📄 Texte de loi
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère d'État
Le Ministre aux Relations avec le Parlement
Monsieur le Président
du Conseil d'État
Luxembourg
Personne en charge du dossier:
Roland Gaasch
Ir 247 - 82953
Luxembourg, le 12 mars 2019
SCL : L 5596 - 315 / ak
Objet : Projet de loi portant modification de la loi modifiée du 14 août 2000 relative au commerce
électronique.
Monsieur le Président,
J'ai l'honneur de soumettre à l'avis du Conseil d'État le projet de loi sous rubrique, élaboré par le Ministre
de l'Économie.
Je joins en annexe le texte du projet, l'exposé des motifs, le commentaire des articles, la fiche
d'évaluation d'impact, la fiche financière, le texte coordonné de la loi modifiée du 14 août 2000 que le
projet émargé tend à modifier ainsi que le texte du règlement (UE) n° 910/2014 du Parlement européen
et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les
transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
Les avis de la Chambre d'agriculture, de la Chambre de commerce, de la Chambre des métiers, de la
Chambre des salariés, de la Chambre des fonctionnaires et employés publics, des autorités judiciaires
ainsi que des barreaux de Luxembourg et de Diekirch ont été demandés et vous parviendront dès
réception.
Veuillez agréer, Monsieur le Président, l'assurance de ma haute considération.
Pour le Premier Ministre
Ministre d'État
Le Ministre aux Relations
avec le Parlement
43, boulevard F.-D. Roosevelt
L-2450 Luxembourg
Tél. (+352) 247-82952
Fax (+352) 46 74 58
scl@scl.etat.lu
www.legilux.lu
www.gouvernementiu
www.luxembourg.lu
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
Projet de loi portant modification de la loi modifiée du 14 août 2000 relative
au commerce électronique
I.
II.
III.
IV.
V.
VI.
VII.
Exposé des motifs
Texte du projet de loi
Commentaire des articles
Fiche financière
Fiche d'impact
Texte coordonné
Règlement (UE) n°910/20014
p. 2
P- 3
p. 10
p. 16
p. 17
p. 20
p. 50
1
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
I.
Exposé des motifs
Au Grand-Duché de Luxembourg, le secteur de l'information et des communications fait partie
intégrante de la politique de développement et de diversification. La pérennité des Technologies de
l'Information et de la Communication (TIC) est indispensable au développement du marché
économique.
Le présent projet de loi a pour objectif principal de mettre la législation luxembourgeoise en
conformité avec le règlement (UE) N°910/2014 du Parlement européen et du Conseil du 23 juillet 2014
sur l'identification électronique et les services de confiance pour les transactions électroniques au sein
du marché intérieur et abrogeant la directive 1999/93/CE (ci-après le « règlement européen eIDAS »).
Ce projet de loi vise la mise en œuvre du règlement européen eIDAS afin de légiférer au niveau national
les questions nécessitant une intervention législative nationale tels les sanctions applicables, la
désignation de l'organe de contrôle et ses pouvoirs ou d'autres marges de manœuvres laissées au
législateur national.
L'objectif principal du législateur européen est de mettre en place un cadre juridique complet
interopérable pour les différents systèmes mis en place au sein des Etats membres qui confère la
sécurité juridique, augmente la confiance dans les transactions électroniques et promeut le
développement d'un marché de la confiance numérique.
Le règlement européen eIDAS abroge la directive 1999/93 CE tout en reprenant les principales
dispositions de cette dernière et en la complétant notamment par de nouvelles dispositions relatives
aux différents services de confiance.
Le règlement européen eIDAS prévoit des exigences pour les services de confiance relatifs à la
signature électronique, au cachet électronique, à l'horodatage électronique, à l'envoi du recommandé
électronique et à l'authentification de site internet. Il distingue entre les services de confiance qualifiés
et les services de confiance non qualifiés. Les services de confiance qualifiés et les prestataires de
service de confiance qui les offrent, sont soumis à des exigences particulières.
Le législateur européen distingue les services de confiance qualifiés et les services de confiance non
qualifiés ainsi que les prestataires de services de confiance qualifiés et les prestataires de services de
confiance non qualifiés. Les services de confiance qualifiés et les prestataires de services qualifiés sont
plus strictes que les services de confiance non qualifiés et les prestataires de services non qualifiés. Le
niveau de sécurité et de fiabilité par domaine dépend du choix des services de confiance qualifiés ou
non qualifiés. Les services de confiance qualifiés bénéficient d'une présomption dispensant ainsi son
utilisateur de la charge de la preuve en cas de contestation alors que les services de confiance non
qualifiés bénéficient uniquement de la clause de non-discrimination. L'effet juridique et la recevabilité
des services de confiance non qualifiés ne peuvent pas être refusés comme preuve en justice au seul
motif que ces services se présentent sous une forme électronique. L'utilisateur des services de
confiance non qualifiés doit rapporter la preuve de la fiabilité et des garanties normalement attendues
de ces services.
2
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
II.
Texte du projet de loi
Art. 1. La loi modifiée du 14 août relative au commerce électronique est modifiée comme suit :
1° L'article ler prend la teneur suivante:
« Art. ler. Définitions.
Au sens de la présente loi, on entend par:
1° « authentification » au sens du le règlement (UE) N*910/2014 du Parlement Européen et du Conseil
du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions
électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (ci-après le «
règlement européen eIDAS »);
2° « cachet électronique » au sens du règlement européen eIDAS ;
30 « cachet électronique qualifié » au sens du règlement européen eIDAS ;
4° « certificat d'authentification de site internet » au sens du règlement européen eIDAS ;
50 « certificat de cachet électronique » au sens du règlement européen eIDAS « certificat de signature
électronique » au sens du règlement européen eIDAS ;
6° « certificat qualifié d'authentification de site internet » au sens du règlement européen eIDAS ;
70 « certificat qualifié de cachet électronique » au sens du règlement européen eIDAS ;
8° « certificat qualifié de signature électronique » au sens du règlement européen eIDAS ;
9° « destinataire du service»: toute personne physique ou morale qui, à des fins professionnelles ou
non, utilise un service de la société de l'information, notamment pour rechercher ou pour rendre
accessible une information ;
10° « données de création d'authentification de site internet » : des données uniques qui sont utilisées
par le site internet dans le processus d'authentification du site internet ;
110 « données de création de cachet électronique » au sens du règlement européen eIDAS ;
12° « données de création de signature électronique » au sens du règlement européen eIDAS ;
13° « identification électronique » au sens du règlement européen eIDAS ;
14° « organisme d'évaluation de la conformité » au sens du règlement européen eIDAS ;
15° « prestataire »: toute personne physique ou morale qui fournit un service de la société de
l'information;
16° « prestataire de services de confiance » au sens du règlement européen eIDAS ;
17° « prestataire de services de confiance qualifié » au sens du règlement européen eIDAS ;
18° « produit » au sens du règlement européen eIDAS :
190 « service de confiance » au sens du règlement européen eIDAS ;
20° « service de confiance qualifié » au sens du règlement européen eIDAS ;
3
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
21° « service d'envoi recommandé électronique » au sens du règlement européen eIDAS ;
22° « service d'envoi recommandé électronique qualifié » au sens du règlement européen eIDAS ;
23° « services de la société de l'information »: tout service presté, normalement contre rémunération,
à distance par voie électronique et à la demande individuelle d'un destinataire de services ;
24° « signature électronique » au sens du règlement européen eIDAS ;
25° « titulaire de certificat »: une personne physique ou morale à laquelle un prestataire de services
de confiance a délivré un certificat d'authentification de site internet, une personne physique à
laquelle un prestataire de services de confiance a délivré un certificat de signature électronique
ou une personne morale à laquelle un prestataire de services de confiance a délivré un certificat
de cachet électronique. »
2° L'intitulé du Titre II prend la teneur suivante:
« Titre II - De la preuve, des services de confiance et des prestataires de services de confiance. »
3* A l'article 16 les mots « certifié conforme à l'original » sont supprimés.
4° L'intitulé du Chapitre 2, du Titre 11 loi prend la teneur suivante:
« Chapitre 2 - Des services de confiance et des prestataires de services de confiance. »
5* L'intitulé de la section 1 prend la teneur suivante:
« Section 1 - Dispositions communes. »
e L'article 17 est abrogé.
7° L'article 18 est abrogé.
8° L'intitulé de la section 2 « Des prestataires de service de certification » et l'intitulé de la sous-section
« Dispositions communes » de la même loi sont abrogés.
9° L'article 19 est modifié comme suit:
a) Au paragraphe le', le terme « certification » est remplacé à deux reprises par le terme « confiance ».
b) Au paragraphe 3, les termes « l'Autorité Nationale d'Accréditation et de Surveillance » sont
remplacés par ceux de « l'Institut Luxembourgeois de la Normalisation, de l'Accréditation, de la
Sécurité et Qualité des produits et services (ci-après désignée par son acronyme « l'ILNAS ») ».
c)Le paragraphe 4 prend la teneur suivante:
« (4) Toute personne mandatée ou ayant été mandatée par l'ILNAS sont tenus au secret professionnel
et passibles des peines prévues à l'article 45bis (3) de la présente loi en cas de violation de ce secret.»
10° L'article 20 est modifié comme suit :
« Art. 20. De la protection des données à caractère personnel des prestataires de services »
a) Au paragraphe 1er, les termes « Autorité Nationale d'Accréditation et de Surveillance et » sont
supprimés.
b) Aux paragraphes ler et 2, le terme « certification » est remplacé par les termes « confiance ».
4
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
c) Le paragraphe 3 prend la teneur suivante:
« (3) Lorsqu'un pseudonyme est utilisé, l'identité véritable du titulaire d'un certificat de signature
électronique ne peut être révélée par le prestataire de services de confiance qu'avec le consentement
du titulaire du certificat ou dans les cas prévus à l'article 19 (2) de la présente loi. »
110 L'article 21 est modifié comme suit:
a) Le paragraphe ler est abrogé.
b) Le paragraphe 2 prend la teneur suivante:
« (2) Le titulaire du certificat de signature électronique, de cachet électronique ou
d'authentification de site internet est tenu, dans les meilleurs délais, de notifier au prestataire de
services de confiance toute modification des informations contenues dans celui-ci. ».
c) Le paragraphe 3 prend la teneur suivante:
« (3) En cas de doute quant au maintien de la confidentialité des données de création de signature
électronique, de cachet électronique ou d'authentification de site internet ou de perte de la
conformité à la réalité des informations contenues dans le certificat de signature électronique, de
cachet électronique ou d'authentification de site internet, le titulaire de certificat est tenu de faire
révoquer immédiatement le certificat de signature électronique, de cachet électronique ou
d'authentification de site internet conformément à l'article 26 de la présente loi. ».
d) Le paragraphe 4 prend la teneur suivante:
« (4) Lorsqu'un certificat de signature électronique, de cachet électronique ou d'authentification
de site internet est arrivé à échéance ou a été révoqué, le titulaire du certificat ne peut plus utiliser les
données de création de signature électronique, de cachet électronique ou d'authentification de site
internet ou faire certifier ces données par un autre prestataire de services de confiance. ».
120 La Sous-Section 2 « Des prestataires de services de certification délivrant des certificats qualifiés »
devient la Section 2 libellée comme suit:
« Section 2 - Des obligations du titulaire de certificats qualifiés. »
130 Suite à la nouvelle section 2 sont insérés un nouvel article 21bis et un nouvel article 2lter libellés
comme suit:
« Art. 21bis. Nonobstant les obligations contenues dans les articles 19 et 24 du règlement européen
eIDAS, un titulaire de certificat qualifié de cachet électronique établi au Luxembourg met en œuvre les
mesures nécessaires afin de pouvoir établir l'identité, la qualité et les pouvoirs de chaque personne
physique qui représente la personne morale, lors de chaque usage manuel/usage non automatisé de
création de cachet électronique.
Art. 21ter. Vérification des identités dans le cadre de la délivrance de certificats qualifiés
(1)
L'ILNAS publie sur son site Internet, quelles autres méthodes d'identification au sens de
l'article 24 paragraphe 1 lettre (d) du règlement européen eIDAS sont reconnues au Luxembourg sous
condition que la garantie équivalente en termes de fiabilité à la présence en personne soit confirmée
par un organisme d'évaluation de la conformité, ainsi que les exigences minimales à respecter.
(2) L'ILNAS surveille les méthodes d'identification.
5
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
Si, dans le cadre de ses activités de surveillance, l'ILNAS constate des insuffisances ou des risques en
termes de sécurité, l'ILNAS peut imposer au prestataire de services de confiance qualifié la prise de
mesures de sécurité techniques ou organisationnelles supplémentaires. Si les risques constatés ne
peuvent être suffisamment mitigés, l'ILNAS peut interdire au prestataire de services de confiance
qualifié l'utilisation de la méthode d'identification concernée et en cas de non-conformité à cette
interdiction prononcée par l'ILNAS, le prestataire de services de confiance qualifié se voit appliquer les
sanctions prévues par la présente loi. »
14° L'article 22 prend la teneur suivante:
« Art. 22. De l'obligation d'information.
Le prestataire de services de confiance prévient le titulaire de l'échéance du certificat au moins
(1)
un mois en avance.
(2)
Le prestataire de services de confiance qualifié est tenu d'informer les utilisateurs du
changement de statut dans la liste de confiance de ses services de confiance qualifiés dans un délai de
sept jours à compter de la date effective du changement de statut. »
15° Les articles 23, 24 et 25 sont abrogés.
16° L'article 26 est modifié comme suit:
a) Au paragraphe 1er, le terme « certification » est remplacé par le terme « confiance » et les termes
« certificat qualifié » sont remplacés par le terme « certificat ».
b) Le paragraphe 2 prend la teneur suivante:
« (2) Le prestataire de services de confiance, respectivement le prestataire de services de confiance
qualifié, révoque un certificat, respectivement un certificat qualifié, immédiatement lorsque:
a) il découvre ou est informé que le certificat a été constitué sur la base d'informations erronées ou
falsifiées, que les informations contenues dans le certificat ne sont plus conformes à la réalité ou
que la sécurité des données de création de signature électronique, de cachet électronique ou
d'authentification de site internet a été compromise respectivement risque d'être compromise
ou que le certificat a été utilisé frauduleusement ;
b) le prestataire de services de confiance est informé du décès de la personne physique ou de la
dissolution de la personne morale qui en est le titulaire ;
c) la révocation d'un certificat a été ordonnée par une juridiction ;
d) l'ILNAS retire le statut qualifié au prestataire de services de confiance qualifié ou au service de
confiance qualifié sous lequel le certificat a été émis, sauf dérogation de l'ILNAS ;
e) l'ILNAS demande la révocation du certificat qualifié pour non-respect des exigences de la présente
loi respectivement du règlement européen eIDAS ».
c) Au paragraphe 3, le terme « certification » est remplacé par le terme « confiance », et la dernière
phrase du paragraphe 3 est supprimée.
d) Les paragraphes 4 et 5 sont abrogés.
17° Les articles 27 et 28 sont abrogés.
18° Avant l'article 29 de la même loi est inséré un nouvelle Section 3 libellée comme suit:
« Section 3 — La surveillance des prestataires de services de confiance. »
6
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
19° L'article 29 prend la teneur suivante:
« Art. 29. (1) Le rôle de l'ILNAS est le suivant:
- contrôler les prestataires de services de confiance qualifiés afin de s'assurer, par des activités
de contrôle a priori et a posteriori, que ces prestataires de services de confiance qualifiés et
les services de confiance qualifiés qu'ils fournissent satisfont aux exigences fixées dans la
législation européenne applicable, la présente loi et les règlements pris en son exécution ;
-
prendre des mesures, si nécessaire, en ce qui concerne les prestataires de services de
confiance non qualifiés par des activités de contrôle a posteriori, lorsqu'il est informé que ces
prestataires de services de confiance non qualifiés ou les services de confiance qu'ils
fournissent ne satisferaient pas aux exigences fixées dans la législation européenne applicable
ou la présente loi ou les règlements pris en son exécution.
(2) L'ILNAS peut, dès lors que c'est dans l'intérêt public, publier soit au Journal officiel du GrandDuché de Luxembourg, soit dans un ou plusieurs journaux luxembourgeois ou étrangers, un
changement de statut dans la liste de confiance nationale.
(3) Lors de l'accomplissement de la mission de contrôle par l'ILNAS, tout prestataire de services de
confiance est tenu de collaborer activement et promptement, sous peine d'encourir les sanctions
administratives prévues à l'article 34bis de la présente loi.
(4) Si, sur le rapport de ses agents ou de l'organisme d'évaluation de la conformité, l'ILNAS constate
que les activités du prestataire de services de confiance ne sont pas conformes à la législation
européenne applicable ou à la présente loi ou aux règlements pris en son exécution, il invite le
prestataire à se conformer, dans le délai qu'il détermine, auxdites dispositions. Si, passé ce délai, le
prestataire ne s'est pas conformé, l'ILNAS peut procéder à la mise à jour du statut du prestataire ou
des services concernés sur la liste de confiance nationale.
(5) En cas de constatation d'une violation grave par un prestataire de services de confiance des
exigences fixées dans le règlement européen eIDAS ou la présente loi ou des règlements pris en son
exécution, l'ILNAS peut en informer à telles fins que de droit les autorités administratives compétentes
en matière de droit d'établissement. Les rapports établis à l'attention de l'ILNAS peuvent être
communiqués à ces autorités, dans la mesure où le prestataire de services de confiance en a reçu
communication par l'ILNAS.
(6) L'ILNAS peut, soit d'office, soit à la demande de toute personne intéressée, vérifier ou faire
vérifier la conformité des activités d'un prestataire de services de confiance qualifié à la législation
européenne applicable, à la présente loi ou aux règlements pris en son exécution. »
20° La Sous-Section 3 « Des prestataires de service de certification accrédités » de la même loi devient la
nouvelle Section 4 libellée comme suit:
«Section 4 - De l'arrêt et du transfert des activités des prestataires de services de confiance qualifiés.»
21° Les articles 30 et 31 sont abrogés.
22° L'article 32 prend la teneur suivante:
« Art. 32. De l'arrêt et du transfert des activités.
7
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
(1) Le prestataire de services de confiance qualifié informe au moins trois mois à l'avance, sauf
motif valable, l'ILNAS de son intention de mettre fin à ses activités ou, le cas échéant, de son incapacité
de poursuivre ses activités.
Il s'assure de la reprise des activités par un autre prestataire de service de confiance qualifié, dans les
conditions décrites au §2 du présent article, ou, à défaut, prend les mesures requises au §3 du présent
article.
(2) Le prestataire de services de confiance qualifié qui cesse ses activités se conforme aux
dispositions relatives aux plans d'arrêt d'activité vérifiés par l'organisme d'évaluation de la conformité
et par l'ILNAS.
(3) Le prestataire de services de confiance qualifié qui cesse ses activités sans qu'elles ne soient
reprises par un autre prestataire de services de confiance qualifié révoque, dans un délai de 5 jours
après en avoir informé les titulaires, tous les certificats qualifiés ainsi que, tous les certificats non
qualifiés, sauf dérogation de l'ILNAS.
(4) Le décès, l'incapacité, la faillite, la dissolution volontaire et la liquidation, ou tout autre motif
involontaire d'arrêt des activités sont assimilés à une cessation d'activité au sens de la présente loi. »
230 L'article 33 est abrogé.
240 La Sous-section 4 « Du recommandé électronique » devient la nouvelle Section 5.
250 L'article 34 prend la teneur suivante:
« Art. 34. Le recommandé électronique qualifié au sens du règlement européen eIDAS est équivalent
à celui d'un envoi recommandé sur support papier. Sous réserve de l'application d'exigences légales
ou réglementaires particulières, l'obligation légale ou réglementaire de recourir à un envoi
recommandé est présumée satisfaite par le recours à un service d'envoi recommandé électronique
qualifié. »
260 A la suite de l'article 34 est inséré un nouvelle section 6 qui prend la teneur suivante:
« Section 6 — Dispositions administratives.
Art. 34b1s. (1) L'ILNAS peut infliger une amende de 250 euros à 15.000 euros à tout prestataire de
services de confiance qui:
10 refuse de fournir les documents et informations ou autres renseignements demandés par l'ILNAS
dans le cadre du contrôle des prestataires de services de confiance ;
2° fait obstacle à l'exercice de contrôle ;
3° enfreint les dispositions de l'article 23 du règlement européen eIDAS.
(2) L'ILNAS peut infliger une amende de 250 euros à 15.000 euros aux personnes physiques ou
morales en cas d'utilisation dans leur dénomination sociale leur nom commercial ou toute
communication commerciale, la dénomination de prestataire de services de confiance qualifié ou de
services de confiance qualifiés sans être inscrit sur la liste de confiance nationale publiée par l'ILNAS.
(3) Les amendes sont payables dans les trente jours de la notification de la décision écrite,
nonobstant l'exercice d'une voie de recours.
8
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
(4) Les décisions d'infliger une amende administrative en vertu du présent article sont susceptibles
d'un recours en réformation à introduire devant le tribunal administratif, dans le délai de trois mois à
compter de la notification. »
27° A la suite de l'article 45 est inséré un nouvel article 45b1s qui prend la teneur suivante:
« Art. 45bis. (1) Est punie d'une amende de 251 euros jusqu'à 25.000 euros toute personne:
1° en cas de prestation de services de confiance prétendument qualifiés sans être inscrits sur la liste
de confiance nationale publiée par l'ILNAS, ou
2° qui n'est pas conforme à l'article 21, paragraphe 1 du règlement européen eIDAS.
(2) Est punie d'une amende de 251 euros à 25.000 euros, d'une peine d'emprisonnement de 8 jours
à 6 mois ou d'une de ces peines seulement, toute personne qui n'est pas conforme aux dispositions
légales visées :
rà l'article 32 paragraphe 1 de la présente loi,
2° à l'article 32 paragraphe 2 de la présente loi,
3' à l'article 20, paragraphe 1 du règlement européen eIDAS,
e à l'article 24, paragraphe 1 du règlement européen eIDAS, ou
e à l'article 24, paragraphe 2 du règlement européen eIDAS.
(3) Est punie d'une amende de 251 euros à 500.000 euros et d'une peine d'emprisonnement de 8
jours à trois ans ou d'une de ces peines seulement, toute personne qui n'est pas conforme aux
dispositions légales visées :
1° à l'article 19 de la présente loi,
2° à l'article 19, paragraphe 2 du règlement européen eIDAS,
3* à l'article 24, paragraphe 3 du règlement européen eIDAS,
3° à l'article 24, paragraphes 4 du règlement européen eIDAS. »
9
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
III. Commentaire des articles
Ad Article 1
De manière générale, il faut noter que la présente intervention législative nécessite une réorganisation
structurelle de la présente loi.
1° Afin de faciliter la lecture, les définitions sont énumérées de manière alphabétique.
Les définitions « par voie électronique » et « à la demande individuelle d'un destinataire de services »
sont supprimées. Le concept de la définition « par voie électronique » est clair dans la langue courante
comme dans la langue juridique et il n'est pas nécessaire de le définir. Les termes « à la demande
individuelle d'un destinataire de services » ne décrit pas un service à proprement parler mais un aspect
d'un service de confiance. Cet aspect d'un service de confiance est aussi assez clair de manière que sa
définition n'est plus nécessaire.
La définition « Titulaire de certificat » est insérée. Cette définition est reprise de l'ancien article 17 de
la loi sur le commerce électronique, article qui est abrogé par la présente loi, et adaptée suite aux
différents types de certificats introduits par le règlement européen eIDAS.
Les termes définis par le règlement (UE) N°910/2014 du Parlement Européen et du Conseil du 23 juillet
2014 sur l'identification électronique et les services de confiance pour les transactions électroniques
au sein du marché intérieur et abrogeant la directive 1999/93/CE (ci-après le « règlement européen
eIDAS ») et qui figurent dans le présent projet de loi sont repris dans cet article.
La reprise a pour objectif de rassurer l'utilisateur et d'éviter le doute ou tout oubli afin de le mettre en
mesure d'appliquer la présente loi. En effet, le règlement européen eIDAS définit des termes qui
risquent se voir confondre avec des termes usuels.
La définition « données de création d'authentification de site internet » est insérée sur le modèle des
définitions du règlement européen el DAS de « données de création de signature électronique » et de
« données de création de cachet électronique ». Cette définition permet dans l'article 21.3 d'aligner
de manière uniforme les exigences de révocation pour tous les types de certificats.
Le règlement européen eIDAS définit la signature électronique à l'article 3.10 et prévoit les effets
juridiques y relatifs dans son article 25. Il est renvoyé dans l'article 1 de la présente loi à la définition
du règlement européen eIDAS.
Le règlement eIDAS définit à l'article 3.10 la signature électronique et détermine à l'article 26 les
exigences liées aux signatures électroniques. Il introduit une définition générique de la signature
électronique dans l'intérêt des évolutions techniques ou algorithmiques futures.
Parallèlement, le règlement eIDAS introduit l'utilisation de mécanismes de confiance à différents
niveaux et pour différents types de signatures électroniques, notamment pour les signatures
électroniques avancées et les signatures électroniques qualifiées.
La signature électronique avancée offre des garanties plus précises que la signature électronique quant
à l'identification du signataire et à la sécurité des technologies utilisées.
10
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de rÉconomie
La signature électronique qualifiée offre des garanties encore plus strictes que la signature électronique
avancée concernant le certificat identifiant le signataire et liant les données de signature à cette
identité (Annexe l) ainsi qu'au dispositif de signature utilisé (Annexe II).
La définition « Titulaire de certificat », adaptée aux différents types de certificats introduits par le
règlement européen eIDAS, est reprise dans l'article 1 de la présente loi. Les termes figurant à l'article
17 sont définis par l'article 3 du règlement européen eIDAS. L'article 1 de la présente loi renvoie à des
définitions du règlement européen eIDAS utilisés dans le présent projet de loi.
2° Cette modification vise à harmoniser la terminologie employée avec celle du règlement européen eIDAS
et à élargir le champ d'application à tous les services de confiance définis dans le règlement eIDAS.
3° Cette modification vise aligner la loi relative au commerce électronique sur la loi du 29 mai 2009 portant
abolition de l'obligation de fournir une copie certifiée conforme d'un document original.
4°, 5° et 6° Ces modifications visent à élargir le champ d'application à tous les services de confiance définis
dans le règlement eIDAS et à apporter un nouvel agencement à la loi de commerce électronique.
Le règlement européen établit une distinction entre les services de confiance qualifiés et les services
de confiance non qualifiés. Les premiers satisfont à des exigences particulières et peuvent bénéficier
d'effets juridiques spécifiques. Les services de confiance qualifiés sont assurés par des prestataires de
services de confiance qualifiés.
7° L'article 18 est abrogé étant donné qu'il est défini par le règlement eIDAS et repris dans l'article 1er du
présent projet de loi.
En outre, l'abrogation du paragraphe 3 est nécessaire puisque des dispositions législatives prévoient
l'obligation d'utiliser la signature électronique. A titre d'exemple, on peut citer la passation de
procédures de marchés publics et toutes les communications y afférentes ou les dispositions relatives
au dépôt électronique de documents dans la loi sur le Registre de Commerce et des Sociétés qui
doivent obligatoirement se faire de manière électronique.
8° Les différentes modifications rendent nécessaires une nouvelle réorganisation structurelle de la
présente loi.
9' Les modifications visent à harmoniser la terminologie employée avec celle du règlement européen
eIDAS. En outre, l'article 45bis (3) punit spécifiquement le non-respect du secret professionnel par des
sanctions pénales en veillant au caractère effectif, proportionné et dissuasif des sanctions applicables.
10° L'intitulé est élargi à tous les prestataires de service afin de souligner la conformité au règlement
général sur la protection des données.
a) et b) Ces modifications visent à harmoniser la terminologie employée avec celle du règlement
européen eIDAS.
c) Les dispositions du paragraphe 3 sont visés par l'article 5.2 du règlement européen eIDAS.
A l'instar du règlement européen el DAS, les modifications précisent que pour les services de confiance
l'utilisation d'un pseudonyme est limité aux certificats de signature électronique et n'est pas permise
pour les certificats de cachets électroniques.
11
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
L'identité du titulaire d'un certificat de signature électronique ne peut être révélée par le prestataire
de services de confiance qu'avec le consentement du titulaire du certificat ou dans les cas prévus à
l'article 19(2) de la présente loi.
11° Le paragraphe ler est à supprimer car un régime de responsabilité est régi par l'article 13 du règlement
européen eIDAS. En vertu de cet article tous les prestataires de services de confiance sont responsables
des dommages causés à toute personne physique ou morale en raison d'un manquement à leurs
obligations telles que définies par le règlement européen eIDAS.
Le règlement européen eIDAS s'applique sans préjudices conformément aux règles luxembourgeoises
plus précises en matière d'obligations d'informations. Les modifications des paragraphes 2, 3 et 4
tiennent compte des trois types de certificats introduits par le règlement européen eIDAS, à savoir, les
certificats de signature électronique, les certificats de cachet électronique et les certificats
d'authentification de site internet.
12° Les différentes modifications rendent nécessaires une réorganisation structurelle de la présente loi.
13°[Art. 21bis.] Il faut différencier d'une part les cachets électroniques émis de manière automatisée et
les cachets électroniques émis de manière manuelle. Cet article ne vise que les derniers.
Au vu des effets juridiques des cachets électroniques tels qu'établis par le règlement européen eIDAS
et lorsque la création d'un tel cachet est initiée par une personne physique de manière manuelle, il
convient que la personne morale titulaire du certificat puisse établir le nom, la qualité et les pouvoirs
de la personne physique à l'origine de cette création.
[Art. 21ter. Vérification des identités dans le cadre de la délivrance de certificats qualifiés]
Ce nouvel article vise à mettre le droit national en conformité avec l'article 24 paragraphe ler d) du
règlement européen eIDAS qui indique que l'étape de vérification d'identité en vue de la délivrance
d'un certificat qualifié peut s'effectuer « à l'aide d'autres méthodes d'identification reconnues au
niveau national qui fournissent une garantie équivalente en termes de fiabilité à la présence en
personne ».
Afin d'assurer un niveau de sécurité homogène entre les solutions techniques existantes et futures, il
convient que ces méthodes d'identification soient validées par l'autorité nationale de supervision des
prestataires de services de confiance (ILNAS).
Cet article permet àl'ILNAS de publier les méthodes d'identification reconnues au Luxembourg sur son
site internet, sous condition que la garantie équivalente en termes de fiabilité à la présence en
personne soit confirmée par un organisme d'évaluation de la conformité. De plus, les méthodes
d'identification en question sont surveillées par l'ILNAS. L'ILNAS peut prendre des mesures s'il s'avère
que les méthodes d'identification en question présentent des insuffisances ou des risques en termes
de sécurité par exemple suite à l'apparition d'attaques informatiques.
14° Les anciens paragraphes 1 et 2 sont issues de l'annexe II de la directive 99/93 qui est abrogée par le
règlement européen eIDAS et qui ne les reprend pas.
Le principe d'obligation d'information de l'annexe II de la Directive 1999/93 se retrouve désormais à
l'article 24.2. d) du règlement européen eIDAS afin de s'appliquer à tous les services de confiance
qualifiés.
12
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
L'obligation d'information du titulaire de l'échéance d'un certificat qualifié et non qualifié veut que le
prestataire de services de confiance prévient son titulaire au moins un mois en avance.
15° L'article 23 est à supprimer dans la mesure où l'obligation de vérification est imposée par l'article 24
du règlement européen eIDAS aux prestataires de services de confiance qualifiés.
L'article 24 est à supprimer dans la mesure où le règlement européen eIDAS ne comporte pas de telles
exigences.
L'article 25 est à supprimer dans la mesure où les exigences applicables aux prestataires de services de
confiance qualifiés sont fixées par l'article 19 et 24 du règlement européen eIDAS.
16° Ces modifications visent à harmoniser la terminologie employée avec celle du règlement européen
eIDAS.
La dernière phrase du paragraphe 3 est reprise à l'article 22(1). De l'obligation d'information de la
présente loi.
Les anciens paragraphes 4 et 5 sont régis par l'article 24.3 du règlement européen eIDAS.
17° L'article 27 est à supprimer alors que le régime de responsabilité des prestataires de services de
confiance est régi par l'article 13 du règlement européen eIDAS et par les règles générales
luxembourgeoises.
L'article 28 est à supprimer car la reconnaissance de services de confiance fournis par des prestataires
de services de confiance établis dans un pays tiers est régie par l'article 14 du règlement européen
eIDAS.
18° Les différentes modifications rendent nécessaires une nouvelle réorganisation structurelle de la
présente loi.
19° Cet article reprend en partie les anciens paragraphes (1), (3), (6) et (7) tout en harmonisant la
terminologie employée avec celle du règlement européen eIDAS.
Le rôle de l'organe de contrôle, à savoir l'ILNAS, est fixé à l'article 17 paragraphe (3) du règlement
européen eIDAS. A ce rôle s'ajoute le contrôle des prestataires de services de confiance qualifiés afin
de s'assurer que ces prestataires satisfont aux exigences de la présente loi et des règlements pris en
son exécution ainsi que la prise de mesures, si nécessaire, en ce qui concerne les prestataires de
services de confiance non qualifiés, lorsque l'ILNAS est informé que ces derniers ne satisferaient pas
aux exigences fixées dans la présente loi ou les règlements pris en son exécution.
20° Les différentes modifications rendent nécessaires une nouvelle réorganisation structurelle de la
présente loi.
21° Les articles 30 et 31 qui visaient l'accréditation et les conditions d'obtention de l'accréditation sont à
supprimer car les conditions de lancement d'un service de confiance qualifié sont régies par l'article
21 du règlement européen eIDAS.
13
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
22° Cet article reprend l'esprit de l'article 24 (2) du règlement européen eIDAS tout en imposant au
prestataire de services de confiance qualifié qui envisage de mettre fin à ses activités ou, le cas échéant,
de son incapacité de poursuivre ses activités, d'informer l'ILNAS au moins trois mois à l'avance, soit
dans un délai raisonnable afin de permettre à l'ILNAS de vérifier le respect des dispositions légales au
moment de la fin des activités ou du transfert.
Le paragraphe 2 est à modifier afin d'imposer aux prestataires de services de confiance de se conformer
à ces plans d'arrêt d'activités prévu par le règlement européen eIDAS tout en s'alignant sur l'article 9
de la loi sur l'archivage électronique.
Le paragraphe 3 requiert que le prestataire de services de confiance qualifié qui cesse ses activités sans
qu'elles ne soient pas reprises par un autre prestataire de services de confiance qualifié révoque tous
les certificats émis dans un certain délai. Cette exigence peut faire l'objet d'une dérogation par l'organe
de contrôle en l'occurrence dans le cas où les activités sont reprises par le Gouvernement. Cette
disposition permet, entre autres, de couvrir le cas de la compromission de la clé privée de l'autorité de
certification du prestataire de services de confiance qualifié.
23° L'article 33 est modifié et repris à l'article 29 de la présente loi.
24° Les différentes modifications rendent nécessaires une nouvelle réorganisation structurelle de la
présente loi.
25° Cette modification reprend le principe d'équivalence entre les envois recommandés classiques et les
envois par recommandé électronique qualifié au sens du règlement européen eIDAS. Elle renforce ainsi
la présomption posée par l'article 43 paragraphe (2) du règlement européen eIDAS.
26° Les différentes modifications rendent nécessaires une nouvelle réorganisation structurelle de la
présente loi.
Afin de tenir compte de l'exigence de l'article 16 du règlement européen eIDAS qui exige des Etats
membres de fixer des sanctions effectives, proportionnées et dissuasives, la présente loi prévoit aussi
bien des sanctions administratives à l'article 34bis de la présente loi que des sanctions pénales à
l'article 45bis de la présente loi.
L'ILNAS peut recourir à des amendes administratives allant de 250 euros à 15.000 euros dans le cadre
du contrôle des prestataires de services de confiance et lorsqu'une personne physique ou morale use
du titre de prestataire de services de confiance qualifié ou de services de confiance qualifiés sans y être
autorisé.
27° Le paragraphe (1) punit d'une amende allant de 251 euros jusqu'à 25.000 euros le comportement des
personnes physiques ou morales qui enfreignent les obligations de l'article 21(1) du règlement
européen eIDAS à savoir l'obligation qui doit assurer une concurrence loyale entre les prestataires de
services de confiance et d'éviter de tromper la confiance des utilisateurs.
Le paragraphe (2) punit d'une amende de 251 euros à 25.000 euros, d'une peine d'emprisonnement
de 8 jours à 6 mois ou d'une de ces peines seulement, toute personne qui n'est pas conforme aux
dispositions légales de l'arrêt et du transfert des activités des prestataires de service de confiance
14
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
qualifiés, du contrôle des prestataires de services de confiance qualifiés, et des exigences applicables
aux prestataires de services de confiance qualifiés.
Le paragraphe (3) punit d'une amende de 251 euros à 500.000 euros et d'une peine d'emprisonnement
de 8 jours à trois ans ou d'une de ces peines seulement, toute personne qui n'est pas conforme aux
dispositions légales des obligations de secret professionnel, des obligations de notification de toute
atteinte à la sécurité ou toute perte d'intégrité ayant une incidence importante sur le service de
confiance fourni ou les données à caractère personnel qui y sont conservées et des exigences des règles
de publication des certificats révoqués.
Les sanctions administratives et pénales sont le fruit d'une longue réflexion et reflètent la nécessité de
fixer des sanctions effectives, proportionnées et dissuasives. La combinaison de ces différentes
sanctions permet de disposer de sanctions effectives, proportionnées et dissuasives pour les
prestataires de services de confiance tel que le préconise le règlement européen eIDAS à l'article 16.
15
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
Iv.
Fiche financière
(art. 79 de la loi du 8 juin 1999 sur le Budget, la Comptabilité et la Trésorerie de l'Etat)
Le projet de loi ne comporte pas de dispositions dont l'application est susceptible de grever le budget
de l'Etat.
16
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
V.
Fiche d'évaluation d'impact
Mesures législatives et réglementaires
Intitulé du projet: Projet portant modification de la loi modifiée du 14 août 2000 relative au commerce
électronique
Ministère initiateur: Ministère de l'Economie
Auteur: Annick Hartung
Tél .: 247-84320
Courriel: annick.aartung@eco.etat.lu
Objectif(s) du projet: mise en application de la législation européenne
Autre(s) Ministère(s)/Organisme(s)/Commune(s) impliqué(e)(s): non
Date: janvier 2019
Mieux légiférer
1.
Partie(s) prenante(s) (organismes divers, citoyens,...) consultée(s): Oui:
Non: E
si oui, laquelle/lesquelles: Min. Justice, ILNAS, CTIE
Remarques/Observations:
2.
Destinataires du projet:
Entreprises/Professions libérales:
3.
Oui:
Non:
- Administrations:
n
Oui: E Non: D
Le principe « Think small first » est-il respecté?
(c.àd. des exemptions ou dérogations sont-elles prévues
suivant la taille de l'entreprise et/ou son secteur d'activité?)
Oui: E Non:
Citoyens:
Oui: H Non:
N.a.:2 [S]
Remarques/Observations:
4.
Le projet est-il lisible et compréhensible pour le destinataire?
Oui:
Non: D
Existe-il un texte coordonné ou un guide pratique, mis à jour
et publié d'une façon régulière?
Oui:
E Non: E
Remarques/Observations: Texte coordonné et guide
'trust services under the eIDAS regulation' sur le site internet d'ILNAS
5.
2
2
Le projet a-t-il saisi l'opportunité pour supprimer ou
simplifier des régimes d'autorisation et de déclaration
existants, ou pour améliorer la qualité des procédures?
Oui: D Non: [I]
Double-click sur la case pour ouvrir la fenêtre permettant de l'activer
N.a.: non applicable
17
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
Remarques/Observations:
6.
pas applicable
Le projet contient-il une charge administrative' pour le(s)
destinataire(s)? (un coût imposé pour satisfaire à une
obligation d'information émanant du projet?)
oui: E Non: [S]
Si oui, quel est le coût administratif approximatif total?
(nombre de destinataires x coût administratif' par destinataire)
7.
a) Le projet prend-il recours à un échange de données interadministratif (national ou international) plutôt que de demander
l'information au destinataire?
oui: D Non: Esi N.a.: D
Si oui, de quelle(s) donnée(s) et/ou administration(s) s'agit-il?
b) Le projet en question contient-il des dispositions spécifiques
concernant la protection des personnes à l'égard du traitement
des données à caractère personnel?
oui: D Non: IS N.a.: E
Si oui, de quelle(s) donnée(s) et/ou administration(s) s'agit-il?
8.
Le projet prévoit-il:
une autorisation tacite en cas de non réponse
de l'administration?
- des délais de réponse à respecter par l'administration?
oui: E Non: [S] N.a.: D
oui: E Non: [s] N.a.: E
- le principe que l'administration ne pourra demander
des informations supplémentaires qu'une seule fois?
9.
Y a-t-il une possibilité de regroupement de formalités et/ou
de procédures (p. ex. prévues le cas échant par un autre texte)?
Oui: 1:1 Non:
[si N.a.: ÉJ
Oui: D Non: Ei N.a.: D
Si oui, laquelle:
10. En cas de transposition de directives communautaires,
le principe « la directive, rien que la directive » est-il respecté?
Oui: E] Non: D N.a.:
Si non, pourquoi?
11. Le projet contribue-t-il en général à une:
a. simplification administrative, et/ou à une
b. amélioration de qualité règlementaire?
Oui: D Non:
[s]
oui: ts Non: ÉJ
Remarques/Observations: harmonisation au niveau européen
12. Des heures d'ouverture de guichet, favorables et adaptées
aux besoins du/des destinataire(s), seront-elles introduites?
Oui: [s] Non: E N.a.: jjjjjjj
11 s'agit d'obligations et de formalités administratives imposées aux entreprises et aux citoyens, liées à l'exécution, l'application ou la
mise en oeuvre d'une loi, d'un règlement grand-ducal, d'une application administrative, d'un règlement ministériel, d'une circulaire,
d'une directive, d'un règlement UE ou d'un accord international prévoyant un droit, une interdiction ou une obligation.
Coût auquel un destinataire est confronté lorsqu'il répond à une obligation d'information inscrite dans une loi ou un texte d'application
de celle-ci (exemple: taxe, coût de salaire, perte de temps ou de congé, coût de déplacement physique, achat de matériel, etc...).
18
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
13. Y a-t-il une nécessité d'adapter un système informatique
auprès de l'Etat (e-Government ou application back-office)?
Oui: E Non: E
si oui, quel est le délai pour disposer du nouveau système: un système d'acceptations des
certificats électroniques étrangers est en cours de transposition
14. Y a-t-il un besoin en formation du personnel
de l'administration concernée?
Oui: [1] Non: [S] N.a.: E
Si oui, lequel?
Remarques/Observations:
Egalité des chances
15. Le projet est-il:
- principalement centré sur l'égalité des femmes et des hommes? Oui: D Non: El
positif en matière d'égalité des femmes et des hommes?
Oui: D Non: D
Si oui, expliquez de quelle manière:
neutre en matière d'égalité des femmes et des hommes?
si oui, expliquez pourquoi:
négatif en matière d'égalité des femmes et des hommes?
Oui: El Non: LJ
Oui: D Non: E
si oui, expliquez de quelle manière:
16. Y a-t-il un impact financier différent sur
les femmes et les hommes ?
oui: D
N.a.: D
Si oui, expliquez de quelle manière:
Directive « services »
17. Le projet introduit-il une exigence relative à la liberté
d'établissement soumise à évaluation' ?
Oui: D Non: El N.a.: LJ
18. Le projet introduit-il une exigence relative à la libre
prestation de services transfrontaliere ?
Oui:
5
Non: D N.a.: D
Article 15, paragraphe 2, de la directive « services » (cf. Note explicative p. 10-11)
Article 16, paragraphe 1, troisième alinéa et paragraphe 3, première phrase de la directive « services » (cf. Note explicative, p.10-11)
19
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
vl. Texte coordonné
Loi COMMERCE ELECTRONIQUE
(Mém. A — 96 du 8 septembre 2000, p. 2176, doc. parl. 4641, dir. 93/13, 97/7 et 2000/31)
modifiée par:
Loi du décembre 2003 (abrogée);
(Mém. A — 189 du 31 décembre 2003, p. 3989, doc. parl. 4861, dir. 98/27)
Loi du 5 juillet 2004;
(Mém. A — 125 du 16 juillet 2004, p. 1847, doc. parl. 5095)
Loi du 18 décembre 2006 (abrogée);
(Mém. A — 223 du 21 décembre 2006, p. 3801, doc. parl. 5389, dir. 2002/65)
Loi du 21 décembre 2007;
(Mém. A — 236 du 27 décembre 2007, p. 4085, doc. parl. 5800)
Loi du 23 avril 2008 (abrogée);
(Mém. A — 55 du 29 avril 2008, p. 759, doc. parl. 5699)
Loi du 28 mai 2008 (abrogée);
(Mém. A — 74 du 28 mai 2008, p. 1066, doc. parl. 5516)
Loi du 10 novembre 2009;
(Mém. A — 215 du 11 novembre 2009, p. 3697, doc. parl. 6015, dir. 2007/64)
Loi du 8 avril 2011;
(Mém. A — 69 du 12 avril 2011, p. 1119 doc. parl. 5881A, dir. 2008/48 et 2008/122)
Loi du 2 avril 2014;
(Mém. A — 64 du 22 avril 2014, p. 659, doc. parl. 6478, dir. 2011/83)
Projet de loi
(gras)
20
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
TITRE ler - DISPOSITIONS GENERALES.
« (Projet de loi) Art. 1. Définitions.
Au-Se4S-de-4afefésente-leir en-entend-reae
44Sep4iees-de-la-soc-iété-de-Pinfor-nziation4ei-teut-seFviee-pfestér nonealement-eentr-e-rémunérationy
à-distanee-par-voie-éleetronique-et-à-la-demande-individuelle-eue-destinataife-de-servisee,
Aux-fias-de-la-gerésente4éfinitienr en-enteeed-par4
fes-termes-«-à-distanee»;-un-seFvke4eur-ni-sans-q•ue-îes-panies-seient-sinwltanément-pFésentes*
«-par-veie-éleetfonique»;-un-seitiéiee-envoyé-à-gefigi•ne-et-feçu-à-elestination-au-moyen
eéquipepnents-éleetfoniques-4e4Faitement-(y-eompfis-la-c-ompressien-numérique)-et-de-steekage
de-derknées,-et-gui-est-entièfement-transfnis,-asheminé-et-Few--pap-filsr par-radich-paf -mayens
eptiques-eu-ger-eautr-es-moyens-éketregnagnétifieest
' eviduelle-eun-itestifiateife-ete-servkeeffl-un-seeeise-foufni-jear-transnaission4e
441-1a-demande-ifi
dennées-suf-demande-ineviduellet
«prestataire4x-toute-personee-physique-eu-mor-ale-wi-foumit-un-sentife-de-la-soeiété-cie
ginfor-mationi
e pFestataka-établi->v-prIrt-u-'
• .•
• '
-•••-••
ifte-ivit r • nomique au
eneyen-egune-installation-stable-peuf-une-dwée-indéterminée,-la-pfésenee-et-gutilisatien-des
que-telles-UR-établissement du-peestetairei
*destinatair-e-du-serviGe4x4oute-per-senne-physietue-eu-enefale-quir 5-des-fins-prefessiennelles-eu
een,-eikse-un-sepeke-cle-ta-seeiété-de-ginforeletionr notanament-peur--reehereher-oefiffl-rendfe
aseessible-ene-infeemation.
Au sens de la présente loi, on entend par:
1° « authentification » au sens du le règlement (UE) IY°910/2014 du Parlement Européen et du
Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les
transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (ciaprès le « règlement européen eIDAS »);
2° « cachet électronique » au sens du règlement européen eIDAS ;
3° « cachet électronique qualifié » au sens du règlement européen eIDAS ;
4° « certificat d'authentification de site internet » au sens du règlement européen eIDAS ;
5° « certificat de cachet électronique » au sens du règlement européen eIDAS « certificat de
signature électronique » au sens du règlement européen eIDAS ;
6' « certificat qualifié d'authentification de site internet » au sens du règlement européen eIDAS ;
7° « certificat qualifié de cachet électronique » au sens du règlement européen eIDAS ;
8° « certificat qualifié de signature électronique » au sens du règlement européen eIDAS ;
9° « destinataire du service»: toute personne physique ou morale qui, à des fins professionnelles ou
non, utilise un service de la société de l'information, notamment pour rechercher ou pour rendre
accessible une information ;
100 « données de création d'authentification de site internet » : des données uniques qui sont
utilisées par le site internet dans le processus d'authentification du site internet ;
21
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
11° « données de création de cachet électronique » au sens du règlement européen eIDAS ;
12* « données de création de signature électronique » au sens du règlement européen eIDAS ;
13* « identification électronique » au sens du règlement européen eIDAS ;
14° « organisme d'évaluation de la conformité » au sens du règlement européen eIDAS ;
15° « prestataire »: toute personne physique ou morale qui fournit un service de la société de
l'information;
16° « prestataire de services de confiance » au sens du règlement européen eIDAS ;
17° « prestataire de services de confiance qualifié » au sens du règlement européen eIDAS ;
18° « produit » au sens du règlement européen eIDAS :;
19° « service de confiance » au sens du règlement européen eIDAS ;
20° « service de confiance qualifié » au sens du règlement européen eIDAS ;
21° « service d'envoi recommandé électronique » au sens du règlement européen eIDAS ;
22" « service d'envoi recommandé électronique qualifié » au sens du règlement européen eIDAS ;
23° « services de la société de l'information »: tout service presté, normalement contre
rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de
services ;
24° « signature électronique » au sens du règlement européen eIDAS ;
25° « titulaire de certificat »: une personne physique ou morale à laquelle un prestataire de services
de confiance a délivré un certificat d'authentification de site internet, une personne physique à
laquelle un prestataire de services de confiance a délivré un certificat de signature électronique ou
une personne morale à laquelle un prestataire de services de confiance a délivré un certificat de
cachet électronique. »
Art. 2. Champ d'application.
(1) « (Loi du 27 décembre 2007) Les Titres I, IV, V et VI de la présente loi ne s'appliquent pas:
-
à la fiscalité, sans préjudice des dispositions de l'article 16 de la présente loi;
-
aux accords ou pratiques régis par la législation relative aux ententes;
-
aux activités de jeux d'argent impliquant des mises ayant une valeur monétaire dans les jeux
de hasard, y compris les loteries et les transactions sur les paris. »
(2) Les dispositions de la présente loi ne s'appliquent pas à la représentation d'un client et la
défense de ses intérêts devant les tribunaux.
(3) Les dispositions de la présente loi s'appliquent sans préjudice des dispositions relatives à la
protection des données personnelles.
(4) La loi du lieu d'établissement du prestataire de services de la société de l'information s'applique
aux prestataires et aux services qu'ils prestent, sans préjudice de la liberté des parties de choisir le
droit applicable à leur contrat.
22
-4g
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
« (Loi du 5 juillet 2004) (5) La libre circulation des services de la société de l'information en provenance
d'un autre Etat membre ne peut être restreinte. »
« (Loi du 5 juillet 2004) (6) a) Le ministre ayant le commerce électronique dans ses attributions peut,
par dérogation aux dispositions du paragraphe (5), restreindre la libre circulation d'un service donné
de la société de l'information en provenance d'un autre Etat membre lorsque ledit service porte
atteinte, ou représente un risque sérieux et grave d'atteinte à l'ordre public, la sécurité publique, la
santé publique ou la protection des consommateurs, en observant par ailleurs les exigences posées
par le droit communautaire à l'exercice de cette faculté, et notamment le principe de proportionnalité.
b) Sans préjudice d'éventuelles procédures judiciaires, y compris les procédures pénales, les
mesures de restriction ne peuvent être prises que si le ministre ayant le commerce électronique dans
ses attributions a au préalable:
-
demandé à l'Etat membre d'origine de prendre des mesures;
-
notifié à la Commission européenne et à l'Etat membre d'origine son intention de prendre des
mesures appropriées, si l'Etat membre d'origine ne prend pas de mesures ou si les mesures
prises ne sont pas suffisantes.
Il peut être dérogé aux conditions prévues ci-dessus en cas d'urgence. En pareil cas, le ministre
ayant le commerce électronique dans ses attributions notifie, dans les plus brefs délais, à la
Commission européenne et à l'Etat membre d'origine les mesures prises et les raisons pour lesquelles
il estime qu'il y a urgence. »
Art. 3. De l'usage de la cryptographie.
L'usage des techniques de cryptographie est libre.
Art. 4. De l'accès à l'activité de prestataires de services.
« (Loi du 5 juillet 2004) Sans préjudice des dispositions de la loi d'établissement, l'accès à l'activité de
prestataire de services de la société de l'information et l'exercice de cette activité ne font, en tant que
tels, pas l'objet d'une autorisation préalable. »
Art. 5. De l'obligation générale d'information des destinataires.
(1) Le prestataire de services de la société de l'information doit permettre aux destinataires des
services et aux autorités compétentes un accès facile, direct et permanent aux informations suivantes:
a)
son nom;
b)
l'adresse géographique où il est établi;
c)
les coordonnées permettant de le contacter rapidement et de communiquer directement et
effectivement avec lui, y compris son adresse de courrier électronique;
a)
« (Loi du 5 juillet 2004) le cas échéant, son numéro d'immatriculation au registre de commerce,
son numéro d'identification à la TVA et l'autorisation dont il bénéficie pour exercer son activité
ainsi que les coordonnées de l'autorité ayant donné cette autorisation. ».
« (Loi du 5 juillet 2004) En ce qui concerne les professions réglementées, les informations à fournir
comprennent aussi le titre professionnel du prestataire et l'Etat membre dans lequel il a été octroyé,
les références de l'ordre professionnel auquel il adhère ainsi qu'une référence aux règles
professionnelles applicables et aux moyens d'y avoir accès. »
23
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
(2) Lorsque les services de la société de l'information font mention de prix et conditions de vente
ou de réalisation de la prestation, ces derniers doivent être indiqués de manière précise et non
équivoque. Il doit aussi être indiqué si toutes les taxes et frais additionnels sont compris dans le prix.
Ces dispositions s'appliquent sans préjudice de la législation sur la protection des consommateurs.
24
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Ministère de l'Économie
« (Projet de loi) TI-TRE-11-1)E-LA-RRUALE-E-T-DS-L-A-S4GNAT-14RE-C4SG-TRON4Q4e.
TITRE II - DE LA PREUVE, DES SERVICES DE CONFIANCE ET DES PRESTATAIRES
DE SERVICE DE CONFIANCE. »
Chapitre 1.er - De la preuve littérale.
Art. 6. «Signature».
Après l'article 1322 du Code civil, il est ajouté un article 1322-1 ainsi rédigé: «La signature
nécessaire à la perfection d'un acte sous seing privé identifie celui qui l'appose et manifeste son
adhésion au contenu de l'acte.
Elle peut être manuscrite ou électronique.
La signature électronique consiste en un ensemble de données, liées de façon indissociable à l'acte,
qui en garantit l'intégrité et satisfait aux conditions posées à l'alinéa premier du présent article.
La signature électronique consiste en un ensemble de données, liées de façon indissociable à l'acte,
qui en garantit l'intégrité et satisfait aux conditions posées à l'alinéa premier du présent article.
Art. 7. Après l'article 1322 du Code civil, il est ajouté un article 1322-2 ainsi rédigé: «L'acte sous
seing privé électronique vaut comme original lorsqu'il présente des garanties fiables quant au maintien
de son intégrité à compter du moment où il a été créé pour la première fois sous sa forme définitive.»
Art. 8. L'article 292 du Nouveau code de procédure civile est modifié comme suit: les mots «signée
et paraphée» sont remplacés par « …
Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.