LegalizeLoi du 17 juillet 2020 portant modification de la loi modifiée du 14 août 2000 relative au commerce électronique
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Notre Conseil d’État entendu ;
De l’assentiment de la Chambre des députés ;
Vu la décision de la Chambre des députés du 7 juillet 2020 et celle du Conseil d’État du 10 juillet 2020 portant qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
Art. 1er.
L’intitulé de la loi modifiée du 14 août 2000 relative au commerce électronique est complété par les termes et les services de confiance.
Art. 2.
L’article 1er de la même loi est remplacé comme suit :Art. 1er.DéfinitionsAu sens de la présente loi, on entend par :« authentification » : l’authentification au sens du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;« cachet électronique » : le cachet électronique au sens du règlement (UE) n° 910/2014 ;« cachet électronique qualifié » : le cachet électronique qualifié au sens du règlement (UE) n° 910/2014 ;« certificat d’authentification de site internet » : le certificat d’authentification de site internet au sens du règlement (UE) n° 910/2014 ;« certificat de cachet électronique » : le certificat de cachet électronique au sens du règlement (UE) n° 910/2014 ;« certificat de signature électronique » : le certificat de signature électronique au sens du règlement (UE) n° 910/2014 ;« certificat qualifié d’authentification de site internet » : le certificat qualifié d’authentification de site internet au sens du règlement (UE) n° 910/2014 ;« certificat qualifié de cachet électronique » : le certificat qualifié de cachet électronique au sens du règlement (UE) n° 910/2014 ; « certificat qualifié de signature électronique » : le certificat qualifié de signature électronique au sens du règlement (UE) n° 910/2014 ;« destinataire du service » : toute personne physique ou morale qui, à des fins professionnelles ou non, utilise un service de la société de l’information ;« données de création d’authentification de site internet » : des données uniques qui sont utilisées par le site internet dans le processus d’authentification du site internet ;« données de création de cachet électronique » : les données de création de cachet électronique au sens du règlement (UE) n° 910/2014 ;« données de création de signature électronique » : les données de création de signature électronique au sens du règlement (UE) n° 910/2014 ;« identification électronique » : l’identification électronique au sens du règlement (UE) n° 910/2014 ;« organisme d’évaluation de la conformité » : l’organisme d’évaluation de la conformité au sens du règlement (UE) n° 910/2014 ;« prestataire » : toute personne physique ou morale qui fournit un service de la société de l’information ;« prestataire de services de confiance » : le prestataire de services de confiance au sens du règlement (UE) n° 910/2014 ;« prestataire de services de confiance qualifié » : le prestataire de services de confiance qualifié au sens du règlement (UE) n° 910/2014 ;« produit » : le produit au sens du règlement (UE) n° 910/2014 ;« service de confiance » : le service de confiance au sens du règlement (UE) n° 910/2014 ;« service de confiance qualifié » : le service de confiance qualifié au sens du règlement (UE) n° 910/2014 ;« service d’envoi recommandé électronique » : le service d’envoi recommandé électronique au sens du règlement (UE) n° 910/2014 ;« service d’envoi recommandé électronique qualifié » : le service d’envoi recommandé électronique qualifié au sens du règlement (UE) n° 910/2014 ;« services de la société de l’information » : tout service presté, normalement contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire de services ;« signature électronique » : la signature électronique au sens du règlement (UE) n° 910/2014 ;« titulaire de certificat » : une personne physique ou morale à laquelle un prestataire de services de confiance a délivré un certificat d’authentification de site internet, une personne physique à laquelle un prestataire de services de confiance a délivré un certificat de signature électronique ou une personne morale à laquelle un prestataire de services de confiance a délivré un certificat de cachet électronique.
Art. 3.
L’intitulé du titre II de la même loi prend la teneur suivante :« Titre II.De la preuve, des services de confiance et des prestataires de services de confiance ».
Art. 4.
À l’article 16 de la même loi, les termes, certifié conforme à l’original, sont supprimés.
Art. 5.
L’intitulé du titre II, chapitre 2, de la même loi, prend la teneur suivante :« Chapitre 2.Des services de confiance et des prestataires de services de confiance ».
Art. 6.
L’intitulé du titre II, chapitre 2, section 1re, de la même loi, prend la teneur suivante :« Section 1re.Dispositions communes ».
Art. 7.
Les articles 17 et 18 de la même loi sont abrogés.
Art. 8.
L’intitulé du titre II, chapitre 2, section 2, libellé Des prestataires de service de certification, et l’intitulé du titre II, chapitre 2, section 2, sous-section 1re, libellé Dispositions communes, de la même loi, sont supprimés.
Art. 9.
L’article 19 de la même loi est modifié comme suit :
Au paragraphe 1er, le terme certification est remplacé à deux reprises par le terme confiance.
Au paragraphe 3, les termes l’Autorité Nationale d’Accréditation et de Surveillance sont remplacés par ceux de l’Institut luxembourgeois de la normalisation, de l’accréditation, de la sécurité et qualité des produits et services, ci-après « ILNAS ».
Le paragraphe 4 prend la teneur suivante :« (4)Toute personne chargée ou ayant été chargée de procéder à des audits par l’ILNAS auprès d’un prestataire de services de confiance est tenue au secret professionnel et passible des peines prévues à l’article 45bis, paragraphe 3 en cas de violation de ce secret.».
Art. 10.
L’article 20 de la même loi est modifié comme suit :
L’intitulé prend la teneur suivante : Art. 20. De la protection des données à caractère personnel.
Au paragraphe 1er, les termes L’Autorité Nationale d’Accréditation et de Surveillance et sont supprimés et les termes les prestataires sont remplacés par ceux de Les prestataires.
Aux paragraphes 1er et 2, le terme certification est remplacé par le terme confiance.
Le paragraphe 3 prend la teneur suivante :(3)Lorsqu’un pseudonyme est utilisé, l’identité véritable du titulaire d’un certificat de signature électronique ne peut être révélée par le prestataire de services de confiance qu’avec le consentement du titulaire du certificat ou dans les cas prévus à l’article 19, paragraphe 2.
Art. 11.
Avant l’article 21 de la même loi est insérée une nouvelle section 2 libellée comme suit :Section 2.Des obligations des prestataires de services de confiance et de certains titulaires de certificats
Art. 12.
L’article 21 de la même loi est modifié comme suit :
Le paragraphe 1er est abrogé.
L’ancien paragraphe 2 prend la teneur suivante :« (1)Le titulaire du certificat de signature électronique, de cachet électronique ou d’authentification de site internet est tenu, dans les meilleurs délais, de notifier au prestataire de services de confiance toute modification des informations contenues dans celui-ci. ».
L’ancien paragraphe 3 prend la teneur suivante :« (2)En cas de doute quant au maintien de la confidentialité des données de création de signature électronique, de cachet électronique ou d’authentification de site internet ou de perte de la conformité à la réalité des informations contenues dans le certificat de signature électronique, de cachet électronique ou d’authentification de site internet, le titulaire de certificat est tenu de faire révoquer immédiatement le certificat de signature électronique, de cachet électronique ou d’authentification de site internet conformément à l’article 26. ».
L’ancien paragraphe 4 prend la teneur suivante :« (3)Lorsqu’un certificat de signature électronique, de cachet électronique ou d’authentification de site internet est arrivé à échéance ou a été révoqué, le titulaire du certificat ne peut plus utiliser les données de création de signature électronique, de cachet électronique ou d’authentification de site internet ou faire certifier ces données par un autre prestataire de services de confiance. ».
Art. 13.
L’intitulé du groupement d’articles libellé Sous-Section 2. Des prestataires de service de certification délivrant des certificats qualifiés, de la même loi, est supprimé.
Art. 14.
À la suite de l’article 21 de la même loi est inséré un article 21bis libellé comme suit :Art. 21bis.Des obligations du titulaire de certificat qualifié de cachet électroniqueUn titulaire de certificat qualifié de cachet électronique établi au Luxembourg met en œuvre les mesures nécessaires afin de pouvoir établir l’identité, la qualité et les pouvoirs de chaque personne physique qui représente la personne morale, lors de chaque usage manuel ou usage non automatisé de création de cachet électronique.
Art. 15.
L’article 22 de la même loi prend la teneur suivante :Art. 22.De l’obligation d’information(1)Le prestataire de services de confiance prévient le titulaire de l’échéance du certificat au moins un mois en avance.(2)Le prestataire de services de confiance qualifié est tenu d’informer les utilisateurs du changement de statut dans la liste de confiance de ses services de confiance qualifiés dans un délai de sept jours à compter de la date effective du changement de statut.
Art. 16.
À la suite de l’article 22 de la même loi est inséré un article 22bis libellé comme suit :Art. 22bis.De la révocation des certificats(1)À la demande de son titulaire, préalablement identifié, le prestataire de services de confiance révoque immédiatement le certificat qualifié.(2)Lorsque le certificat a dû être révoqué pour un autre motif que celui prévu au paragraphe 1er, le prestataire de services de confiance informe le titulaire de la révocation du certificat dans les meilleurs délais et motive sa décision.
Art. 17.
À la suite du nouvel article 22bis de la même loi est inséré un article 22ter libellé comme suit :Art. 22ter.De l’obligation de collaboration avec l’ILNASLors de l’accomplissement de la mission de contrôle par l’ILNAS, tout prestataire de services de confiance est tenu de collaborer activement et promptement, sous peine d’encourir les sanctions administratives prévues à l’article 34bis.
Art. 18.
Les articles 23, 24, 25, 27 et 28 de la même loi sont abrogés.
Art. 19.
L’article 26 de la même loi est modifié comme suit :
Au paragraphe 1er, le terme certification est remplacé par le terme confiance et les termes certificat qualifié sont remplacés par le terme certificat.
Le paragraphe 2 prend la teneur suivante :« (2)Le prestataire de services de confiance ou le prestataire de services de confiance qualifié, révoque un certificat ou un certificat qualifié immédiatement lorsque :il découvre ou est informé que le certificat a été constitué sur la base d’informations erronées ou falsifiées, que les informations contenues dans le certificat ne sont plus conformes à la réalité ou que la sécurité des données de création de signature électronique, de cachet électronique ou d’authentification de site internet a été compromise ou risque d’être compromise ou que le certificat a été utilisé frauduleusement ;le prestataire de services de confiance est informé du décès de la personne physique ou de la dissolution de la personne morale qui en est le titulaire ;la révocation d’un certificat a été ordonnée par une juridiction ;l’ILNAS retire le statut qualifié au prestataire de services de confiance qualifié ou au service de confiance qualifié sous lequel le certificat a été émis, sauf dérogation de l’ILNAS ;l’ILNAS demande la révocation du certificat qualifié pour non-respect des exigences de la présente loi ou du règlement (UE) n° 910/2014 ».
Au paragraphe 3, le terme certification est remplacé par le terme confiance, et la dernière phrase du paragraphe 3 est supprimée.
Les paragraphes 4 et 5 sont abrogés.
Art. 20.
Avant l’article 29 de la même loi est insérée une nouvelle section 3 libellée comme suit :Section 3.La surveillance des prestataires de services de confiance
Art. 21.
La consultation de ce document ne remplace pas la lecture du texte officiel publié au Mémorial du Grand-Duché de Luxembourg. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la conversion de l'original dans ce format.