Une lettre recommandée électronique est un envoi recommandé électronique au sens de l'article L. 100.

La vérification initiale de l'identité de l'expéditeur est réalisée par l'une des modalités prévues aux points a, b, c ou d du paragraphe 1 de l'article 24 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE.

La vérification initiale de l'identité du destinataire doit être assurée au minimum dans les conditions prévues, pour le niveau de garantie substantiel, au point 2.1. de l'annexe du règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

Postérieurement à cette vérification initiale de l'identité de l'expéditeur ou du destinataire, le prestataire de lettre recommandée électronique peut leur attribuer un moyen d'identification électronique qu'ils utiliseront pour attester de leur identité à chaque envoi ou réception. Ce moyen d'identification électronique doit répondre au minimum aux exigences prévues, pour le niveau de garantie substantiel, aux points 2.2.1 et 2.3.1 de l'annexe du règlement d'exécution (UE) 2015/1502 mentionné ci-dessus.

Si le prestataire n'attribue pas de moyen d'identification électronique ou si le moyen d'identification électronique n'est pas utilisé, la vérification d'identité doit être effectuée dans les même conditions que la vérification initiale.

Le prestataire de lettre recommandée électronique délivre à l'expéditeur une preuve du dépôt électronique de l'envoi. Le prestataire doit conserver cette preuve de dépôt pour une durée qui ne peut être inférieure à un an.

Cette preuve de dépôt comporte les informations suivantes :

1° Le nom et le prénom ou la raison sociale de l'expéditeur, ainsi que son adresse électronique ;

2° Le nom et le prénom ou la raison sociale du destinataire ainsi que son adresse électronique ;

3° Un numéro d'identification unique de l'envoi attribué par le prestataire ;

4° La date et l'heure du dépôt électronique de l'envoi indiquées par un horodatage électronique qualifié tel que défini par l'article 3 du règlement (UE) n° 910/2014 mentionné ci-dessus ;

5° La signature électronique avancée ou le cachet électronique avancé tels que définis par l'article 3 du règlement (UE) n° 910/2014 mentionné ci-dessus, utilisé par le prestataire de services qualifié lors de l'envoi.

I.-Le prestataire de lettre recommandée électronique informe le destinataire, par voie électronique, qu'une lettre recommandée électronique lui est destinée et qu'il a la possibilité, pendant un délai de quinze jours à compter du lendemain de l'envoi de cette information, d'accepter ou non sa réception.

Le destinataire n'est pas informé de l'identité de l'expéditeur de la lettre recommandée électronique.

II.-En cas d'acceptation par le destinataire de la lettre recommandée électronique, le prestataire procède à sa transmission.

Le prestataire conserve une preuve de la réception par le destinataire des données transmises et du moment de la réception, pour une durée qui ne peut être inférieure à un an.

Outre les informations mentionnées aux 1° à 5° de l'article R. 53-2, cette preuve de réception comporte la date et l'heure de réception de l'envoi, indiquées par un horodatage électronique qualifié.

III.-En cas de refus de réception ou de non-réclamation par le destinataire, le prestataire met à disposition de l'expéditeur, au plus tard le lendemain de l'expiration du délai prévu au I, une preuve de ce refus ou de cette non-réclamation. Cette preuve précise la date et l'heure du refus telles qu'indiquées par un horodatage électronique qualifié, et fait mention des informations prévues aux 1° à 5° de l'article R. 53-2.

Le prestataire conserve la preuve de refus ou de non-réclamation du destinataire pour une durée qui ne peut être inférieure à un an.

IV.-L'expéditeur a accès aux informations mentionnées au présent article pendant un an.

En cas de retard dans la réception ou en cas de perte des données, la responsabilité du prestataire est engagée dans les conditions prévues au 3° de l'article R. 2-1.

Les termes employés au présent chapitre répondent aux définitions suivantes :

1° “ Demandeur ” : personne physique demandant un moyen d'identification électronique et dont l'identité doit être vérifiée ;

2° “ Utilisateur ” : personne physique qui, pour s'identifier auprès d'un service numérique, utilise un moyen d'identification électronique ;

3° “ Fournisseur de moyen d'identification électronique ” : personne morale, publique ou privée, délivrant au demandeur le moyen d'identification électronique ;

4° “ Source faisant autorité ” : sont reconnus comme sources faisant autorité pour la preuve et la vérification d'identité des personnes physiques lors de la délivrance d'un moyen d'identification électronique :

a) Pour les Français, les ressortissants des autres Etats membres de l'Union européenne, d'un Etat partie à l'accord sur l'Espace économique européen ou de la Suisse, le passeport ou la carte nationale d'identité ;

b) Pour les ressortissants de pays tiers résidant en France ou dans un autre Etat membre de l'Union européenne, dans un Etat partie à l'accord sur l'Espace économique européen ou en Suisse, le titre de séjour, établi selon le modèle prévu par le règlement (UE) n° 2017/1954 du Parlement européen et du Conseil du 25 octobre 2017 modifiant le règlement (CE) n° 1030/2002 du Conseil établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers, délivré par l'Etat de résidence ;

c) Pour les ressortissants de pays tiers dispensés de l'obligation de visa de court séjour ne résidant pas sur le territoire de l'Union européenne, dans un Etat partie à l'accord sur l'Espace économique européen ou en Suisse, le passeport, sous réserve que le pays émetteur mette à disposition les moyens nécessaires à la vérification de la validité du titre. Si la dispense de l'obligation de visa est assortie de l'obligation de disposer d'un passeport électronique, seul le passeport biométrique est reconnu comme source faisant autorité pour le pays concerné ;

d) Pour les ressortissants de pays tiers réfugiés ou reconnus apatrides ou bénéficiaires de la protection prévue par la directive 2011/95/ UE du Parlement européen et du Conseil du 13 décembre 2011 concernant les normes relatives aux conditions que doivent remplir les ressortissants des pays tiers ou les apatrides pour pouvoir bénéficier d'une protection internationale, à un statut uniforme pour les réfugiés ou les personnes pouvant bénéficier de la protection subsidiaire, et au contenu de cette protection, le passeport est remplacé par le titre de voyage délivré par l'Etat qui a reconnu la qualité de réfugié ou d'apatride ou accordé la protection.

Ces sources faisant autorité sont considérées comme valides pour la mise en œuvre du présent décret si elles n'ont pas atteint leur date de fin de validité et n'ont pas fait l'objet d'une invalidation.

Un référentiel d'exigences, établi par l'Agence nationale de la sécurité des systèmes d'information, définit les exigences de sécurité pour les moyens d'identification électronique visant le niveau de garantie faible, substantiel ou élevé. Ce référentiel d'exigences est intitulé “ Référentiel d'exigences de sécurité pour les moyens d'identification électronique ”.

Ce référentiel d'exigences est publié sur le site de l'Agence nationale de la sécurité des systèmes d'information. Toute modification ultérieure entre en vigueur trois mois après sa publication.

La certification mentionnée au III de l'article L. 102 atteste de la conformité d'un moyen d'identification électronique au cahier des charges défini aux articles R. 54-16 à R. 54-27. La décision de certification est délivrée par l'Agence nationale de la sécurité des systèmes d'information.

La certification mentionnée au IV de l'article L. 102 atteste de la conformité d'un moyen d'identification électronique au référentiel mentionné à l'article R. 54-2 pour le niveau de garantie choisi. La décision de certification est délivrée par l'Agence nationale de la sécurité des systèmes d'information.

Ces certifications sont réalisées dans les conditions prévues aux articles R. 54-5 à R. 54-15.

Les certifications de moyens d'identification électronique mentionnées à l'article R. 54-3 s'appuient sur une évaluation de la conformité effectuée par un centre d'évaluation choisi par le fournisseur de moyen d'identification électronique parmi :

1° Les prestataires d'audit de la sécurité des systèmes d'information qualifiés au titre du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9,10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

2° Les organismes disposant d'une accréditation pour la certification de systèmes de management de la sécurité de l'information délivrée par l'instance nationale d'accréditation mentionnée à l'article 1er du décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité pris en application de l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie.

La liste actualisée des centres d'évaluation mentionnés aux 1° et 2° est publiée sur le site internet de l'Agence nationale de la sécurité des systèmes d'information.

La demande de certification, adressée à l'Agence nationale de la sécurité des systèmes d'information par le fournisseur de moyen d'identification électronique, comprend les documents suivants :

1° Le formulaire de demande de certification complété et signé ;

2° Une présentation générale du fournisseur de moyen d'identification électronique ;

3° Une présentation technique du moyen d'identification électronique candidat à la certification ;

4° Un extrait du registre du commerce et des sociétés ou, à défaut, un extrait d'un autre registre pertinent, d'un document équivalent délivré par l'autorité judiciaire ou administrative compétente du pays d'origine ou d'établissement du fournisseur de moyen d'identification électronique ;

5° Une liste des tiers (sous-traitants, fournisseurs et prestataires) intervenant dans la conception, la mise en œuvre ou l'exploitation du moyen d'identification électronique ;

6° L'engagement du fournisseur du moyen d'identification électronique complété et signé à respecter les exigences définies par le processus de certification et par le référentiel d'exigences mentionné à l'article R. 54-2 ou le cahier des charges défini aux articles R. 54-16 à R. 54-27 ;

7° Un acte de délégation de pouvoir au signataire de l'engagement du fournisseur du moyen d'identification électronique.

Lors du renouvellement de la certification du moyen d'identification électronique, la demande comprend, en plus des documents mentionnés du 1° au 7° du présent article, une analyse d'impact sur la sécurité de toutes les modifications, quelle que soit leur nature, intervenues entre la version du moyen d'identification électronique précédemment certifiée et la version objet de la demande.

L'Agence nationale de la sécurité des systèmes d'information accuse réception de toute demande de certification de moyen d'identification électronique dans les conditions prévues à l'article L. 112-11 du code des relations entre le public et l'administration.

Lorsque le dossier de demande de certification qui lui est transmis n'est pas complet, l'Agence nationale de la sécurité des systèmes d'information demande, par courrier ou courrier électronique, au fournisseur de moyen d'identification électronique la fourniture des pièces manquantes dans un délai qu'elle fixe. Au terme de ce délai, si les pièces manquantes n'ont pas été fournies, l'agence informe le fournisseur de moyen d'identification électronique de la clôture de sa demande de certification.

Lorsque le dossier de demande de certification est complet, l'Agence nationale de la sécurité des systèmes d'information convient avec le fournisseur de moyen d'identification électronique d'une stratégie d'évaluation du moyen d'identification électronique.

Dès qu'elle a validé cette stratégie, l'Agence nationale de la sécurité des systèmes d'information invite le fournisseur à faire évaluer son moyen d'identification électronique par un centre d'évaluation choisi parmi ceux mentionnés au 1° ou au 2° de l'article R. 54-4.

Le fournisseur de moyen d'identification électronique détermine avec le centre d'évaluation choisi, conformément à la stratégie d'évaluation mentionnée à l'article R. 54-6 :

1° Le périmètre du service à évaluer et le type de certification visé ;

2° Les conditions d'accès du centre d'évaluation à ses locaux, à son personnel et à ses moyens techniques ;

3° Les conditions de protection des informations traitées dans le cadre de l'évaluation ;

4° Le programme de travail du centre d'évaluation.

Le moyen d'identification électronique est évalué sur pièces et sur place selon le programme de travail, mentionné à l'article R. 54-6, par le centre d'évaluation et, le cas échéant, par l'Agence nationale de la sécurité des systèmes d'information.

Le fournisseur de moyen d'identification électronique met à la disposition de l'Agence nationale de la sécurité des systèmes d'information et du centre d'évaluation tous les documents nécessaires à l'évaluation. Il leur permet d'accéder à ses locaux et ses moyens techniques et de rencontrer son personnel.

Dans le cadre de l'évaluation, l'Agence nationale de la sécurité des systèmes d'information et le centre d'évaluation peuvent chacun demander à assister à toute activité effectuée par le fournisseur de moyen d'identification électronique et relevant de la certification visée.

Le centre d'évaluation informe sans délai l'Agence nationale de la sécurité des systèmes d'information de toute difficulté. L'Agence peut, à tout moment, demander à assister à ces travaux ou à obtenir des informations sur leur déroulement. Elle peut également demander, aux frais du fournisseur de moyen d'identification électronique, un complément à l'évaluation réalisée par le centre d'évaluation.

Au terme de l'évaluation, le centre d'évaluation remet un rapport d'évaluation au fournisseur de moyen d'identification électronique qui le transmet à l'Agence nationale de la sécurité des systèmes d'information dans un délai de trois jours ouvrables après sa réception.

Le rapport d'évaluation fait état :

1° D'un avis motivé sur la conformité du moyen d'identification électronique au cahier des charges défini aux articles R. 54-16 à R. 54-27 ou au référentiel d'exigences mentionné à l'article R. 54-2 ;

2° Des activités d'évaluation réalisées ;

3° Des constats réalisés lors de l'évaluation et le cas échéant des non-conformités identifiées.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information prend la décision de certification en tenant compte du rapport d'évaluation et, le cas échéant, des vérifications complémentaires demandées ou réalisées par l'Agence nationale de la sécurité des systèmes d'information.

La décision d'octroi de la certification mentionne :

1° L'identité du fournisseur de moyen d'identification électronique ;

2° Les caractéristiques du moyen d'identification électronique certifié ;

3° Le niveau de garantie atteint par le moyen d'identification électronique ;

4° La durée de validité de la certification ;

5° Le cas échéant, les conditions et les réserves liées à la délivrance ou à l'usage du moyen d'identification électronique.

La décision de refus de certification mentionne les voies et les délais de recours possibles.

En application du 4° de l'article L. 231-4 et de l'article L. 231-6 du code des relations entre le public et l'administration, le silence gardé par le directeur général de l'Agence nationale de la sécurité des systèmes d'information pendant trois mois sur la demande de certification vaut décision de rejet.

La certification a une durée de validité maximale de deux ans à compter du prononcé de la décision par le directeur de l'Agence nationale de la sécurité des systèmes d'information.

Son renouvellement est prononcé dans les mêmes formes et selon la même procédure que celles prévues par la présente section.

L'Agence nationale de la sécurité des systèmes d'information publie sur son site internet les décisions de certification en cours de validité.

Pendant la période de validité de la décision de certification, l'Agence nationale de la sécurité des systèmes d'information peut contrôler, ou faire contrôler par un centre d'évaluation, la conformité du fournisseur de moyen d'identification électronique aux exigences applicables. Ces contrôles sont réalisés dans la limite d'un contrôle par an, sauf en cas d'apparition de vulnérabilités affectant le moyen d'identification électronique ou à la suite d'un incident de sécurité affectant le moyen d'identification électronique.

En cas de manquement aux exigences applicables, aux conditions et réserves fixées par la décision de certification ou en cas de changement des circonstances de droit ou de fait ayant permis de prononcer la décision de certification, le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut décider d'abroger la décision de certification ou de l'assortir de conditions restrictives.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information met en demeure le fournisseur du moyen d'identification électronique de présenter dans un délai de deux mois un plan d'action pour répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa.

Si le directeur général de l'Agence nationale de la sécurité des systèmes d'information estime que les mesures proposées par le fournisseur du moyen d'identification électronique dans le cadre du plan d'action ne permettent pas de répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa, il en informe la direction interministérielle du numérique et sollicite son avis afin que, dans un délai d'un mois, elle lui fasse part des enjeux de continuité des services qui s'appuient sur ce moyen d'identification électronique.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information sollicite simultanément l'avis des personnes qui lui semblent qualifiées. Cet avis est transmis au directeur général de l'Agence nationale de la sécurité des systèmes d'information dans un délai d'un mois à compter de la réception de la sollicitation.

A l'issue du délai d'un mois mentionné au précédent alinéa, le directeur général de l'Agence nationale de la sécurité des systèmes d'information informe le fournisseur de moyen d'identification électronique du sens de sa décision et des avis de la direction interministérielle du numérique et, le cas échéant, des autres personnes qualifiées sollicitées.

Le fournisseur de moyen d'identification électronique peut présenter ses observations dans un délai de deux mois à compter de cette information.

A l'issue de ce délai de deux mois, le directeur général de l'Agence nationale de la sécurité des systèmes d'information notifie sa décision au fournisseur de moyen d'identification électronique dans les conditions prévues par le code des relations entre le public et l'administration.

Lorsque les manquements ou changements de circonstance mentionnés à l'article R. 54-14 sont liés à des vulnérabilités permettant d'usurper ou d'altérer l'identité des utilisateurs du moyen d'identification électronique, connues publiquement ou dont l'exploitation, suspectée ou avérée, entraîne des conséquences graves pour l'utilisateur ou les fournisseurs de services, le directeur général de l'Agence nationale de la sécurité des systèmes d'information peut suspendre la certification du moyen d'identification électronique concerné. Cette suspension est prononcée jusqu'à l'intervention d'une décision d'abrogation de la certification ou de levée de la suspension prise par le directeur général de l'Agence nationale de la sécurité des systèmes d'information, dans un délai qui ne peut excéder cinq mois, dans les conditions prévues à l'article R. 54-14.

Le fournisseur d'un service de coffre-fort numérique est tenu à une obligation d'information claire, loyale et transparente sur les modalités de fonctionnement et d'utilisation du service, préalable à la conclusion d'un contrat.

Avant que l'utilisateur ne soit lié par un contrat de fourniture de service de coffre-fort numérique, le fournisseur du service lui communique, de manière lisible et compréhensible, les informations suivantes :

1° Le type d'espace mis à sa disposition et les conditions d'utilisation associées ;

2° Les mécanismes techniques utilisés ;

3° La politique de confidentialité ;

4° L'existence et les modalités de mise en œuvre des garanties de bon fonctionnement ;

5° Son engagement sur la conformité du service aux exigences fixées aux 1° à 5° de l'article L. 103.

Ces informations sont également mises à disposition en ligne et, le cas échéant, mises à jour.

Le fournisseur du service de coffre-fort numérique expose dans un dossier technique la façon dont il assure le respect des exigences fixées aux 1° à 5° de l'article L. 103, telles que précisées dans la présente section.

L'intégrité, la disponibilité et l'exactitude de l'origine des données et documents stockés dans le coffre-fort numérique sont garanties par des mesures de sécurité adaptées et conformes à l'état de l'art.

La traçabilité des opérations réalisées sur les données et documents stockés dans le coffre-fort numérique et la disponibilité de cette traçabilité pour l'utilisateur requièrent au minimum la mise en œuvre des mesures suivantes :

1° L'enregistrement et l'horodatage des accès et tentatives d'accès ;

2° L'enregistrement des opérations affectant le contenu ou l'organisation des données et documents de l'utilisateur ;

3° L'enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques.

Les durées de conservation de ces données de traçabilité constituent une mention obligatoire du contrat de fourniture de service de coffre-fort électronique.

L'identification de l'utilisateur lors de l'accès au service de coffre-fort numérique est assurée par un moyen d'identification électronique adapté aux enjeux de sécurité du service.

La garantie, telle que prévue au 4° de l'article L. 103, de l'exclusivité d'accès aux documents et aux données de l'utilisateur ou aux données associées au fonctionnement du service requiert au minimum la mise en œuvre des mesures suivantes :

1° Un mécanisme de contrôle d'accès limitant l'ouverture du coffre-fort numérique aux seules personnes autorisées par l'utilisateur ;

2° Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes ;

3° Le chiffrement par le service de coffre-fort numérique de l'ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci. Ce chiffrement doit être effectué à l'aide de mécanismes cryptographiques conformes à l'état de l'art et permettre une évolution de la taille des clés et des algorithmes utilisés. La conformité à l'état de l'art est présumée lorsque les mécanismes impliqués dans ces opérations de chiffrement sont conformes aux règles et recommandations de l'Agence nationale de sécurité des systèmes d'information concernant le choix et le dimensionnement des mécanismes cryptographiques.