Décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives (Lien Legifrance, JO 04/02/2010, p. 2072)
Le décret détaille le cadre juridique destiné à garantir la sécurité des relations électroniques entre administrations, et entre administrations et usagers. Pour cela, il établit les règles relatives au référentiel général de sécurité (RGS), aux prestataires de service de confiance et aux certificats électroniques.
Prévu par l'article 9 de l'ordonnance du 8 décembre 2005, le référentiel général de sécurité fixe les règles auxquelles les systèmes d'information mis en place par les autorités administratives doivent se conformer pour assurer la sécurité des informations échangées, et notamment leur confidentialité et leur intégrité, ainsi que la disponibilité et l'intégrité de ces systèmes et l'identification de leurs utilisateurs (art. 1er). Ces règles sont définies selon des niveaux de sécurité prévus par le référentiel pour des fonctions de sécurité (identification, signature électronique, confidentialité, horodatage, ....) afin de répondre aux objectifs de sécurité définis. La conformité d'un produit de sécurité et d'un service de confiance à un niveau de sécurité prévu par ce référentiel est attestée par une qualification.
Le décret indique les obligations des autorités administratives afin de protéger la sécurité des systèmes d'information (art. 3) : identification des risques, fixation des objectifs de sécurité et à partir de ces éléments, détermination des fonctions de sécurité et de leur niveau. Pour mettre en oeuvre ces fonctions de sécurité, elles recourent à des produits de sécurité et à des prestataires de services de confiance ayant fait l'objet d'une qualification ou conformes aux fonctions de sécurité prévues par le référentiel général de sécurité (art. 5).
Le décret précise ensuite la procédure de qualification des produits de sécurité (art. 6 à 9) et des prestataires de services de confiance (art. 10 à 19), c'est-à-dire les structures qui contribuent à la sécurité des échanges dématérialisés (ex. : sociétés fournissant des plate-formes sécurisées). La qualification de ces prestataires de service de confiance est reconnue par des organismes ayant été habilités pour cette fonction. La qualification atteste de la conformité des services à un niveau de sécurité défini par le RGS.
Le décret définit également les procédures de validation des certificats électroniques des autorités administratives et de leurs agents qui sont utilisés pour la sécurisation des échanges électroniques avec les usagers (art. 20). Cette validation est le fait de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), organisme qui intervient aussi dans la définition du référentiel général de sécurité et la procédure de qualification des prestataires de services de confiance.
Le décret subordonne le référencement d'un produit de sécurité ou d'un prestataire de services de confiance, par décision ministérielle, au respect des prescriptions contenues dans un cahier des charges qui détermine notamment les conditions d'interopérabilité des produits de sécurité et des prestataires de services.
Plan du décret
Chapitre Ier : Référentiel général de sécurité (art. 1 et 2)
Chapitre II : Fonctions de sécurité des systèmes d'information (art. 3 à 5)
Chapitre III : Qualification des produits de sécurité (art. 6 à 9)
Chapitre IV : Qualification des prestataires de services de confiance ((art. 10 à 19)
  Section 1 : Habilitation des organismes qui procèdent à la qualification des prestataires de services de confiance
  Section 2 : Qualification des prestataires de services de confiance par des organismes habilités
Chapitre V : Validation des certificats électroniques (art. 20 à 23)
Chapitre VI : Référencement des produits de sécurité et des prestataires de services de confiance (art. 24)
Chapitre VII : Dispositions diverses (art. 25 à 29)
Rubriques : relations entre l'administration et les citoyens / médias et communications
Voir aussi :
Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives