Bulletin Officiel du Travail, de lEmploi et de la Formation Professionnelle
No 2002/8 du dimanche 5 mai 2002
NOR : PRMX0100183D
Le Président de la République,
Sur le rapport du Premier ministre, du ministre de léconomie, des finances et de lindustrie et du ministre délégué à lindustrie, aux petites et moyennes entreprises, au commerce, à lartisanat et à la consommation,
Vu la directive 98/34/CE du 22 juin 1998, modifiée par la directive 98/48/CE du 20 juillet 1998, prévoyant une procédure dinformation dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de linformation ;
Vu le code de la consommation, notamment son article R. 115-6 ;
Vu le décret no 97-34 du 15 janvier 1997, modifié par le décret no 97-463 du 9 mai 1997 et par le décret no 97-1205 du 19 décembre 1997, relatif à la déconcentration des décisions administratives individuelles ;
Vu le décret no 97-1184 du 19 décembre 1997, modifié par le décret no 2001-143 du 15 février 2001, pris pour lapplication au Premier ministre du 1o de larticle 2 du décret no 97-34 du 15 janvier 1997 relatif à la déconcentration des décisions administratives individuelles ;
Vu le décret no 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du code civil et relatif à la signature électronique ;
Le Conseil dEtat (section de lintérieur) entendu ;
Le conseil des ministres entendu,
Décrète :
Art. 1er. - La sécurité offerte par des produits ou des systèmes des technologies de linformation, au regard notamment de leur aptitude à assurer la disponibilité, lintégrité ou la confidentialité de linformation traitée face aux menaces dues en particulier à la malveillance peut être certifiée dans les conditions prévues au présent décret.
Les administrations de lEtat recourent, dans la mesure du possible et en fonction de leurs besoins de sécurité, à des produits ou des systèmes des technologies de linformation certifiés suivant la procédure prévue au présent décret.
Chapitre Ier
Procédure dévaluation et de certification
Section 1
Evaluation
Art. 2. - Une évaluation en vue de la certification prévue à larticle 1er est effectuée à la demande dun commanditaire qui adresse à la direction centrale de la sécurité des systèmes dinformation un dossier dévaluation. Le dossier comporte notamment la description du système de sécurité à évaluer, les dispositions prévues pour lui conférer sa pleine efficacité ainsi que le programme de travail prévisionnel permettant une évaluation.
Dès réception de ce dossier, la direction centrale de la sécurité des systèmes dinformation si elle estime que les objectifs de sécurité ne sont pas définis de manière pertinente au regard des normes, prescriptions techniques ou règles de bonne pratique applicables au moment où commence lévaluation, notifie au commanditaire quelle ne pourra pas en létat du dossier procéder à la certification envisagée.
Art. 3. - Le commanditaire de lévaluation choisit un ou plusieurs centres dévaluation, agréés dans les conditions prévues au chapitre II, pour procéder à celle-ci. Avant le début des travaux, il détermine avec chacun de ces centres :
a) Le produit ou le système à évaluer ainsi que les objectifs de sécurité ;
b) Les conditions de protection de la confidentialité des informations qui seront traitées dans le cadre de lévaluation ;
c) Le coût et les modalités de paiement de lévaluation ;
d) Le programme de travail et les délais prévus pour lévaluation.
Le commanditaire est tenu dassurer la mise à la disposition des centres dévaluation quil a choisis et de la direction centrale de la sécurité des systèmes dinformation, si elle en fait la demande, de tous les éléments nécessaires au bon accomplissement de leurs travaux, le cas échéant après accord des fabricants concernés.
Art. 4. - Le commanditaire peut décider à tout moment de mettre fin à une évaluation.
Il est décidé entre les parties du dédommagement éventuellement dû au centre dévaluation.
Art. 5. - La direction centrale de la sécurité des systèmes dinformation veille à la bonne exécution des travaux dévaluation. Elle peut à tout moment demander à assister à ces travaux ou à obtenir des informations sur leur déroulement.
Art. 6. - Au terme des travaux dévaluation, chaque centre remet un rapport dévaluation au commanditaire et à la direction centrale de la sécurité des systèmes dinformation. Ce rapport est un document confidentiel dont les informations sont couvertes par le secret industriel et commercial.
Section 2
Certification
Art. 7. - Le commanditaire et la direction centrale de la sécurité des systèmes dinformation valident les rapports dévaluation en liaison avec le centre dévaluation intervenant. Lorsque lensemble des rapports prévus a été validé, la direction centrale de la sécurité des systèmes dinformation élabore un rapport de certification dans un délai dun mois. Ce rapport, qui précise les caractéristiques des objectifs de sécurité proposés, conclut soit à la délivrance dun certificat, soit au refus de la certification.
Le rapport de certification peut comporter tout avertissement que ses rédacteurs estiment utile de mentionner pour des raisons de sécurité. Il est, au choix du commanditaire, communiqué ou non à des tiers ou rendu public.
Art. 8. - Le certificat est délivré par le Premier ministre.
Il atteste que lexemplaire du produit ou du système soumis à évaluation répond aux caractéristiques de sécurité spécifiées. Il atteste également que lévaluation a été conduite conformément aux règles et normes en vigueur, avec la compétence et limpartialité requises.
Art. 9. - La direction centrale de la sécurité des systèmes dinformation peut passer, après avis du comité directeur de la certification, des accords de reconnaissance mutuelle avec des organismes étrangers homologues, ayant leur siège en dehors des Etats membres de la Communauté européenne.
Ces accords peuvent prévoir que les certificats délivrés par les organismes étrangers cosignataires, dans le cadre de procédures comparables à celle prévue au présent chapitre, sont reconnus comme ayant la même valeur que les certificats délivrés en application du présent décret. La reconnaissance mutuelle des certificats peut être limitée à un niveau dassurance déterminé.
Sans préjudice des règles régissant la certification des dispositifs sécurisés de création de signature électronique mentionnées au 2o du II de larticle 3 du décret du 30 mars 2001 susvisé, le Premier ministre reconnaît aux certificats délivrés par les organismes ayant leur siège dans un Etat membre de la Communauté européenne, dans le cadre de procédures comparables présentant des garanties équivalentes, la même valeur quaux certificats délivrés en application du présent décret.
Chapitre II
Agrément des centres dévaluation
Art. 10. - Les centres dévaluation chargés de procéder à lévaluation prévue au présent décret sont agréés dans les conditions fixées par le présent chapitre.
Art. 11. - I. - La demande dagrément est formulée auprès de la direction centrale de la sécurité des systèmes dinformation. Cette demande précise le domaine dans lequel lorganisme demandeur entend exercer son activité.
II. - Lorganisme demandeur doit faire la preuve :
a) De sa conformité aux critères de qualité selon les règles et normes daccréditation en vigueur ;
b) De son aptitude à appliquer les critères dévaluation en vigueur et la méthodologie correspondante ainsi quà assurer la confidentialité requise par lévaluation ;
c) De sa compétence technique à conduire une évaluation.
La conformité mentionnée au a et laptitude mentionnée au b sont attestées par une accréditation délivrée par une instance reconnue dans les conditions prévues à larticle R. 115-6 du code de la consommation ou délivrée par une instance étrangère équivalente.
La compétence technique mentionnée au c est appréciée par la direction centrale de la sécurité des systèmes dinformation, notamment à partir des moyens, des ressources et de lexpérience du centre dévaluation.
Art. 12. - Lagrément est délivré par le Premier ministre, après avis du comité directeur de la certification.
Il peut énoncer les obligations particulières auxquelles est soumis le centre dévaluation.
Il est valable pour une durée de deux ans renouvelable.
Art. 13. - Lorsquun centre dévaluation situé hors du territoire national ou dun autre Etat membre de la Communauté européenne a déjà fait lobjet dun agrément par les autorités de son pays dinstallation dans le cadre dune procédure homologue, le Premier ministre peut, après avis du comité directeur de la certification, le déclarer agréé au titre du présent décret. Cet agrément, qui est accordé pour une durée de deux ans renouvelable, peut être limité à un niveau dassurance déterminé.
Lorsquun centre dévaluation situé dans un Etat membre de la Communauté européenne a déjà fait lobjet dun agrément par les autorités de cet Etat dans le cadre dune procédure équivalente, le Premier ministre, après avis du comité directeur de la certification, le déclare agréé au titre du présent décret.
Art. 14. - La direction centrale de la sécurité des systèmes dinformation peut sassurer à tout moment que les centres dévaluation continuent à satisfaire aux critères au vu desquels ils ont été agréés.
Lorsquun centre ne satisfait plus aux exigences mentionnées à larticle 11 ou quil manque aux obligations fixées par la décision dagrément, lagrément peut être retiré par le Premier ministre, après avis du comité directeur de la certification. Le retrait ne peut être prononcé quaprès que le représentant du centre dévaluation a été mis à même de faire valoir ses observations devant le comité directeur de la certification.
Chapitre III
Comité directeur de la certification
en sécurité des technologies de linformation
Art. 15. - Le comité directeur de la certification en sécurité des technologies de linformation a notamment pour mission :
a) De formuler des avis ou des propositions sur la politique de certification, sur les règles et normes utilisées pour les procédures dévaluation et de certification et sur les guides techniques mis à la disposition du public ;
b) Démettre un avis sur la délivrance et le retrait des agréments aux centres dévaluation ;
c) Dexaminer, à des fins de conciliation, tout litige relatif aux procédures dévaluation organisées par le présent décret qui lui est soumis par les parties ;
d) Démettre un avis sur les accords de reconnaissance mutuelle conclus avec des organismes étrangers en application de larticle 9.
La mission prévue au c ci-dessus peut être déléguée par le comité à lun de ses membres, elle comporte obligatoirement laudition des parties.
Art. 16. - Le comité directeur de la certification en sécurité des technologies de linformation est présidé par le secrétaire général de la défense nationale ou son représentant. Outre son président, il comprend :
a) Un représentant du ministre de la justice ;
b) Un représentant du ministre de lintérieur ;
c) Un représentant du ministre des affaires étrangères ;
d) Un représentant du ministre de la défense ;
e) Un représentant du ministre chargé de lindustrie ;
f) Un représentant du ministre chargé de léconomie ;
g) Un représentant du ministre chargé de lemploi ;
h) Un représentant du ministre chargé de la santé ;
i) Un représentant du ministre chargé de léducation nationale ;
j) Un représentant du ministre chargé de la communication ;
k) Un représentant du ministre chargé de la réforme de lEtat ;
l) Un représentant du ministre chargé des transports ;
m) Un représentant du ministre chargé de la recherche.
Lorsque le comité directeur examine des questions concernant les dispositifs de création et de vérification de signature électronique, tels que définis à larticle 1er du décret du 30 mars 2001 susvisé, il comprend en outre douze personnalités qualifiées nommées pour trois ans par arrêté du Premier ministre.
Le secrétariat du comité directeur est assuré par la direction centrale de la sécurité des systèmes dinformation.
Art. 17. - Le comité directeur se réunit sur convocation de son président qui en fixe lordre du jour.
Le président peut inviter tout expert ou personne qualifiée dont la participation aux débats lui paraît nécessaire.
Le comité rend compte de ses travaux au Premier ministre.
Art. 18. - La direction centrale de la sécurité des systèmes dinformation fait annuellement rapport au comité directeur de la certification de lactivité quelle exerce dans le cadre de la mise en uvre du présent décret.
Chapitre IV
Dispositions diverses et transitoires
Art. 19. - Dans la partie « Sécurité et défense nationale » du paragraphe 2 de lannexe au décret no 97-1184 du 19 décembre 1997 susvisé, il est ajouté, à la suite du tableau relatif au décret no 2001-143 du 15 février 2001, les mots et le tableau suivants :
« Décret no 2002-535 du 18 avril 2002 relatif à lévaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de linformation.
1 | Délivrance du certificat attestant quun produit ou un système satisfait aux caractéristiques de sécurité spécifiées. | - premier alinéa de larticle 8. |
2 | Délivrance et retrait de lagrément des centres dévaluation de la sécurité des technologies de linformation. | - premier alinéa de larticle 12 et deuxième alinéa de larticle 14. |
Art. 20. - Le décret du 30 mars 2001 susvisé est ainsi modifié :
I. - Le 1o du II de larticle 3 est remplacé par les dispositions suivantes :
« 1o Soit par le Premier ministre, dans les conditions prévues par le décret no 2002-535 du 18 avril 2002 relatif à lévaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de linformation. La délivrance du certificat de conformité est rendue publique. »
II. - Larticle 4 est remplacé par les dispositions suivantes :
« Art. 4. - La mise en uvre des procédures dévaluation et de certification prévues au 1o du II de larticle 3 est assurée dans les conditions prévues par le décret no 2002-535 du 18 avril 2002 relatif à lévaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de linformation. »
III. - Au premier alinéa de larticle 5, les mots : « larrêté » sont remplacés par les mots : « le décret ».
IV. - Au deuxième alinéa de larticle 7, les mots : « selon des règles définies par arrêté du Premier ministre » sont supprimés.
V. - Au premier alinéa du II de larticle 9, les mots : « par des organismes publics désignés par arrêté du Premier ministre et agissant sous lautorité des services du Premier ministre chargés de la sécurité des systèmes dinformation » sont remplacés par les mots : « par la direction centrale de la sécurité des systèmes dinformation ».
Art. 21. - Les certificats et les agréments des centres dévaluation délivrés avant la date dentrée en vigueur du présent décret, en application des dispositions de lavis du Premier ministre relatif à la délivrance de certificats pour la sécurité offerte par les produits informatiques vis-à-vis de la malveillance, publié au Journal officiel de la République française du 1er septembre 1995, sont reconnus comme délivrés au titre du présent décret.
Art. 22. - Le présent décret est applicable :
a) En Nouvelle-Calédonie et en Polynésie française, en tant quil concerne la signature électronique ;
b) Dans les îles Wallis-et-Futuna et à Mayotte.
Art. 23. - Les dispositions du présent décret pourront être ultérieurement modifiées par décret, à lexception :
a) Du premier alinéa des articles 8 et 12, du deuxième alinéa de larticle 14 et de larticle 19 dont la modification seffectuera, le cas échéant, dans les conditions prévues à larticle 2 du décret du 15 janvier 1997 susvisé ;
b) De larticle 20.
Art. 24. - Le présent décret sera publié au Journal officiel de la République française.
Fait à Paris, le 18 avril 2002.
Jacques Chirac |
Par le Président de la République :
Le Premier ministre, Lionel Jospin |
Le ministre de léconomie, des finances et de lindustrie, Laurent Fabius |
La garde des sceaux, ministre de la justice, Marylise Lebranchu |
Le ministre de lintérieur, Daniel Vaillant |
Le ministre délégué à lindustrie, aux petites et moyennes entreprises, au commerce, à lartisanat et à la consommation, Christian Pierret |
Le secrétaire dEtat à loutre-mer, Christian Paul |