OpenTrust DMS RGS PS Formulaires 1.0s

7/21/2019 OpenTrust DMS RGS PS Formulaires 1.0s

1/40

Politi

PS po

Emma

02/09/2

OpenT

ue d

ur la

uel Mo

011

ust_D

Sign

estio

ntacut

S_RG

ature

n des

lli

_PS_

certi f

ormul

icats

ires_v1

RGS

.0


2/40

OpenTrust. Tous droits rservs. - 2 - www.opentrust.comRf : OpenTrust_DMS_RGS_PS_Formulaires_v1.0

PS POUR LA GESTION DES CERTIFICATS RGS

Version du document : 1.0 Nombre totalde pages :

40

Statut du document : Projet Version finale

Rdacteur dudocument :

Emmanuel Montacutelli OpenTrust

Liste de diffusion : Externe Interne OpenTrust

Public, Porteurs decertificats

Tous les personnels

Historique du document :

Date Version Rdacteur Commentaires Vrifi par

02/09/2011 1.0 EM Passage en v1.0 JYF


3/40


SOMMAIRE

AVERTISSEMENT 7

1 INTRODUCTION 8

1.1 Prsentation gnrale ......................................................................................................................... 8

1.2 Communaut dutilisateur du service de signature ............................................................................. 8

1.2.1 LAutorit de Signature (AS) .......................................................................................................... 9

1.2.2 LAE KWA ...................................................................................................................................... 9

1.2.3 Utilisateur ....................................................................................................................................... 9

1.2.4

Le vrificateur................................................................................................................................. 9

1.3 Utilisation de la politique de signature .............................................................................................. 10

1.4 Identification du document ................................................................................................................ 10

1.5 Gestion de la PS et des pratiques associes ................................................................................... 10

1.5.1 Elaboration de la PS et des pratiques associes ........................................................................ 10

1.5.2 Dlai de pravis ........................................................................................................................... 10

1.5.3 Forme de diffusion des avis ......................................................................................................... 10

1.5.4 Point de contact ........................................................................................................................... 10

1.6 Dfinitions.......................................................................................................................................... 11

1.7 Acronymes ........................................................................................................................................ 17

2 DISPOSITIONS REGLEMENTAIRES ET LEGALES 18

2.1 Obligations ........................................................................................................................................ 18

2.1.1 Obligations de lAutorit de Signature ......................................................................................... 18

2.1.2 Obligation de lAE KWA ............................................................................................................... 18

2.1.3 Obligation de lUtilisateur ............................................................................................................. 19

2.1.4

Obligations du Vrificateur ........................................................................................................... 19

2.2 Conformit avec les exigences lgales ............................................................................................. 19

2.2.1 Exonration des droits ................................................................................................................. 19

2.2.2 Loi applicable ............................................................................................................................... 19

2.2.3 Rglement des litiges ................................................................................................................... 20

2.2.4 Droits de proprit intellectuelle ................................................................................................... 20

2.2.5 Protection des donnes caractre personnel ........................................................................... 20

2.2.6 Effets de la rsiliation et survie .................................................................................................... 21

2.3 Garantie et limite de responsabilit ................................................................................................... 21


4/40


2.4 Publication dinformation ................................................................................................................... 21

3 ELABORATION DU DOCUMENTMETIER (FORMULAIRES) 23

3.1

Type de document mtier ligible la signature .............................................................................. 23

3.2 Logiciel pour llaboration et linterprtation du document mtier..................................................... 23

3.3 Format du document mtier .............................................................................................................. 23

3.4 Politique de scurit pour llaboration du document mtier ............................................................ 23

4 SIGNATURE DU DOCUMENT METIER PAR LUTILISATEUR 24

4.1 Remplissage des documents mtiers ............................................................................................... 24

4.1.1 Remplissage des documents mtiers : Utilisateurs ..................................................................... 24

4.1.2

Visualisation du document mtier ................................................................................................ 24

4.2 Signature du document mtier par lUtilisateur ................................................................................. 24

4.3 Horodatage ....................................................................................................................................... 25

4.4 Etat de validit des certificats ........................................................................................................... 26

5 IDENTIFICATION ET AUTHENTIFICATION 26

5.1 Identits utilises pour les documents mtiers et fichiers de preuves signs .................................. 26

5.2 Authentification et identification de lUtilisateur ................................................................................. 26

5.2.1

Identit KWA porte dans le certificat KWA ................................................................................ 26

5.2.2 Vrification et validation de lidentit KWA de lUtilisateur ........................................................... 26

6 STOCKAGE ET MISE A DISPOSITION DU DOCUMENT SIGNE 27

6.1 Conservation et archivage du document mtier sign ...................................................................... 27

6.2 Mise disposition du document sign par lAS ................................................................................ 27

7 VALIDATION ET UTILISATION DE DOCUMENT SIGNE 28

7.1 Validation des signatures AS et Utilisateur ....................................................................................... 28

7.2

Utilisation dun document sign ........................................................................................................ 29

7.2.1 Pendant la priode de validit des certificats .............................................................................. 29

7.2.2 Aprs la priode de validit dun ou des certificats...................................................................... 29

7.3 Vrification des identits ................................................................................................................... 30

7.3.1 Document mtier sign ................................................................................................................ 30

8 EXIGENCES PHYSIQUES ET ENVIRONNEMENTALES, PROCEDURALES ET

ORGANISATIONNELLES 33

8.1

Exigences physiques et environnementales ..................................................................................... 33

8.2 Exigences procdurales .................................................................................................................... 33


5/40


8.2.1 Manipulation et scurit des supports ......................................................................................... 34

8.2.2 Planification de Systme .............................................................................................................. 34

8.2.3

Rapport d'incident et rponse ...................................................................................................... 34

8.2.4 Procdures de fonctionnement et responsabilits ....................................................................... 34

8.2.5 Gestion d'Accs au Systme ....................................................................................................... 34

8.2.6 Dploiement et Maintenance ....................................................................................................... 35

8.3 Exigences organisationnelles............................................................................................................ 35

8.4 Journalisation et archivage ............................................................................................................... 36

8.4.1 Evnements lis la mise en uvre dune plate-forme ............................................................. 36

8.4.2 Evnements lis la gestion des cls de la plate-forme de signature de lAS ........................... 36

8.4.3

Dure de conservation ................................................................................................................. 36

8.4.4 Archivage ..................................................................................................................................... 36

8.5 Compromission et plan de continuit ................................................................................................ 36

8.6 Fin d'activit ...................................................................................................................................... 37

8.6.1 Transfert dactivit ........................................................................................................................ 37

9 EXIGENCES DE SECURITE SUR LES CLES DE SIGNATURE DES UTILISATEURS 37

9.1 Gnration des bis-cls de signature de lUtilisateur ........................................................................ 37

9.2

Certification des bi-cls de lUtilisateur ............................................................................................. 37

9.3 Gestion de la dure de vie descls prives et du certificat de lUtilisateur ...................................... 37

9.4 Protection des cls prives de lUtilisateur ....................................................................................... 37

9.5 Exigences de sauvegarde des cls de lUtilisateur ........................................................................... 38

9.6 Destruction de cls de lUtilisateur .................................................................................................... 38

9.7 Algorithmes utiliss ........................................................................................................................... 38

10 MECANISMES DE SECURITE DES SYSTEMES INFORMATIQUES 38

10.1 Exigences techniques de scurit des ressources informatiques .................................................... 38

10.2 Mcanismes de scurit du rseau .................................................................................................. 38

11 CONTROLES DE CONFORMITE ET AUTRES EVALUATIONS 38

11.1 Frquence et motifs des audits ......................................................................................................... 38

11.2 Identit / Qualification des auditeurs ................................................................................................. 39

11.3 Lien entre l'auditeur et l'entit contrle ........................................................................................... 39

11.4 Points couverts par l'valuation ........................................................................................................ 39

11.5 Mesures prises en cas de non-conformit ........................................................................................ 39

11.6 Communication des rsultats ............................................................................................................ 39


6/40


12 ANNEXE 1 : DOCUMENTS CITES EN REFERENCE 39

12.1 Rglementation ................................................................................................................................. 39

12.2

Documents techniques ...................................................................................................................... 40


7/40


AVERTISSEMENT

La prsente politique de signature est une uvre protge par les dispositions du Code de la PropritIntellectuelle du 1er juillet 1992, notamment par celles relatives la proprit littraire et artistique et auxdroits dauteur, ainsi que par toutes les conventions internationales applicables. Ces droits sont la propritexclusive de KEYNECTIS.

La reproduction, la reprsentation (hormis la diffusion), intgrale ou partielle, par quelque moyen que ce soit(notamment, lectronique, mcanique, optique, photocopie, enregistrement informatique), non autorisepralablement de manire expresse par KEYNECTIS ou ses ayants droit, sont strictement interdites.

Le Code de la Proprit Intellectuelle nautorise, aux termes de lArticle L.122-5, dune part, que les copiesou reproductions strictement rserves lusage priv du copiste et non destins une utilisationcollective et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration,

toute reprsentation ou reproduction intgrale ou partielle faite sans le consentement de lauteur ou de sesayants droit ou ayants cause est illicite (Article L.122-4 du Code de la Proprit Intellectuelle).

Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaonsanctionne notamment par les Articles L. 335-2 et suivants du Code de la Proprit Intellectuelle.


8/40


1 INTRODUCTION

1.1 Prsentation gnrale

LAutorit de Signature (ci-aprs dnomme AS ) permet de signer lectroniquement des Formulairesdans le cadre de la gestion du cycle de vie de certificat RGS mis par des AC qualifie RGS deKEYNECTIS.

LAS met en uvre les services suivants :

- La Signature lectronique de documents mtier par un Utilisateur ;

- Lhorodatage et la validation OCSP des documents mtiers signs.

Dans le cadre de la PS, KEYNECTIS permet aux Utilisateurs de signer lectroniquement des documentsmtiers, de les transmettre par Internet et de les conserver en leur confrant la mme valeur lgale quuncrit sur support papier, en conformit avec les dispositions des articles 1316-1 et de la premire phrase dusecond alina de larticle 1316-4 du Code civil.

Le prsent document constitue la Politique de Signature (ci-aprs dnomme PS ) de lAS pour le servicede signature dcrit ci-avant.

La prsente Politique de Signature de lAS, lensemble des politique de certification et la Pratique designature forme lensemble des documents qui permettent de garantir la valeur probante des documentssigns. Si une des parties de la communaut dutilisateur, comme dfinit ci-aprs, ne respecte pas les rglesqui lui incombent et dfinies par ces documents, alors le document sign pourra perdre sa valeur juridique.

Le prsent document dfinit :

- Les rgles applicables aux documents faire signer ;

- Les rgles applicables la gnration de signatures lectroniques de documents au formatlectronique ;- Les rgles qu'il est ncessaire d'appliquer lors de la vrification des signatures apposes sur les

documents signs ;- Les rgles applicables pour la mise disposition des documents signs lUtilisateur et leur

conservation ;- Les engagements et les limites de responsabilit des acteurs dans le cadre de llaboration, signature

et la validation de signature ;- Les Autorits de certification et les types de certificats de signature autoriss pour la signature et la

validation de signature de document.

Les pratiques de signature exposent les mcanismes mis en uvre pour atteindre les rgles de scurit dela prsente PS, en particulier les processus que la plate-forme de confiance de lAS emploiera pour mettre

en uvre la cinmatique signature des documents.

En raison de la confidentialit dune partie de leur contenu, les pratiques sont des documents diffusionrestreinte, ils ne sont disponibles la consultation qu'aux personnes habilites en prendre connaissance.Toute demande de consultation devra tre adresse lAS.

1.2 Communaut dutil isateur du service de signature

La communaut dutilisateurs de la politique de signature est constitue des entits suivantes :

- LAS ;- LAE KWA ;- LUtilisateur ;- Le Vrificateur.


9/40


1.2.1 LAutori t de Signature (AS)

Dsigne lentit qui a en charge l'application de la prsente Politique de signature (PS). LAS fait apposer lessignatures lectroniques par des Utilisateurs (Porteur et Mandataire de Certification et/ou Reprsentant

habilit dEntit Lgale) sur des Formulaires via le Portail web de signature de KEYNECTIS. KEYNECTISest AS.

LAS dfinit un niveau de scurit concernant les certificats KWA utiliser pour signer et identifie et/ouautorise des AC qui dlivrent et grent des certificats conformment au niveau de scurit requis.

LAS a galement la charge de :

- La scurit du processus de llaboration des documents mtiers signer ;

- La conservation des documents signs ;

- La mise en uvre du portail de signature sur lequel sauthentifie lUtilisateur ;

- Le suivi juridique avec lAE KWA ;

- La dfinition des identits utiliser dans les certificats KWA et les documents mtiers signs ;

- Les types de documents mtiers autoriss ;

- La dfinition des protocoles de consentements ;

- La dfinition, la validation et le contrle de la politique de signature et des pratiques associes.

1.2.2 LAE KWA

Dsigne lune des composantes de lIGC (ou ICP), approuve par lAC KWA pour enregistrer les demandes

dmission de Certificats et de rvocation de Certificats, les valider ou les rejeter et grer lidentification etlauthentification de lUtilisateur.

LAutorit dEnregistrement pour les Certificats KWA est soit lAED ayant signe un contrat dAED avecKEYNECTIS dans le cadre des certificats RGS mis et gres par une AC de KEYNECTIS soit KEYNECTISen tant quAE dans le cadre des certificats RGS mis et grs par une AC de KEYNECTIS.

1.2.3 Utilisateur

Dsigne la personne physique, identifie dans le Certificat KWA, ayant conclue une transaction lectroniqueet auquel est associ un numro unique de transaction (TransNUM) indiqu dans le Certificat KWA.Lidentit KWA de lUtilisateur est reconnue et valide par lAE KWA.

Les Utilisateurs remplissent les documents mtiers (Formulaires) et les signent sur le Portail de signature delAS.

1.2.4 Le vrifi cateur

Le vrificateur est une personne physique qui a la responsabilit du processus de vrification automatiqueou manuelle. Processus dont le rle est de valider, pour le compte d'une personne morale ou un particulier,la ou les signature(s) lectronique(s) dun Document mtier sign conformment la prsente PS ou dunFichier de preuve. Selon le rsultat de lopration de validation, le processus de vrification automatiquepourra dcider de l'utilisation ou non du document.

Le processus de vrification automatique procde la validation de la signature lectronique selonl'ensemble des modalits de validations prvues dans la prsente politique de signature.


10/40


1.3 Utilisation de la pol itique de signature

Ce service de signature permet de signer seulement les documents mtiers de types Formulaires utilissdans le cadre du cycle de vie des certificats mis par une AC RGS de KEYNECTIS.

Ces signatures permettent de confrer une valeur probante aux Formulaires signs par lUtilisateur. Il estrappel que la valeur juridique de la signature dpend directement des procdures denregistrement(identification) et dauthentification de lUtilisateur mises en uvre par lAE KWA.

De mme, la politique de signature est complte par les CGU figurant dans les Formulaires.

Suite la signature dun Formulaire par lUtilisateur, KEYNECTIS cre un fichier de preuve qui est stockchez KEYNECTIS. Le Formulaire sign est toujours remis lAE KWA et lUtilisateur peut le tlcharger surle portail de signature une fois sign.

Les signatures de lAS et de lUtilisateur sont directement interprtables avec un logiciel de type AdobeReader car les signatures sont directement embarques avec le document.

1.4 Identification du document

La prsente PS est dnomme : Politique de Signature Formulaires RGS .

1.5 Gestion de la PS et des pratiques associes

1.5.1 Elaboration de la PS et des pratiques associes

La politique de signature et les pratiques associes sont rdiges et/ou approuves par lAS.

Les pratiques qui supportent la prsente PS sont approuves par lAS laquelle toute demande derenseignements est adresser. LAS dispose dun comit, qui a entre autres la responsabilit de veiller laconformit des pratiques avec la prsente politique de signature.

1.5.2 Dlai de pravisLAS informera les AE KWA et les Utilisateurs qui utilisent le Service de signature en respectant un pravisde trente (30) jours calendaires avant de procder tout changement de la prsente politique, susceptiblede produire un effet majeur sur lesdits AE KWA et les Utilisateurs. Le dlai de 30 jours pourra tre plus courten cas de contraintes rglementaires de place, ou des autorits de tutelle.

LAS informera les AE KWA et les Utilisateurs qui utilisent le Service de signature en respectant un pravisde quinze (15) jours calendaires avant de procder tout changement de la prsente politique, susceptiblede produire un effet mineur sur lesdits AE KWA et les Utilisateurs.

LAS peut modifier la prsente politique sans pravis lorsque, selon lvaluation du responsable de lapolitique de signature, ces modifications nont aucun impact sur lAE KWA et les Utilisateurs. Toutefois lAS

de signature informera les AE KWA de la nature de la modification.1.5.3 Forme de dif fusion des avis

Dans les cas de modification soumise pravis, lAS avise les AE KWA et les Utilisateurs qui utilisent leService de signature des modifications apportes la prsente PS, par tous moyens sa convenance dontnotamment le site Internet de publication de la PS et la messagerie lectronique, selon la porte desmodifications.

1.5.4 Point de contact

Toute demande relative la prsente PS doit tre adresse :

- KEYNECTIS ;- Contact : Directeur des Services ;

- 11-13 rue Ren Jacques - 92131 Issy-les-Moulineaux Cedex ;- Tl : +33 (0)1 55 64 22 00 ;- Fax : +33 (0)1 55 64 22 01 ;


11/40


- [email protected].

Toute demande de consultation des pratiques associes la prsente politique de signature devra tremotive. Cette demande est instruite en tenant compte des lments de motivation de la demande, latransmission ventuelle aura lieu conformment aux rgles de protection de l'information appliques parlAS.

1.6 Dfinitions

Authentif ication : Conformment au document de lANSSI (Authentification, Rgles et recommandationsconcernant les mcanismes dauthentification de niveau de robustesse standard ou renforc, version 1.0 du13 janvier 2010, lauthentification est dfinie de la manire suivante : Lauthentification a pour but devrifier lidentit dont une entit (personne ou machine) se rclame. Gnralement, lauthentification estprcde dune identification qui permet cette entit de se faire reconnatre du systme par un lmentdont on la dot. En rsum, sidentifier cest communiquer une identit pralablement enregistre,sauthentifier cest apporter la preuve de cette identit .

Authentif ication: pour lmission de certificat KWA, cest une opration organisationnelle ralise par lAEde lAC KWA qui consiste vrifier lidentit qui est porte le certificat KWA. Pour lutilisation dun certificat,cest une opration technique qui consiste valider un certificat. Pour la mise en uvre du protocole deconsentement cest lopration qui consiste vrifier lidentit de lUtilisateur et sassurer quil est autoris signer un document grce lauthentification ralise par lapplication utilisatrice.

Autori t de Cert if ication (AC): Autorit de confiance qui met et gre des certificats lectroniques et desLCR. Il est noter que dans le cadre de la politique de signature, plusieurs autorits de certification sontutilises pour grer les certificats de lAH, de lAS, des systmes dtat de certificats (OCSP) et dessignataires.

Autori t de Cert if ication KWA (AC KWA) : Autorit de confiance qui met et gre des certificats KWA.

KEYNECTIS est lAC KWA.Autori t dEnregis trement KWA (ou AE KWA) : Cf. 1.2.2.

Autori t dEnregistrement Dlgue (AED) : dsigne toute personne morale, concluant un Contrat avecKEYNECTIS, aux termes duquel elle agit lgard des Utilisateurs pour le compte de lAutoritdEnregistrement de KEYNECTIS dune AC RGS de KEYNECTIS. LAED est lintermdiaire entre lAE et lesUtilisateurs.

Autori t d'horodatage (AH) : dsigne une entit qui a en charge l'application d'au moins une politiqued'horodatage en s'appuyant sur une ou plusieurs Units d'Horodatage. LAH dlivre des contremarques detemps avec une prcision donne et partir de sources de temps choisies.

Autori t de Signature (AS): Cf. 1.2.1.

Bi-cl: dsigne un couple compos dune cl prive (devant tre conserve secrte) et dune cl publique,ncessaire la mise en uvre dune prestation de cryptologie base sur des algorithmes asymtriques.Plusieurs bi-cls interviennent dans lIGC :

- La bi-cl de signature et/ou dauthentification dont la cl prive est utilise des fins de signature et/oudauthentification et la cl publique des fins de vrification ;

- La bi-cl de confidentialit, dont la cl prive est utilise par une application des fins de dchiffrement dedonnes ou informations et la cl publique des fins de chiffrement de ces mmes informations.

Calcul dempreinte numrique : dsigne le processus algorithmique qui consiste obtenir une empreintenumrique partir dune donne lectronique.

Centre de production : dsigne l'environnement physique et informatique (logiciels et matriels) scurisde KEYNECTIS pour la mise en uvre du portail de signature. Le centre de production est en charge des


12/40


oprations techniques, en particulier cryptographiques, ncessaires entre autre au processus de signature etde gestion des documents mtiers, conformment la prsente politique de signature et aux pratiques designature dfinies par l'AS.

Certificat :fichier contenant la cl publique d'une entit, ainsi que d'autres informations, rendu impossible contrefaire grce la signature par la cl prive de l'autorit de certification qui l'a mis [ISO/IEC 9594-8;ITU-T X.509].

Certificat d'AC :certificat pour une AC fille mis par une AC racine.

Certificat dAC auto sign : certificat d'AC sign par la cl prive de cette mme AC (certificat dune ACR).

Certificat(s) KWA: dsigne(nt) les Certificats gnrs la vole par lAC de KEYNECTIS pour le comptedUtilisateurs (Porteur et Mandataire de Certification et/ou Reprsentant habilit dEntit Lgale) quisauthentifient suivant un login/mot de passe fourni par lAE KWA et un Protocole de consentement, et dontla cl prive associe est utilise pour la signature lectronique de Formulaires via le Portail web designature. Chaque Certificat KWA contient des informations telles que le nom et prnom de lUtilisateur, ainsique le nom de lEntit Lgale laquelle lUtilisateur est rattach.

Champ de signature :dsigne une zone particulire dans un document (e.g au format PDF) dans laquellepourront tre positionns les lments visuels constituant la reprsentation de la signature lectronique dansle document.

Chemin de certifi cation (ou chane de confiance, ou chane de certification): chane constitue de multiplescertificats ncessaires pour valider un certificat. Il est noter que dans le cadre de la politique de signature ily a plusieurs chemins de confiance prendre en compte qui sont les chemins de certification qui serventpour la validation des signatures, des contremarques de temps et des systmes dtat de certificats (OCSP)apposs sur les Formualires.

Cl prive : cl de la bi-cl asymtrique d'une entit qui doit tre uniquement utilise par cette entit[ISO/IEC 9798-1].

Cl publique : cl de la bi-cl asymtrique d'une entit qui peut tre rendue publique. [ISO/IEC 9798-1].

Conditions Gnrales dUtilisation (ou CGU): dsignent les conditions juridiques dictes parKEYNECTIS, relatives lutilisation des Certificats RGS par les Utilisateurs, et les obligations etresponsabilits des Utilisateurs. Ces CGU sont intgres aux Formulaires. La signature desdits Formulairesvaut acceptation sans rserve par les Utilisateurs des CGU et de la Politique de Signature.

Contremarque de temps : dsigne la donne qui lie une empreinte numrique, par exemple lempreintenumrique dun document, une date et une heure dUH. Cette contremarque de temps est signelectroniquement par une unit dhorodatage (UH). Une contremarque de temps permet dtablir la preuve

que lempreinte numrique existe la date et lheure qui y figurent.Digital Signature (DIGSIG) : dsigne labrviation de Digital Signature pour un module particulier du logicielAdobe Live Cycle.

Demande de Certificats : dsigne toute demande dmission ou de renouvellement de Certificats effectueet signe par le Porteur, signe par le Reprsentant Habilit de lEntit lgale du Porteur ou le cas chantson Mandataire de certification, puis vrifie et contresigne par lAE KWA, avant dtre transmise auprs delAE de KEYNECTIS pour validation ou rejet.

Document lectronique : dsigne un ensemble de donnes structures (contenu du document plus lesmta-donnes associes) pouvant faire l'objet de traitement informatique par les applications informatiques.

Document lectronique mtier : dsigne un document lectronique sous un format PDF cre par

KEYNECTIS, complt par lUtilisateur et qui sera sign par lUtilisateur. Dans le cadre de la prsente PS,les Documents mtiers sont des Formulaires.


13/40


Document lectronique mtier sign: document sign lectroniquement laide des logiciels du portail designature de KEYNECTIS.

Donnes dauthentification : dsigne des donnes secrtes qui permettent lUtilisateur de sauthentifier

auprs du Portail de Signature et dtre li lidentit KWA qui lui est propre. Ces donnes associes unUtilisateur lui permette de mettre en uvre sa cl prive KWA. Dans le cadre de la prsente Politique deSignature la donne dauthentification KWA est un mot de passe temporaire li un seul et uniqueUtilisateur.

Elments visuels de la signature :dsigne lensemble des informations sous format lectronique (texte,fichier PDF, images) qui peuvent tre combines de faon tablir une reprsentation visuelle de lasignature lectronique dans le document sign. Ces lments visuels seront intgrs dans le champ designature suivant la configuration et les lments prdtermins par le client partir de la configuration debase propose avec les outils de la socit AdobeInc.

Empreinte numrique (ou Hash, condensa ou empreinte lectronique) : dsigne le rsultat, dune

fonction de hachage sens unique, cest--dire dune fonction calculant la rduction dun message de tellesorte quune modification mme infime du message entrane la modification du rsultat obtenu et permetdonc de dtecter que le message a t modifi.

Entit Lgale : dsigne la personne morale indique dans la Demande de Certificat, dont lUtilisateur estsalari, et au nom de laquelle lUtilisateur utilise les Certificats lectronique RGS au moyen de son Identitprofessionnelle K.Sign. Le Reprsentant Habilit de lEntit lgale devra signer le Formulaire de demandede Certificats. Il peut nanmoins recourir un Mandataire de certification tant pour la phase de demande deCertificat que pour la phase de remise des Supports.

Feuille de style : dsigne le fichier ou la partie de document web dcrivant la manire dafficher deslments HTML individuels dans un navigateur web.

Fichier de preuve : dsigne lensemble des lments cres lors de la signature dun Formulaire par unUtilisateur permettant dassurer la validit de lacte sign. Le Fichier de preuve est sign lectroniquementpar KEYNECTIS et non modifiable permettant ainsi dassurer la traabilit et la preuve de la ralisation de lasignature conclue en ligne et ce conformment aux procdures dcrites dans la prsente PS. LUtilisateurnaccdera pas directement aux Fichiers de preuve stocks par KEYNECTIS. Laccs au fichier de preuveest nanmoins possible en cas de litige.

Format de document: dsigne le type de codage algorithmique utilis pour crer, modifier et visualiser undocument lectronique. Les documents mtiers signs sont au format PDF.

Format de document sign: dsigne le type de codage algorithmique utilis pour crer, modifier etvisualiser un document lectronique sign et le type de signature (PDF). Un document lectronique sign est

constitu par :- Les mtas-donnes ;- Le document lectronique ;- Lidentit lectronique du signataire et/ou lidentit de la personne morale du Client (en fonction de

lapplication utilisatrice) ;- La (ou les) valeur(s) de (ou des) signature(s) lectronique(s) appos(es) du document (incluant les

mtas-donnes) ;- Une contremarque de temps ;- Une validation OCSP pour chaque signature lectronique appose.

Formulaire(s) : dsigne(nt) le ou lensemble des formulaires (demande de certificat RGS sans MC,demande de certificat RGS avec un MC, demande de cration dun MC, demande de rvocation, fabrication

de support suite la perte du Support et fabrication du support suite la perte du code PIN) sign(s)lectroniquement par lAC de KEYNECTIS.


14/40


Identification: processus qui consiste rcuprer un ensemble dinformations (adresse IP, non et prnom,pseudonyme, donne biomtrique, courrier lectronique, ), aussi appels donnes didentification, partirde lidentit avre et vrifiable de lUtilisateur afin de pouvoir dfinir une identit qui sera attribue

lUtilisateur de manire non ambigu et univoque et qui sera porte dans le document sign.Identit-KWA Utilisateur : ensemble dinformation (nom(s) et prnom(s)) qui caractrise lUtilisateur en tantquindividu de tel sorte quil puisse tre reconnu comme tel et quil puisse le prouver sans nulle confusion laide dune pice didentit officielle (passeport ou carte nationale didentit).

IGC (Infrastructure de Gestion de Cls): Une infrastructure de gestion de cls est l'ensemble desressources mises en uvre pour scuriser les couples de cls par la gnration et la gestion complte decertificats de cls publiques.

Liste de certificats rvoqus (LCR): liste signe numriquement par une AC et qui contient des identitsde certificats qui ne sont plus valides et non expirs. La liste contient l'identit de la LCR d'AC, la date depublication, la date de publication de la prochaine LCR et les numros de srie des certificats rvoqus.

Mandataire de Certification (MC) : Un Mandataire de Certification est une personne physique mandatepar le Reprsentant Habilit de lEntit lgale du Porteur, pour agir au nom et pour le compte de cettedernire lors des demandes de certificats auprs de lAE KWA, et de la remise des Supports de bi-cls auxPorteurs.

Mtadonne: ensemble dinformations qui caractrise le document au regard du format de documentutilis.

PDF (Portable Document Format) : dsigne un format de fichier informatique cre par Adobe Systems etdont la spcificit est de prserver la mise en forme (polices d'critures, images, objets graphiques...) telleque dfinie par son auteur, et ce quelles que soient l'application et la plate-forme utilises pour lire leditfichier PDF.

Politique de Certification (PC) : dsigne lensemble des rgles, des engagements noncs et publis parlAC dcrivant les caractristiques gnrales des services de certification et des certificats quelle dlivre.

Politique d'horodatage (PH) : dsigne lensemble de rgles, identifi par un nom (OID), dfinissant lesexigences auxquelles une AH se conforme dans la mise en place et la fourniture de ses prestations etindiquant l'applicabilit d'une contremarque de temps une communaut particulire et/ou une classed'application avec des exigences de scurit communes. Une PH peut le cas chant, identifier lesobligations et exigences portant sur les autres intervenants, notamment les clients et les utilisateurs decontremarques de temps.

Politique de Signature (PS): dsigne un ensemble de rgles tablies par Keynectis pour la cration ou lavalidation dune signature lectronique via le Portail web de signature (http://www.keynectis.com/PC) sous

lesquelles une signature lectronique peut tre dtermine comme valide. Une politique de signaturecomprend notamment les lments suivants : (i) lidentification dun ou plusieurs points de confiance et desrgles permettant de construire un chemin de certification entre le certificat du signataire et lun de ces pointsde confiance ; (ii) les moyens mettre en uvre pour obtenir une rfrence de temps destine positionnerdans le temps la signature numrique du signataire et les donnes de validation; (iii) les moyens utiliserpour vrifier le statut de rvocation de chaque certificat du chemin de certification par rapport cetterfrence de temps ; (iv) les caractristiques que doit comporter le Certificat du signataire ; (v) lensembledes donnes de validation que le signataire doit fournir ; (vi) les algorithmes cryptographiques (signature ethachage) utiliser dans le cadre de la vrification de la signature numrique du document et des donnesde validation.

Politique de validation de signature : sous-ensemble de la politique de signature qui fixe les exigencestechniques applicables au signataire et au vrificateur de la signature afin de pouvoir procder la validationde cette signature.


15/40


Portail web de signature : Portail web de signature : dsigne linterface web par laquelle le Porteur, le MCet/ou le Reprsentant Habilit de lEntit Lgale du Porteur accdent, en sauthentifiant laide dun login etdun mot de passe, pour signer lectroniquement des Formulaires ncessaires lobtention de certificat

K.Sign RGS, au moyen dune cl prive associe un Certificat KWA ddi et dlivr suite la saisie parlUtilisateur dun mot de passe quil a pralablement reu par sms ou courrier lectronique. Le Portail designature envoie, par courrier lectronique, le Formulaire sign lAE KWA pour vrification.

Le Portail web de signature permet de signer lectroniquement des Formulaires et de les conserver en leurconfrant la mme valeur lgale quun crit sur support papier, en conformit avec les dispositions desarticles 1316-1 et de la premire phrase du second alina de larticle 1316-4 du Code civil.

Il est prcis que le Portail web de signature ne permet de signer lectroniquement que des Formulairessigns par Keynectis. Tout autre document sera rejet et ne sera pas sign.

Porteur : dsigne la personne physique titulaire dun Certificat RGS dlivr par une AC RGS deKEYNECTIS agissant, soit pour le compte dentreprises ou dadministrations avec une identit

professionnelle K.Sign, soit titre personnel avec une identit personnelle K.Sign.Lidentification et lauthentification dun Porteur au moment de lmission de la demande et de la remise enface--face relvent de la responsabilit de lAE KWA. Le Porteur sengage respecter les ConditionsGnrales dUtilisation (CGU) et ses obligations vis--vis de lAE KWA telles que dfinies dans les Politiquesde Certification de lAC RGS de KEYNECTIS.

Pratiques de signature : dans la suite de ce document, le terme pratiques dsigne les procdures(organisation, procdures oprationnelles, moyens techniques et humains) que l'AS et ses composantesappliquent dans le cadre de la fourniture des services de signature et en conformit avec la ou les politiquesde signature qu'elle s'est engage respecter.

Protocole de consentement: dsigne une rubrique du Formulaire de demande de certificat par laquelle le

Porteur atteste sur lhonneur de lexactitude et la vracit des informations quil a fournies, de sonengagement de signature, et de lacceptation sans rserve des CGU de Keynectis. Un protocole deconsentement prcise en outre lensemble des rgles savoir (i) la dfinition des actions raliser par lePorteur pour signer le document quil dpose lui-mme sur le Portail web de signature (saisie dun mot depasse reu par SMS ou par courrier lectronique), (ii) les modalits de cration de lidentit (Nom, Prnom etnom de lEntit Lgale dappartenance) de la personne.

Reprsentant Habilit : dsigne toute personne physique disposant des pouvoirs de reprsenter unesocit de par la loi. Dans le cadre du prsent contrat, une telle personne aura la facult de procder desdemandes dmission, de renouvellement et de rvocation de Certificat auprs de lAE KWA au bnfice desPorteurs quelle aura expressment et personnellement, ou via un MC, dsigns.

Ressource cryptographique matrielle : dsigne le module de scurit matriel qui est ddi la mise enuvre des fonctions de signature de la plate-forme de confiance, notamment la gnration, la conservationet la mise en uvre des bi-cls KWA de signature ainsi que la gnration des signatures des Documentsmtiers.

Signataire :dsigne celui qui dtient et met en uvre le moyen de cration de signature lectronique et lacl prive de signature associe au certificat ncessaire la validation de la signature.

La socit KEYNECTIS est signataire :

- Au nom de KEYNECTIS : pour la signature des Formulaires ;

- Au nom de lUtilisateur : pour la signature des Formulaires avec la cl prive du certificat KWA et

suivant le protocole de consentement dfinit par lAS ;- Au nom de KEYNECTIS : pour la signature du fichier de preuve labor par KEYNECTIS.


16/40


Signature lectronique: dsigne, aux termes de larticle 1316-4 du Code civil, lusage dun procd fiabledidentification garantissant son lien avec lacte auquel elle sattache et a pour objet didentifier la personnephysique ou morale qui lappose et de manifester le consentement de la personne morale aux obligations

qui dcoulent du document sign. Techniquement, le terme signature lectronique reprsente la valeur delopration de mathmatique effectue sur lempreinte dun document (incluant les mtas-donnes) laidedune cl prive.

Signature (Adobe) : dsigne un type de Signature lectronique embarque appose au document PDF.Pour le cas o le document doit tre sign par plusieurs personnes, la premire signature est une signaturede certification (voir dfinition ci-aprs).

Signature de certification (Adobe): dsigne un type de Signature lectronique embarque permettant deverrouiller et/ou de contrler les modifications autorises un document PDF de type formulaire etpermettant dapposer dautres signatures, dites Signature dapprobation, dans le document PDF.

Signature lectronique embarque : dsigne un service ayant pour objet dintgrer dans un document

sous format PDF, la signature lectronique de lUtilisateur, et le cas chant du Client. Ce service designature embarque utilise le logiciel Adobe LiveCycle Digital Signature ou le logiciel Certify.Centerhberg chez KEYNECTIS et sappuie sur un certificat CDS et les services OCSP et horodatage pour signerles documents de format PDF. Cette fonctionnalit additionnelle confre ainsi au document PDF le rle dunoriginal lectronique (sign par les parties lacte) contenant lensemble des informations de signature(horodatage, identit du signataire et information de contrle de validit des certificats mis en uvre). Ledocument PDF devient alors autoportant, de sorte quil peut tre conserv indpendamment par chaquepartie lacte, et quil peut tre visualis et vrifi instantanment par toutes les parties au moyen du logicielAdobe Reader ( partir de sa version 7) sur toutes les plateformes supportant ce logiciel (Mac, Linux,Windows). Dans ce cas, les Certificats de signature utiliss sont mis par lAutorit de certification deKEYNECTIS ayant t rfrence par ADOBE dans le cadre du programme CDS .

Signature lectronique valide : une signature lectronique qui satisfait aux oprations de vrificationdfinies dans une Politique de Signature.

Systme dtat de certificats (OCSP): Cette fonction fournit des informations signes sur l'tat duncertificat (rvoqus ou valide).

Transaction lectronique : dsigne lopration de signature dun Formulaire ralise par un Utilisateur aucours duquel un document mtier est sign.

TransNUM : dsigne un numro de rfrence unique, compos de 64 caractres, gnr par le Portail designature permettant didentifier une transaction lectronique lie un Formulaire sur lequel est apposeune Signature lectronique par lUtilisateur pralablement authentifi par le portail de signature.

Utilisateur: CF. 1.2.3.Validation de certificat: opration de contrle permettant davoir lassurance que les informationscontenues dans le certificat ont t vrifies par une ou des autorits de confiance et sont toujours valides.La validation dun certificat inclut entre autres la vrification de sa priode de validit, de son tat (rvoquou non), de lidentit des AC de la chaine de certification, ainsi que la vrification complte de la signaturelectronique de lensemble des AC du chemin de certification.

Validation de contremarque de temps : dsigne laction de lutilisateur de contremarque de temps quiconsiste vrifier que la contremarque est valide. La vrification dune signature lectronique decontremarque de temps consiste en les oprations suivantes :

- Vrification de la signature de la contremarque de temps ;-

Vrification et extraction de la date et de lheure contenues dans la contremarque de temps ;- Identification et extraction du certificat de lUnit dHorodatage ayant mis la contremarque de temps ;


17/40


- Vrification que la date laquelle la contremarque de temps a t mise est comprise dans la priodede validit du certificat de lUnit dHorodatage ayant mis la contremarque de temps ;

- Vrification de ltat de validit du certificat de lUnit dHorodatage ayant mis la contremarque detemps au moment de la gnration de la contremarque de temps ;

- Vrification que la date indique par lAH dans la contremarque de temps est antrieure la rvocationventuelle du certificat dUnit dHorodatage ayant mis la contremarque de temps.

Si lensemble de ces oprations est positif, alors la contremarque de temps est considre comme valide.

Validation d identit: consiste vrifier que :

- Lidentit porte dans le document lectronique sign correspond lidentit porte dans le certificatlectronique utilis pour la vrification de signature du document ;

- Que le certificat est sign par une AC reconnue et identifie par lAS dans la politique de signature pourle type de document lectronique sur lequel portent la signature et la vrification.

Validation de signature dun document sign : dsigne lensemble des oprations de vrification

suivantes effectues par le vrificateur de la signature :- Validation didentit ;

- Validation de certificat ;

- Validation de contremarques de temps ;

- Vrification de signature lectronique du document.

Ces oprations, si elles sont toutes valides, permettent au vrificateur dattester que le documentlectronique a t sign par le signataire et/ou lentit morale du Client souhait.

Vrificateur : Se reporter au 1.2.4.Vrification de signature lectronique dun document sign : opration qui consiste vrifier que lecalcul dempreinte effectu par le processus de vrification automatique (sous la responsabilit duvrificateur) sur le document (incluant les mtas-donnes) correspond bien lempreinte obtenue laide dela cl publique contenue dans un certificat lectronique et de la valeur de la signature lectronique dudocument.

1.7 Acronymes

Pour le prsent document, les acronymes suivants s'appliquent :

AC Autorit de Certification

AE Autorit dEnregistrementAED Autorit dEnregistrement Dlgue

AGP Autorit de Gestion de Preuves

AH Autorit dhorodatage

ANSSI Agence Nationale de la Scurit des Systmes dInformation

AS Autorit de signature

ETSI European Telecommunications Standards Institute

LCR Liste des Certificats Rvoqus


18/40


OCSP Online Certificate Service Protocol

OID Object Identifier

PC Politique de Certification

PH Politique dHorodatage

PS Politique de signature

2 DISPOSITIONS REGLEMENTAIRES ET LEGALES

2.1 Obligations

2.1.1 Obligations de lAutor it de Signature

Dans le cadre de la prsente Politique de signature, lAS :

- Doit mettre jour et publier la prsente Politique de signature et les Pratiques de signature ;- Publie lensemble des chemins de certification de rfrences utiliser pour valider les diffrentes

signatures dun Document mtier ;- Dfinit le contenu attendu des certificats pour lensemble des identits utilises dans les Documents

mtiers signs ;- Archive les versions successives de la Politique de signature et des Pratiques de signature ;- Respecte et se conforme aux rgles dfinies dans la prsente Politique de signature et les Pratiques de

signature ;- Garantit la conformit des rgles et des procdures dcrites dans la Pratique de signature avec la

prsente Politique de signature ;-

Respecte la politique dhorodatage de lAH ;- Respecte lensemble des Politiques de certification des AC, en tant que Vrificateur de certificat et/ouPorteur, qui a dlivr le certificat utilis pour les Documents mtiers signs et les Fichiers de preuves ;

- Met en uvre le Portail de signature et fait signer le Document mtier fourni par lUtilisateur suivant leprotocole de consentement choisit par lAS ;

- Cre le Fichier de preuve associ la transaction russie ;- Archive le fichier de preuve durant toute la priode prvue ;- Maintient le logiciel de lecture et de vrification des Fichiers de preuves pendant 5 ans ;- Restitue le Fichier de preuve sur demande.- Identifie et autorise les types de Documents mtiers quil est possible de faire signer par lUtilisateur ;- Authentifie et autorise les personnes et machines qui vont crer des documents faire signer ;- Permet lUtilisateur de visualiser sur le Portail de signature le document quil lui propose de signer ;- Rend disponible auprs de lUtilisateur et du Vrificateur de manire explicite les diffrentes tapes

suivre pour signer et valider un Document mtier ;- Met disposition de lUtilisateur et du Vrificateur lensemble des rfrences des logiciels utiliser pourvisualiser les documents, vrifier les signatures des documents ainsi que les conditions de conservationdes documents mis en uvre ;

- Met disposition de lUtilisateur et de lAE KWA le document sign ;- Protge les donnes personnelles des Utilisateurs.

2.1.2 Obligation de lAE KWA

Dans le cadre de la prsente Politique de signature, les obligations dcrites ci-aprs sappliquent lAEDseulement quand une AED est utilise par lAE dune AC RGS et lAE dune AC RGS seulement quandcette AE nutilise pas dAED pour grer des certificats au profit dUtilisateur.

Dans le cadre de la prsente Politique de signature, les obligations sont les suivantes :

- Authentifie et identifie les Utilisateurs selon les procdures dfinies par lAC RGS de KEYNECTIS ;- Rend disponible les types de Documents mtiers quil est possible de faire signer par un Utilisateurs ;


19/40


- Protge en confidentialit et en intgrit les informations dauthentification KWA quelle dtient, etquelle fournit aux Utilisateurs, et qui servent pour lauthentification auprs du Portail de signature ;

- Informe sans dlai lAS en cas de compromission de ses donnes dauthentification utilises pourlauthentification auprs du Portail de signature ;

- Respecte et se conforme aux rgles dfinies dans la prsente PS et le cas chant quand lAE KWAest une AED aux obligations du contrat AED ;

- Peut mettre disposition de lUtilisateur le Document mtier sign ;- Protge les donnes personnelles des Utilisateurs.

2.1.3 Obligation de lUti lisateur

Dans le cadre de la prsente Politique de signature, lUtilisateur :

- Respecte et se conforme aux rgles dfinies dans la prsente PS qui la supporte et aux CGU misespar lAC RGS de KEYNECTIS qui lui incombent ;

- Protge en confidentialit les donnes dauthentification KWA qui lui permettent de mettre en uvre leprotocole de consentement et lidentifiant et mot de passe daccs au Portail de signature (fournis parlAE KWA) ;

- Alerte lentit lAE KWA en cas de problme lors de la mise en uvre du protocole de consentement ;- Alerte lAE KWA en cas derreur constate dans le document sign (mauvaise identit, contenu non

conforme, ) ;- Sassure de la scurit du poste informatique dont il se sert pour interagir avec le Portail de signature.

2.1.4 Obligations du Vrificateur

Dans le cadre de la prsente Politique de signature, le Vrificateur :

- Valide les Documents mtiers signs conformment aux rgles dfinies dans la prsente Politique deSignature ;

- Respecte et se conforme aux rgles dfinies dans la prsente Politique de signature ;- Respecte les diffrentes Politiques de certification en tant quutilisateur de Certificat ;- Respecte la politique dhorodatage de lAH en tant que Vrificateur de contremarques de temps.

2.2 Conformit avec les exigences lgales

Linapplicabilit dune stipulation de la prsente Politique de signature naffecte en rien la validit des autresstipulations. En consquence, lensemble des stipulations de la prsente Politique de signature continueront sappliquer la seule exception de la stipulation dclare inapplicable.

Les intituls de chaque Article ne servent qu la commodit de la lecture et ne peuvent en aucun cas tre leprtexte dune quelconque interprtation ou dnaturation des clauses sur lesquelles ils portent.

En cas de conflit dinterprtation entre les intituls et leur contenu, le contenu des clauses prvaudra.

2.2.1 Exonration des droi ts

Les exigences dfinies dans la prsente politique de signature et ses pratiques doivent tre appliques parla Communaut dutilisateurs telle que dfinie larticle 2.2.1 dans le respect des stipulations de la prsentepolitique de signature et des pratiques associes sans qu'aucune exonration des droits, dans l'intention demodifier tout droit ou obligation prescrit, ne soit possible.

2.2.2 Loi applicable

Les dispositions de la prsente politique de signature sont rgies par le droit franais.

Plus particulire dans le cadre de la signature lectronique et des obligations souscrites en lignes, les loissuivantes sont applicables :

- LOI n 2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique, NOR:ECOX0200175L : notamment larticle 25 Les obligations souscrites sous forme lectronique ;

- Loi portant adaptation du droit de la preuve aux technologies de l'information et relative la signaturelectronique et ses articles Art. 1316-1. - L'crit sous forme lectronique est admis en preuve au


20/40


mme titre que l'crit sur support papier, sous rserve que puisse tre dment identifie la personnedont il mane et qu'il soit tabli et conserv dans des conditions de nature en garantir l'intgrit et1316-4 Lorsqu'elle est lectronique, elle consiste en l'usage d'un procd fiable d'identification

garantissant son lien avec l'acte auquel elle s'attache. ;

- Article 1325 alina 5 du code civil qu'il y ait autant d'originaux que de parties ayant un intrt distinct(qui s'obligent) .

2.2.3 Rglement des lit iges

En cas de litige relatif linterprtation, la formation ou lexcution de la prsente politique, et faute deparvenir un accord amiable, tout diffrend sera port devant les tribunaux comptents de Paris.

2.2.4 Droits de propr it intellectuelle

Tous les droits de proprit intellectuelle relatifs au service de signature dtenus par lAS et ses fournisseurssont protgs par la loi, rglement et autres conventions internationales applicables.

La contrefaon de marques de fabrique, de commerce et de services, dessins et modles, signes distinctifs,droits d'auteur (par exemple : logiciels, pages Web, bases de donnes, textes originaux, etc.) estsanctionne par les articles L 716-1 et suivants du Code de la proprit intellectuelle.

2.2.5 Protection des donnes caractre personnel

L'AS a mis en place et respecte des procdures de protection des donnes personnelles pour garantir lascurit des informations caractrises comme personnelles dans le cadre de signature de document.

Les Utilisateurs acceptent que les donnes personnelles les concernant recueillies lors de la demande decertificats fassent lobjet dun traitement informatique aux seules fins (i) de pouvoir tre authentifi et identifipar lAE KWA et/ou le MC, (ii) de pouvoir permettre les vrifications ncessaires la dlivrance du certificatet le cas chant sa rvocation, (iii) de pouvoir permettre la construction de l'identit K.Sign porte dans lecertificat et (iv)dapporter les preuves ncessaires la gestion du certificat du porteur.

Les Utilisateurs sont informs que lensemble des informations qui sont conserves par lAE KWA lesconcernant et portes dans les documents demande de certificat , les CGU et la pice didentit sont transmis lAutorit dEnregistrement (AE) Keynectis dans leur intgralit. Le droit de rectification neporte que sur ces informations et documents (hors pices didentit) et le certificat gnr par lACKeynectis.

Les Utilisateurs sont informs de leurs droits de faire rectifier les informations nous concernant dans la seulepriode de rtraction possible et prvu cet effet, soit 15 jours aprs la rception du certificat par le Porteur.Toute modification est adresser au Service Clients de KEYNECTIS, par tlphone au 01 55 64 22 88 oupar courrier lectronique [email protected].

Les utilisateurs sont informs que le fait de sopposer leur conservation empche de fait dobtenir uncertificat et rend ainsi caduque la demande de certificat. Les Utilisateurs sont informs quen procdant une demande de certificat via le Portail de signature, ils acceptent de fait que les donnes soient conservesaux seuls fin de traitement prvues cet effet et ce pendant une priode de 5 ans.

Pour toute autre information, les Utilisateurs peuvent sadresser au Correspondant Informatique et Libertsde Keynectis par e-mail : [email protected], ou par courrier postal l'attention de SandrineBARILLI, au 11-13 rue Ren Jacques 92131 Issy-les-Moulineaux Cedex.

Les infractions aux dispositions de la loi Informatique et Liberts du 6 janvier 1978 sont prvues et rprimespar les articles 226-16 226-24 du code pnal.


21/40


2.2.6 Effets de la rsiliation et survie

La fin de validit de la prsente Politique de signature, en cas de cessation du service de signature de lAS,entrane la cessation de toutes les obligations de l'AS au titre de la politique en question. Toutefois, les

obligations de lAE KWA ne sont pas impactes par la fin de validit de la prsente Politique de signature.

2.3 Garantie et limite de responsabili t

La prsente Politique de signature ne traite que le cas de la signature de Documents mtiers signs et grspar lAE KWA et KEYNECTIS conformment la prsente Politique de signature.

L'AS ne saurait tre tenue responsable en cas de validation de signature lectronique dun Documentmtiers signs avec un certificat qui est dclar rvoqu l'AC mais non encore pris en compte au niveaude la CRL mise par lAC. Le Vrificateur doit appliquer une priode de prcaution et procder desvrifications auprs des AC impliques et de lAS afin de valider un Document mtier sign.

Seules les entits de la communaut dutilisateurs (Cf. 1.2) impliques dans le service de signature

peuvent rechercher la responsabilit de lAS au titre du service de signature.En aucun cas, lAS ne sera responsable des dommages indirects ou conscutifs subis par la personnephysique ou morale qui serait victime, tel que notamment perte de clientle, perte de chance, pertedexploitation, manque gagner, perte de bnfices, etc ...

La responsabilit de lAS ne saurait tre engage en cas de force majeure, ou de cas fortuit qui chappentraisonnablement son contrle.

Dans le cas o la responsabilit de lAS serait retenue, il est expressment convenu que lAS ne serait tenue rparation que des dommages directs certains et immdiats, dans la limite d'un montant qui ne sauraitexcder le montant annuel des prestations prcis dans la ou les convention(s) et/ou les contrats concluentre avec chacune des entits de la communaut dutilisateur.

Ces garanties sont exclusives de toute autre garantie de lAS dans le cadre du service de signature.

Chaque partie implique dans le service de signature sinterdit de prendre un engagement au nom et pour lecompte de lautre partie laquelle elle ne saurait en aucun cas se substituer.

A ce titre, KEYNECTIS nest aucunement responsable de :

- La signature lectronique du Formulaire par un tiers non autoris, rsultant de la divulgation, directe ouindirecte, volontaire ou involontaire, par lUtilisateur de ses donnes dauthentification KWA ;

- La perte ou vol du tlphone sur lequel lUtilisateur a reu le SMS, ou la destruction par lUtilisateur duSMS contenant la donne dauthentification KWA ;

- LUtilisation par un tiers autre que lUtilisateur de ladresse de courrier lectronique laquellelUtilisateur a reu la donne dauthentification KWA, le vol, ou la destruction du courrier lectroniquecontenant la donne dauthentification KWA.

Il est en outre prcis que la Signature lectronique des Formulaires par les Utilisateurs, nacquiert de valeurjuridique, eu gard au RGS, que par les vrifications qui sont effectues par lAE KWA.

2.4 Publication dinformation

Les informations suivantes sont publies :

- Politique de signature : https://www.keynectis.com/fr/support-informations/pc.html;- Informations pour les certificats utiliss par les applications utilisatrices (KWA) :

o Certificats du chemin de confiance : https://www.keynectis.com/fr/support-informations/pc.html;o Liste de Certificat Rvoqu de lAC : http://trustcenter-

crl.certificat2.com/Keynectis/ICS_ROAMING_CA.crl;


22/40


o Politique de certification de lAC : https://www.keynectis.com/fr/support-informations/pc.html;

- Informations pour les certificats utiliss par lAH :o Certificats du chemin de confiance : https://www.keynectis.com/fr/support-informations/pc.html;o Liste de Certificat Rvoqu de lAC : URI = http://trustcenter-

crl.certificat2.com/Keynectis/KEYNECTIS_CDS_CA.crl;o Politique de certification de lAC : https://www.keynectis.com/fr/support-informations/pc.html;

- Informations pour les certificats utiliss par lOCSP :o Certificats du chemin de confiance : https://www.keynectis.com/fr/support-informations/pc.html;o Liste de Certificat Rvoqu de lAC : URI = http://trustcenter-

crl.certificat2.com/Keynectis/KEYNECTIS_KWebsign_CDS.crl;o Politique de certification de lAC : https://www.keynectis.com/fr/support-informations/pc.html;

- Information sur lhorodatage :o Politique dhorodatage de lAH : https://www.keynectis.com/fr/support-informations/pc.html.


23/40


3 ELABORATION DU DOCUMENTMETIER (FORMULAIRES)

3.1 Type de document mtier lig ible la signature

Cest KEYNECTIS qui dtermine les types de document mtiers (Formulaires) qui peuvent tre sign par lesUtilisateur en fonction de lAE de lAC KWA dont ils dpendent.

KEYNECTIS tient jour une liste des types de documents mtiers qui peuvent tre signs en utilisant lesservices de lAS pour les besoins des AC RGS.

Ce service de signature permet de signer seulement les documents mtiers de type :

- Formulaire de demande de certificat ;

- Formulaire de cration de mandat de MC.

3.2 Logiciel pour llaboration et linterprtation du document mtier

Le responsable dapplication identifie et dfinit pour lapplication utilisatrice le logiciel dlaboration dedocument et de document sign.

Le logiciel utilis pour llaboration du document mtier est le logiciel Adobe PDF creator.

3.3 Format du document mtier

Le responsable dapplication identifie et dfinit pour chacune des applications utilisatrice le format dedocument et le format de document sign.

Les formats de document autoriss sont :

- PDF pour le document mtier.

Les formats de document signs autoriss sont :- PDF sign qui se lit et se vrifie avec le logiciel Adobe Reader version 9 au minimum.

3.4 Politique de scurit pour llaboration du document mtier

Les Formulaires sont labors par KEYNECTIS dans des conditions qui permettent de garantir les pointssuivants :

- Que ce qui est vu lcran est bien ce qui est labor et produit comme document ;

- Que le document ainsi labor est bien celui qui est transmis et utilisable sur le portail de signature delAS pour signature. Les documents sont signs par KEYNECTIS et le Portail de signature valide cettesignature ;

- Que les documents sont personnaliss en fonction de lAE de lAC KWA afin didentifier clairement etdistinctement les diffrentes AE de lAC KWA ;

- Les documents ne peuvent pas embarquer du code excutable ;

- Que la transmission de ce document mtier labor pour visualisation par lUtilisateur naltre pas soncontenu et garantisse que le document labor et bien celui vu par lUtilisateur et sign parlAS ( WYSWYS : What You See is What You Sign).

Seules les personnes autorises peuvent laborer les types de document mtiers, et personnaliser au profitdune AE de lAC KWA, utiliser dans le portail de signature. Seules des personnes autorises de

KEYNECTIS peuvent signer les documents mtiers au nom de KEYNECTIS. Tous les documents mtiersqui peuvent tre utilis dans le portail de signature sont signs par KEYNECTIS.


24/40


Ces Documents mtiers servent de trame de fond pour laborer ensuite les documents mtiers signer (Cf. 4.5.2).

Les Documents mtiers sont transmis par KEYNECTIS lAE de lAC KWA. LAE de lAC KWA est

responsable de la diffusion des Documents mtiers (Formulaires) aux Utilisateurs.

Ces documents mtiers sont ensuite remplis par les Utilisateurs afin de crer les documents mtiers signer.

4 SIGNATURE DU DOCUMENT METIER PAR LUTILISATEUR

4.1 Remplissage des documents mtiers

4.1.1 Remplissage des documents mtiers : Utili sateurs

Les seules personnes qui sont amenes remplir des documents mtiers et les faire signer sont desUtilisateurs pralablement identifis par lAE de lAC KWA.

LUtilisateur remplit le Document mtier fournit par lAE de lAC KWA laide dun logiciel de type AdobeReader. LUtilisateur remplit les documents mtier sur un poste informatique de son choix. Il nutilise pas laplate-forme du portail de signature.

Les Documents mtiers remplis constituent les documents mtiers faire signer par le portail web designature.

4.1.2 Visualisation du document mtier

La premire visualisation est effectue par lUtilisateur sur le poste informatique quil utilise pour remplir leFormulaire. Cette visualisation est effectue avec le logiciel Adobe Reader.

Le portail de signature est accessible via une session protge en SSL.

La scurit du portail de signature permet lUtilisateur dtre assur que le document visualis( WYSWYS : What You See is What You Sign) est bien celui quil a transmis pour signature et celui quilpourra signer conformment aux tapes dcrites dans le 5.2. Cette visualisation est effectue laide dulogiciel Adobe Reader.

4.2 Signature du document mtier par lUti lisateur

Ds que lUtilisateur remplit le Document mtier, alors elle utilise le portail de signature de KEYNECTIS.Pour ce faire :

- Il utilise dabord lidentifiant et le mot de passe que lui a fournit lAE KWA afin de se connecter sur leportail de signature de KEYNECTIS ;

- Il saisit sur linterface du portail de signature, son nom et Prnom tel que port sur la picedidentit contenue dans le formulaire ;

- Il saisit sur linterface du portail de signature le nom de lEntit lgale telle que porte dans le formulaireet la pice justificative de lexistence lgale de lEntit lgale ;

- Il saisit un numro de tlphone ou une adresse de courrier lectronique afin de recevoir un SMS ou uncourrier lectronique contenant un mot de passe temporaire ;

- Ensuite, il transmet au portail de signature le document mtier signer. Le portail de signature vrifielensemble des signatures lectroniques apposes sur le document sign qui lui est soumis. Si ledocument nest pas sign par KEYNECTIS, alors il ne sera pas possible dutiliser les services du portail

de signature ;


25/40


- Il reoit par SMS ou par courrier lectronique un mot de passe temporaire transmis par le portail designature lectronique ;

- LUtilisateur visualise le document afin de sassurer que lensemble des informations sont correctes. Silsaperoit quil y a des erreurs, alors lUtilisateur a la possibilit dannuler lopration de signature etdonc de ne pas signer le document ;

- Si lUtilisateur souhaite singer signer le document mtier quil visualise sur le portail de signature, alorsil indique, conformment au Protocole de consentement de lAS, son souhait de signer le documentmtier propos quil vient de crer (Cf. 5.4 et 5.5) en cliquant sur une case cocher. LUtilisateurest avertit par la phrase : J'atteste sur l'honneur de l'exactitude et de la vracit de lensemble deslments dinformations que jai fournis dans le cadre du prsent formulaire ainsi que des picesjustificatives qui laccompagnent. Je dclare avoir pris connaissance des CGU ci-dessous et lesaccepte sans rserve. J'accepte en outre d'utiliser la Signature Electronique laide du portail web designature mis ma disposition par la socit Keynectis pour valider mon engagement contractuel dans

le respect des modalits et conditions dfinies dans les CGU .

- Il saisit le mot de passe et dclenche ainsi la signature lectronique du formulaire faire signer. Leformulaire est sign avec une cl prive associ un certificat KWA (Cf. PC KEYNECTIS AC KWA)dont la dure de vie est de 5 minutes et qui contient les informations didentification du porteursuivantes : Nom, Prnom et nom de lEntit lgal de la personne qui ont t saisies par la personne surle portail de signature. Le formulaire est horodat et possde un jeton OCSP pour le certificat KWA.Lensemble des champs saisit par la personne sont fig et ne peuvent tre modifi dans le formulairesign ;

- Il rcupre le formulaire ainsi sign en le sauvegardant sur son poste informatique.

- Le portail de signature transmet par courrier lectronique le formulaire sign lectroniquement lAEKWA.

Sur linterface de ce portail, lUtilisateur visualise une feuille de style qui sert mettre en uvre le protocolede consentement.

Suite au succs de la mise en uvre du protocole de consentement par lUtilisateur, le portail de signaturegnre une bi-cl et un certificat KWA temporaire, partir de lidentit KWA saisie par lUtilisateur, et signele document pour le compte de lUtilisateur.

L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise par lAS pour signer ledocument mtier au nom de lUtilisateur.

4.3 HorodatageDans le cadre de la prsente PS, le format dun document sign requiert une contremarque de temps, quiest appose par la plate-forme de lAS au moment de chacune des signatures ralises au nom delUtilisateur. Il y a donc une contremarque de temps appose suite la signature de lUtilisateur.

La contremarque de temps est contenue dans le document mtier sign.

Les dispositions relatives la gnration des contremarques de temps sont dcrites dans la politiquedhorodatage de lAH KEYNECTIS laquelle il est fait appel.

L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise par lAS pour signer lescontremarques de temps apposes sur le document mtier.


26/40


4.4 Etat de validi t des certif icats

Dans le cadre de la prsente PS, le format dun document sign requiert une validation OCSP de ltat devalidit pour les certificats de lUtilisateur. La plate-forme de lAS procde lapposition des jetons OCSP

auprs du service de validit des certificats de KEYNECTIS.

Le jeton OCSP est contenu dans le document mtier lectronique sign.

Le jeton de validation OCSP appos est bas sur les LCR fournies, ou informations quivalentes, par les ACde KEYNECTIS.

L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise par lAS pour signer lesrponses OCSP apposes pour les certificats KWA et KWS-S de lAS sur le document mtier.

5 IDENTIFICATION ET AUTHENTIFICATION

5.1 Identits uti lises pour les documents mtiers et fichiers de preuves signs

Les identits qui sont utilises dans le cadre de la signature de document mtier sont les suivantes :

- Identit KWA de lUtilisateur : correspond au nom(s) et prnoms(s) de lUtilisateur tels que ports sur sacarte nationale didentit ou son passeport. Cette identit est porte dans le certificat KWA (Cf. PCKWA), dans le champ CN du certificat (Cf. 10), gnr au profit de lUtilisateur au moment de lasignature du document mtier par lUtilisateur ;

- Identit de lAS : nom de la personne morale telle que porte sur un extrait de K.BIS. Cette identit estporte dans le certificat (Cf. 10) de lentit lgale qui sert signer le document mtier au nom deKEYNECTIS.

5.2 Authentification et identification de lUtilisateur

5.2.1 Identit KWA porte dans le certif icat KWA

Lidentit porte dans le certificat KWA est dfinit par le portail de signature, de KEYNECTIS, partir desdonnes transmises par lUtilisateur.

Cette identit KWA permet donc dauthentifier lUtilisateur avec son identit telle que porte sur sa picedidentit officielle (Porteur, MC et Reprsentant habilit) et sur lextrait de KBIS de la socit laquelle ilappartient (Reprsentant habilit).

De mme, lidentit KWA permet dauthentifier lUtilisateur comme appartenant une entit lgale.

Par consquent, lidentit KWA de lUtilisateur porte dans le certificat KWA et dans le document mtier nade sens, en premier lieu, que suite aux vrifications effectues par lAE de lAC KWA. De mme, la validit

de cette identit KWA ne vaut quau regard des vrifications et validations effectues par lAE de lAC KWAet dcrites ci-aprs (Cf. 6.2.2).

Ces procdures permettent toutefois de garantir lidentit de lUtilisateur vis--vis, entre autres, desUtilisateurs eux mme et des vrificateurs et devant les tribunaux en cas de diffrends qui impliqueraientdutiliser comme preuve les documents mtiers signs.

5.2.2 Vrif ication et validation de lidentit KWA de lUtil isateur

Lenregistrement des identits est effectu par lAE KWA qui collecte les formulaires. Ces formulairescontiennent la copie des pices didentit (passeport ou CNI ou carte de sjour seulement) des Utilisateursde types Porteur et Mandataire de Certification. De mme ces Formulaires sont accompagns des picesjustificatives suivantes :

- Structure Administrative : Un extrait de la pice, valide au moment de la demande, portant dlgationou subdlgation de l'autorit responsable de lEntit Lgale administrative ;


27/40


- Entreprise : Un extrait de K.BIS valide de moins de 3 mois.

LAE KWA tablit et vrifie le lien entre lidentit des Utilisateur dclare dans les Formulaires et les

Utilisateurs de la manire suivante :- Porteur : LAE KWA tablit et vrifie le lien entre lidentit de lUtilisateur porte dans la demande de

certificat et la pice didentit qui lui est prsente par lUtilisateur lors du face--face pour la remise dusupport. Cette pice didentit doit comporter le mme numro de srie que celle contenue dans laDemande de Certificat ;

- Mandataire de certification : LAE KWA tablit et vrifie le lien entre lidentit du MC dclar dans laDemande de Certificat et dans le Mandat et la pice didentit que le MC lui fournit lors de la remise enface--face du Support. Cette pice didentit doit comporter le mme numro de srie que cellecontenue dans la Demande de Certificat et la demande de cration de Mandataire de Certification ;

- Reprsentant Lgale : LAE KWA vrifie (i) la cohrence entre le nom et prnom du Reprsentant

Habilit de lEntit Lgale et la pice justificative de lexistence lgale de lentit mentionne dans lademande de Certificat ou le mandat du MC, (ii) la cohrence entre la dnomination sociale de lEntitlgale et la pice justificative de lexistence lgale de lentit mentionne dans la demande de Certificatet le mandat du MC, (iii) la cohrence entre ladresse physique de lEntit Lgale et la pice justificativede lexistence lgale de lentit mentionne dans la demande de Certificat et le mandat du MC, (iv)vrifie lensemble de ces informations en consultant des bases de donnes officielles de rfrence et(iv) prend contact auprs du Reprsentant Habilit de lEntit Lgale suivant les procdures fourniespar KEYNECTIS.

6 STOCKAGE ET MISE A DISPOSITION DU DOCUMENT SIGNE

Suite la signature du document mtier par lUtilisateur suivant le protocole de consentement, lAS transmetle document sign lAE de lAC KWA. LUtilisateur a la possibilit de tlcharger le Document mtier signsur le portail de signature juste aprs lOpration de signature. Cette rcupration ne peut se faire quunefois et seulement en fin de signature. Le fait de quitter lapplication utilisatrice empche tout tlchargementultrieur du document.

6.1 Conservation et archivage du document mtier sign

Dans le cadre de la cinmatique de signature mise en uvre par lAS, le document sign est conserv etutilis par lAE KWA et lAE KEYNECTIS. Le document sign est protg en intgrit par les signatures quisont apposes et embarques.

Le document est conserv suivant deux priodes qui son dtermines comme suit :

- Archive vivante et intermdiaire : priode qui dbute de la cration du certificat jusqu 5 ans aprs.Pendant cette priode, le document sign est toujours disponible auprs de lAE KWA et de lAEKEYNECTIS (Service Clients). LAE KEYNECTIS ne communique ce document qu lAE KWA en casde besoin. Le document est aussi dans les logs techniques de lAS ;

- Archive dfinitive : priode qui commence aprs la priode vivante et intermdiaire. Le certificat nestplus valide depuis 2 ans et le document sign nexiste plus que dans les logs techniques de la plate-forme. Ces logs techniques de lAS sont conservs 5 ans de plus. Pendant cette priode, le documentnest plus accessible sauf cas exceptionnel et sur demande auprs du DS de KEYNECTIS.

6.2 Mise disposit ion du document sign par lAS

Le document mtier sign est disponible sur demande auprs de lAS dans son intgralit au seul profit delAE de lAC KWA. Pour le rcuprer, lAE de lAC KWA sauthentifie auprs de lAS.


28/40


Cette mise disposition du document nest possible que pendant toute la priode ou le document est classcomme archive vivante et intermdiaire. Pendant la priode darchive dfinitive, alors le document mtiercorrespondant nest plus rendu disponible par lapplication utilisatrice au profit de lUtilisateur. Il est toutefois

toujours conserv dans la plate-forme de lapplication.Il est noter que si lUtilisateur imprime le document mtier sign lectroniquement, alors le document ainsiimprim na aucune valeur juridique. Seul le document mtier sign lectroniquement a une valeur lgale.

7 VALIDATION ET UTILISATION DE DOCUMENT SIGNE

La validation dun document consiste valider techniquement les signatures de lAS, de lUtilisateur, de lAHet de lOCSP, les identits et les vrifications propres au contenu du document mtier.

Les conditions pour le vrificateur afin quil vrifie les documents signs sont les suivantes :

- Utilisation du logiciel Adobe Reader PDF version 9 minimum ;- Utilisation du service de validation de contenu de document (Cf. 7.3) disponible auprs de

lapplication utilisatrice ;- Utilisation des rgles de validation mettre en uvre et dcrites dans le chapitre 8 ;- Utilisation des certificats dAC disponibles publis et rfrencs dans la prsente PS (Cf. 3.6) afin de

pouvoir valider les signatures lectroniques.

7.1 Validation des signatures AS et Utilisateur

La vrification de signature ncessite le respect des tapes suivantes par le vrificateur :

- Obtenir la politique de signature applique pour la gnration des signatures vrifier ;- Vrifier que la politique de signature applique est la politique de signature de lAS ;- Vrifier que le contexte de vrification des signatures (y compris AH et OCSP) est conforme la

politique de signature de lAS ;- Consulter auprs de lAS les certificats racines reconnus pour valider les signatures des documents ;- Vrifier la validit de lensemble des certificats utiliss pour la signature du document :

o Valider les certificats des chemins de certification auxquels ils appartiennent ;o Vrifier que la politique de certification selon laquelle le certificat a t mis sapplique au

contexte de la vrification ;o Consulter auprs de lAS et de lAGP les certificats racines reconnus pour valider la signature ;

- Vrifier la contremarque de temps :o Vrifier que la politique d'horodatage selon laquelle a t mise la contremarque de temps qui

accompagne la signature s'applique au contexte de la vrification ;o Consulter auprs de lAS les certificats racines reconnus pour valider la contremarque de

temps ;- Vrifier la rponse OCSP :

o Vrifier que la politique de validation de certificat selon laquelle a t mise la rponse OCSPqui accompagne la signature s'applique au contexte de la vrification ;

o Consulter auprs de lAS les certificats auto-signs reconnus pour valider la rponse OCSP.

Les documents mtiers signs sont mis par lAS avec un statut valide dun point de vue vrification designature complet (AS, Utilisateur, AH et OCSP). C'est--dire que les certificats utiliss sont tous valides aumoment de leur utilisation.

Les certificats de lAS et de lUtilisateur sont confirms par un jeton OCSP. Par consquent, la validationdun document avec le logiciel Adobe Reader version 9 donnera toujours une vrification des signatures delAS et de lUtilisateur valide.

Lorsque cest Adobe Reader version 9 qui est utilis pour valider un document mtier sign alors il faut quilsoit mise jour pour la banque de confiance dAC autorises (celles utilises par KEYNECTIS pour signerles certificats, les contremarques de temps et les jetons OCSP). Cette mise jour seffectue en utilisant lemenu dAdobe Reader. Pour ce faire, dans la barre de menu dAdobe Reader, il faut allez dans le menu Edition\Prfrences\Gestionnaire des approbations\ et cliquer sur Chargs les certificats racine


29/40


approuvs partir dun serveur Adobe (pas denvoi dinformations personnelles) puis cliquer sur Mettre jour .

Il incombe donc au Vrificateur, en cas de doute, de sassurer quil ny a pas de changement dans le statutdes certificats utiliss auprs de lAS comme expliqu ci-dessus.

7.2 Utilisation dun document sign