9 JUILLET 2001. - Loi fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification. (NOTE 1 : intitulé et art. 2 ; 3 ; 4 ; 11 ; 14/1 ; 15 ; 17 ; 20 ; N5 modifiés par L 2011-05-31/02, art. 24, 002; En vigueur : 21-06-2011> (NOTE : Consultation des versions antérieures à partir du 07-03-2012 et mise à jour au 28-09-2016)

CHAPITRE I. - Disposition générale.

Article 1. La présente loi règle une matière visée à l'article 78 de la Constitution.

CHAPITRE II. - Définitions et champ d'application de la loi.

Section 1. - Définitions.

Article 2. La présente loi transpose les dispositions de la directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques.

Pour l'application de la présente loi et de ses arrêtés d'exécution, on entend par :

1° " signature électronique " : une donnée sous forme électronique jointe ou liée logiquement à d'autres données électroniques et servant de méthode d'authentification;

2° " signature électronique avancée " : une donnée électronique, jointe ou liée logiquement à d'autres données électroniques, servant de méthode d'authentification et satisfaisant aux exigences suivantes :

3° " certificat " : une attestation électronique qui lie des données afférentes à la vérification de signature à une personne physique ou morale et confirme l'identité de cette personne;

4° " certificat qualifié " : un certificat qui satisfait aux exigences visées à l'annexe I de la présente loi et qui est fourni par un prestataire de service de certification satisfaisant aux exigences visées à l'annexe II de la présente loi;

5° " titulaire de certificat " : une personne physique ou morale à laquelle un prestataire de service de certification a délivré un certificat;

6° " données afférentes à la création de signature " : des données uniques, telles que des codes ou des clés cryptographiques privées, que le signataire utilise pour créer une signature électronique avancée;

7° " dispositif sécurisé de création de signature " : un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la création de signature qui satisfait aux exigences de l'annexe III de la présente loi;

8° " données afférentes à la vérification de signature " : des données, telles que des codes ou des clés cryptographiques publiques, qui sont utilisées pour vérifier une signature électronique avancée;

9° " dispositif de vérification de signature " : un dispositif logiciel ou matériel configuré pour mettre en application les données afférentes à la vérification de signature;

10° " prestataire de service de certification " : toute personne physique ou morale qui délivre et gère des certificats ou fournit d'autres services liés aux signatures électroniques;

11° " produit de signature électronique " : tout produit matériel ou logiciel, ou élément spécifique de ce produit, destiné à être utilisé par un prestataire de service de certification pour la fourniture de services de signature électronique ou pour la création ou la vérification de signatures électroniques;

12° " Administration " : l'administration du ministère des Affaires économiques qui est chargée des tâches relatives à l'accréditation et au contrôle des prestataires de service de certification délivrant des certificats qualifiés et établis en Belgique;

13° " entité " : organisme qui démontre sa compétence sur base d'un certificat délivré par le système belge d'accréditation conformément à la loi du 20 juillet 1990 concernant l'accréditation des organismes de certification et de contrôle, ainsi que des laboratoires d'essais, ou par un organisme équivalent établi dans l'Espace économique européen.

Section 2. - Champ d'application.

Article 3. La présente loi fixe certaines règles relatives au cadre juridique pour les signatures électroniques et définit le régime juridique applicable aux opérations effectuées par les prestataires de service de certification ainsi que les règles à respecter par ces derniers et les titulaires de certificats sans préjudice des dispositions légales concernant les règles de représentations des personnes morales.

La présente loi instaure également un régime d'accréditation volontaire.

CHAPITRE III. - Principes généraux.

Article 4. § 1er. A défaut de dispositions légales contraires, nul ne peut être contraint de poser un acte juridique par voie électronique.

§ 2. Nul prestataire de service de certification ne peut être contraint de demander une autorisation préalable pour exercer ses activités.

Néanmoins, les prestataires de service de certification délivrant des certificats qualifiés établis en Belgique doivent communiquer les informations suivantes à l'Administration, soit dans le mois suivant la publication de la présente loi, soit avant le début de leurs activités :

• leur nom;

• l'adresse géographique où ils sont établis;

• les coordonnées permettant de les contacter rapidement, y compris leur adresse de courrier électronique;

• le cas échéant, leur titre professionnel et leurs références et leurs numéros d'identification (registre de commerce, T.V.A.);

• la preuve qu'une assurance a été souscrite en vue de couvrir leurs obligations visées à l'article 14.

L'Administration leur délivre un récépissé dans les cinq jours ouvrables suivant la réception de leur communication.

§ 3. Le Roi peut, par arrêté délibéré en Conseil des Ministres, soumettre l'usage des signatures électroniques dans le secteur public à des exigences supplémentaires éventuelles. Ces exigences doivent être objectives, transparentes, proportionnées et non discriminatoires et ne s'appliquer qu'aux caractéristiques spécifiques de l'application concernée. Ces exigences ne peuvent pas constituer un obstacle aux services transfrontaliers pour les citoyens.

§ 4. Sans préjudice des articles 1323 et suivants du Code civil, une signature électronique avancée réalisée sur la base d'un certificat qualifié et conçue au moyen d'un dispositif sécurisé de création de signature électronique, est assimilée à une signature manuscrite, qu'elle soit réalisée par une personne physique ou morale.

§ 5. Une signature électronique ne peut être privée de son efficacité juridique et ne peut être refusée comme preuve en justice au seul motif :

• que la signature se présente sous forme électronique, ou

• qu'elle ne repose pas sur un certificat qualifié, ou

• qu'elle ne repose pas sur un certificat qualifié délivré par un prestataire accrédité de service de certification, ou

• qu'elle n'est pas créée par un dispositif sécurisé de création de signature.

[¹ § 6. La signature du titulaire de certificat peut être matérialisée par un équivalent satisfaisant aux exigences visées à l'article 2, alinéa 2, 2°.]¹

(1)2012-02-15/13, art. 2, 002; En vigueur : 17-03-2012>

Article 5. § 1er. Sans préjudice de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, un prestataire de service de certification qui délivre des certificats à l'intention du public ne peut recueillir des données personnelles que directement auprès de la personne concernée ou avec le consentement explicite de celle-ci et uniquement dans la mesure où cela est nécessaire à la délivrance et à la conservation du certificat. Les données ne peuvent être recueillies ni traitées à d'autres fins sans le consentement explicite de la personne intéressée.

§ 2. Lorsque le titulaire du certificat utilise un pseudonyme et lorsque les nécessités de l'instruction l'exigent, le prestataire de service de certification ayant délivré le certificat est tenu de communiquer toute donnée relative à l'identité du titulaire dans les circonstances et selon les conditions prévues par les articles 90ter à 90decies du Code d'instruction criminelle.

CHAPITRE IV. - Des produits de signature électronique.

Article 6. Lorsqu'un produit de signature électronique est conforme à des normes dont les numéros de référence sont publiés au Journal officiel des Communautés européennes conformément à la procédure visée par la directive 99/93/CE du Parlement et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques, ce produit est présumé conforme aux exigences visées à l'annexe II point f), et à l'annexe III de la présente loi.

Article 7. § 1er. Les exigences relatives aux dispositifs sécurisés de création de signature électronique sont reprises à l'annexe III de la présente loi.

§ 2. La conformité des dispositifs sécurisés de création de signature électronique par rapport aux exigences visées à l'annexe III de la présente loi est attestée par des organismes compétents désignés par l'Administration et dont la liste est communiquée à la Commission européenne.

§ 3. Le Roi détermine les conditions auxquelles doivent répondre les organismes visés au paragraphe précèdent.

§ 4. La conformité établie par un organisme désigné par un autre Etat membre de l'Espace économique européen est reconnue en Belgique.

CHAPITRE V. - Des prestataires de service de certification délivrant des certificats qualifiés.

Section 1. - Des certificats qualifiés.

Sous-section 1. - Des missions.

Article 8. § 1er. Préalablement à la délivrance d'un certificat, le prestataire de service de certification vérifie la complémentarité des données afférentes à la création et à la vérification de signature.

§ 2. Après avoir vérifié son identité et, le cas échéant, ses qualités spécifiques, le prestataire de service de certification délivre un ou plusieurs certificats à toute personne qui en fait la demande.

§ 3. En ce qui concerne les personnes morales, le prestataire de services de certification tient un registre contenant le nom et la qualité de la personne physique qui représente la personne morale et qui fait usage de la signature liée au certificat, de telle manière qu'à chaque utilisation de cette signature, on puisse établir l'identité de la personne physique.

Article 9. Le prestataire de service de certification fournit un exemplaire du certificat au candidat titulaire.

Article 10. Le prestataire de service de certification conserve un annuaire électronique comprenant les certificats qu'il délivre et le moment de leur expiration.

Sous-section 2. - Exigences relatives aux certificats qualifiés.

Article 11. § 1er. Les certificats qualifiés doivent satisfaire aux exigences visées à l'annexe I de la présente loi.

§ 2. Les prestataires de service de certification qui délivrent des certificats qualifiés doivent satisfaire aux exigences visées à l'annexe II de la présente loi.

Sous-section 3. - De la révocation des certificats qualifiés.

Article 12. § 1er. A la demande du titulaire du certificat, préalablement identifié, le prestataire de service de certification révoque immédiatement le certificat.

§ 2. Le prestataire de service de certification révoque également un certificat lorsque :

1° il existe des raisons sérieuses pour admettre que le certificat a été délivré sur base d'informations erronées ou falsifiées, que les informations contenues dans le certificat ne sont plus conformes à la réalité ou que la confidentialité des données afférentes à la création de signature a été violée;

2° les tribunaux ont ordonné les mesures prévues à l'article 20, § 4, b);

3° le prestataire de service de certification arrête ses activités sans qu'il n'y ait reprise de celles-ci par un autre prestataire de service de certification garantissant un niveau de qualité et de sécurité équivalent;

4° le prestataire de service de certification est informé du décès de la personne physique ou de la dissolution de la personne morale qui en est le titulaire.

Le prestataire de service de certification informe le titulaire de certificat, sauf en cas de décès, de la révocation et motive sa décision. Un mois avant l'expiration d'un certificat, le prestataire de service de certification informe son titulaire de celle-ci.

§ 3. La révocation d'un certificat est définitive.

Article 13. § 1er. Le prestataire de service de certification prend les mesures nécessaires afin de répondre à tout moment et sans délai à une demande de révocation.

§ 2. Immédiatement après la décision de révocation, le prestataire de service de certification inscrit la mention de la révocation du certificat dans l'annuaire électronique visé à l'article 10.

La révocation est opposable aux tiers à partir de cette inscription.

Sous-section 4. - De la responsabilité des prestataires de service de certification délivrant des certificats qualifiés.

Article 14. § 1er. Un prestataire de service de certification qui délivre à l'intention du public un certificat présenté comme qualifié ou qui garantit au public un tel certificat est responsable du préjudice causé à tout organisme ou personne physique ou morale qui, en bon père de famille, se fie raisonnablement à ce certificat pour ce qui est de :

sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence.

§ 2. Un prestataire de service de certification qui a délivré à l'intention du public un certificat présenté comme qualifié est responsable du préjudice causé à un organisme ou à une personne physique ou morale qui se prévaut raisonnablement du certificat, pour avoir omis de faire enregistrer la révocation du certificat, sauf si le prestataire de service de certification prouve qu'il n'a commis aucune négligence.

§ 3. Un prestataire de service de certification peut indiquer, dans un certificat qualifié, les limites fixées à son utilisation, à condition que ces limites soient discernables par des tiers. Le prestataire de service de certification ne doit pas être tenu responsable du préjudice résultant de l'usage d'un certificat qualifié qui dépasse les limites fixées à son utilisation.

§ 4. Un prestataire de service de certification peut indiquer, dans un certificat qualifié, la valeur maximale des transactions pour lesquelles le certificat peut être utilisé, à condition que cette valeur soit discernable par des tiers. Le prestataire de service de certification n'est pas responsable des dommages qui résultent du dépassement de cette valeur maximale.

Sous-section 5. - De l'arrêt des activités des prestataires de service de certification délivrant des certificats qualifiés.

Article 15. § 1er. Le prestataire de service de certification qui délivre des certificats qualifiés informe l'Administration dans un délai raisonnable de son intention de mettre fin à ses activités de prestataire de service de certification qualifiée ainsi que de toute action qui pourrait conduire à la cessation de ses activités. Dans ce cas, il doit s'assurer de la reprise de celles-ci par un autre prestataire de service de certification garantissant un même niveau de qualité et de sécurité, ou à défaut, révoque les certificats deux mois après en avoir averti les titulaires. Dans ce cas, le prestataire de service de certification prend les mesures nécessaires pour satisfaire à l'obligation prévue à l'Annexe II, i).

§ 2. Le prestataire de service de certification qui arrête ses activités pour des raisons indépendantes de sa volonté ou en cas de faillite en informe immédiatement l'Administration. Il procède, le cas échéant, à la révocation des certificats et prend les mesures nécessaires pour satisfaire à l'obligation prévue à l'Annexe II, i).

Sous-section 6. - Certificats délivrés à titre de certificats qualifiés par des prestataires de service de certification étrangers.

Article 16. § 1er. Un certificat qualifié délivré à l'intention du public par un prestataire de service de certification qui est établi dans un Etat membre de l'Espace économique européen est assimilé aux certificats qualifiés délivrés par un prestataire de service de certification établi en Belgique.

§ 2. Les certificats délivrés à titre de certificats qualifiés à l'intention du public par un prestataire de service de certification établi dans un pays tiers sont reconnus équivalents, sur le plan juridique, aux certificats délivrés par un prestataire de service de certification établi en Belgique :

ou

ou

Section 2. - Des prestataires de service de certification accrédités.

Article 17. § 1er. Un prestataire de service de certification qui répond aux exigences de l'annexe II, délivrant des certificats qualifiés qui répondent aux exigences de l'annexe I et qui utilise des dispositifs de création répondant aux exigences de l'annexe III, peut demander une accréditation à l'Administration.