Retour sur les principales dispositions de la loi 15-04 relatives à la signature électronique

signature électronique

L’adoption de la loi N°15-04 exprime une volonté de l’Algérie de prendre le pas de la modernisation de son économie et de son administration. Cette volonté perceptible déjà depuis plusieurs années, a commencé par l’informatisation des registres d’état civil et la mise en place d’un identifiant national pour chaque citoyen, et actuellement, il est même question de paiement électronique et e-commerce dans un avenir proche.

Dans cet article nous tacherons de vous présenter la signature électronique telle que définie par cette loi ainsi que l’organisation à mettre en place afin d’assurer la certification électronique de cette signature.

  • Objectifs principaux de la loi 15-04 :

Cette Loi a pour objectif principal la dématérialisation et la fluidification des transactions commerciales et administratives en instaurant la reconnaissance de la signature électronique comme équivalent légal de la signature manuscrite, seule signature, jusque-là acceptée, comme base légale d’identification du signataire.

Ainsi elle introduit pour la première fois un cadre juridique solide permettant l’échange entre acteurs dans un environnement entièrement connecté.

Afin de donner à chacun le pouvoir et la liberté d’affirmer son identité à chaque instant et où qu’il soit, d’une part et d’assurer dans un réseau ouvert tel l’internet, la confidentialité, l’authentification, l’intégrité de l’information véhiculée et la protection de ses auteurs d’autre part, cette loi prévoit de mettre en place une organisation et un ensemble de mesures que nous vous proposons d’examiner ci-après.

  • Signature électronique

La loi 15-04, dans son Article 2 Alinéa 1 et au niveau de son Article 6, défini La signature électronique comme un ensemble de données électroniques jointes ou logiquement liées servant de méthode d’authentification de l’identité du signataire et de l’adhésion de ce dernier au contenu de l’écrit sous forme électronique.

La Loi attribue, la qualité d’équivalence à une signature manuscrite, à la seule signature électronique qualifiée (bénéficiant d’un certificat électronique qualifié), tout en ne privant pas toutes autres signatures électroniques de leur efficacité juridique, sauf si à l’origine cette signature était conditionnée par son caractère manuscrit auquel cas sauf la signature électronique certifiée peut assurer cette efficacité (Articles 7,8 & 9).

En sus l’Article 7 ajoute que pour qu’une signature électronique soit désignée comme qualifiée, elle doit satisfaire aux principales exigences suivantes :

  1. être réalisée sur la base d'un certificat électronique qualifié,
  2. être conçue par des moyens sécurisés de création de signature électronique, de telle sorte que toute modification ultérieure des données soit détectée,
  3. être créé par des moyens que le signataire puisse garder sous son contrôle exclusif.
  • Certificat électronique qualifié :

Tel que défini par la loi type de la Commission des Nations Unies pour le Droit Commercial International (CNUDCI) et la loi n°15-04, le Certificat électronique désigne un document sous forme électronique attestant du lien entre les données de vérification d’une signature électronique qualifiée et le signataire.

Le certificat électronique qualifié est un certificat numérique qui répond aux principales exigences suivantes :

  1. Etre délivré par un tiers de confiance agréé par l’Autorité gouvernementale de certification électronique pour ce qui est des intervenants dans la Branche gouvernementale et par un Prestataire de services agréé par l’Autorité économique de certification électronique pour ce qui est des autres opérateurs et du public,
  2. Doit contenir principalement :
  • Une indication que le certificat électronique est délivré à titre de certificat qualifié,
  • L’identification du prestataire de services de certification ou du tiers de confiance autorisé ayant délivré le certificat électronique et le pays dans lequel il / elle, est établie,
  • Le nom du signataire ou un pseudonyme pour l’identifier,
  • Les   données   de   vérification   de   signature   qui correspondent   aux   données   de   création   de   signature électronique et notamment la Clef cryptographique publique délivrée par l’une des deux Autorités gouvernementale ou économique selon le cas,
  • L'indication du début et de la fin de la période de validité du certificat électronique,
  • Le code d'identité du certificat électronique,
  • La signature électronique qualifiée du fournisseur de certification électronique ayant délivré le certificat électronique,
  • Les limites de valeur des transactions pour lesquelles le certificat électronique peut être utilisé le cas échéant.
 

La Branche gouvernementale regroupe les institutions, administrations et établissements publiques tels que définis par la législation en vigueur.

La Clef cryptographique publique est une chaine de chiffres émise par l’Autorité gouvernementale ou économique et insérée dans le certificat électronique certifié par les fournisseurs de ce dit certificat.

Notons que les Autorités gouvernementale et économiques font partie des Autorités publiques de contrôle et de régulation à mettre en place par l’Etat et feront l’objet d’un chapitre suivant.

  • Fournisseurs de Certificats électroniques qualifiés :

La Loi prévoit deux fournisseurs autorisés de certificats électroniques certifiés : le Tiers de confiance et le Prestataire de services.

Le Tiers de confiance :

Le Tiers de confiance est une personnalité morale, autorisée par l’Autorité gouvernementale, chargée de délivrer les certificats électroniques qualifiés aux acteurs de la Branche gouvernementale.

Le Prestataire de services :

Le Prestataire de services est une personne physique ou morale, autorisée par l’Autorité économique, chargée de délivrer les certificats électroniques qualifiés aux acteurs autres que ceux de la Branche gouvernementale, y compris aux personnes physiques.

Le fournisseur de certificats électroniques est chargé de l’enregistrement, de l’émission, de la délivrance, de la révocation, de la publication et de la conservation des certificats dans le respect de la politique approuvée par l’Autorité concernée.

Il a l’obligation de vérifier la véracité des données et informations liées aux certificats délivrés et d’en préserver la confidentialité.

Il est tenu également de transférer à l’autorité concernée les informations relatives aux certificats électroniques après leur expiration en vue de leur conservation par ces dernières.  

Tout fournisseur de certificat électronique doit être de droit algérien ou de nationalité algérienne lorsqu’il s’agit d’une personne physique.

La personne physique ou le gérant de la personne morale doit disposer des capacités financières nécessaires, des qualifications idoines et d’une expérience avérée dans le domaine des technologies de l’information et ne pas avoir fait l’objet de condamnation pour crime ou délit incompatible avec l’activité de certification électronique.   

  • Dispositif de création et de vérification de la signature électronique qualifiée :

Ce dispositif doit être homologué par les services compétents, qui seront définis par voie règlementaire.

Ce dispositif doit permettre de générer une signature électronique dotée d’une Clef cryptographique privée, liée à la Clef cryptographique publique contenue dans le certificat électronique qualifié délivré par te Tiers de confiance ou le Prestataire de services, selon le cas, de manière :

  • à ce que les données utilisées ne puissent se rencontrer qu’une seule fois ou ne puissent être trouvées par déduction,
  • à ce que les données ainsi que la signature électronique soient protégées contre toutes intrusions, falsification ou utilisation frauduleuse par tous les moyens techniques disponibles au moment de l’homologation.
 

Il doit être aussi capable de vérifier les signatures électroniques reçues de manière :

  • à ce que les données utilisées pour la vérification soient identiques à celles de la signature,
  • à ce que l’authenticité et la validité du certificat électronique et l’identité du signataire soient vérifiées de manière sûre.
 

La Clef cryptographique privée est une chaine de chiffres détenue exclusivement par le signataire et utilisée pour créer une signature électronique qualifiée, elle est liée à une Clef cryptographique publique.

  • Responsabilités du titulaire de certificat électronique qualifié :

Une fois le certificat électronique qualifié obtenu, le titulaire est responsable :

  • de la confidentialité des données de création de sa signature,
  • de faire révoquer le certificat électronique par le fournisseur de ce certificat en cas de doute sur confidentialité ou la perte de conformité aux données contenues dans la signature électronique,
  • de la non utilisation des données de création de signature liées à un certificat révoqué ou arrivé à échéance, pour signer ou se faire établir un autre certificat par un autre fournisseur avec ses mêmes données.
  • de n’utiliser son certificat électronique qualifié qu’aux fins pour lesquelles il a été établi.  
 
  • Autorités de contrôle et de régulation :

La Loi prévoit la mise en place de trois corps administratifs étatiques chargés du contrôle et de la régulation de l’activité de certification électronique. Il s’agit d’une autorité nationale créée auprès du Premier ministre et qui constitue l’autorité la plus haute et deux autorités gouvernementale et économique auprès du Ministre des postes et télécommunications.     

L’Autorité nationale de certification électronique :

C’est une Autorité administrative indépendante placée sous la responsabilité du Premier ministre, jouissant de la personnalité morale et de l’autonomie financière et émargeant au budget de l’Etat.

Chargée de la promotion et du développement de la signature et de la certification électronique, elle a comme missions principales :

  • L’élaboration de la politique générale nationale en matière de certification électronique après approbation du Premier ministre,
  • L’approbation des politiques de certification émises par les Autorités gouvernementale et économique,
  • La proposition de tout projet de texte législatif au Premier ministre pour approbation,
  • L’audit des Autorités gouvernementale et économiques.
 

L’Autorité gouvernementale de certification électronique :

C’est une Autorité placée sous la responsabilité du ministre chargé de la poste, des technologies de l’information et de la communication, jouissant de la personnalité morale et de l’autonomie financière.

Chargée du suivi et du contrôle de l’activité de certification électronique des Tiers de confiance, elle a pour missions principales :

  • L’élaboration de sa politique de certification électronique et sa soumission pour approbation auprès de l’Autorité nationale,
  • L’approbation des politiques de certification électronique émises par les Tiers de confiance et veiller à leur application,
  • La conservation des certificats électroniques expirés et les données liées pour des besoins d’actions en justice le cas échéant,
  • La publication du certificat électronique de clef cryptographique publique pour les Tiers de confiance,
  • L’audit des Tiers de confiance.
 

L’Autorité économique de certification électronique :

L’Autorité actuellement en charge de la régulation de la poste et des télécommunications est désignée, au sens de la présente Loi, Autorité économique de certification électronique.

Chargée du suivi et du contrôle de l’activité de certification électronique des Prestataires de services, elle a pour missions principales :

  • L’élaboration de sa politique de certification électronique et sa soumission pour approbation auprès de l’Autorité nationale,
  • L’approbation des politiques de certification électronique émises par les Prestataires de services, et d’autoriser leurs activités après approbation de l’Autorité nationale,
  • La conservation des certificats électroniques expirés et les données liées pour des besoins d’actions en justice le cas échéant,
  • La publication du certificat électronique de clef cryptographique publique pour les Prestataires de services,
  • de suppléer à l’activité d’un Prestataire de services en cas d’incapacité de ce dernier à remplir ses obligations,
  • L’audit des Prestataires de services avant leur autorisation ou au cours de leur activité.
 
  • Documents éligibles à la signature électronique :

La loi n’est restrictive à aucun document signé électroniquement, qu’il soit signé électroniquement de manière qualifiée (doté d’un certificat électronique qualifié) ou non.

Elle précise même que tout document envoyé ou reçu électroniquement n’est pas privé de son efficacité légale.

Le but principal de cette Loi est celui de mettre l’accent que lorsque le document, selon les lois préalablement existantes, requiert une signature manuscrite cette dernière peut être valablement sur le plan légal remplacée par une signature électronique qualifiée.

Cependant, nous pensons qu’il est utile de préciser que certaines circonstances particulières peuvent se présenter où la signature manuscrite pourrait être toujours requise, à titre d’exemple, un acte notarié où la présence physique de témoins est exigée par la loi pour valider légalement la signature de ce document, ou bien le cas où un document nécessitant l’apposition d’un timbre fiscale humide ou l’apostille notariale.

Enfin, nous pensons que l’application de cette Loi ne prendra sa pleine mesure qu’en fonction des efforts entrepris par les opérateurs économiques ou administratifs dans la dématérialisation de leur propre processus d’information.

  • Sanctions pécuniaires, administratives et pénales :

La Loi afin d’assurer une application conforme à ses prescriptions met en place une série d’infractions faisant l’objet de sanctions financières et/ou pénales.

Ces infractions sont résumées ci-après :

  • Tout prestataire de services ne respectant pas les dispositions de son cahier des charges ou de sa politique de certification électronique approuvée par son Autorité,
  • Toute personne coupable de fausses déclarations,
  • Tout prestataire de services ayant failli à l’obligation d’informer son Autorité de sa cessation d’activité dans les délais requis,
  • Toute personne coupable d’utilisation de données de création de signature électronique d’autrui,
  • Toute personne manquant sciemment à l’obligation d’identification du demandeur de certificat électronique,
  • Tout prestataire de services n’ayant pas préservé la confidentialité des données et informations liées aux certificats électroniques,
  • Tout prestataire de services n’ayant pas recueilli le consentement de l’intéressé avant l’utilisation de ses données personnelles,
  • Tout prestataire de services exerçant sans autorisation ou après le retrait de cette dernière,
  • Toute personne chargée d’un audit et qui révèle, des informations confidentielles recueillies lors de cet audit, à autrui,
  • Tout personne qui utilise son certificat électronique à d’autres fins que celles pour lesquelles il a été délivré ou continue de l’utiliser après son expiration ou sa révocation,
 

Concernant les personnes physiques les peines encourues, selon la gravité de l’infraction, peuvent aller du simple retrait d’autorisation et de la saisine des équipements jusqu’à des amendes pouvant atteindre un montant maximum de 5 millions de Dinars et des peines d’emprisonnement de 3 ans maximum.

Lorsqu’une personne morale est coupable de l’une des infractions citées plus haut, encourent une amende équivalente à cinq (5) fois le maximum prévu pour la personne physique.

Lazhar sahbani

Associé / Partner

PwC Algérie

Lire plus :
Fermer