a/ Caractères :

* L'Agence Nationale de Certification électronique sis à Tunis vient d'être créée par la loi n° 2000-83 du 9 août 2000.Cette entreprise publique à caractère non administratif est dotée de la personnalité morale et de l'autonomie financière. Elle a pour fonction de chapoter les fournisseurs de services de certification. 
Cette agence est soumise à la législation commerciale dans ses rapports avec les tiers.

Il semblerai que cet organisme soit parfaitement autonome. Mais en fait, l'Agence nationale de certification électronique est soumise à la tutelle du ministère chargé des télécommunications.

* le certificat d'authentification : D'après l'article 2 de la loi n° 2000-83 du 9 août 2000 c'est " le document électronique sécurisé par la signature électronique de la personne qui l'a émis et qui atteste après constat la véracité de son contenu. "

Contenu : 

 - l'identité du titulaire du certificat,
 - l'identité de la personne qui l'a émis et sa signature électronique,
 - les éléments de vérification de la signature du titulaire du certificat,
 - la durée de validité du certificat. En général, cette durée est d'un an,
 - les domaines d'utilisation du certificat.

L'annexe I de la directive française prévoit que l'identité du titulaire du certificat comprend le nom du signataire ou un pseudonyme.
La loi tunisienne n° 2000-83 du 9 août 2000, parle d'identité dans un sens large; nous pourrions dès lors supposer que le pseudonyme peut être admis.

Pour la durée de validité du certificat, la date et l'heure exactes auxquelles le certificat a été délivré sont primordiales. Cela pourrait éviter d'éventuels conflits engageant la responsabilité du certificateur, alors que même le certificat n'était pas ou plus valable.

Concernant les domaines d'utilisation du certificat, on entendrait : quelles sont les limites à la responsabilité du prestataire du service de certification et la valeur des transactions pour lesquelles le certificat est valable.

Il est à noter que le prestataire de services de certification authentifie le titulaire du certificat mais ne certifie en aucun cas le contenu du message qu'il ne connait d'ailleurs pas.

RSA ou encore algorithme RSA porte le nom de ces inventaires Rivest, Shamir et Adleman. Cet algorithme est un système de cryptographie très puissant.
Ce système repose sur des clés asymétriques . La sécurité de ce système peut être renforcée en stockant la clé secrète sur une carte à puce.

Il est à noter que le certificat combine la clé publique de l'utilisateur avec la clé secrète du fournisseur de services de certification. La clé publique de l'autorité de certification est nécessaire pour vérifier le certificat et accéder à la clé publique de l'utilisateur.
Le système de sécurité est ainsi très poussé puisqu'une personne qui frauduleusement trouve la clé privée d'un signataire et modifie sa clé publique ne peut se substituer à lui. 
En effet car ce n'est pas la clé publique qui est utilisé pour vérifier une signature mais le certifcat qui lui ne peut être modifié qu'avec la clé secrète de l'autorité de certification. 

    b/ Droits et obligations des parties :

La signature électronique engendre une relation tripartite : 
      - le signataire,
      - le destinataire, 
      - le prestataire de services de certification. 

* Le signataire :

  > Droits :

  - Être informé de la volonté du fournisseur de services de certification   électronique de transférer le certificat à un autre fournisseur au moins un   mois avant la date prévue en cas de cessation d'activité de ce dernier.
  -refuser par écrit ou par voie électronique le transfert du certificat.
Cette faculté d'utiliser ces deux voies, montre bien que la même force probante leur est attribuée.
  -disposer d'un dispositif fiable lui permettant de créer sa signature électronique.

  > Obligations :

  -Éviter toute utilisation illégitime des éléments de cryptage ou des équipements personnels relatifs à sa signature.
  -Informer le fournisseur des services de certification électronique de toute utilisation illégitime de sa signature.
  -Ne pas donner de fausses informations au fournisseur de services électroniques et à toute personne qui se fie à sa signature.

* Le destinataire :

C'est la partie qui se fie.
En effet, le destinataire a plutôt un rôle passif, puisqu'il subit. Il a juste l'obligation de conserver le document dans la forme de sa réception.
Ainsi, le destinataire a un rapport avec le fournisseur de services de certification puisque c'est ce dernier qui certifie l'identité du signataire ; et il a un rapport avec le signataire puisque c'est avec lui qu'il va transiger.
Mais ces deux rapports sont subsidiaires à un rapport fondamental qui a lieu entre le signataire et le fournisseur de services de certification.
Il faudrait néanmoins spécifier que le destinataire peut jouer un rôle actif dans la mesure où il se doit de vérifier la validité du certificat et la signature avant de s'engager, en vérifiant par exemple que le certificat n'a pas été suspendu ou annulé.

* Le fournisseur de services de certification électronique :

Il est chargé de l'émission, de la délivrance et de la conservation des certificats.
Ces missions lui sont conférées par l'Agence Nationale de Certification électronique. Il doit respecter certaines obligations édictées par le cahier de charges (voir ci-dessous) avant d'émettre le certificat et de le délivrer.
Étant donné que le fournisseur de services de certification est tenu d'émettre et de délivrer le certificat, il se doit aussi de le conserver.
En effet, en cas de quelconque problème ou de vérification de certaines données, par le destinataire par exemple, ce dernier doit avoir un seul vis à vis.
En outre, ces trois fonctions sont complémentaires les unes des autres puisque certaines exigences de sécurité, de fiabilité et de secret professionnel sont à respecter.
Ainsi, en cas de non respect des obligations imposées par le cahier de charges, seul le fournisseur de services de certification est à mettre en cause. 

  > Obligations :

- Respecter un cahier des charges , en l'occurrence :

  = Le coût d'étude et de suivi des dossiers de demande de certificat.
  = Délai d'étude des dossiers.
  = Ressources matérielles, financières et humaines nécessaires. Pour le capital humain, il est certain que des spécialistes en nouvelles technologies seront exigés.
  = Conditions assurant l'interopérabilité de systèmes de certification et l'interconnexion des registres de certificats. Quelque soit le logiciel utilisé, en cas de transfert d'un certificat d'un fournisseur de services de certification à un autre fournisseur, aucun problème ne devrait pouvoir se poser, les données doivent être transférables d'un logiciel à un autre.
" Les règles relatives à l'information afférente à ses services et aux certificats délivrés et devant être conservés ".

- Utilisation des moyens fiables pour l'émission, la délivrance et la conservation des certificats afin de les protéger de la contrefaçon et de la falsification (le législateur a utilisé l'expression " moyens fiables " assez larges afin de ne pas tomber dans l'obsolescence et de laisser le soin aux techniciens de la définir).
Il a été très judicieux de prévoir un arrêté d'application, de cette manière il ne sera pas nécessaire de réformer la loi lorsque " les moyens fiables " prédéfinis ne seront plus " si fiables ".

- Tenir en permanence un registre électronique des certificats à la disposition des utilisateurs.

- Protéger ce registre de toute modification malvenue.

- Garder le secret professionnel à l'exception des cas prévus par la législation en vigueur et en cas d'autorisation par le titulaire du certificat.
Il est à noter, que l'autorisation doit être notifié par écrit ou par voie électronique.

- Ne collecter que les informations nécessaires à la délivrance du certificat.
Le législateur sous entend ici que le fournisseur de services de certification doit être objectif. C'est-à-dire qu'il doit ainsi avoir des critères transparents et non discriminatoires.

- Émettre des certificats conformes aux exigences de sécurité et de fiabilité.

- Garantir l'exactitude des informations contenues dans le certificat.

- Garantir le lien entre le titulaire du certificat et le dispositif de vérification de signature qui lui est propre.

- Mettre à la disposition exclusive du titulaire du certificat un dispositif de création de signature .

- Vérifier l'identité et le pouvoir de représentation de la personne physique qui agit au nom d'une personne morale.

     c/ Sanctions en cas de non respect des obligations du titulaire de la signature :

Ces infractions sont constatées d'après l'article 43 de la loi n° 2000-83 du 9 août 2000 par les officiers de la police judiciaire, les agents assermentés du ministère chargé des télécommunications et de l'agence nationale de certification électronique et les agents de contrôle économique.

* Suspension :

C'est le fait de neutraliser une certaine période au cours de laquelle la prescription ne court pas. Le délai avant la suspension subsiste. Lorsque la cause de la suspension disparaît, on reprend le comptage du délai. 

   > Lorsque les informations données sont erronées ou falsifiées ou ont changé. Ici deux cas se présentent, selon que le signataire est de bonne foi ou de mauvaise foi.
Ainsi en cas d'erreur ou de changement d'informations, le signataire est présumé être de bonne foi. En revanche, des informations falsifiées prouvent que le signataire les a fourni sciemment dans le but donc de tromper.
   > Lorsque le dispositif de signature a été violé.
L'article 5 de la loi n° 2000-83 du 9 août 2000 prévoit que le dispositif de création de signature doit être fiable; or si ce dispositif est violé, il n'est plus fiable. Par conséquent, une suspension s'impose.
   > Lorsque la certification a fait l'objet d'une utilisation frauduleuse.
Il y a utilisation frauduleuse dans le cas de commerce prohibé par exemple, tels que le commerce d'armements ou de drogue.

Effets :

 Le certificat est suspendu dans le temps sans effet rétroactif. C'est-à-dire que la suspension aura juste pour effet d'arrêter le certificat à un instant " t " sans avoir un incident sur le passé. Le temps recommencera à être décompter dès la fin de la durée de la suspension.
Le titulaire du certificat est immédiatement informé de la raison de la suspension du certificat mais celle-ci ne lui est opposable que lors de sa publication au registre électronique.
De même, la suspension du certificat est opposable aux tiers dès sa publication au registre électronique.

Fin de la suspension :

La suspension est levée immédiatement dès que la preuve de l'exactitude de l'information contenue dans le certificat et son utilisation légitime est fournie.

* Annulation :

Le fournisseur de services de certification électronique annule immédiatement le certificat :

   > A l'initiative du titulaire du certificat.
Ceci est un acte volontaire, le titulaire du certificat adresse une demande au fournisseur de services de certification électronique.
   > Lorsqu'il y a dissolution de la personne morale ou décès de la personne physique.
Ceux-ci sont des faits non volontaires ; mais l'annulation du certificat s'impose. En effet, la délivrance du certificat est personnelle, c'est-à-dire qu'elle est propre au titulaire ; le certificat ne peut donc être cédé.
   > Dans les cas prévus par la suspension s'ils s'avèrent vérifiés.
C'est-à-dire dans les cas où les informations données par le signataire ont été falsifiées, le dispositif de création de signature violé ou le certificat utilisé de manière frauduleuse.
Une enquête déterminera le degré de véracité des cas et pourra aboutir en l'occurrence à l'annulation du certificat.

Effets :

L'annulation du certificat est opposable au titulaire du certificat et aux tiers dès la date de sa publication au registre électronique.

* Emprisonnement et amende :

D'après l'article 47 tout titulaire du certificat qui aura fait sciemment de fausses déclarations au fournisseur de services de certification électronique ainsi qu'à tout tiers qui s'est fié à sa signature est puni d'un emprisonnement de 1000 à 10 000 dinars et/ou d'un emprisonnement de six mois à deux ans.

     d/ Sanctions en cas de non-respect des obligations du fournisseur de services de certification électronique :

* Retrait de l'autorisation :

Si le fournisseur de services de certification faillit à ses obligations, son autorisation lui est retirée par l'Agence Nationale de Certification électronique après audition.

* En cas de non respect du cahier des charges :

Le fournisseur de services de certification électronique se voit retirer l'autorisation d'exercer son activité avec une amende pouvant aller de 1000 à 10 000 dinars.
Il est à noter ici que le ministre chargé de la tutelle de l'Agence Nationale de Certification électronique peut transiger .
Le versement fixé alors par l'acte de transaction éteint l'action publique.

     e/ Sanction d'un tiers :

Toute personne qui utilisera de manière illégitime les éléments de cryptage personnels relatifs à la signature d'autrui, sera puni d'un emprisonnement de six mois à deux ans et/ou d'une amende de 1000 à 10 000 dinars.

2/ CONDITIONS DE FORME

     a / Conditions relatives au fournisseur de services de certification électronique :

* Obtenir l'autorisation préalable de l'Agence Tunisienne de Certification électronique :
Une hiérarchie est ici établie. Le fournisseur de services de certification ne peut en aucun cas exercer sans avoir obtenu au préalable un agrément de l'Agence Tunisienne de Certification électronique. Cet agrément peut être délivré dans le cas où la personne remplie les conditions suivantes : 

   > Être une personne physique ou une personne morale :
Le législateur a voulu ici élargir les possibilités pour les personnes d'obtenir la qualification de fournisseur de services de certification électronique.
Aucune condition quant au type de société (société anonyme par exemple) ou quant au capital minimum requis n'a été formulée.
   > Être de nationalité tunisienne depuis au moins 5 ans,
   > Être domicilié sur le territoire tunisien,
   > Jouir de ses droits civiques et politiques et ne pas avoir d'antécédent judiciaire :
En effet, le fournisseur de services de certification électronique doit être une personne de confiance, qui sécurise les transactions commerciales, il ne peut être donc un " repris " de justice.
   > Être titulaire au moins de la maîtrise ou d'un diplôme équivalent, 
   > Ne pas exercer une autre activité professionnelle :
Le législateur veut certainement éviter au tiers certificateur d'être partager entre ses propres besoins et ceux des tiers. Ainsi, en cas d'autres activités, il aura tendance à vouloir satisfaire ses propres besoins en se certifiant lui-même par exemple.

En France, le prestataire de service de certification peut choisir d'être accrédité (et dans ce cas il s'agit d'accréditation volontaire) ou de ne pas faire l'objet d'une accréditation, mais il devra tout de même prouver que les exigences techniques sont remplies .
Ce système d'accréditation volontaire est fait uniquement dans le but d'améliorer la qualité du service fourni. C'est-à-dire que le prestataire qui décidera de se soumettre à une accréditation, devra remplir certaines conditions afin que le certificat par la suite généré soit pleinement reconnu.
Il est à noter qu'en Tunisie, la loi ne prévoit pas que le signataire puisse apposer sa signature électronique sans être certifié par un fournisseur de services de certification.

     b / Conditions relatives à la délivrance du certificat :

La loi n'en parle pas.
En fait, chaque fournisseur de services de certification aura ses propres exigences.
Il est évident que ces exigences ne seront pas les mêmes pour chaque signataire.
Ainsi, le fournisseur de services de certification sera plus exigeant avec un banquier par exemple qu'un simple commerçant.
Il existe des certificats allant de la classe un à la classe cinq. Ce n'est qu'à partir de la classe trois que le certificat devient vraiment sécurisant.
En Tunisie, ces degrés n'existent pas encore, ils sont d'ailleurs pour le moment seulement pratiqués aux USA.

     c / Sanctions en cas de non respect de ces conditions :

D'après l'article 46 est puni d'un emprisonnement de deux mois à trois ans et/ou d'une amende de 1000 à 10 000 dinars tout fournisseur de services de certification électronique qui exerce sans avoir obtenu au préalable une autorisation.

     d/ Délivrance du certificat :

Le signataire devra d'abord générer une paire de clé privée/publique et envoyer cette dernière ainsi que les pièces prouvant son identité à un fournisseur de services de certification électronique afin d'obtenir un certificat.
Ce fournisseur devra vérifier l'identité du signataire avec la clé publique fournie.
Plus le contrôle sera rigoureux, plus le niveau de sécurité du certificat sera élevé.
Une fois le certificat délivré, le signataire pourra le présenter dans le cadre de la signature électronique.

3/ CESSATION D'ACTIVITÉ DU FOURNISSEUR DE SERVICES DE CERTIFICATION ÉLECTRONIQUE

     a/ Situation normale :

* A la demande du fournisseur de services de certification électronique :

Il est tenu d'informer l'agence nationale de certification électronique au moins trois mois avant la date d'arrêt.

Il est à noter que le fournisseur de services de certification électronique peut transférer à un autre fournisseur tout ou partie de ses activité seulement si :

   > Il en informe les titulaires de certificat au moins un mois avant la date prévue. Ce délai apparaît dérisoire.

   > Il doit préciser l'identité de ce fournisseur et la possibilité pour eux de refuser ce transfert ainsi que les modalités de refus. Dans ce cas tout titulaire qui exprime par écrit ou par voie électronique son refus se voit faire annuler son certificat.
La possibilité de transfert d'un fournisseur à l'autre est possible car tous deux ont été soumis aux mêmes conditions. Cependant, le législateur parle du fait que l'ancien fournisseur précise l'identité du nouveau fournisseur à qui le transfert doit être effectué. Il semblerai donc que le signataire ait le choix seulement de refuser ou d'accepter ce transfert et non pas le choix de l'identité de son futur fournisseur, à moins qu'il demande l'octroi d'un nouveau certificat.

* En cas de décès, faillite, dissolution ou liquidation :

Dans ce cas, les héritiers, tuteurs ou liquidateurs peuvent transférer à un autre fournisseur tout ou partie des activités du fournisseur décédé ou failli dans un délai de trois mois en respectant les conditions citées ci-dessus.
En effet, car l'agrément fourni par l'Agence Nationale de Certification électronique est personnel. C'est-à-dire qu'il répond à des conditions que le fournisseur de services de certification remplissait. Cet agrément n'est donc transférable qu'a un autre fournisseur de services de certification qui lui même remplit les conditions exigées.

     b/ Situation anormale :

* S'il ne respecte pas ses obligations tels que l'utilisation de moyens fiables ou encore le secret professionnel,
* s'il ne respecte pas le cahier des charges,
* s'il n'a pas d'autorisation préalable.
En France, l'autorisation préalable n'est pas nécessaire, le fournisseur de services de certification électronique peut exercer sans avoir été accrédité, il devra seulement prouver que les signatures électroniques répondent bien à toutes les exigences techniques.

4/ RESPONSABILITÉS

     a/ Responsabilités du signataire :

* Il est seul responsable de la confidentialité, de l'intégrité et de l'utilisation du dispositif de création de signature. C'est-à-dire qu'en aucun cas la responsabilité du fournisseur de services de certification ne peut être engagée.
* Il est responsable au cas où il ne notifie pas au fournisseur de services de certification les modifications contenues dans le certificat.

     b/ Responsabilités du fournisseur de services de certification électronique :

* Il est responsable de tout préjudice subi par un tiers de bonne foi qui s'est fié aux informations contenues dans le certificat et donc au lien entre le titulaire du certificat et le dispositif de vérification de signature qui lui est propre et conforme aux dispositions de l'arrêté qui fixera les caractéristiques techniques.
* Par conséquent, il est responsable de la non suspension ou de la non annulation d'un certificat qui a causé préjudice à un tiers.

Exception : 

En cas de non respect des conditions d'utilisation du certificat ou de création de la signature électronique par le titulaire du certificat, le fournisseur de services de certification électronique n'est pas responsable des préjudices causés à un tiers.
La doctrine française rajoute que le fournisseur de services de certification électronique ne peut tenu pour responsable dans le cas où le signataire a fourni des documents faux ou obsolètes. En revanche, il serait tenu pour responsable en cas de non transcription exacte des informations fournies par le titulaire du certificat .
En effet, il est très difficile pour le tiers certificateur de garantir la véracité absolue des documents fournis.
En outre, le destinataire ne pourra engager la responsabilité du fournisseur de services de certification électronique dans le cas par exemple où le certificat avait été révoqué et publié et que ce destinataire ne s'était pas pris la peine de procéder à des vérifications avant de s'engager. Ainsi l'article 19 et l'article 20 de la loi 2000-83 dans leur dernier alinéa prévoient que " la décision de suspension (ou d'annulation) du certificat par le fournisseur de services est opposable au titulaire du certificat et aux tiers dès la date de sa publication au registre électronique... ".

5/ AUTRES MOYENS MIS EN PLACE

     a/ la carte à puce :

La signature électronique peut aussi se trouver sur une carte à puce.
En effet, après son inscription auprès d'une autorité de certification, le signataire pourra avoir sa signature électronique sur une carte à puce. Il suffira juste à l'utilisateur d'insérer sa carte sur un ordinateur et d'insérer un code.
La signature se trouve donc sur la puce et non pas sur l'ordinateur.
Cette solution a l'avantage d'être plus sécurisante et de permettre à plusieurs utilisateurs de se connecter à un même ordinateur.

     b/ La biométrie :

Elle identifie les personnes à partir de leur visage. C'est-à-dire que le système (caméra, PC, logiciel permettant de comparer les images) prend au moins deux photos du visage sous des angles différents afin de reconstituer le vrai visage.
A partir de là, une reconnaissance de la personne peut s'effectuer.
Cette technique est extrêmement fiable.