Décret RGS du 2 février 2010

Le 2 février 2010, le décret dit « RGS », faisant suite à l’ordonnance du 8 décembre 2005, vient fixer les règles que les administrations de l’Etat, les collectivités territoriales, les établissements publics à caractère administratif, les organismes chargés de la gestion d’un service public administratif doivent respecter lorsqu’ils mettent en place un système d’information.

Ce décret s’attache aussi particulièrement à garantir la sécurité des informations échangées entre les autorités administratives entres elles et avec les usagers, mettant deux points en exergue : la confidentialité et l’intégrité des informations. Il vient de plus fixer des règles relativement aux certificats électroniques.

Concrètement, le décret détaille le cadre juridique destiné à garantir la sécurité des relations électroniques entre administrations et administrations et usagers. Il vient établir des règles en matière de RGS : d’une part il fixe les démarches que les administrations de l’Etat doivent suivre afin d’assurer la protection des systèmes d’information et d’autre part il établit les conditions nécessaires à la qualification des produits de sécurité et des prestataires de services de confiance.

Les obligations des autorités administratives

Dés lors qu’elles mettent en place un système d’information les autorités administratives vont devoir définir les fonctions de sécurité nécessaires ainsi que leur niveau suivant le RGS.Ainsi, elles devront identifier les risques et fixer les objectifs de sécurité.

Après avoir fait cela, elles devront déterminer des fonctions de sécurité et leur niveau conformément aux objectifs de sécurité définis.

Les autorités administratives auront l’obligation d’attester auprès des utilisateurs que le système d’information est protégé conformément aux objectifs de sécurité.

Produits de sécurité- prestataires de services de confiance- certificats électroniques

Pour ce qui est de la mise en œuvre de leurs obligations, les autorités administratives recourent à des produits de sécurité et à des prestataires de services de confiance (structures contribuant à la sécurité des échanges dématérialisés) qui doivent préalablement avoir fait l’objet d’une qualification et qui ainsi doivent être conformes aux fonctions de sécurité prévues par le RGs.

Le décret précise la procédure de qualification des produits de sécurité et des prestataires de services de confiance.

La qualification signifie la conformité des services à un niveau de sécurité défini par le RGS et est reconnue par des organismes habilités pour cette fonction. Le décret représente en certains points une incitation à la qualification. La validation de la qualification est faite par l’ANNSI

Le décret vient également déterminer la procédure de validation des certificats électroniques des autorités administratives et de leurs agents utilisés pour la sécurisation des échanges électroniques avec les usagers.

Délai de mise en conformité

Les systèmes d’information devront être mis en conformité avec le RGS dans un délai de 3 ans à compter de sa publication et cela pour les systèmes d’information déjà existant. Pour les systèmes d’information intervenant dans les six mois suivant la publication du décret, la mise en conformité devra intervenir au plus tard dans un délai d’un an. Un arrêté précisant la mise en œuvre du décret devrait intervenir courant 2010.

Par Sandra Lys, juriste stagiaire AEC

 

Mots clefs
Identité et sécurité - juridique - e-administration