'accréditation des organismes mentionnée au deuxième alinéa et la procédure d'évaluation et de qualification des prestataires de services d'horodatage électronique sont définies par arrêté du ministre chargé de l'industrie.Versions
Le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration, la ministre de l'économie, des finances et de l'industrie et le ministre auprès de la ministre de l'économie, des finances et de l'industrie, chargé de l'industrie, de l'énergie et de l'économie numérique, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.Versions
Fait le 20 avril 2011.
François Fillon
Par le Premier ministre :
Le ministre auprès de la ministre de l'économie,
des finances et de l'industrie,
chargé de l'industrie,
de l'énergie et de l'économie numérique,
Eric Besson
Le ministre de l'intérieur,
de l'outre-mer, des collectivités territoriales
et de l'immigration,
Claude Guéant
La ministre de l'économie,
des finances et de l'industrie,
Christine Lagarde