Loi du 17 juillet 2020 portant modification de la loi modifiée du 14 août 2000 relative au commerce électronique.

Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,

Notre Conseil d’État entendu ;

De l’assentiment de la Chambre des députés ;

Vu la décision de la Chambre des députés du 7 juillet 2020 et celle du Conseil d’État du 10 juillet 2020 portant qu’il n’y a pas lieu à second vote ;

Avons ordonné et ordonnons :

Art. 1er.

L’intitulé de la loi modifiée du 14 août 2000 relative au commerce électronique est complété par les termes  « et les services de confiance » .

Art. 2.

L’article 1er de la même loi est remplacé comme suit :
«     

Art. 1er. Définitions

Au sens de la présente loi, on entend par :

a)« authentification » : l’authentification au sens du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
b)« cachet électronique » : le cachet électronique au sens du règlement (UE) n° 910/2014 ;
c)« cachet électronique qualifié » : le cachet électronique qualifié au sens du règlement (UE) n° 910/2014 ;
d)« certificat d’authentification de site internet » : le certificat d’authentification de site internet au sens du règlement (UE) n° 910/2014 ;
e)« certificat de cachet électronique » : le certificat de cachet électronique au sens du règlement (UE) n° 910/2014 ;
f)« certificat de signature électronique » : le certificat de signature électronique au sens du règlement (UE) n° 910/2014 ;
g)« certificat qualifié d’authentification de site internet » : le certificat qualifié d’authentification de site internet au sens du règlement (UE) n° 910/2014 ;
h)« certificat qualifié de cachet électronique » : le certificat qualifié de cachet électronique au sens du règlement (UE) n° 910/2014 ;
i)« certificat qualifié de signature électronique » : le certificat qualifié de signature électronique au sens du règlement (UE) n° 910/2014 ;
j)« destinataire du service » : toute personne physique ou morale qui, à des fins professionnelles ou non, utilise un service de la société de l’information ;
k)« données de création d’authentification de site internet » : des données uniques qui sont utilisées par le site internet dans le processus d’authentification du site internet ;
l)« données de création de cachet électronique » : les données de création de cachet électronique au sens du règlement (UE) n° 910/2014 ;
m)« données de création de signature électronique » : les données de création de signature électronique au sens du règlement (UE) n° 910/2014 ;
n)« identification électronique » : l’identification électronique au sens du règlement (UE) n° 910/2014 ;
o)« organisme d’évaluation de la conformité » : l’organisme d’évaluation de la conformité au sens du règlement (UE) n° 910/2014 ;
p)« prestataire » : toute personne physique ou morale qui fournit un service de la société de l’information ;
q)« prestataire de services de confiance » : le prestataire de services de confiance au sens du règlement (UE) n° 910/2014 ;
r)« prestataire de services de confiance qualifié » : le prestataire de services de confiance qualifié au sens du règlement (UE) n° 910/2014 ;
s)« produit » : le produit au sens du règlement (UE) n° 910/2014 ;
t)« service de confiance » : le service de confiance au sens du règlement (UE) n° 910/2014 ;
u)« service de confiance qualifié » : le service de confiance qualifié au sens du règlement (UE) n° 910/2014 ;
v)« service d’envoi recommandé électronique » : le service d’envoi recommandé électronique au sens du règlement (UE) n° 910/2014 ;
w)« service d’envoi recommandé électronique qualifié » : le service d’envoi recommandé électronique qualifié au sens du règlement (UE) n° 910/2014 ;
x)« services de la société de l’information » : tout service presté, normalement contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire de services ;
y)« signature électronique » : la signature électronique au sens du règlement (UE) n° 910/2014 ;
z)« titulaire de certificat » : une personne physique ou morale à laquelle un prestataire de services de confiance a délivré un certificat d’authentification de site internet, une personne physique à laquelle un prestataire de services de confiance a délivré un certificat de signature électronique ou une personne morale à laquelle un prestataire de services de confiance a délivré un certificat de cachet électronique.
     »

Art. 3.

L’intitulé du titre II de la même loi prend la teneur suivante :

« Titre II.

De la preuve, des services de confiance et des prestataires de services de confiance ».

Art. 4.

À l’article 16 de la même loi, les termes,  « certifié conforme à l’original » , sont supprimés.

Art. 5.

L’intitulé du titre II, chapitre 2, de la même loi, prend la teneur suivante :

« Chapitre 2.

Des services de confiance et des prestataires de services de confiance ».

Art. 6.

L’intitulé du titre II, chapitre 2, section 1re, de la même loi, prend la teneur suivante :

« Section 1re.

Dispositions communes ».

Art. 7.

Art. 8.

Art. 9.

L’article 19 de la même loi est modifié comme suit :

Au paragraphe 1er, le terme  « certification »  est remplacé à deux reprises par le terme  « confiance » .
Au paragraphe 3, les termes  « l’Autorité Nationale d’Accréditation et de Surveillance »  sont remplacés par ceux de  « l’Institut luxembourgeois de la normalisation, de l’accréditation, de la sécurité et qualité des produits et services, ci-après « ILNAS » » .
Le paragraphe 4 prend la teneur suivante :

« (4)

Toute personne chargée ou ayant été chargée de procéder à des audits par l’ILNAS auprès d’un prestataire de services de confiance est tenue au secret professionnel et passible des peines prévues à l’article 45bis, paragraphe 3 en cas de violation de ce secret.».

Art. 10.

L’article 20 de la même loi est modifié comme suit :

L’intitulé prend la teneur suivante :  « Art. 20. De la protection des données à caractère personnel » .
Au paragraphe 1er, les termes  « L’Autorité Nationale d’Accréditation et de Surveillance et »  sont supprimés et les termes  « les prestataires »  sont remplacés par ceux de  « Les prestataires » .
Aux paragraphes 1er et 2, le terme  « certification »  est remplacé par le terme  « confiance » .
Le paragraphe 3 prend la teneur suivante :
«     

(3)

Lorsqu’un pseudonyme est utilisé, l’identité véritable du titulaire d’un certificat de signature électronique ne peut être révélée par le prestataire de services de confiance qu’avec le consentement du titulaire du certificat ou dans les cas prévus à l’article 19, paragraphe 2.

     »

Art. 11.

Avant l’article 21 de la même loi est insérée une nouvelle section 2 libellée comme suit :
«     

Section 2.

Des obligations des prestataires de services de confiance et de certains titulaires de certificats
     »

Art. 12.

L’article 21 de la même loi est modifié comme suit :

Le paragraphe 1er est abrogé.
L’ancien paragraphe 2 prend la teneur suivante :

« (1)

Le titulaire du certificat de signature électronique, de cachet électronique ou d’authentification de site internet est tenu, dans les meilleurs délais, de notifier au prestataire de services de confiance toute modification des informations contenues dans celui-ci. ».

L’ancien paragraphe 3 prend la teneur suivante :

« (2)

En cas de doute quant au maintien de la confidentialité des données de création de signature électronique, de cachet électronique ou d’authentification de site internet ou de perte de la conformité à la réalité des informations contenues dans le certificat de signature électronique, de cachet électronique ou d’authentification de site internet, le titulaire de certificat est tenu de faire révoquer immédiatement le certificat de signature électronique, de cachet électronique ou d’authentification de site internet conformément à l’article 26. ».

L’ancien paragraphe 4 prend la teneur suivante :

« (3)

Lorsqu’un certificat de signature électronique, de cachet électronique ou d’authentification de site internet est arrivé à échéance ou a été révoqué, le titulaire du certificat ne peut plus utiliser les données de création de signature électronique, de cachet électronique ou d’authentification de site internet ou faire certifier ces données par un autre prestataire de services de confiance. ».

Art. 13.

Art. 14.

À la suite de l’article 21 de la même loi est inséré un article 21bis libellé comme suit :
«     

Art. 21bis. Des obligations du titulaire de certificat qualifié de cachet électronique

Un titulaire de certificat qualifié de cachet électronique établi au Luxembourg met en œuvre les mesures nécessaires afin de pouvoir établir l’identité, la qualité et les pouvoirs de chaque personne physique qui représente la personne morale, lors de chaque usage manuel ou usage non automatisé de création de cachet électronique.

     »

Art. 15.

L’article 22 de la même loi prend la teneur suivante :
«     

Art. 22. De l’obligation d’information

(1)

Le prestataire de services de confiance prévient le titulaire de l’échéance du certificat au moins un mois en avance.

(2)

Le prestataire de services de confiance qualifié est tenu d’informer les utilisateurs du changement de statut dans la liste de confiance de ses services de confiance qualifiés dans un délai de sept jours à compter de la date effective du changement de statut.

     »

Art. 16.

À la suite de l’article 22 de la même loi est inséré un article 22bis libellé comme suit :
«     

Art. 22bis. De la révocation des certificats

(1)

À la demande de son titulaire, préalablement identifié, le prestataire de services de confiance révoque immédiatement le certificat qualifié.

(2)

Lorsque le certificat a dû être révoqué pour un autre motif que celui prévu au paragraphe 1er, le prestataire de services de confiance informe le titulaire de la révocation du certificat dans les meilleurs délais et motive sa décision.

     »

Art. 17.

À la suite du nouvel article 22bis de la même loi est inséré un article 22ter libellé comme suit :
«     

Art. 22ter. De l’obligation de collaboration avec l’ILNAS

Lors de l’accomplissement de la mission de contrôle par l’ILNAS, tout prestataire de services de confiance est tenu de collaborer activement et promptement, sous peine d’encourir les sanctions administratives prévues à l’article 34bis.

     »

Art. 18.

Art. 19.

L’article 26 de la même loi est modifié comme suit :

Au paragraphe 1er, le terme  « certification »  est remplacé par le terme  « confiance »  et les termes  « certificat qualifié »  sont remplacés par le terme  « certificat » .
Le paragraphe 2 prend la teneur suivante :

« (2)

Le prestataire de services de confiance ou le prestataire de services de confiance qualifié, révoque un certificat ou un certificat qualifié immédiatement lorsque :

a)il découvre ou est informé que le certificat a été constitué sur la base d’informations erronées ou falsifiées, que les informations contenues dans le certificat ne sont plus conformes à la réalité ou que la sécurité des données de création de signature électronique, de cachet électronique ou d’authentification de site internet a été compromise ou risque d’être compromise ou que le certificat a été utilisé frauduleusement ;
b)le prestataire de services de confiance est informé du décès de la personne physique ou de la dissolution de la personne morale qui en est le titulaire ;
c)la révocation d’un certificat a été ordonnée par une juridiction ;
d)l’ILNAS retire le statut qualifié au prestataire de services de confiance qualifié ou au service de confiance qualifié sous lequel le certificat a été émis, sauf dérogation de l’ILNAS ;
e)l’ILNAS demande la révocation du certificat qualifié pour non-respect des exigences de la présente loi ou du règlement (UE) n° 910/2014 ».
Au paragraphe 3, le terme  « certification »  est remplacé par le terme  « confiance » , et la dernière phrase du paragraphe 3 est supprimée.
Les paragraphes 4 et 5 sont abrogés.

Art. 20.

Avant l’article 29 de la même loi est insérée une nouvelle section 3 libellée comme suit :
«     

Section 3.

La surveillance des prestataires de services de confiance
     »

Art. 21.

L’article 29 de la même loi prend la teneur suivante :
«     

Art. 29. Rôle de l’ILNAS

(1)

Aux fins de l’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, ci-après « règlement (UE) n° 910/2014 », et de la présente loi, l’ILNAS est investi des pouvoirs de surveillance et d’enquête nécessaires à l’exercice de ses fonctions dans les limites définies par ledit règlement et par la présente loi.

(2)

L’ILNAS peut, dès lors que c’est dans l’intérêt public, publier soit au Journal officiel du Grand-Duché de Luxembourg, soit dans un ou plusieurs journaux luxembourgeois ou étrangers, un changement de statut dans la liste de confiance nationale.

(3)

Si, sur le rapport de ses agents ou de l’organisme d’évaluation de la conformité, l’ILNAS constate que les activités du prestataire de services de confiance ne sont pas conformes à la législation européenne applicable ou à la présente loi ou aux règlements pris en son exécution, il invite le prestataire à se conformer, dans le délai qu’il détermine, auxdites dispositions. Si, passé ce délai, le prestataire ne s’est pas conformé, l’ILNAS peut procéder à la mise à jour du statut du prestataire ou des services concernés sur la liste de confiance nationale.

(4)

En cas de constatation d’une violation grave par un prestataire de services de confiance des exigences fixées dans le règlement (UE) n° 910/2014 ou la présente loi ou les règlements pris en son exécution, l’ILNAS peut en informer à telles fins que de droit les autorités administratives compétentes en matière de droit d’établissement. Les rapports établis à l’attention de l’ILNAS peuvent être communiqués à ces autorités, dans la mesure où le prestataire de services de confiance en a reçu communication par l’ILNAS.

(5)

L’ILNAS peut, soit d’office, soit à la demande de toute personne intéressée, vérifier ou faire vérifier la conformité des activités d’un prestataire de services de confiance qualifié à la législation européenne applicable, à la présente loi ou aux règlements pris en son exécution.

     »

Art. 22.

À la suite de l’article 29 de la même loi est inséré un article 29bis libellé comme suit :
«     

Art. 29bis. Vérification des identités dans le cadre de la délivrance de certificats qualifiés

(1)

L’ILNAS publie sur son site Internet, quelles autres méthodes d’identification au sens de l’article 24, paragraphe 1er, lettre d) du règlement (UE) n° 910/2014 sont reconnues au Luxembourg sous condition que la garantie équivalente en termes de fiabilité à la présence en personne soit confirmée par un organisme d’évaluation de la conformité, ainsi que les exigences minimales à respecter.

(2)

L’ILNAS surveille les méthodes d’identification visées au paragraphe 1er et leur utilisation par les prestataires de services de confiance qualifiés.

Si, dans le cadre de ses activités de surveillance, l’ILNAS constate des insuffisances ou des risques en termes de sécurité, l’ILNAS peut mettre à jour la liste des méthodes d’identification visées au paragraphe 1er ou les exigences minimales visées au paragraphe 1er.

     »

Art. 23.

L’intitulé du titre II, chapitre 2, sous-section 3, libellé « Des prestataires de service de certification accrédités » de la même loi devient le titre II, chapitre 2, section 4, libellé comme suit :
«     

Section 4.

De l’arrêt et du transfert des activités des prestataires de services de confiance qualifiés
     »

Art. 24.

Art. 25.

L’article 32 de la même loi prend la teneur suivante :
«     

Art. 32. De l’arrêt et du transfert des activités

(1)

Le prestataire de services de confiance qualifié informe au moins trois mois à l’avance, sauf motif valable, l’ILNAS de son intention de mettre fin à ses activités ou une partie de ses activités ou, le cas échéant, de son incapacité de poursuivre ses activités.

Il s’assure de la reprise des activités par un autre prestataire de services de confiance qualifié, dans les conditions décrites au paragraphe 2, ou, à défaut, prend les mesures requises au paragraphe 3.

(2)

Le prestataire de services de confiance qualifié peut transférer à un autre prestataire de services de confiance qualifié tout ou partie de ses activités. Lors du transfert des certificats qualifiés, le prestataire de services de confiance qualifié se conforme aux exigences suivantes :

a)Le prestataire de services de confiance qualifié avertit chaque titulaire de certificat qualifié au moins un mois à l’avance qu’il envisage de transférer les certificats qualifiés à un autre prestataire de services de confiance qualifié ;
b)Le prestataire de services de confiance qualifié précise l’identité du prestataire de services de confiance qualifié auquel il est envisagé de transférer les certificats qualifiés ;
c)Le prestataire de services de confiance qualifié informe le titulaire de certificat qualifié du droit qu’il dispose de refuser le transfert envisagé et lui indique les délais et modalités selon lesquels il peut exprimer un tel refus. En cas de refus du titulaire de certificat qualifié dans le délai prévu, le prestataire de services de confiance qualifié révoque le certificat qualifié du titulaire de certificat qualifié ;
d)Le prestataire de services de confiance qualifié transmet toutes les informations visées à l’article 24, paragraphe 2, lettre h), du règlement (UE) n° 910/2014 au prestataire de services de confiance qualifié auquel il est envisagé de transférer les certificats qualifiés ;
e)Le prestataire de services de confiance qualifié transmet au prestataire de services de confiance qualifié, qui reprend tout ou partie de son activité, tous ses propres certificats en relation avec les données indiquées aux articles 33, paragraphe 1er, lettre b), et 42, paragraphe 1er, lettre c), du règlement (UE) n° 910/2014 ainsi qu’aux annexes I, lettre g), III, lettre g), et IV, lettre h), du même règlement.

(3)

Le prestataire de services de confiance qualifié qui cesse ses activités sans qu’elles ne soient reprises par un autre prestataire de services de confiance qualifié révoque, dans un délai d’un mois après en avoir informé les titulaires, tous les certificats qualifiés ainsi que tous les certificats non qualifiés et informe les titulaires des mesures prises pour satisfaire à l’exigence fixée à l’article 24, paragraphe 2, lettre h), du règlement (UE) n° 910/2014.

(4)

Le décès, l’incapacité, la faillite, la dissolution volontaire et la liquidation, ou tout autre motif involontaire d’arrêt des activités sont assimilés à une cessation d’activité au sens de la présente loi.

     »

Art. 26.

Art. 27.

Art. 28.

L’article 34 de la même loi prend la teneur suivante :
«     

Art. 34. Du service d’envoi recommandé électronique

Le service d’envoi recommandé électronique qualifié au sens du règlement (UE) n° 910/2014 est équivalent à celui d’un service d’envoi recommandé sur support papier. Sous réserve de l’application d’exigences légales ou réglementaires particulières, nul ne peut contraindre ou être contraint à recourir à un service d’envoi recommandé électronique qualifié.

     »

Art. 29.

À la suite de l’article 34 de la même loi est insérée une nouvelle section 6 libellée comme suit :
«     

Section 6.

Dispositions administratives

Art. 34bis. Sanctions administratives

(1)

L’ILNAS peut infliger une amende de 250 euros à 15.000 euros à tout prestataire de services de confiance qui :

a)refuse de fournir les documents et informations ou autres renseignements demandés par l’ILNAS dans le cadre du contrôle des prestataires de services de confiance ;
b)fait obstacle à l’exercice par l’ILNAS de son pouvoir de contrôle ;
c)enfreint les dispositions concernant l’utilisation du label de confiance de l’Union européenne de l’article 23 du règlement (UE) n° 910/2014 et du règlement d’exécution (UE) 2015/806 de la Commission du 22 mai 2015 établissant les spécifications relatives à la forme du label de confiance de l’Union pour les services de confiance qualifiés ;
d)ne respecte pas les méthodes d’identification et les exigences minimales définies en vertu de l’article 29bis, paragraphe 1er ;
e)ne transmet pas à l’ILNAS le rapport d’évaluation de la conformité prévu à l’article 20, paragraphe 1er, du règlement (UE) n° 910/2014.

(2)

L’ILNAS peut infliger une amende de 250 euros à 15.000 euros aux personnes physiques ou morales en cas d’utilisation dans leur dénomination sociale, leur nom commercial ou toute communication commerciale, la dénomination de prestataire de services de confiance qualifié ou de services de confiance qualifiés sans être inscrites sur une liste de confiance nationale conformément à l’article 22 du règlement (UE) n° 910/2014.

(3)

Les amendes sont payables dans les trente jours de la notification de la décision écrite, nonobstant l’exercice d’une voie de recours.

(4)

Toute décision prise par l’ILNAS en vertu du présent article est susceptible d’un recours en réformation devant le tribunal administratif.

     »

Art. 30.

À la suite de l’article 45 de la même loi est inséré un nouvel article 45bis qui prend la teneur suivante :
«     

Art.45bis. Sanctions pénales

(1)

Sont punis d’une amende de 251 euros jusqu’à 25.000 euros ceux qui offrent des services de confiance sans être inscrits sur une des listes de confiance visées à l’article 22, paragraphe 1er, du règlement (UE) n° 910/2014.

(2)

Est puni d’une amende de 251 euros à 25.000 euros, d’une peine d’emprisonnement de huit jours à six mois ou d’une de ces peines seulement :

a)tout prestataire de services de confiance qualifié qui ne s’est pas conformé à l’obligation d’information préalable telle que prévue par l’article 32, paragraphe 1er ;
b)tout prestataire de services de confiance qualifié qui ne s’est pas conformé aux exigences concernant le transfert des certificats qualifiés telles que prévues par l’article 32, paragraphe 2 ;
c)tout prestataire de services de confiance qualifié qui ne s’est pas conformé aux obligations de se soumettre aux audits prévus à l’article 20, paragraphes 1er et 2, du règlement (UE) n° 910/2014 ;
d)tout prestataire de services de confiance qualifié qui ne s’est pas conformé aux exigences d’identification applicables pour l’émission d’un certificat qualifié conformément à l’article 24, paragraphe 1er, du règlement (UE) n° 910/2014 ;
e)tout prestataire de services de confiance qualifié fournissant des services de confiance qualifiés qui ne s’est pas conformé aux exigences de l’article 24, paragraphe 2, du règlement (UE) n° 910/2014.

(3)

Est puni d’une amende de 251 euros à 500.000 euros et d’une peine d’emprisonnement de huit jours à cinq ans ou d’une de ces peines seulement :

a)toute personne qui ne s’est pas conformée au secret professionnel prévu par l’article 19, paragraphe 4 ;
b)toute personne qui ne s’est pas conformée aux exigences de notification d’incidents de sécurité conformément à l’article 19, paragraphe 2, du règlement (UE) n° 910/2014 ;
c)tout prestataire de services de confiance qualifié qui ne s’est pas conformé aux exigences de révocation d’un certificat qualifié conformément à l’article 24, paragraphe 3, du règlement (UE) n° 910/2014 ;
d)toute personne qui délivre des certificats qualifiés sans fournir des informations sur la validité ou le statut de révocation des certificats qualifiés conformément à l’article 24, paragraphe 4, du règlement (UE) n° 910/2014.
     »

Mandons et ordonnons que la présente loi soit insérée au Journal officiel du Grand-Duché de Luxembourg pour être exécutée et observée par tous ceux que la chose concerne.

Le Ministre de l’Économie,

Franz Fayot

Cabasson, le 17 juillet 2020.

Henri

Doc. parl. 7427 ; sess. ord. 2018-2019 et 2019-2020.