Ci-dessous sont présentées les modifications introduites à la date donnée. L’ancien texte est en rouge, le texte introduit à cette date est en vert.
| 6906 |
###### Article R54-1 |
|
| 6907 | ||
| 6908 |
Les termes employés au présent chapitre répondent aux définitions suivantes : |
|
| 6909 | ||
| 6910 |
1° “ Demandeur ” : personne physique demandant un moyen d'identification électronique et dont l'identité doit être vérifiée ; |
|
| 6911 | ||
| 6912 |
2° “ Utilisateur ” : personne physique qui, pour s'identifier auprès d'un service numérique, utilise un moyen d'identification électronique ; |
|
| 6913 | ||
| 6914 |
3° “ Fournisseur de moyen d'identification électronique ” : personne morale, publique ou privée, délivrant au demandeur le moyen d'identification électronique ; |
|
| 6915 | ||
| 6916 |
4° “ Source faisant autorité ” : sont reconnus comme sources faisant autorité pour la preuve et la vérification d'identité des personnes physiques lors de la délivrance d'un moyen d'identification électronique : |
|
| 6917 | ||
| 6918 |
a) Pour les Français, les ressortissants des autres Etats membres de l'Union européenne, d'un Etat partie à l'accord sur l'Espace économique européen ou de la Suisse, le passeport ou la carte nationale d'identité ; |
|
| 6919 | ||
| 6920 |
b) Pour les ressortissants de pays tiers résidant en France ou dans un autre Etat membre de l'Union européenne, dans un Etat partie à l'accord sur l'Espace économique européen ou en Suisse, le titre de séjour, établi selon le modèle prévu par le règlement (UE) n° 2017/1954 du Parlement européen et du Conseil du 25 octobre 2017 modifiant le règlement (CE) n° 1030/2002 du Conseil établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers, délivré par l'Etat de résidence ; |
|
| 6921 | ||
| 6922 |
c) Pour les ressortissants de pays tiers dispensés de l'obligation de visa de court séjour ne résidant pas sur le territoire de l'Union européenne, dans un Etat partie à l'accord sur l'Espace économique européen ou en Suisse, le passeport, sous réserve que le pays émetteur mette à disposition les moyens nécessaires à la vérification de la validité du titre. Si la dispense de l'obligation de visa est assortie de l'obligation de disposer d'un passeport électronique, seul le passeport biométrique est reconnu comme source faisant autorité pour le pays concerné ; |
|
| 6923 | ||
| 6924 |
d) Pour les ressortissants de pays tiers réfugiés ou reconnus apatrides ou bénéficiaires de la protection prévue par la directive 2011/95/ UE du Parlement européen et du Conseil du 13 décembre 2011 concernant les normes relatives aux conditions que doivent remplir les ressortissants des pays tiers ou les apatrides pour pouvoir bénéficier d'une protection internationale, à un statut uniforme pour les réfugiés ou les personnes pouvant bénéficier de la protection subsidiaire, et au contenu de cette protection, le passeport est remplacé par le titre de voyage délivré par l'Etat qui a reconnu la qualité de réfugié ou d'apatride ou accordé la protection. |
|
| 6925 | ||
| 6926 |
Ces sources faisant autorité sont considérées comme valides pour la mise en œuvre du présent décret si elles n'ont pas atteint leur date de fin de validité et n'ont pas fait l'objet d'une invalidation. |
|
| 6928 |
###### Article R54-2 |
|
| 6929 | ||
| 6930 |
Un référentiel d'exigences, établi par l'Agence nationale de la sécurité des systèmes d'information, définit les exigences de sécurité pour les moyens d'identification électronique visant le niveau de garantie faible, substantiel ou élevé. Ce référentiel d'exigences est intitulé “ Référentiel d'exigences de sécurité pour les moyens d'identification électronique ”. |
|
| 6931 | ||
| 6932 |
Ce référentiel d'exigences est publié sur le site de l'Agence nationale de la sécurité des systèmes d'information. Toute modification ultérieure entre en vigueur trois mois après sa publication. |
|
| 6934 |
###### Article R54-3 |
|
| 6935 | ||
| 6936 |
La certification mentionnée au III de l'article L. 102 atteste de la conformité d'un moyen d'identification électronique au cahier des charges défini aux articles R. 54-16 à R. 54-27. La décision de certification est délivrée par l'Agence nationale de la sécurité des systèmes d'information. |
|
| 6937 | ||
| 6938 |
La certification mentionnée au IV de l'article L. 102 atteste de la conformité d'un moyen d'identification électronique au référentiel mentionné à l'article R. 54-2 pour le niveau de garantie choisi. La décision de certification est délivrée par l'Agence nationale de la sécurité des systèmes d'information. |
|
| 6939 | ||
| 6940 |
Ces certifications sont réalisées dans les conditions prévues aux articles R. 54-5 à R. 54-15. |
|
| 6942 |
###### Article R54-4 |
|
| 6943 | ||
| 6944 |
Les certifications de moyens d'identification électronique mentionnées à l'article R. 54-3 s'appuient sur une évaluation de la conformité effectuée par un centre d'évaluation choisi par le fournisseur de moyen d'identification électronique parmi : |
|
| 6945 | ||
| 6946 |
1° Les prestataires d'audit de la sécurité des systèmes d'information qualifiés au titre du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9,10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ; |
|
| 6947 | ||
| 6948 |
2° Les organismes disposant d'une accréditation pour la certification de systèmes de management de la sécurité de l'information délivrée par l'instance nationale d'accréditation mentionnée à l'article 1er du décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité pris en application de l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie. |
|
| 6949 | ||
| 6950 |
La liste actualisée des centres d'évaluation mentionnés aux 1° et 2° est publiée sur le site internet de l'Agence nationale de la sécurité des systèmes d'information. |
|
| 6954 |
###### Article 54-5 |
|
| 6955 | ||
| 6956 |
La demande de certification, adressée à l'Agence nationale de la sécurité des systèmes d'information par le fournisseur de moyen d'identification électronique, comprend les documents suivants : |
|
| 6957 | ||
| 6958 |
1° Le formulaire de demande de certification complété et signé ; |
|
| 6959 | ||
| 6960 |
2° Une présentation générale du fournisseur de moyen d'identification électronique ; |
|
| 6961 | ||
| 6962 |
3° Une présentation technique du moyen d'identification électronique candidat à la certification ; |
|
| 6963 | ||
| 6964 |
4° Un extrait du registre du commerce et des sociétés ou, à défaut, un extrait d'un autre registre pertinent, d'un document équivalent délivré par l'autorité judiciaire ou administrative compétente du pays d'origine ou d'établissement du fournisseur de moyen d'identification électronique ; |
|
| 6965 | ||
| 6966 |
5° Une liste des tiers (sous-traitants, fournisseurs et prestataires) intervenant dans la conception, la mise en œuvre ou l'exploitation du moyen d'identification électronique ; |
|
| 6967 | ||
| 6968 |
6° L'engagement du fournisseur du moyen d'identification électronique complété et signé à respecter les exigences définies par le processus de certification et par le référentiel d'exigences mentionné à l'article R. 54-2 ou le cahier des charges défini aux articles R. 54-16 à R. 54-27 ; |
|
| 6969 | ||
| 6970 |
7° Un acte de délégation de pouvoir au signataire de l'engagement du fournisseur du moyen d'identification électronique. |
|
| 6971 | ||
| 6972 |
Lors du renouvellement de la certification du moyen d'identification électronique, la demande comprend, en plus des documents mentionnés du 1° au 7° du présent article, une analyse d'impact sur la sécurité de toutes les modifications, quelle que soit leur nature, intervenues entre la version du moyen d'identification électronique précédemment certifiée et la version objet de la demande. |
|
| 6974 |
###### Article 54-6 |
|
| 6975 | ||
| 6976 |
L'Agence nationale de la sécurité des systèmes d'information accuse réception de toute demande de certification de moyen d'identification électronique dans les conditions prévues à l'article L. 112-11 du code des relations entre le public et l'administration. |
|
| 6977 | ||
| 6978 |
Lorsque le dossier de demande de certification qui lui est transmis n'est pas complet, l'Agence nationale de la sécurité des systèmes d'information demande, par courrier ou courrier électronique, au fournisseur de moyen d'identification électronique la fourniture des pièces manquantes dans un délai qu'elle fixe. Au terme de ce délai, si les pièces manquantes n'ont pas été fournies, l'agence informe le fournisseur de moyen d'identification électronique de la clôture de sa demande de certification. |
|
| 6979 | ||
| 6980 |
Lorsque le dossier de demande de certification est complet, l'Agence nationale de la sécurité des systèmes d'information convient avec le fournisseur de moyen d'identification électronique d'une stratégie d'évaluation du moyen d'identification électronique. |
|
| 6981 | ||
| 6982 |
Dès qu'elle a validé cette stratégie, l'Agence nationale de la sécurité des systèmes d'information invite le fournisseur à faire évaluer son moyen d'identification électronique par un centre d'évaluation choisi parmi ceux mentionnés au 1° ou au 2° de l'article R. 54-4. |
|
| 6984 |
###### Article 54-7 |
|
| 6985 | ||
| 6986 |
Le fournisseur de moyen d'identification électronique détermine avec le centre d'évaluation choisi, conformément à la stratégie d'évaluation mentionnée à l'article R. 54-6 : |
|
| 6987 | ||
| 6988 |
1° Le périmètre du service à évaluer et le type de certification visé ; |
|
| 6989 | ||
| 6990 |
2° Les conditions d'accès du centre d'évaluation à ses locaux, à son personnel et à ses moyens techniques ; |
|
| 6991 | ||
| 6992 |
3° Les conditions de protection des informations traitées dans le cadre de l'évaluation ; |
|
| 6993 | ||
| 6994 |
4° Le programme de travail du centre d'évaluation. |
|
| 6996 |
###### Article 54-8 |
|
| 6997 | ||
| 6998 |
Le moyen d'identification électronique est évalué sur pièces et sur place selon le programme de travail, mentionné à l'article R. 54-6, par le centre d'évaluation et, le cas échéant, par l'Agence nationale de la sécurité des systèmes d'information. |
|
| 6999 | ||
| 7000 |
Le fournisseur de moyen d'identification électronique met à la disposition de l'Agence nationale de la sécurité des systèmes d'information et du centre d'évaluation tous les documents nécessaires à l'évaluation. Il leur permet d'accéder à ses locaux et ses moyens techniques et de rencontrer son personnel. |
|
| 7001 | ||
| 7002 |
Dans le cadre de l'évaluation, l'Agence nationale de la sécurité des systèmes d'information et le centre d'évaluation peuvent chacun demander à assister à toute activité effectuée par le fournisseur de moyen d'identification électronique et relevant de la certification visée. |
|
| 7004 |
###### Article 54-9 |
|
| 7005 | ||
| 7006 |
Le centre d'évaluation informe sans délai l'Agence nationale de la sécurité des systèmes d'information de toute difficulté. L'Agence peut, à tout moment, demander à assister à ces travaux ou à obtenir des informations sur leur déroulement. Elle peut également demander, aux frais du fournisseur de moyen d'identification électronique, un complément à l'évaluation réalisée par le centre d'évaluation. |
|
| 7008 |
###### Article 54-10 |
|
| 7009 | ||
| 7010 |
Au terme de l'évaluation, le centre d'évaluation remet un rapport d'évaluation au fournisseur de moyen d'identification électronique qui le transmet à l'Agence nationale de la sécurité des systèmes d'information dans un délai de trois jours ouvrables après sa réception. |
|
| 7011 | ||
| 7012 |
Le rapport d'évaluation fait état : |
|
| 7013 | ||
| 7014 |
1° D'un avis motivé sur la conformité du moyen d'identification électronique au cahier des charges défini aux articles R. 54-16 à R. 54-27 ou au référentiel d'exigences mentionné à l'article R. 54-2 ; |
|
| 7015 | ||
| 7016 |
2° Des activités d'évaluation réalisées ; |
|
| 7017 | ||
| 7018 |
3° Des constats réalisés lors de l'évaluation et le cas échéant des non-conformités identifiées. |
|
| 7020 |
###### Article 54-11 |
|
| 7021 | ||
| 7022 |
Le directeur général de l'Agence nationale de la sécurité des systèmes d'information prend la décision de certification en tenant compte du rapport d'évaluation et, le cas échéant, des vérifications complémentaires demandées ou réalisées par l'Agence nationale de la sécurité des systèmes d'information. |
|
| 7023 | ||
| 7024 |
La décision d'octroi de la certification mentionne : |
|
| 7025 | ||
| 7026 |
1° L'identité du fournisseur de moyen d'identification électronique ; |
|
| 7027 | ||
| 7028 |
2° Les caractéristiques du moyen d'identification électronique certifié ; |
|
| 7029 | ||
| 7030 |
3° Le niveau de garantie atteint par le moyen d'identification électronique ; |
|
| 7031 | ||
| 7032 |
4° La durée de validité de la certification ; |
|
| 7033 | ||
| 7034 |
5° Le cas échéant, les conditions et les réserves liées à la délivrance ou à l'usage du moyen d'identification électronique. |
|
| 7035 | ||
| 7036 |
La décision de refus de certification mentionne les voies et les délais de recours possibles. |
|
| 7038 |
###### Article 54-12 |
|
| 7039 | ||
| 7040 |
En application du 4° de l'article L. 231-4 et de l'article L. 231-6 du code des relations entre le public et l'administration, le silence gardé par le directeur général de l'Agence nationale de la sécurité des systèmes d'information pendant trois mois sur la demande de certification vaut décision de rejet. |
|
| 7042 |
###### Article 54-13 |
|
| 7043 | ||
| 7044 |
La certification a une durée de validité maximale de deux ans à compter du prononcé de la décision par le directeur de l'Agence nationale de la sécurité des systèmes d'information. |
|
| 7045 | ||
| 7046 |
Son renouvellement est prononcé dans les mêmes formes et selon la même procédure que celles prévues par la présente section. |
|
| 7047 | ||
| 7048 |
L'Agence nationale de la sécurité des systèmes d'information publie sur son site internet les décisions de certification en cours de validité. |
|
| 7049 | ||
| 7050 |
Pendant la période de validité de la décision de certification, l'Agence nationale de la sécurité des systèmes d'information peut contrôler, ou faire contrôler par un centre d'évaluation, la conformité du fournisseur de moyen d'identification électronique aux exigences applicables. Ces contrôles sont réalisés dans la limite d'un contrôle par an, sauf en cas d'apparition de vulnérabilités affectant le moyen d'identification électronique ou à la suite d'un incident de sécurité affectant le moyen d'identification électronique. |
|
| 7052 |
###### Article 54-14 |
|
| 7053 | ||
| 7054 |
En cas de manquement aux exigences applicables, aux conditions et réserves fixées par la décision de certification ou en cas de changement des circonstances de droit ou de fait ayant permis de prononcer la décision de certification, le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut décider d'abroger la décision de certification ou de l'assortir de conditions restrictives. |
|
| 7055 | ||
| 7056 |
Le directeur général de l'Agence nationale de la sécurité des systèmes d'information met en demeure le fournisseur du moyen d'identification électronique de présenter dans un délai de deux mois un plan d'action pour répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa. |
|
| 7057 | ||
| 7058 |
Si le directeur général de l'Agence nationale de la sécurité des systèmes d'information estime que les mesures proposées par le fournisseur du moyen d'identification électronique dans le cadre du plan d'action ne permettent pas de répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa, il en informe la direction interministérielle du numérique et sollicite son avis afin que, dans un délai d'un mois, elle lui fasse part des enjeux de continuité des services qui s'appuient sur ce moyen d'identification électronique. |
|
| 7059 | ||
| 7060 |
Le directeur général de l'Agence nationale de la sécurité des systèmes d'information sollicite simultanément l'avis des personnes qui lui semblent qualifiées. Cet avis est transmis au directeur général de l'Agence nationale de la sécurité des systèmes d'information dans un délai d'un mois à compter de la réception de la sollicitation. |
|
| 7061 | ||
| 7062 |
A l'issue du délai d'un mois mentionné au précédent alinéa, le directeur général de l'Agence nationale de la sécurité des systèmes d'information informe le fournisseur de moyen d'identification électronique du sens de sa décision et des avis de la direction interministérielle du numérique et, le cas échéant, des autres personnes qualifiées sollicitées. |
|
| 7063 | ||
| 7064 |
Le fournisseur de moyen d'identification électronique peut présenter ses observations dans un délai de deux mois à compter de cette information. |
|
| 7065 | ||
| 7066 |
A l'issue de ce délai de deux mois, le directeur général de l'Agence nationale de la sécurité des systèmes d'information notifie sa décision au fournisseur de moyen d'identification électronique dans les conditions prévues par le code des relations entre le public et l'administration. |
|
| 7068 |
###### Article 54-15 |
|
| 7069 | ||
| 7070 |
Lorsque les manquements ou changements de circonstance mentionnés à l'article R. 54-14 sont liés à des vulnérabilités permettant d'usurper ou d'altérer l'identité des utilisateurs du moyen d'identification électronique, connues publiquement ou dont l'exploitation, suspectée ou avérée, entraîne des conséquences graves pour l'utilisateur ou les fournisseurs de services, le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut suspendre la certification du moyen d'identification électronique concerné. Cette suspension est prononcée jusqu'à l'intervention d'une décision d'abrogation de la certification ou de levée de la suspension prise par le directeur général de l'Agence nationale de la sécurité des systèmes d'information, dans un délai qui ne peut excéder cinq mois, dans les conditions prévues à l'article R. 54-14. |
|
| 7076 |
####### Article R54-16 |
|
| 7077 | ||
| 7078 |
Le moyen d'identification électronique présumé fiable respecte les conditions, les spécifications techniques et les procédures minimales du niveau de garantie “ élevé ” définies par le règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique mentionnés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, ainsi que les conditions prévues aux articles R. 54-17 à R. 54-27. |
|
| 7079 | ||
| 7080 |
Les conditions, spécifications techniques et procédures minimales du niveau de garantie “ élevé ” sont déclinées dans le référentiel d'exigences mentionné à l'article R. 54-2. |
|
| 7084 |
####### Article 54-17 |
|
| 7085 | ||
| 7086 |
Le fournisseur du moyen d'identification électronique est chargé de vérifier l'identité déclarée par le demandeur avec les informations provenant d'une source faisant autorité. |
|
| 7087 | ||
| 7088 |
Cette source faisant autorité doit faire l'objet d'une vérification. Cette vérification, réalisée par le fournisseur de moyen d'identification électronique, garantit : |
|
| 7089 | ||
| 7090 |
1° Que la source faisant autorité est valide, au sens du dernier alinéa de l'article R. 54-1 ; |
|
| 7091 | ||
| 7092 |
2° Que la source faisant autorité n'a pas fait l'objet d'une falsification ou d'une contrefaçon ; |
|
| 7093 | ||
| 7094 |
3° Que les caractéristiques physiques du demandeur correspondent aux informations provenant de la source faisant autorité ; |
|
| 7095 | ||
| 7096 |
4° Que l'authenticité du composant électronique et l'intégrité des données qu'il contient sont vérifiées à l'aide de moyens de cryptologie. |
|
| 7097 | ||
| 7098 |
Les modalités de vérification autorisées ainsi que les exigences spécifiques applicables sont précisées dans le référentiel d'exigences mentionné à l'article R. 54-2. |
|
| 7100 |
####### Article 54-18 |
|
| 7101 | ||
| 7102 |
Les données à caractère personnel nécessaires à l'identification d'une personne physique, recueillies lors de la vérification d'identité du demandeur, portent sur les éléments suivants : |
|
| 7103 | ||
| 7104 |
1° Le nom de famille tel qu'il résulte de l'acte de naissance ; |
|
| 7105 | ||
| 7106 |
2° Le cas échéant, le nom d'usage ; |
|
| 7107 | ||
| 7108 |
3° Le ou les prénoms ; |
|
| 7109 | ||
| 7110 |
4° La date de naissance ; |
|
| 7111 | ||
| 7112 |
5° Le lieu de naissance ; |
|
| 7113 | ||
| 7114 |
6° Le sexe. |
|
| 7116 |
####### Article 54-19 |
|
| 7117 | ||
| 7118 |
Le traitement des données à caractère personnel mentionnées à l'article R. 54-18 est effectué en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée. |
|
| 7119 | ||
| 7120 |
La collecte de données autres que celles mentionnées à l'article R. 54-18 est limitée au strict nécessaire au regard de la finalité du traitement permettant la délivrance du moyen d'identification électronique. Seules les données à caractère personnel strictement nécessaires à l'identification de l'utilisateur sont transmises lors de la connexion à un service de communication électronique. |
|
| 7122 |
####### Article 54-20 |
|
| 7123 | ||
| 7124 |
Pour la délivrance du moyen d'identification électronique, le fournisseur du moyen d'identification électronique n'est pas tenu de répéter les procédures de vérification mentionnées à l'article R. 54-17 préalablement utilisées dans un but autre que cette délivrance, lorsque ces procédures assurent une garantie équivalente à celle visée dans le présent cahier des charges et que cette équivalence est confirmée par l'Agence nationale de la sécurité des systèmes d'information. |
|
| 7126 |
####### Article 54-21 |
|
| 7127 | ||
| 7128 |
Lorsque le demandeur dispose déjà d'un moyen d'identification électronique présumé fiable jusqu'à preuve du contraire et certifié dans les conditions prévues au deuxième alinéa de l'article R. 54-3, le fournisseur de moyen d'identification électronique n'est pas tenu de procéder à la vérification de son identité selon les modalités prévues à l'article R. 54-17, sous réserve des deux conditions suivantes : |
|
| 7129 | ||
| 7130 |
1° Le demandeur doit procéder à une identification électronique avec le moyen d'identification électronique dont il dispose, en respectant les conditions d'usage et réserves éventuelles liées à la présomption de fiabilité ; |
|
| 7131 | ||
| 7132 |
2° Le recours à ce processus de délivrance simplifié est précédé par une analyse des risques de modification des données à caractère personnel relatives à l'identification du demandeur par le fournisseur de moyen d'identification électronique. |
|
| 7133 | ||
| 7134 |
Le fournisseur de moyen d'identification électronique ne peut recourir à ce processus de délivrance simplifié si le moyen d'identification électronique présenté a lui-même déjà été délivré selon ce processus simplifié. |
|
| 7135 | ||
| 7136 |
Le processus de délivrance simplifié peut être appliqué sur présentation de tout moyen d'identification électronique respectant les exigences relatives au niveau de garantie “ élevé ” prévu par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE, sous réserve que le respect de ces exigences puisse être attesté par l'Agence nationale de la sécurité des systèmes d'information. |
|
| 7137 | ||
| 7138 |
Les dispositions du présent article s'appliquent également au renouvellement et au remplacement du moyen d'identification électronique. |
|
| 7140 |
####### Article 54-22 |
|
| 7141 | ||
| 7142 |
Le fournisseur du moyen d'identification électronique procède à une vérification de l'identité de l'utilisateur tous les cinq ans, à compter de la délivrance du moyen d'identification électronique. |
|
| 7143 | ||
| 7144 |
Ces vérifications sont effectuées conformément aux dispositions de l'article R. 54-16, de l'article R. 54-20 ou de l'article R. 54-21. |
|
| 7148 |
####### Article R54-23 |
|
| 7149 | ||
| 7150 |
Les moyens de cryptologie constitutifs du moyen d'identification électronique, utilisés sous le contrôle du fournisseur de moyen d'identification électronique pour la génération et la conservation des secrets cryptographiques employés dans le cadre de l'identification d'un utilisateur auprès d'un service numérique, sont qualifiés par l'Agence nationale de la sécurité des systèmes d'information au niveau renforcé défini par le référentiel général de sécurité prévu à l'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ces éléments sont utilisés conformément aux conditions d'utilisation définies dans leur attestation de qualification. |
|
| 7154 |
####### Article R54-24 |
|
| 7155 | ||
| 7156 |
Les moyens de cryptologie constitutifs du moyen d'identification électronique utilisés sous le contrôle de l'utilisateur, hors de l'environnement maîtrisé par le fournisseur de moyen d'identification électronique, et dont l'utilisation frauduleuse permet, directement, l'usurpation ou l'altération de l'identité de l'utilisateur, sont qualifiés par l'Agence nationale de la sécurité des systèmes d'information au niveau renforcé défini par le référentiel général de sécurité prévu à l'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005. Ces éléments sont utilisés conformément aux conditions d'utilisation définies dans leur attestation de qualification. |
|
| 7157 | ||
| 7158 |
Ces moyens, lorsque leur utilisation frauduleuse permet de faciliter l'usurpation ou l'altération de l'identité de l'utilisateur sans la permettre directement, sont qualifiés par l'Agence nationale de la sécurité des systèmes d'information au niveau élémentaire défini par le référentiel général de sécurité prévu à l'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005. Ces éléments sont utilisés conformément aux conditions d'utilisation définies dans leur attestation de qualification. |
|
| 7159 | ||
| 7160 |
La stratégie d'évaluation établie selon les modalités prévues à l'article R. 54-6 permet de déterminer le niveau de qualification des moyens de cryptologie constitutifs du moyen d'identification électronique, en accord avec les principes énoncés aux alinéas précédents. |
|
| 7164 |
####### Article R54-25 |
|
| 7165 | ||
| 7166 |
Les secrets cryptographiques employés dans le cadre de l'identification d'un utilisateur auprès d'un service numérique, et dont la divulgation permettrait l'usurpation ou l'altération de l'identité de l'utilisateur, sont utilisés pour une durée maximale de cinq ans. |
|
| 7170 |
####### Article R54-26 |
|
| 7171 | ||
| 7172 |
La mise en œuvre de normes internationales reconnues en matière de gestion de la sécurité de l'information est recommandée. À défaut de mise en œuvre d'une norme reconnue, le fournisseur doit démontrer que le système de gestion de la sécurité de l'information répond à des principes garantissant un niveau de sécurité similaire. |
|
| 7176 |
####### Article R54-27 |
|
| 7177 | ||
| 7178 |
Le fournisseur de moyen d'identification électronique organise annuellement un comité de suivi de la certification des moyens d'identification électronique afin : |
|
| 7179 | ||
| 7180 |
1° De présenter une synthèse des usages de ces moyens d'identification électronique ; |
|
| 7181 | ||
| 7182 |
2° D'apprécier les risques pesant sur ces moyens ; |
|
| 7183 | ||
| 7184 |
3° D'anticiper le renouvellement éventuel de la certification de ces moyens. |
|
| 7185 | ||
| 7186 |
Ce comité s'intéresse aux seuls moyens d'identification électroniques présumés fiables mis en œuvre par le fournisseur de moyen d'identification. |
|
| 7187 | ||
| 7188 |
Le fournisseur de moyen d'identification électronique convie l'Agence nationale de la sécurité des systèmes d'information ainsi que toute personne qualifiée au regard des objectifs du comité. |