Politique de signature Qualigaz V1

Politique de signature
Ce document est la « Politique de signature » de Qualigaz. Il permet de décrire les conditions et contextes
dans lesquelles sont réalisées, traitées et conservées les signatures électroniques nécessaires à la
dématérialisation de documents via l’utilisation du service CCWEB.
ère
QZR6708 – 1
édition – Avril 2013
1
CHAMP D’APPLICATION _______________________________________________________ 4
1.1
Contexte_______________________________________________________________________ 4
1.2
Objet du présent document _______________________________________________________ 5
1.3
Définitions _____________________________________________________________________ 5
1.4
Principe _______________________________________________________________________ 7
2
IDENTIFICATION _____________________________________________________________ 7
3
GESTION DU DOCUMENT ______________________________________________________ 7
3.1
Publication_____________________________________________________________________ 7
3.2
Processus de mise à jour __________________________________________________________ 8
3.2.1
3.2.2
3.2.3
3.2.4
3.3
4
Cohérence de la documentation____________________________________________________ 9
ACTEURS & RÔLES____________________________________________________________ 9
4.1
Les acteurs _____________________________________________________________________ 9
4.1.1
4.1.2
4.1.3
Le client _____________________________________________________________________________ 9
Qualigaz _____________________________________________________________________________ 9
Universign de Cryptolog _______________________________________________________________ 10
4.2
Chronologie des interventions ____________________________________________________ 10
4.3
Rôles et obligations d’Universign de Cryptolog _______________________________________ 11
4.3.1
4.3.2
4.4
Service de signature du Certificat cachet serveur. __________________________________________ 11
Signature d’un Certificats de conformité ou signature Client. _________________________________ 11
Rôles et obligations de Qualigaz___________________________________________________ 11
4.4.1
4.4.2
4.4.3
4.4.4
4.4.5
4.4.6
4.4.7
4.4.8
4.4.9
5
Circonstances rendant une mise à jour nécessaire ___________________________________________ 8
Prise en compte des mises à jour _________________________________________________________ 8
Information des acteurs ________________________________________________________________ 8
Entrée en vigueur de la nouvelle version et période de validité_________________________________ 8
Certificats de conformité ______________________________________________________________ 11
Outil de signature électronique utilisé ____________________________________________________ 11
Type de certificat utilisé _______________________________________________________________ 12
Vérification de signature électronique____________________________________________________ 12
Protection des moyens ________________________________________________________________ 12
Journalisation _______________________________________________________________________ 12
Reprise en cas d’interruption de service __________________________________________________ 12
Assistance aux utilisateurs _____________________________________________________________ 12
Limitations des responsabilités de Qualigaz _______________________________________________ 13
4.5
Rôles et obligations du client _____________________________________________________ 13
4.6
Rôle et obligations du signataire __________________________________________________ 13
SIGNATURE ÉLECTRONIQUE ET VALIDATION______________________________________ 13
5.1
Opérations de signature _________________________________________________________ 13
5.1.1
5.1.2
5.1.3
5.2
Présentation des informations à signer : __________________________________________________ 14
Présentation des attributs de la signature au signataire______________________________________ 14
Interaction avec le client : consentement explicite et possibilité d’arrêt du processus de signature ___ 14
Signature du client _____________________________________________________________ 14
5.2.1
Caractéristiques du poste du client ______________________________________________________ 14
Page 2/19
ère
QZR6708 – 1
édition – Avril 2013
5.2.2
5.2.3
5.3
Signature de Qualigaz ___________________________________________________________ 15
5.3.1
5.3.2
5.3.3
5.3.4
5.3.5
5.4
Caractéristiques du poste ______________________________________________________________ 15
Données signées par Qualigaz __________________________________________________________ 15
Opérations de signature _______________________________________________________________ 15
Type de signature ____________________________________________________________________ 15
Caractéristiques du serveur de signature _________________________________________________ 16
Caractéristiques des signatures ___________________________________________________ 16
5.4.1
5.4.2
5.4.3
5.4.4
5.4.5
5.4.6
6
Données signées par le client ___________________________________________________________ 14
Type de signature ____________________________________________________________________ 15
Norme de signature __________________________________________________________________ 16
Algorithmes utilisables pour la signature__________________________________________________ 16
Mise en forme canonique______________________________________________________________ 16
Horodatage de la signature ____________________________________________________________ 16
Conditions pour déclarer valide le fichier signé_____________________________________________ 17
Vérification de la signature_____________________________________________________________ 17
POLITIQUE DE CONFIDENTIALITE _______________________________________________ 17
6.1
Classification des informations____________________________________________________ 17
6.2 Accès aux informations confidentielles par les utilisateurs des services de Qualigaz ou par des
tiers 18
7
DISPOSITIONS JURIDIQUES____________________________________________________ 18
7.1
Droit applicable ________________________________________________________________ 18
7.2
Règlement des différends ________________________________________________________ 18
7.3
Propriété intellectuelle des infrastructures Qualigaz __________________________________ 18
7.4
Données nominatives ___________________________________________________________ 18
Page 3/19
ère
QZR6708 – 1
édition – Avril 2013
1 CHAMP D’APPLICATION
1.1 Contexte
Qualigaz est un organisme de contrôle dont la mission principale est l’amélioration de la sécurité et de la
qualité des installations intérieures domestiques de gaz.
Qualigaz est notamment agréé par arrêté ministériel pour viser les certificats de conformité et effectuer les
contrôles prévus par les articles 25 et 26 de l’arrêté du 2 aout 1977 relatifs aux règles techniques et de
sécurité applicables aux installations de gaz combustible et d’hydrocarbures liquéfiés situées à l’intérieur de
bâtiments d’habitation. Qualigaz est accrédité par le COFRAC (Comité Français d’Accréditation) pour
effectuer ces missions.
Ainsi, les travaux effectués sur des installations neuves, modifiées, complétées et les remplacements
d’appareil réalisés par un professionnel ou un particulier (l’installateur) doivent faire l’objet d’un certificat de
conformité visé par Qualigaz.
L’installateur achète, complète ce certificat et le signe. Qualigaz réceptionne ce certificat.
Qualigaz vérifie les informations portées sur le certificat selon les procédures en vigueur au sein de son
organisation. Dans le cas où le certificat de conformité et l’installation (lorsque le contrôle de celle-ci est
nécessaire) ne présentent pas d’anomalie, un représentant de Qualigaz, dûment habilité à le faire, vise le
certificat de conformité.
Afin de simplifier au maximum les démarches des professionnels, Qualigaz met à leur disposition une
application de gestion Web des certificats désignée : CCWEB. L’utilisation de ce service nécessite une
adhésion préalable et permet à l’installateur de compléter et transmettre son certificat de conformité à
Qualigaz via internet. Lorsque le contrôle de l’installation n’est pas nécessaire, et hors installations neuves,
le service CCWEB permet aux professionnels titulaires de l’appellation PG de dématérialiser le processus de
traitement des certificats de conformité via un procédé de signature électronique.
Une signature électronique permet de garantir l’intégrité des données signées, identifie celui qui l’appose et
manifeste son consentement aux obligations qui découlent de cet acte. Lorsque ces fonctions de signature
électronique sont mises à disposition des signataires, il est important qu’ils aient connaissance du contexte
dans lequel cette signature électronique est produite, des rôles, des obligations que chaque acteur endosse
et des conditions dans lesquelles cette signature sera ultérieurement traitée, conservée et tenue disponible
pour vérification.
Cette faculté de signature électronique est rendue possible en vertu des textes législatifs suivants :
•
Décret 2005-973 du 10 août 2005 ;
•
Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999, sur un cadre
communautaire pour les signatures électroniques - Journal officiel L 013 du 19/01/2000, p.0012 –
0020 ;
•
Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de
l'information et relative à la signature électronique ;
•
Décret n° 2001-272 du 30 mars 2001 pris pour l'app lication de l'article 1316-4 du code civil et relatif
à la signature électronique ;
•
Décret n° 2002-535 du 18 avril 2002 relatif à l'év aluation et à la certification de la sécurité offerte par
les produits et les systèmes des technologies de l'information ;
•
Décision de la Commission du 14 juillet 2003 (2003/511/CE) relative à la publication des numéros de
référence de normes généralement admises pour les produits de signatures électroniques
conformément à la directive 1999/93/CE du Parlement européen et du Conseil [notifiée sous le
numéro C(2003) 2439]
Page 4/19
ère
QZR6708 – 1
édition – Avril 2013
1.2 Objet du présent document
L’objet de ce document « Politique de Signature » est de décrire :
•
Les conditions dans lesquelles sont réalisées, traitées, conservées ces signatures électroniques ;
•
Les conditions et contexte dans lesquels ces signatures électroniques seront ultérieurement
consultables, utilisables, vérifiables.
Ce document est destiné aux :
•
Aux clients signataires pour assurer la transparence des opérations de signature des contrats
dématérialisés ;
•
Aux éventuels destinataires ultérieurs de ces documents signés, qui auront nécessairement besoin
d’avoir connaissance des conditions dans lesquelles ces signatures électroniques ont été réalisées.
La présente « Politique de signature » s’applique aux transactions de signatures électroniques produites
pour la signature des :
•
Contrat d’adhésion au CCWEB
•
Certificats de conformité
1.3 Définitions
Authentification
Processus permettant de vérifier l’identité déclarée d’une personne ou de toute autre entité, ou de garantir
l’origine de données reçues.
Autorité de certification
Autorité chargée par un ou plusieurs utilisateurs de créer et d’attribuer des certificats.
Bi clé
Un bi clé est un couple composé d’une clé privée (devant être tenue secrète) et d’une clé publique,
nécessaire à la mise en œuvre de techniques cryptologiques basées sur des algorithmes asymétriques.
CCWEB
Service internet développé par Qualigaz permettant notamment au client de saisir, gérer, transmettre et
signer ses certificats de conformités en ligne, intégrant les fonctions de signatures électroniques et mettant à
disposition des signataires des informations en vue de leur signature. Cette application est développée par
Qualigaz qui en assume la maintenance.
Certificat
Clé publique d’un utilisateur, concaténée à d’autres informations rendues infalsifiables par signature avec la
clé privée de l’autorité de certification qui l’a délivré.
Certificat d’AC
Certificat d’une autorité de certification.
Client
Installateur professionnel titulaire de l’appellation PG, adhérant au service CCWEB.
Cryptolog
Partenaire de Qualigaz, spécialisé dans les démarches de dématérialisation mettant en jeu des signatures
électroniques. Opérateur porteur de l’application destinée à produire les signatures électroniques et utilisée
Page 5/19
ère
QZR6708 – 1
édition – Avril 2013
par le client et le salarié de Qualigaz pour apposer une signature électronique sur un document. Tiers de
confiance garantissant la validité, l’unicité et l’intégrité des documents signés par voie électronique.
Déclaration des pratiques de certification (DPC)
Déclaration des pratiques mises en œuvre par une autorité de certification pour émettre et gérer des
certificats
Documents
Documents concernés par l’apposition d’une ou plusieurs signatures électroniques, à savoir, le contrat
d’adhésion au CCWEB et/ou les certificats de conformité.
Données d’activation
Données privées associées à un porteur permettant d’initialiser ses éléments secrets.
GESCOM
Système d’informations interne à Qualigaz permettant aux salariés de Qualigaz de gérer et viser les
certificats de conformité.
Infrastructure de gestion de Clés
Ensemble de composantes fournissant des services de gestion de clés et de certificats au profit d’une
communauté d’utilisateurs.
Liste de Certificats Révoqués
Liste contenant les identifiants des certificats révoqués ou invalides.
PAdES
PDF Advanced Electronic Signatures : Norme émise par l'ETSI (European Telecommunications Standards
Institute) permettant de produire des signatures électroniques avancées pour le format PDF.
Politique de certification (PC)
Ensemble de règles relatives à l’applicabilité d’un certificat à une communauté et / ou à une classe
d’applications ayant des besoins de sécurité communs.
Politique d’horodatage
Ensemble de règles relative à l’émission de jetons d’horodatages.
Référentiel Général de Sécurité (RGS)
Le Référentiel Général de Sécurité (RGS) définit un ensemble de règles de sécurité qui s'imposent aux
autorités administratives dans la sécurisation de leurs systèmes d’information. Il propose également des
bonnes pratiques en matière de sécurité des systèmes d’information que les autorités administratives sont
libres d’appliquer.
Signataire
Personne physique utilisant son ordinateur pour signer par voie électronique un document.
Universign
Plateforme de signature électronique en ligne développée par Cryptolog.
Page 6/19
ère
QZR6708 – 1
édition – Avril 2013
1.4 Principe
Dans le cadre du contexte décrit au chapitre 1.1 du présent document, la signature est réalisée par le client
via son équipement informatique personnel et le service internet CCWEB fournit par Qualigaz. Pour ce faire,
le client est redirigé vers la plateforme de signature Universign de la société Cryptolog. La signature du client
est alors horodatée permettant ainsi d’en garantir l’originalité.
La signature de Qualigaz est réalisée via le matériel informatique fourni aux salariés de l’association et via
l’application GESCOM. De manière identique, le signataire est redirigé vers la plateforme de signature
Universign de Cryptolog. La signature de Qualigaz est alors horodatée permettant d’en garantir l’originalité.
Le document signé par les deux parties est ainsi figé et archivé. Les signatures électroniques horodatées
permettent de garantir l’intégrité du contrat et des certificats de conformité, de les dater formellement et
d’attester ultérieurement leur validité juridique.
Cette faculté de signature électronique est rendue possible en application de l’article 1316-4 du Code civil
issu de la loi n°2000-230 du 13 mars 2000 puisqu’el le consiste en l'usage d'un procédé fiable d'identification
garantissant son lien avec l'acte auquel elle s'attache.
Dans le cadre des applications CCWEB et GESCOM, la politique de signature est accessible et acceptée de
manière transparente par les signataires, préalablement à la réalisation des opérations de signatures
électroniques.
2 IDENTIFICATION
La présente « Politique de signature » est identifiée au sein du référentiel documentaire de Qualigaz par un
numéro unique d’identification : QZR6708, associé à un numéro de version.
Le système documentaire de Qualigaz permet d’archiver les dates de validité des différentes versions
successives de la « Politique de signature ».
3 GESTION DU DOCUMENT
3.1 Publication
La présente Politique de signature est publiée sur le site internet Qualigaz et notamment sur les pages
dédiées au service CCWEB.
La présente Politique de signature est publiée sur le site intranet de Qualigaz destinés aux salariés de
l’association.
Page 7/19
ère
QZR6708 – 1
édition – Avril 2013
3.2 Processus de mise à jour
3.2.1 Circonstances rendant une mise à jour nécessaire
La mise à jour de la politique de signature est un processus impliquant tous les acteurs et faisant l’objet
d’une démarche rigoureuse. Il est enclenché essentiellement pour procéder à des modifications importantes,
pour prendre en compte de nouveaux besoins, de nouveaux acteurs, améliorer le cadre juridique ou combler
des lacunes.
La Politique de Signature est réexaminée lors de toute modification majeure des applications CCWEB,
GESCOM et Universign de Cryptolog.
3.2.2 Prise en compte des mises à jour
Toutes les remarques ou souhaits d’évolution sur la présente politique sont à adresser par courriel à
l’adresse suivante : [email protected]
Ces remarques et souhaits d’évolution seront examinés par Qualigaz dans le cadre de sa procédure de
gestion documentaire. Qualigaz engagera si nécessaire le processus de mise à jour de la présente Politique
de Signature.
Une signature électronique est toujours valide au regard de la Politique de Signature qui s’appliquait au
moment de la signature électronique.
3.2.3 Information des acteurs
Lorsqu’une mise à jour a été planifiée, les informations relatives à cette évolution sont mises en ligne sur les
lieux de publication.
Indépendamment de ce mode de communication, les acteurs peuvent à tout moment se renseigner auprès
de Qualigaz pour obtenir plus d’informations, en envoyant un mail à [email protected].
La publication d’une nouvelle version de la Politique de Signature consiste à archiver la version précédente
et mettre en ligne le document en vigueur sous forme .PDF incluant notamment :
• Son numéro unique d’identification et sa version
• La date et l’heure exacte d’entrée en vigueur
Le document archivé porte, en filigrane sur ses pages, la mention "Document obsolète".
3.2.4 Entrée en vigueur de la nouvelle version et période de validité
Lorsqu’une nouvelle version de la Politique de Signature est mise en ligne, l’application CCWEB est mise à
jour pour que les contrats signés à partir de la date d’entrée en vigueur de la nouvelle version intègrent la
dernière version du document.
Les clients, précédemment abonnés à CCWEB, sont invités à prendre connaissance de la nouvelle version
de la politique de signature et à l’accepter.
La politique de signature demeure valide jusqu'à l’entrée en vigueur d'une nouvelle version
Page 8/19
ère
QZR6708 – 1
édition – Avril 2013
3.3 Cohérence de la documentation
Cette Politique de Signature décrit le contexte de production des signatures et, de fait, ne constitue qu’une
brique du référentiel documentaire de Qualigaz.
Qualigaz s’assure de la cohérence de ce référentiel documentaire et de l’adéquation de la présente Politique
de Signature avec les autres documents, plus particulièrement les procédures d’archivages associées.
4 ACTEURS & RÔLES
4.1 Les acteurs
4.1.1 Le client
Le client est un installateur professionnel titulaire de l’appellation PG identifié dans la base de données client
de Qualigaz.
Le client désigne des signataires au sein de son organisation qui seront amenées à signer par voie
électronique des documents en son nom. Le client doit s’assurer que les signataires ont pris connaissance à
titre individuel de la présente politique de signature.
L’identité du signataire est garantie :
• Par l’envoie d’un SMS contenant un code à usage unique lors de la première signature électronique
précédent la possibilité d’utilisation des codes d’identification personnels
• Par la suite, l’utilisation des identifiants de connexion pour accéder au service CCWEB
Lors de l’opération de signature :
• Le présent document « Politique de Signature » est rendu accessible au client et à son signataire
préalablement à la conclusion du contrat et à la signature des certificats de conformité.
• Le client peut renoncer à l’adhésion au CCWEB et donc au recours au procédé de signature
électronique si les informations contenues dans ce document ne lui conviennent pas.
• Le client accepte explicitement le contenu de ce document via la signature du contrat d’adhésion
CCWEB.
4.1.2 Qualigaz
Qualigaz est l’association qui met à disposition le service CCWEB. Elle en est aussi le développeur et
l’opérateur technique.
Les signataires de Qualigaz sont des personnes physiques ayant pour fonction de viser les certificats de
conformité.
Les signataires de Qualigaz n’ont en aucun cas la capacité de modifier l’application développée par
Qualigaz et intégrée à l’outil GESCOM qu’ils utilisent pour effectuer les signatures électroniques.
Ils sont identifiés individuellement.
Page 9/19
ère
QZR6708 – 1
édition – Avril 2013
4.1.3 Universign de Cryptolog
Cryptolog est le développeur et l’opérateur technique de la plateforme de signature électronique utilisée
dans CCWEB par le client et Qualigaz.
Universign est l’application permettant de réaliser la signature électronique.
4.2 Chronologie des interventions
Dans le cadre de la signature d’un contrat CCWEB :
•
Qualigaz met à disposition du client son site internet Qualigaz,
•
Via ce site, le client peut souhaiter adhérer au service CCWEB,
•
Qualigaz recueille les informations nécessaires à l’identification du client et notamment sa référence
Qualigaz,
•
Qualigaz permet au client de prendre connaissance de la présente politique de signature,
•
Qualigaz génère un contrat (format .pdf) reprenant les informations fournies sans les modifier et
permettant de présenter le contrat dématérialisé sous une forme lisible, imprimable et exploitable à
la fois par le client et par Qualigaz,
•
Qualigaz dirige le client vers Universign de Cryptolog,
•
Le client est identifié à l’aide d’un SMS,
•
Après identification, le client signe le contrat par voie électronique sur Universign de Cryptolog au
moyen d’une authentification garantissant son lien avec l’acte auquel il s’attache,
•
Qualigaz signe le contrat par voie électronique sur Universign de Cryptolog au moyen de son
certificat électronique,
•
Cryptolog horodate chacune de ces signatures électroniques pour dater le contrat et mettre en
capacité les signataires ou une tierce personne de vérifier la qualité de la signature électronique à
posteriori de la phase de contractualisation,
•
Cryptolog conserve ce contrat électronique dans des conditions de sécurité permettant de garantir
sa confidentialité et son intégrité dans le temps.
Dans le cadre de la signature d’un certificat de conformité :
•
Qualigaz met à disposition du client son service CCWEB auquel le client a préalablement adhéré par
voie contractuelle,
•
Via ce service, le client achète son certificat de conformité et saisie les informations nécessaires,
•
Qualigaz génère un certificat de conformité (format .pdf) reprenant les informations fournies sans les
modifier et permettant de présenter le certificat de conformité dématérialisé sous une forme lisible,
imprimable et exploitable à la fois par le client et par Qualigaz,
•
Qualigaz dirige le client vers Universign de Cryptolog,
•
Le client signe le certificat de conformité par voie électronique sur Universign de Cryptolog et le
transfert à Qualigaz,
•
Qualigaz enregistre le certificat de conformité,
•
Dans le cas où le certificat de conformité ne comporte pas d’anomalie et qu’il n’est pas soumis à
contrôle, Qualigaz signe le certificat de conformité par voie électronique sur Universign de Cryptolog
au moyen de son certificat électronique, Cryptolog horodate chacune de ces signatures
électroniques pour dater le certificat de conformité et mettre en capacité les signataires ou une tierce
personne de vérifier la qualité de la signature électronique à posteriori,
Page 10/19
ère
QZR6708 – 1
édition – Avril 2013
•
Cryptolog conserve ce contrat électronique dans des conditions de sécurité permettant de garantir
sa confidentialité et son intégrité dans le temps,
•
Qualigaz met à disposition du client le certificat de conformité dématérialisé via l’espace personnel
du client sur CCWEB.
4.3 Rôles et obligations d’Universign de Cryptolog
Cryptolog, opérateur de la plate-forme de signature électronique Universign, s’engage à opérer la plateforme conformément à sa politique de certification et à sa politique d’horodatage, ainsi que d’opérer le
service de signature du Certificat de cachet serveur conformément aux engagements présenté dans cette
section.
4.3.1 Service de signature du Certificat cachet serveur.
Cryptolog, en tant qu’opérateur de la plate-forme de signature électronique Universign s’engage à
•
générer et utiliser la Bi-clé de cachet serveur de Qualigaz dans un dispositif cryptographique
répondant aux exigences de la PC/DPC, avec des algorithmes compatibles avec les exigences de la
PC/DPC.
•
à garder la Bi-Clé sous le contrôle exclusif de Qualigaz,c’est-à-dire, ne pas utiliser la Bi-Clé sans
authentification et ordre des personnes autorisées par Qualigaz.
•
à assurer la protection de la clé privée de signature de Qualigaz en intégrité et en confidentialité,
•
à ne pas transmettre à des tiers les moyens d’authentification permettant d’utiliser la clé de
Signature de Qualigaz,
4.3.2 Signature d’un Certificats de conformité ou signature Client.
Cryptolog, en tant qu’opérateur de la plate-forme de signature électronique Universign s’engage à :
•
Identifier le signataire à l’intérieur du document signé conformément aux informations transmises par
Qualigaz.
•
Générer un jeton d’horodotage suivant les procédures définies dans sa politique d’horodatage en
conformité avec les exigences du RGS.
4.4 Rôles et obligations de Qualigaz
4.4.1 Certificats de conformité
Les rôles et obligations relatifs à la fourniture et au visa des certificats de conformité sont décrits dans les
conditions générales de vente de Qualigaz et dans le contrat d’adhésion au CCWEB.
4.4.2 Outil de signature électronique utilisé
Qualigaz s’engage à utiliser et à fournir au client un outil de signature électronique conforme à l’état de l’art
et ne présentant pas de faille logicielle de nature à permettre une quelconque modification des informations
validées par le client lors de sa signature numérique.
Page 11/19
ère
QZR6708 – 1 édition – Avril 2013
4.4.3 Type de certificat utilisé
Le certificat utilisé par Qualigaz est un certificat cachet serveur certifié au sens de l'ETSI TS 102 042 délivré
par l'Autorité de Certificat Universign de Cryptolog.
4.4.4 Vérification de signature électronique
Qualigaz s’assure de la vérification des signatures électroniques générées au travers des processus décrits
dans la section Erreur ! Source du renvoi introuvable.. Le processus de vérification des signatures et des
certificats est décrit dans la section Erreur ! Source du renvoi introuvable..
4.4.5 Protection des moyens
Qualigaz s’assure de la mise en œuvre des moyens nécessaires à la protection des équipements
fournissant les services de contractualisation dématérialisée décrits au sein de ce document.
Les mesures prises concernent à la fois :
• la protection des accès physiques et logiques aux équipements aux seules personnes habilitées ;
• la disponibilité du service ;
• la surveillance et le suivi du service.
4.4.6 Journalisation
Qualigaz s’assure de la conservation des traces relatives :
• à la circulation des échanges au sein de ses réseaux et équipements informatiques
• au traitement des données signées et échangées.
Qualigaz s’assure que les preuves relatives à la vérification des signatures électroniques sont conservées
dans des conditions de sécurité à l’état de l’art.
4.4.7 Reprise en cas d’interruption de service
Qualigaz s’assure de la mise en œuvre des moyens nécessaires à la reprise d’activité en cas d’interruption
de service d’un des composants nécessaire aux tâches dont il a la responsabilité.
Il s’assure en particulier que ces moyens font l’objet de tests à intervalles réguliers.
4.4.8 Assistance aux utilisateurs
Les signataires peuvent s’adresser à Qualigaz pour toute information complémentaire ou pour signaler tout
dysfonctionnement à l’adresse suivante : [email protected].
Page 12/19
ère
QZR6708 – 1
édition – Avril 2013
4.4.9 Limitations des responsabilités de Qualigaz
Certaines données, notamment les listes de révocations (c’est-à-dire Liste de certificats révoqués émises
par les autorités de certification d’Universign), ne peuvent être mises à jour en temps réel et il s’écoule
plusieurs heures (24 au maximum) avant la publication de ces données par l’Autorité de Certification opérée
par Cryptolog.
Dans ces conditions, il se peut qu’une signature électronique soit déclarée valide si elle est réalisée entre le
moment où le certificat a été révoqué et le moment où sa révocation a été publiée par l’Autorité de
Certification et prise en compte par Qualigaz.
Qualigaz ne peut être alors tenue responsable de cet état de fait considérant cette « période de caution »
inhérente à ce type de système.
4.5 Rôles et obligations du client
L’opération de création de la signature doit être réalisée sur le service CCWEB mis à disposition par
Qualigaz au moyen du matériel informatique personnel du client.
Le client n’a en aucun cas le droit de modifier la configuration de ce service.
Le client doit protéger l’utilisation de son espace personnel CCWEB notamment par la protection de ses
codes personnels d’accès.
Le client peut refuser de signer un contrat ou un certificat de conformité dématérialisé si les conditions
contractuelles et de la présente politique ne le satisfont pas.
Les obligations du client sont décrites dans le contrat d’adhésion CCWEB.
4.6 Rôle et obligations du signataire
Le signataire s’engage à contrôler les documents qu’il va signer avant d’y apposer sa signature.
Les signataires sont responsables du contenu des documents.
5 SIGNATURE ÉLECTRONIQUE ET VALIDATION
5.1 Opérations de signature
Conformément aux recommandations de l’État français, les fonctionnalités minimales suivantes sont
assurées pour permettre au signataire d’avoir connaissance et conscience de l’action qu’il est sur le point
d’effectuer :
• Présentation des informations à signer
• Présentation des attributs de la signature au signataire
• Consentement explicite
Page 13/19
ère
QZR6708 – 1
édition – Avril 2013
5.1.1 Présentation des informations à signer :
Le signataire a la possibilité de visualiser les informations que le service CCWEB lui propose de signer. Les
documents sont présentés dans leur forme finalisée au client et Qualigaz garantit la fidélité entre les
données telles que vues et acceptées par le client et les données qui seront intégrées au sein du document
électronique définitif (format .pdf).
5.1.2 Présentation des attributs de la signature au signataire
Le signataire a la possibilité de visualiser les informations relatives aux conditions d’apposition de sa
signature :
• L’identification du signataire,
• La date et l’heure de signature,
• La mention « signature électronique »
5.1.3 Interaction avec le client : consentement explicite et possibilité d’arrêt du
processus de signature
La présente politique de signature, les conditions générales de vente ainsi que le contrat d’adhésion au
service CCWEB permettent au client d’exprimer explicitement (c'est-à-dire, de manière volontaire et non
ambiguë) son consentement pour déclencher le processus de signature électronique des documents.
Par ailleurs, le client a la possibilité d’accéder à un service de renseignements pour le CCWEB lui
permettant de demander toutes précisions qui lui sembleraient utiles avant d’adhérer au service.
L’ensemble des documents, y compris les conditions générales de vente, sont disponibles sur le site internet
de Qualigaz permettant au client d’en prendre connaissance avant de s’engager dans la procédure de
signature électronique.
Le client ne peut donc pas contester que ces informations lui aient été présentées.
5.2 Signature du client
5.2.1 Caractéristiques du poste du client
Le client réalise sa signature électronique via son équipement informatique personnel dont il garantit
l’intégrité et via son espace sécurisé CCWEB auquel il accède par l’utilisation de ses codes d’accès
(identifiant et mot de passe) dont il doit protéger la confidentialité.
5.2.2 Données signées par le client
La signature du client se présente sous la forme de la mention du nom du signataire et de la date de
signature, ainsi que de la mention « signature électronique».
Elle est visuellement intégrée dans les documents PDF (contrat et certificat de conformité) recensant les
informations préalablement saisies.
Page 14/19
ère
QZR6708 – 1
édition – Avril 2013
La présence des informations ci-dessus est un prérequis indispensable à la constitution du contrat ou
certificat de conformité électronique et à la signature électronique que Qualigaz appose sur ce document.
5.2.3 Type de signature
Les signatures électroniques apposées par les représentants des établissements assujettis sont de types
PAdES enveloppées. Elles comportent :
-
Une identification du signataire
-
Un jeton d’horodatage garantissant l’intégrité du document et la date de consentement du signataire.
5.3 Signature de Qualigaz
5.3.1 Caractéristiques du poste
Qualigaz réalise sa signature électronique via l’équipement informatique qu’elle met à disposition de son
personnel.
5.3.2 Données signées par Qualigaz
La signature électronique de Qualigaz est apposée sur le contrat dans sa forme définitive, c’est-à-dire à
posteriori de la production par le système d’information de Qualigaz du document PDF exploitable par le
client et par les services internes de Qualigaz.
La signature électronique de Qualigaz est apposée sur le certificat de conformité via son outil interne
GESCOM permettant à Qualigaz de contrôler le certificat de conformité. La signature électronique de
Qualigaz est apposée sur le certificat de conformité dans sa forme définitive, c’est-à-dire à posteriori de la
production par le système d’information de Qualigaz du document PDF exploitable par le client et par les
services internes de Qualigaz.
5.3.3 Opérations de signature
L’opération de signature électronique de Qualigaz pour le contrat CCWEB est une opération serveur
effectuée immédiatement après la signature électronique apposée par le client.
L’opération de signature électronique des certificats de conformité est effectuée via un serveur au nom du
signataire de Qualigaz ayant visé le certificat de conformité dans l’application interne GESCOM. Le
signataire est dûment habilité à viser les certificats de conformité et effectue cette opération après contrôle
des informations mentionnées sur le certificat de conformité.
Qualigaz assure que cette opération de signature est effectuée au plus tôt après la réalisation de la
signature du client.
Qualigaz ne saurait néanmoins s’engager sur des délais précis.
5.3.4 Type de signature
Les signatures électroniques de Qualigaz suivent le format PAdES.
Page 15/19
ère
QZR6708 – 1
édition – Avril 2013
5.3.5 Caractéristiques du serveur de signature
Les serveurs de signature de la plateforme Universign sont hébergés dans les locaux hautes sécurités de
Cryptolog. Ils sont redondés afin d'obtenir une haute disponibilité. Les clés de signature sont stockées dans
un dispositif de sécurité matérial (Hardware Security Module).
5.4 Caractéristiques des signatures
5.4.1 Norme de signature
Les signatures respectent la norme PAdES (ETSI TS 102 778) en version v1.1.1 ou supérieure.
Une fois signé :
•
le fichier signé est immédiatement horodaté et complété par l’usage du profil de signature PAdES-T,
intégrant la signature électronique et un jeton d’horodatage, permettant de déterminer la date et
l’heure de la signature.
Il ne fait ensuite plus l’objet d’aucun transcodage et transite dans le système d’information de Qualigaz sous
la forme d’un flux binaire avant d’être stocké à la fois dans le SI de Qualigaz et dans son infrastructure
d’archivage électronique.
5.4.2 Algorithmes utilisables pour la signature
Algorithme de condensation
L’algorithme de condensation supporté est SHA-256.
Algorithme de signature
L’algorithme de chiffrement à utiliser est RSA Signature padding 1.5
5.4.3 Mise en forme canonique
Sans objet.
5.4.4 Horodatage de la signature
Le jeton d’horodatage intégré au fichier signé est conforme à la norme RFC3161.
Il est produit par l’Autorité d’Horodatage Universign selon sa Politique d’horodatage identifiée par l’OID
1.3.6.1.4.1.15819.5.2.
Page 16/19
ère
QZR6708 – 1
édition – Avril 2013
5.4.5 Conditions pour déclarer valide le fichier signé
Un fichier signé et horodaté est considéré comme valide par Qualigaz à l’issue de la réception de
l’acquittement produit par le système d’archivage électronique utilisé et garantissant que le fichier sera bien
conservé de façon sécurisée et exploitable ultérieurement.
5.4.6 Vérification de la signature
À l’issue de l’opération de signature électronique, le signataire est informé que Qualigaz est en capacité de
réaliser des opérations de vérifications de ces signatures électroniques.
La vérification de la signature porte sur :
•
la vérification du respect de la norme de signature
•
la vérification de l’appartenance du certificat du signataire à la famille de certificat citée en 4.3.3 du
présent document.
•
la vérification du certificat de Qualigaz et de tous les certificats de la chaîne de certification :
o validité temporelle
o statut
o signature cryptographique
•
la vérification de l’intégrité des données transmises par calcul de l’empreinte et comparaison avec
l’empreinte reçue ;
•
la vérification de la signature électronique apposée sur le fichier en utilisant la clé publique du
certificat Qualigaz et contenue dans le certificat transmis.
6 POLITIQUE DE CONFIDENTIALITE
6.1 Classification des informations
Les informations suivantes sont considérées comme confidentielles :
•
Les données secrètes associées aux certificats utilisés par Qualigaz dans le cadre des échanges
(clé privée, mot de passe),)
•
Les journaux des différentes plates-formes,
•
La liste des preuves effectivement constituées, et leur contenu
•
L’ensemble des données transmises par le client et véhiculées par les plates-formes Qualigaz,
•
Les contrats dématérialisés, produits par les infrastructures et applications de Qualigaz, leur contenu
et leurs annexes,
•
Les certificats de conformité, produits par les infrastructures et applications de Qualigaz, leur
contenu et documents liés,
•
Les procédures internes de gestion de Qualigaz,
•
Les rapports d’audits et de contrôles des installations.
Page 17/19
ère
QZR6708 – 1
édition – Avril 2013
6.2 Accès aux informations confidentielles par les
utilisateurs des services de Qualigaz ou par des
tiers
Les informations confidentielles sont protégées et donc non accessibles publiquement par les utilisateurs
des services de Qualigaz ou par des tiers.
L’accès à ces informations suppose d’avoir physiquement accès aux infrastructures techniques de Qualigaz,
d’être présent sur le site de son infrastructure informatique ou sur les sites de ses sous-traitants participant.
Il est donc impossible pour un tiers ou pour un utilisateur des services de Qualigaz de consulter ces
informations par lui-même. Certaines de ces informations pourront néanmoins être communiquées aux
utilisateurs des services de Qualigaz ou à un tiers concerné par la transaction « suspecte » en cas de
demande expresse auprès de Qualigaz de la part de l’autorité judiciaire chargée d’un litige.
7 DISPOSITIONS JURIDIQUES
7.1 Droit applicable
Le présent document est régi par la loi française.
7.2 Règlement des différends
En cas de litige ou de contestation, le tribunal compétent sera celui du ressort dans lequel le défendeur est
domicilié.
7.3 Propriété
Qualigaz
intellectuelle
des
infrastructures
Qualigaz dispose à titre exclusif de l’ensemble des droits de propriété intellectuelle afférents aux services
mis en œuvre par ses soins.
Les utilisateurs de ces services ne disposent d’aucun droit de propriété intellectuelle sur ces différents
éléments. Toute utilisation ou reproduction, totale ou partielle, de ces éléments et/ou des informations qu’ils
contiennent, par quelque procédé que ce soit, est strictement interdite et constitue une contrefaçon
sanctionnée par le Code de la propriété intellectuelle.
7.4 Données nominatives
En conformité avec les dispositions de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers
et aux libertés, le traitement automatisé des données nominatives réalisé à partir des plates-formes de
Qualigaz a fait l’objet d’une déclaration auprès de la Commission Nationale de l’Informatique et des Libertés
(CNIL).
Page 18/19
ère
QZR6708 – 1
édition – Avril 2013
Conformément à l’article 32 de la loi n o 78-17 du 6 janvier 1978, les utilisateurs sont informés que les
données personnelles qu’ils communiquent pourront être transmises et exploitées par Qualigaz et les
différents partenaires intervenant dans les échanges concernés.
Les utilisateurs sont informés qu’ils bénéficient d’un droit d’accès et de rectification aux informations qui les
concernent, qu’ils peuvent exercer en s’adressant à : Qualigaz, 131 avenue Jean Jaurès, 93 305
Aubervilliers Cedex ou par courrier électronique : [email protected].
Les utilisateurs des services Qualigaz sont tenus de respecter les dispositions de la loi relative à
l’informatique, aux fichiers et aux libertés, dont la violation est passible de sanctions disciplinaires et
pénales.
Ils doivent notamment s’abstenir, s’agissant des informations nominatives auxquelles ils accèdent, de toute
collecte, de toute utilisation détournée et, d’une manière générale, de tout acte susceptible de porter atteinte
à la vie privée ou à la réputation des personnes.
Page 19/19
ère
QZR6708 – 1
édition – Avril 2013