publié le 29 septembre 2001
Loi fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification
9 JUILLET 2001. - Loi fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification
ALBERT II, Roi des Belges, A tous, présents et à venir, Salut.
Les Chambres ont adopté et Nous sanctionnons ce qui suit : CHAPITRE Ier. - Disposition générale
Article 1er.La présente loi règle une matière visée à l'article 78 de la Constitution. CHAPITRE II. - Définitions et champ d'application de la loi Section 1re. - Définitions
Art. 2.La présente loi transpose les dispositions de la directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques.
Pour l'application de la présente loi et de ses arrêtés d'exécution, on entend par : 1° « signature électronique » : une donnée sous forme électronique jointe ou liée logiquement à d'autres données électroniques et servant de méthode d'authentification;2° « signature électronique avancée » : une donnée électronique, jointe ou liée logiquement à d'autres données électroniques, servant de méthode d'authentification et satisfaisant aux exigences suivantes : a) être liée uniquement au signataire;b) permettre l'identification du signataire;c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif;d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectée;3° « certificat » : une attestation électronique qui lie des données afférentes à la vérification de signature à une personne physique ou morale et confirme l'identité de cette personne;4° « certificat qualifié » : un certificat qui satisfait aux exigences visées à l'annexe I de la présente loi et qui est fourni par un prestataire de service de certification satisfaisant aux exigences visées à l'annexe II de la présente loi;5° « titulaire de certificat » : une personne physique ou morale à laquelle un prestataire de service de certification a délivré un certificat;6° « données afférentes à la création de signature » : des données uniques, telles que des codes ou des clés cryptographiques privées, que le signataire utilise pour créer une signature électronique avancée;7° « dispositif sécurisé de création de signature » : un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la création de signature qui satisfait aux exigences de l'annexe III de la présente loi;8° « données afférentes à la vérification de signature » : des données, telles que des codes ou des clés cryptographiques publiques, qui sont utilisées pour vérifier une signature électronique avancée;9° « dispositif de vérification de signature » : un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la vérification de signature;10° « prestataire de service de certification » : toute personne physique ou morale qui délivre et gère des certificats ou fournit d'autres services liés aux signatures électroniques;11° « produit de signature électronique » : tout produit matériel ou logiciel, ou élément spécifique de ce produit, destiné à être utilisé par un prestataire de service de certification pour la fourniture de services de signature électronique ou pour la création ou la vérification de signatures électroniques;12° « Administration » : l'administration du ministère des Affaires économiques qui est chargée des tâches relatives à l'accréditation et au contrôle des prestataires de service de certification délivrant des certificats qualifiés et établis en Belgique;13° « entité » : organisme qui démontre sa compétence sur base d'un certificat délivré par le système belge d'accréditation conformément à la loi du 20 juillet 1990Documents pertinents retrouvés type loi prom. 20/07/1990 pub. 10/06/2010 numac 2010000325 source service public federal interieur Loi instaurant un âge flexible de la retraite pour les travailleurs salariés et adaptant les pensions des travailleurs salariés à l'évolution du bien-être général. - Coordination officieuse en langue allemande type loi prom. 20/07/1990 pub. 26/05/2011 numac 2011000307 source service public federal interieur Loi visant à promouvoir la présence équilibrée d'hommes et de femmes dans les organes possédant une compétence d'avis. - Coordination officieuse en langue allemande type loi prom. 20/07/1990 pub. 02/12/2010 numac 2010000669 source service public federal interieur Loi relative à la détention préventive Coordination officieuse en langue allemande fermer concernant l'accréditation des organismes de certification et de contrôle, ainsi que des laboratoires d'essais, ou par un organisme équivalent établi dans l'Espace économique européen. Section 2. - Champ d'application
Art. 3.La présente loi fixe certaines règles relatives au cadre juridique pour les signatures électroniques et définit le régime juridique applicable aux opérations effectuées par les prestataires de service de certification ainsi que les règles à respecter par ces derniers et les titulaires de certificats sans préjudice des dispositions légales concernant les règles de représentations des personnes morales.
La présente loi instaure également un régime d'accréditation volontaire. CHAPITRE III. - Principes généraux
Art. 4.§ 1er. A défaut de dispositions légales contraires, nul ne peut être contraint de poser un acte juridique par voie électronique. § 2. Nul prestataire de service de certification ne peut être contraint de demander une autorisation préalable pour exercer ses activités.
Néanmoins, les prestataires de service de certification délivrant des certificats qualifiés établis en Belgique doivent communiquer les informations suivantes à l'Administration, soit dans le mois suivant la publication de la présente loi, soit avant le début de leurs activités : - leur nom; - l'adresse géographique où ils sont établis; - les coordonnées permettant de les contacter rapidement, y compris leur adresse de courrier électronique; - le cas échéant, leur titre professionnel et leurs références et leurs numéros d'identification (registre de commerce, T.V.A.); - la preuve qu'une assurance a été souscrite en vue de couvrir leurs obligations visées à l'article 14.
L'Administration leur délivre un récépissé dans les cinq jours ouvrables suivant la réception de leur communication. § 3. Le Roi peut, par arrêté délibéré en Conseil des Ministres, soumettre l'usage des signatures électroniques dans le secteur public à des exigences supplémentaires éventuelles. Ces exigences doivent être objectives, transparentes, proportionnées et non discriminatoires et ne s'appliquer qu'aux caractéristiques spécifiques de l'application concernée. Ces exigences ne peuvent pas constituer un obstacle aux services transfrontaliers pour les citoyens. § 4. Sans préjudice des articles 1323 et suivants du Code civil, une signature électronique avancée réalisée sur la base d'un certificat qualifié et conçue au moyen d'un dispositif sécurisé de création de signature électronique, est assimilée à une signature manuscrite, qu'elle soit réalisée par une personne physique ou morale. § 5. Une signature électronique ne peut être privée de son efficacité juridique et ne peut être refusée comme preuve en justice au seul motif : - que la signature se présente sous forme électronique, ou - qu'elle ne repose pas sur un certificat qualifié, ou - qu'elle ne repose pas sur un certificat qualifié délivré par un prestataire accrédité de service de certification, ou - qu'elle n'est pas créée par un dispositif sécurisé de création de signature.
Art. 5.§ 1er. Sans préjudice de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, un prestataire de service de certification qui délivre des certificats à l'intention du public ne peut recueillir des données personnelles que directement auprès de la personne concernée ou avec le consentement explicite de celle-ci et uniquement dans la mesure où cela est nécessaire à la délivrance et à la conservation du certificat. Les données ne peuvent être recueillies ni traitées à d'autres fins sans le consentement explicite de la personne intéressée. § 2. Lorsque le titulaire du certificat utilise un pseudonyme et lorsque les nécessités de l'instruction l'exigent, le prestataire de service de certification ayant délivré le certificat est tenu de communiquer toute donnée relative à l'identité du titulaire dans les circonstances et selon les conditions prévues par les articles 90ter à 90decies du Code d'instruction criminelle. CHAPITRE IV. - Des produits de signature électronique
Art. 6.Lorsqu'un produit de signature électronique est conforme à des normes dont les numéros de référence sont publiés au Journal officiel des Communautés européennes conformément à la procédure visée par la directive 99/93/CE du Parlement et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques, ce produit est présumé conforme aux exigences visées à l'annexe II point f), et à l'annexe III de la présente loi.
Art. 7.§ 1er. Les exigences relatives aux dispositifs sécurisés de création de signature électronique sont reprises à l'annexe III de la présente loi. § 2. La conformité des dispositifs sécurisés de création de signature électronique par rapport aux exigences visées à l'annexe III de la présente loi est attestée par des organismes compétents désignés par l'Administration et dont la liste est communiquée à la Commission européenne. § 3. Le Roi détermine les conditions auxquelles doivent répondre les organismes visés au paragraphe précèdent. § 4. La conformité établie par un organisme désigné par un autre Etat membre de l'Espace économique européen est reconnue en Belgique. CHAPITRE V. - Des prestataires de service de certification délivrant des certificats qualifiés Section 1re. - Des certificats qualifiés
Sous-section 1re. - Des missions
Art. 8.§ 1er. Préalablement à la délivrance d'un certificat, le prestataire de service de certification vérifie la complémentarité des données afférentes à la création et à la vérification de signature. § 2. Après avoir vérifié son identité et, le cas échéant, ses qualités spécifiques, le prestataire de service de certification délivre un ou plusieurs certificats à toute personne qui en fait la demande. § 3. En ce qui concerne les personnes morales, le prestataire de services de certification tient un registre contenant le nom et la qualité de la personne physique qui représente la personne morale et qui fait usage de la signature liée au certificat, de telle manière qu'à chaque utilisation de cette signature, on puisse établir l'identité de la personne physique.
Art. 9.Le prestataire de service de certification fournit un exemplaire du certificat au candidat titulaire.
Art. 10.Le prestataire de service de certification conserve un annuaire électronique comprenant les certificats qu'il délivre et le moment de leur expiration.
Sous-section 2 Exigences relatives aux certificats qualifiés
Art. 11.§ 1er. Les certificats qualifiés doivent satisfaire aux exigences visées à l'annexe I de la présente loi. § 2. Les prestataires de service de certification qui délivrent des certificats qualifiés doivent satisfaire aux exigences visées à l'annexe II de la présente loi.
Sous-section 3 De la révocation des certificats qualifiés
Art. 12.§ 1er. A la demande du titulaire du certificat, préalablement identifié, le prestataire de service de certification révoque immédiatement le certificat. § 2. Le prestataire de service de certification révoque également un certificat lorsque : 1° il existe des raisons sérieuses pour admettre que le certificat a été délivré sur base d'informations erronées ou falsifiées, que les informations contenues dans le certificat ne sont plus conformes à la réalité ou que la confidentialité des données afférentes à la création de signature a été violée;2° les tribunaux ont ordonné les mesures prévues à l'article 20, § 4, b);3° le prestataire de service de certification arrête ses activités sans qu'il n'y ait reprise de celles-ci par un autre prestataire de service de certification garantissant un niveau de qualité et de sécurité équivalent;4° le prestataire de service de certification est informé du décès de la personne physique ou de la dissolution de la personne morale qui en est le titulaire. Le prestataire de service de certification informe le titulaire de certificat, sauf en cas de décès, de la révocation et motive sa décision. Un mois avant l'expiration d'un certificat, le prestataire de service de certification informe son titulaire de celle-ci. § 3. La révocation d'un certificat est définitive.
Art. 13.§ 1er. Le prestataire de service de certification prend les mesures nécessaires afin de répondre à tout moment et sans délai à une demande de révocation. § 2. Immédiatement après la décision de révocation, le prestataire de service de certification inscrit la mention de la révocation du certificat dans l'annuaire électronique visé à l'article 10.
La révocation est opposable aux tiers à partir de cette inscription.
Sous-section 4. - De la responsabilité des prestataires de service de certification délivrant des certificats qualifiés
Art. 14.§ 1er. Un prestataire de service de certification qui délivre à l'intention du public un certificat présenté comme qualifié ou qui garantit au public un tel certificat est responsable du préjudice causé à tout organisme ou personne physique ou morale qui, en bon père de famille, se fie raisonnablement à ce certificat pour ce qui est de : a) l'exactitude de toutes les informations contenues dans le certificat qualifié à la date où il a été délivré et la présence, dans ce certificat, de toutes les données prescrites pour un certificat qualifié;b) l'assurance que, au moment de la délivrance du certificat, le signataire identifié dans le certificat qualifié détenait les données afférentes à la création de signature correspondant aux données afférentes à la vérification de signature fournies ou identifiées dans le certificat;c) l'assurance que les données afférentes à la création de signature et celles afférentes à la vérification de signature puissent être utilisées de façon complémentaire, dans le cas où le prestataire de service de certification génère ces deux types de données; sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence. § 2. Un prestataire de service de certification qui a délivré à l'intention du public un certificat présenté comme qualifié est responsable du préjudice causé à un organisme ou à une personne physique ou morale qui se prévaut raisonnablement du certificat, pour avoir omis de faire enregistrer la révocation du certificat, sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence. § 3. Un prestataire de service de certification peut indiquer, dans un certificat qualifié, les limites fixées à son utilisation, à condition que ces limites soient discernables par des tiers. Le prestataire de service de certification ne doit pas être tenu responsable du préjudice résultant de l'usage d'un certificat qualifié qui dépasse les limites fixées à son utilisation. § 4. Un prestataire de service de certification peut indiquer, dans un certificat qualifié, la valeur maximale des transactions pour lesquelles le certificat peut être utilisé, à condition que cette valeur soit discernable par des tiers. Le prestataire de service de certification n'est pas responsable des dommages qui résultent du dépassement de cette valeur maximale.
Sous-section 5. - De l'arrêt des activités des prestataires de service de certification délivrant des certificats qualifiés
Art. 15.§ 1er. Le prestataire de service de certification qui délivre des certificats qualifiés informe l'Administration dans un délai raisonnable de son intention de mettre fin à ses activités de prestataire de service de certification qualifiée ainsi que de toute action qui pourrait conduire à la cessation de ses activités. Dans ce cas, il doit s'assurer de la reprise de celles-ci par un autre prestataire de service de certification garantissant un même niveau de qualité et de sécurité, ou à défaut, révoque les certificats deux mois après en avoir averti les titulaires. Dans ce cas, le prestataire de service de certification prend les mesures nécessaires pour satisfaire à l'obligation prévue à l'Annexe II, i). § 2. Le prestataire de service de certification qui arrête ses activités pour des raisons indépendantes de sa volonté ou en cas de faillite en informe immédiatement l'Administration. Il procède, le cas échéant, à la révocation des certificats et prend les mesures nécessaires pour satisfaire à l'obligation prévue à l'Annexe II, i).
Sous-section 6. - Certificats délivrés à titre de certificats qualifiés par des prestataires de service de certification étrangers
Art. 16.§ 1er. Un certificat qualifié délivré à l'intention du public par un prestataire de service de certification qui est établi dans un Etat membre de l'Espace économique européen est assimilé aux certificats qualifiés délivrés par un prestataire de service de certification établi en Belgique. § 2. Les certificats délivrés à titre de certificats qualifiés à l'intention du public par un prestataire de service de certification établi dans un pays tiers sont reconnus équivalents, sur le plan juridique, aux certificats délivrés par un prestataire de service de certification établi en Belgique : a) si le prestataire de service de certification remplit les conditions visées par sa réglementation nationale transposant la directive 99/93/CE du Parlement et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques et a été accrédité dans le cadre d'un régime volontaire d'accréditation établi dans un Etat membre de l'Espace économique européen; ou b) si un prestataire de service de certification établi dans la Communauté européenne, qui satisfait aux exigences visées par la réglementation nationale transposant la directive 99/93/CE du Parlement et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques, garantit le certificat; ou c) si le certificat ou le prestataire de service de certification est reconnu en application d'un accord bilatéral ou multilatéral entre la Communauté européenne et des pays tiers ou des organisations internationales. Section 2. - Des prestataires de service de certification accrédités
Art. 17.§ 1er. Un prestataire de service de certification qui répond aux exigences de l'annexe II, délivrant des certificats qualifiés qui répondent aux exigences de l'annexe I et qui utilise des dispositifs de création répondant aux exigences de l'annexe III, peut demander une accréditation à l'Administration.
L'accréditation prévue par la présente loi se base sur le résultat d'une évaluation, par une entité visée à l'article 2, 13°, de la conformité aux exigences des annexes I, II et III, et le cas échéant, à celles liées à d'autres services et produits délivrés par les prestataires de service de certification. § 2. Le Roi précise les conditions visées au § 1er et fixe : 1° la procédure de délivrance, de suspension et de retrait de l'accréditation;2° les redevances dues au « Fonds pour l'accréditation » pour la délivrance, la gestion et la surveillance de l'accréditation;3° les délais d'examen de la demande;4° les modalités du contrôle des prestataires de service de certification accrédités. § 3. Le choix de recourir à un prestataire de services de certification accrédité est libre.
Art. 18.L'Administration : 1° octroie et retire les accréditations.Cette mission s'exerce selon des règles, par des services et des personnes distincts de ceux visés à l'article 20, § 2; 2° coordonne l'application cohérente et transparente des principes et procédures d'accréditation en application de la présente loi;3° supervise les procédures d'audit des entités visées à l'article 2, 13°) ainsi que les activités de ces entités dans le cadre des procédures d'accréditation;4° communique à la Commission et aux Etats de l'Espace économique européen : a) les informations sur le régime volontaire d'accréditation instauré en application de la présente loi;b) les nom et adresse de tous les prestataires de service de certification accrédités dans ce cadre;5° exécute l'ensemble des notifications visées à l'article 11 de la directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques. CHAPITRE VI. - Des titulaires de certificat
Art. 19.§ 1er. Dès le moment de la création des données afférentes à la création de signature, le titulaire du certificat est seul responsable de la confidentialité de ces données. § 2. En cas de doute quant au maintien de la confidentialité des données afférentes à la création de signature ou de perte de conformité à la réalité des informations contenues dans le certificat, le titulaire est tenu de faire révoquer le certificat. § 3. Lorsqu'un certificat est arrivé à échéance ou a été révoqué, le titulaire de celui-ci ne peut, après l'expiration du certificat ou après révocation, utiliser les données afférentes à la création de signature correspondantes pour signer ou faire certifier ces données par un autre prestataire de service de certification. CHAPITRE VII. - Du contrôle et des sanctions
Art. 20.§ 1er. Le Roi détermine, par arrêté délibéré en Conseil des Ministres, les règles relatives au contrôle des prestataires de service de certification ainsi que les moyens de droit dont l'Administration peut se prévaloir. § 2. L'Administration est chargée du contrôle des prestataires de service de certification qui délivrent des certificats qualifiés au public. Sous certaines conditions, fixées par le Roi, l'Administration est habilitée à demander aux prestataires de service de certification, toutes les informations nécessaires à la vérification de l'observation, par ceux-ci, de la présente loi. § 3. Lorsque l'Administration constate qu'un prestataire de service de certification, établi en Belgique, qui délivre des certificats qualifiés, n'observe pas les prescriptions de la présente loi, elle le met en défaut et fixe un délai raisonnable endéans lequel le prestataire de service de certification doit avoir pris les mesures nécessaires afin d'agir à nouveau en conformité avec la loi. § 4. Si après l'expiration de ce délai, les mesures nécessaires n'ont pas été prises, l'Administration saisira les tribunaux afin : a) de défendre au prestataire de service de certification de continuer à délivrer des certificats qualifiés et b) d'enjoindre au prestataire de service de certification d'informer immédiatement les titulaires des certificats qualifiés, délivrés par lui, de leur non-conformité aux prescriptions de la présente loi. § 5. Si, après l'écoulement du délai précité, le prestataire de service de certification accrédité en vertu de l'article 17 n'a pas régularisé sa situation, l'Administration procède au retrait d'office de son accréditation.
Le prestataire de service de certification est tenu de mentionner dans son annuaire électronique le retrait de l'accréditation et d'en informer sans délai les titulaires de certificats.
Art. 21.§ 1er. Sera puni d'une peine de huit jours à trois mois de prison et d'une amende de mille à dix mille francs, ou d'une de ces peines seulement, quiconque aura usurpé la qualité de prestataire de service de certification accrédité. § 2. En condamnant du chef d'infraction visé au paragraphe 1er, la juridiction compétente peut ordonner l'insertion du jugement, intégralement ou par extraits, dans un ou plusieurs journaux, dans les conditions qu'elle détermine, aux frais du condamné.
Promulguons la présente loi, ordonnons qu'elle soit revêtue du sceau de l'Etat et publiée par le Moniteur belge.
Donné à Bruxelles, le 9 juillet 2001.
ALBERT Par le Roi : Le Ministre de l'Economie, Ch. PICQUE Le Ministre de la Justice, M. VERWILGHEN Le Ministre des Télécommunications et des Entreprises et Participations publiques, R. DAEMS Scellé du sceau de l'Etat : Le Ministre de la Justice, M. VERWILGHEN _______ Notes (1) Chambre des Représentants : Session ordinaire 1999-2000. Documents parlementaires. - Projet de loi n° 322/1.
Session ordinaire 2000-2001.
Documents parlementaires. - Amendement n° 322/2 - Rapport n° 322/3 - Texte adopté par la Commission de l'Economie, de la Politique scientifique, de l'Education, des Institutions scientifiques et culturelles nationales, des Classes moyennes et de l'Agriculture n° 322/4 - Texte adopté en séance plénière et transmis au Sénat n° 322/5 - Projet amendé par le Sénat n° 322/6 - Rapport n° 322/7 - Texte adopté en séance plénière et soumis à la sanction royale n° 322/8.
Annales de la Chambre des Représentants - Compte rendu intégral : 15 février 2001. - Adoption : 14 juin 2001.
Sénat : Session ordinaire 2000-2001.
Documents du Sénat - Projet transmis par la Chambre des Représentants n° 2-662/1 - Amendements nos 2-662/2 et 3 - Rapport n° 2-662/4 - Texte amendé par la commission n° 2-662/5 - Amendements n° 2-662/6 - Texte adopté en séance plénière et renvoyé à la Chambre des Représentants n° 2-662/7. Annales du Sénat - 17 mai 2001.
Formalités prescrites par la Directive 98/34/CE Les formalités prescrites par la Directive 98/34/CE du 22 juin 1998 du Parlement européen et du Conseil, prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information, ont été accomplies (notification 2000/0050/B).
ANNEXE I Exigences concernant les certificats qualifiés Tout certificat qualifié doit comporter : a) la mention indiquant que le certificat est délivré à titre de certificat qualifié;b) l'identification du prestataire de service de certification ainsi que le pays dans lequel il est établi;c) le nom du signataire ou un pseudonyme qui est identifié comme tel;d) la possibilité d'inclure, le cas échéant, une qualité spécifique du signataire, en fonction de l'usage auquel le certificat est destiné;e) des données afférentes à la vérification de signature qui correspondent aux données pour la création de signature sous le contrôle du signataire;f) l'indication du début et de la fin de la période de validité du certificat;g) le code d'identité du certificat;h) la signature électronique avancée du prestataire de service de certification qui délivre le certificat;i) les limites à l'utilisation du certificat, le cas échéant et j) les limites à la valeur des transactions pour lesquelles le certificat peut être utilisé, le cas échéant. ANNEXE II Exigences concernant les prestataires de service de certification délivrant des certificats qualifiés Les prestataires de service de certification doivent : a) faire la preuve qu'ils sont suffisamment fiables pour fournir des services de certification;b) assurer le fonctionnement d'un service d'annuaire rapide et sûr et d'un service de révocation sûr et immédiat;c) veiller à ce que la date et l'heure d'émission et de révocation d'un certificat puissent être déterminées avec précision;d) vérifier, par des moyens appropriés et conformes au droit national, l'identité et, le cas échéant, les qualités spécifiques de la personne à laquelle un certificat qualifié est délivré;e) employer du personnel ayant les connaissances spécifiques, l'expérience et les qualifications nécessaires à la fourniture des services et, en particulier, des compétences au niveau de la gestion, des connaissances spécialisées en technologie des signatures électroniques et une bonne pratique des procédures de sécurité appropriées;ils doivent également appliquer des procédures et méthodes administratives et de gestion qui soient adaptées et conformes à des normes reconnues; f) utiliser des systèmes et des produits fiables qui sont protégés contre les modifications et qui assurent la sécurité technique et cryptographique des fonctions qu'ils assument;g) prendre des mesures contre la contrefaçon des certificats et, dans les cas où le prestataire de service de certification génère des données afférentes à la création de signature, garantir la confidentialité au cours du processus de génération de ces données;h) disposer des ressources financières suffisantes pour fonctionner conformément aux exigences prévues par la présente loi, en particulier pour endosser la responsabilité de dommages, en contractant, par exemple, une assurance appropriée;i) enregistrer toutes les informations pertinentes concernant un certificat qualifié pendant le délai utile de 30 ans, en particulier pour pouvoir fournir une preuve de la certification en justice. Ces enregistrements peuvent être effectués par des moyens électroniques; j) ne pas stocker ni copier les données afférentes à la création de signature de la personne à laquelle le prestataire de service de certification a fourni des services de gestion de clés;k) avant d'établir une relation contractuelle avec une personne demandant un certificat à l'appui de sa signature électronique, informer cette personne par un moyen de communication durable des modalités et conditions précises d'utilisation des certificats, y compris des limites imposées à leur utilisation, de l'existence d'un régime volontaire d'accréditation et des procédures de réclamation et de règlement des litiges.Cette information, qui peut être transmise par voie électronique, doit être faite par écrit et dans une langue aisément compréhensible. Des éléments pertinents de cette information doivent également être mis à la disposition, sur demande, de tiers qui se prévalent du certificat; l) utiliser des systèmes fiables pour stocker les certificats sous une forme vérifiable de sorte que : a) seules les personnes autorisées puissent introduire et modifier des données, b) l'information puisse être contrôlée quant à son authenticité, c) les certificats ne soient disponibles au public pour des recherches que dans les cas où le titulaire du certificat a donné son consentement et d) toute modification technique mettant en péril ces exigences de sécurité soit apparente pour l'opérateur. ANNEXE III Exigences pour les dispositifs sécurisés de création de signature électronique 1. Les dispositifs sécurisés de création de signature doivent au moins garantir, par les moyens techniques et procédures appropriés, que : a) les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu'une seule fois et que leur confidentialité soit raisonnablement assurée;b) l'on puisse avoir l'assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles;c) les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d'autres.2. Les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer ni empêcher que ces données soient soumises au signataire avant le processus de signature. ANNEXE IV Recommandations pour la vérification sécurisée de la signature Durant le processus de vérification de la signature, il convient de veiller, avec une marge de sécurité suffisante, à ce que : a) les données utilisées pour vérifier la signature correspondent aux données affichées à l'intention du vérificateur;b) la signature soit vérifiée de manière sûre et que le résultat de cette vérification soit correctement affiché;c) le vérificateur puisse, si nécessaire, déterminer de manière sûre le contenu des données signées;d) l'authenticité et la validité du certificat requis lors de la vérification de la signature soient vérifiées de manière sûre;e) le résultat de la vérification ainsi que l'identité du signataire soient correctement affichés; f) l'utilisation d'un pseudonyme soit clairement indiquée et g) tout changement ayant une influence sur la sécurité puisse être détecté.