Publié le 21 avril 2022
Signature électronique
La signature électronique est un procédé technique permettant de garantir l'authenticité d'un document, d'un message ou d’autres données électroniques et de s'assurer de l'identité du signataire. Elle repose sur une infrastructure gérée par des fournisseurs de services de certification. Afin d'encourager le développement du commerce électronique, le législateur donne aux fournisseurs de services de certification la possibilité de se faire reconnaître sur une base volontaire. Ils peuvent ainsi démontrer que la qualité, la fiabilité et la sécurité des services fournis sont conformes aux normes applicables. A certaines conditions, la loi assimile en outre la signature électronique à la signature manuscrite.
Les fournisseurs reconnus de certificats réglementés et qualifiés doivent se soumettre aux exigences figurant dans la loi (SCSE), l'ordonnance (OSCSE) et les prescriptions techniques et administratives relatives aux services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques.
L'organisme de reconnaissance évalue régulièrement la conformité.
Les fournisseurs d'autres types de certificats numériques ne sont pas tenus de se conformer aux dispositions précitées et ne sont pas surveillés par un organisme indépendant.
Les exigences de la loi fédérale du 18 mars 2016 sur les services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques (SCSE) sont comparables à celles qui figurent dans le règlement (UE) No 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
Les prescriptions techniques et administratives de l'OFCOM font référence à des normes européennes reconnues par de nombreux pays européens. Ainsi, des millions de certificats dits «qualifiés» conformes à des critères très similaires ont été émis dans les pays européens.
Toutefois, les certificats qualifiés européens ne sont pas automatiquement reconnus en Suisse. Il en va de même des certificats qualifiés suisses dans l’Union européenne. La reconnaissance mutuelle des signatures électroniques nécessite en effet la conclusion d’accords internationaux. La Suisse n’a pour l’instant conclu aucun accord de ce genre.
Il existe différents types de certificats. Les exigences de la SCSE ne concernent que les CSP qui délivrent des certificats dits «réglementés» et «qualifiés». L'utilisateur d'autres types de certificats (le vérificateur de la signature électronique) est contraint de déterminer si les règles adoptées par le CSP pour délivrer le certificat sont suffisantes. Il ne doit pas uniquement considérer la terminologie désignant le certificat car on ne peut empêcher qu'une même désignation soit utilisée pour divers types de certificats. Ainsi, un certificat dit «avancé» peut être généré selon des critères différents.
- Le titulaire d'un certificat qualifié peut générer des signatures électroniques ayant la même valeur légale que des signatures manuscrites;
- Le titulaire et l'utilisateur d’un certificat réglementé ou qualifié ont l'assurance que le certificat a été élaboré selon des critères de sécurité définis dans la loi et contrôlés régulièrement par un organisme indépendant;
- Les profils des certificats réglementés ou qualifiés sont définis dans les prescriptions techniques et administratives de l’OFCOM et dans les normes internationales référencées;
- L'étendue de la responsabilité du titulaire d’un certificat réglementé ou qualifié a été clairement définie par le législateur à l'art. 59a CO;
- Lorsqu'ils contreviennent à leurs obligations découlant de la loi et des dispositions d'exécution, l'organisme de reconnaissance et le fournisseur de services de certification reconnu répondent du dommage causé au titulaire d’un certificat réglementé ou qualifié valable et aux tiers qui se sont fiés à ce certificat.
Un certificat réglementé ou qualifié délivré par un CSP reconnu contient notamment:
- la mention qu'il est délivré à titre de certificat réglementé ou qualifié;
- le nom du fournisseur qui a délivré le certificat;
- le nom de l'organisme de reconnaissance.
Par ailleurs, le Service d'accréditation suisse (SAS) publie la liste des CSP reconnus.
Le CSP reconnu n'est tenu de se conformer aux règles de la SCSE et n'est surveillé par l'organisme de reconnaissance que dans le cadre de la délivrance de certificats réglementés ou qualifiés.
L'utilisateur doit être conscient que pour d'autres types de certificats les critères de sécurité exigés dans la SCSE et ses dispositions d'exécution ne doivent pas forcément être respectés par le CSP.
Les CSP ne peuvent délivrer des certificats réglementés ou qualifiés que s'ils sont reconnus.
Seules les signatures électroniques avec horodatage électronique qualifié au sens de la loi sur la signature électronique et basées sur un certificat qualifié émanant d'un CSP reconnu jouissent d'une valeur juridique équivalente aux signatures manuscrites. De plus, la reconnaissance constitue un label de qualité et de sécurité démontrant la compétence du CSP. S'il s'agit de fournir d'autres types de certificats, la reconnaissance n'est pas nécessaire.
Les CSP intéressés doivent s'adresser à l'unique organisme de reconnaissance :
KPMG SA
Information Risk Management
Badenerstrasse 172
8026 Zurich
Tel. +41 58 249 31 31
www.kpmg.chLorsqu'un CSP étranger a déjà obtenu une reconnaissance de la part d'un organisme de reconnaissance étranger, l'organisme de reconnaissance suisse peut le reconnaître s'il est prouvé que:
- la reconnaissance a été octroyée conformément au droit de l’Etat en question;
- les règles du droit étranger applicables à l'octroi de la reconnaissance sont équivalentes à celles du droit suisse;
- l'organisme de reconnaissance étranger possède des qualifications équivalentes à celles qui sont exigées d'un organisme de reconnaissance suisse;
- l'organisme de reconnaissance étranger garantit sa collaboration à l'organisme de reconnaissance suisse pour la surveillance du CSP en Suisse.
Aucun CSP étranger ne s’est jusqu’à présent fait reconnaître de cette manière en Suisse. Seuls des CSP suisses ont été reconnus par l’organisme de reconnaissance suisse.
Un CSP étranger peut par ailleurs être automatiquement reconnu en Suisse si un accord international a été conclu entre la Suisse et le pays d’établissement du CSP. La Suisse n’a pour l’instant conclu aucun accord de ce genre.
Le service d'accréditation tient une liste actualisée des CSP reconnus sur son site Internet
Liste des fournisseurs de services de certification reconnus
Les CSP ont déployé des autorités d'enregistrement dans plusieurs villes et régions. Par ailleurs, des autorités d'enregistrement mobiles peuvent être engagées dans certains cas.
Les titulaires des certificats qualifiés doivent être des personnes physiques.
Toutefois, un certificat qualifié peut être attribué à une personne physique représentant une personne morale. Dans ce cas, il est possible de mentionner les qualités de cette personne dans le certificat ainsi que le nom de la personne morale.
Les titulaires des certificats réglementés peuvent être des personnes physiques ou des entités IDE.
Pour les personnes physiques, il est possible de mentionner un pseudonyme au lieu du nom dans un certificat réglementé ou qualifié.
Les certificats qualifiés ne peuvent être utilisés que pour la signature électronique de personnes physiques. La signature électronique assure l'authenticité et l'intégrité des données. Elle est mise en œuvre pour sécuriser la transmission de données ainsi que pour l'archivage de celles-ci.
Les certificats réglementés peuvent aussi être utilisés pour la signature électronique de personnes physiques. Ils peuvent en outre être utilisés par des entités IDE pour authentifier des données électroniques. Ils servent aussi au chiffrement de données électroniques et à l'authentification de personnes physiques ou d'entités IDE.
Si la procédure de signature est conforme aux exigences fixées dans la loi, l'ordonnance et les prescriptions techniques et administratives sur les services de certification dans le domaine de la signature électronique, une signature électronique qualifiée peut être élaborée par un processus automatisé.
Le CSP n'est pas tenu de procéder à la lecture de ces informations aux requérants de certificats durant la procédure d'enregistrement.
La présence du requérant d'un certificat n'est pas requise lors de la génération de ses clés par le CSP.
Le signataire ne doit pas impérativement prendre connaissance des données à signer. Le dispositif de création de signature utilisé ne doit cependant pas faire obstacle à ce que le signataire ait connaissance des données à signer avant de procéder à la signature.
Il n'est pas nécessaire de fournir les données d'activation à chaque signature. Il est possible d'effectuer une série de signatures en ne fournissant qu'une seule fois les données d'activation.
Il est possible de transcrire les données d'activation. Celles-ci doivent cependant être conservées en lieu sûr et séparément du dispositif de création de signature.
Des produits certifiés à l'étranger conformes aux exigences mentionnées dans les prescriptions techniques et administratives peuvent être fournis par un CSP suisse si l'organisme étranger ayant procédé à la certification du produit a été accrédité par un organisme d'accréditation signataire de la convention multilatérale (Multilateral Agreement) correspondante de l'EA (European Accreditation).
L'organisme de reconnaissance est chargé de vérifier la certification du produit.
La norme ETSI EN 319 411-2 à laquelle les CSP doivent se conformer selon les prescriptions techniques et administratives de l'OFCOM se réfère au guide ETSI TS 119 312 pour le choix d'algorithmes et de longueurs de clés.
Le service d'annuaire n'est pas obligatoire.
Les CSP doivent mettre en œuvre un service d'horodatage (Time Stamping) et fournir des contremarques de temps (Time stamps) aux titulaires de certificats réglementés ou qualifiés qui le demandent.
Selon l'art. 14, al. 2bis, du code des obligations (CO), seule la signature électronique qualifiée, basée sur un certificat qualifié délivré par un fournisseur de services de certification reconnu et munie d'un horodatage qualifié au sens de la loi sur la signature électronique (SCSE) est assimilée à la signature manuscrite. Cependant, peu de transactions requièrent en Suisse une signature électronique qualifiée assimilable à la signature manuscrite (crédit à la consommation par ex.) puisque le droit suisse des contrats est basé sur le principe de la liberté de la forme. D'autres types de signatures électroniques peuvent donc être utilisés dans des cas qui ne requièrent pas la signature manuscrite par des parties à un contrat qui sont conscientes des limites d'utilisation.
Toutefois, en utilisant de manière générale les produits d'un fournisseur reconnu, l'utilisateur a la certitude de la reconnaissance juridique des transactions pour lesquelles la forme écrite est exigée. Il peut en outre démontrer au vérificateur de la signature qu'un certain niveau de sécurité a été mis en œuvre au moment de la signature.
A ce jour, aucun accord de reconnaissance mutuelle des signatures électroniques n’a été conclu entre la Suisse et un pays tiers (ou l’Union européenne). En l'absence d'un tel accord, une signature électronique qualifiée basée sur un certificat qualifié selon un droit étranger n'est pas reconnue comme équivalente à une signature électronique qualifiée selon le droit suisse. Une signature électronique qualifiée suisse n’est quant à elle pas reconnue équivalente à une signature électronique qualifiée à l’étranger. Certains fournisseurs de services de certification reconnus en Suisse sont capables de fournir des solutions légalement reconnues dans des pays tiers.