(VERSION 2.9 POUR AVIS)

Page 1 / 38 POLITIQUE DE CERTIFICATION "BANQUE POPULAIRE CLICK AND TRUST PAIEMENTS SECURISES" = MERCANTEO (VERSION 2.9 POUR AVIS)

Page 2 / 38 SOMMAIRE INTRODUCTION... 5 PRESENTATION DU SERVICE... 5 PARTIE I. PRÉSENTATION GÉNÉRALE DE LA PC... 7 1. IDENTIFICATION DE LA PC - OID... 7 2. LISTE DES ACRONYMES UTILISES... 7 3. DEFINITIONS DES TERMES UTILISES DANS LA PC... 7 4. TYPE D'APPLICATIONS CONCERNEES PAR LA PC... 7 4.1. Liste des applications autorisées... 7 4.2. Liste des applications interdites... 8 5. MODIFICATION DE LA PC... 8 6. COORDONNEES DES ENTITES RESPONSABLES DE LA PRESENTE PC... 10 6.1. Organisme responsable... 10 6.2. Personne physique responsable... 10 6.3. Personne déterminant la conformité de la DPC à la PC... 10 PARTIE II. DISPOSITIONS DE PORTEE GENERALE... 11 1. OBLIGATIONS... 11 1.1. Obligations communes à toutes les composantes de l'ac et de l'ae... 11 1.2. Obligations de l'ac... 11 1.3. Obligations de l'ae... 12 1.4. Obligations de l'oc... 12 1.5. Obligations du porteur... 12 1.6. Obligations des utilisateurs de certificats... 12 2. RESPONSABILITES... 12 2.1. Responsabilité de l'ac... 12 2.2. Responsabilité de l'ae... 13 2.3. Responsabilité de l'oc... 13 3. RESPECT ET INTERPRETATION DES DISPOSITIONS JURIDIQUES... 13 3.1. Droit applicable... 13 3.2. Règlement des différends... 13 3.3. Dispositions pénales... 13 3.4. Permanence de la PC... 14 4. TARIFS... 14 4.1. Émission ou renouvellement de certificats... 14 4.2. Validité de certificats... 14 4.3. Politique de remboursement... 14 5. PUBLICATION ET DEPOT DE DOCUMENTS... 15 5.1. Informations publiées... 15 5.2. Fréquence de diffusion... 15

Page 3 / 38 5.3. Contrôle d'accès... 15 5.4. Dépôt des documents... 15 6. CONTROLE DE CONFORMITE A LA PC... 16 6.1. Fréquence du contrôle de conformité... 16 6.2. Indépendance et qualifications du contrôleur... 16 6.3. Périmètre du contrôle de conformité... 16 6.4. Communication des résultats... 16 6.5. Actions entreprises en cas de non-conformité... 16 7. POLITIQUE DE CONFIDENTIALITE DE L'AC... 17 7.1. Types d'informations considérées comme confidentielles... 17 7.2. Divulgation des causes de révocation de certificat... 17 7.3. Divulgation des informations sur demande de leur propriétaire... 17 8. DROITS DE PROPRIETE INTELLECTUELLE... 17 PARTIE III. ATTRIBUTION DE CERTIFICAT... 18 1. GESTION DE LA DEMANDE D'ATTRIBUTION DE CERTIFICAT AU SEIN DE L'ENTREPRISE... 18 1.1. Mise en place du service - Première demande de certificat... 19 1.2. Demande de certificat pour les utilisateurs de l entreprise... 20 2. IDENTIFICATION DU PORTEUR... 20 2.1. Conventions de noms... 20 2.2. Nécessité d'utilisation de noms explicites... 20 2.3. Règles d'interprétation des différentes formes de noms... 21 2.4. Unicité des noms... 21 2.5. Procédure de résolution de litige sur déclaration de nom... 21 2.6. Authentification de l'identité de l'entreprise ou d'une personne physique... 21 2.7. Reconnaissance, authentification et rôle des noms de marques... 21 3. PERSONNALISATION DES CARTES... 21 4. OPERATIONS DU MAINTENEUR... 21 5. REFUS D UNE DEMANDE DE CERTIFICAT... 22 PARTIE IV. GESTION DES CERTIFICATS EN COURS DE VIE... 23 1. ÉVENEMENTS SURVENANT EN COURS DE VIE DES CERTIFICATS... 23 2. REVOCATION D UN CERTIFICAT... 23 2.1. Origine de la demande de révocation d un certificat... 24 2.2. Motifs de révocation d'un certificat utilisateur :... 24 2.3. Révocation d'un certificat d'ac... 24 2.4. Personnes habilitées à révoquer un certificat... 24 2.5. Liste des Certificats Révoqués... 25 3. RENOUVELLEMENT DES CERTIFICATS... 25 3.1. Renouvellement des certificats utilisateurs... 25 3.2 Renouvellement du certificat de l AC... 25 4. FIN D'ABONNEMENT... 25 5. FIN DE VALIDITE D UN CERTIFICAT... 26 PARTIE V. PRINCIPES TECHNIQUES LIES AUX SERVICES DE CERTIFICATION... 27 1. CONSERVATION DES DONNEES ET JOURNALISATION... 27

Page 4 / 38 1.1. Procédures de conservation des données... 27 1.2. Continuité de service... 27 2. ARCHIVAGE... 28 3. MODIFICATIONS DE L'ACTIVITE DE L AC... 28 3.1. Désastre affectant l'ac... 28 3.2. Changements de composantes de l'ac ou de l'ae... 28 3.3. Cessation d'activité... 29 3.4. Transfert des Archives... 29 PARTIE VI. REGLES TECHNIQUES DE SECURITE... 30 1. GENERATION DES BI-CLES DU PORTEUR ET INSTALLATION... 30 2. TAILLE DES CLES... 30 3. SUPPORT DE LA CLE PRIVEE DU PORTEUR... 30 4. PROTECTION DE LA CLE PRIVEE DU PORTEUR... 30 5. DUREE DE VALIDITE DES CERTIFICATS UTILISATEURS... 30 6. SECURITE DE L INFRASTRUCTURE A CLE PUBLIQUE... 30 PARTIE VII. CARACTERISTIQUES DES CERTIFICATS ET LCR... 31 1. CARACTERISTIQUES DES CERTIFICATS... 31 1.1 Les champs obligatoires et personnalisables... 31 1.2 Les champs facultatifs... 31 2. CARACTERISTIQUES DE LA LCR... 31 3. IDENTIFIANT D ALGORITHME... 31 ANNEXE 1 : LISTE DES ACRONYMES UTILISES... 32 ANNEXE 2 : DEFINITIONS DES TERMES UTILISES DANS LA PC... 33 ANNEXE 3 : PROFIL DES CERFIFICATS... 36 ANNEXE 4 : FORMAT DES LCR... 38

Page 5 / 38 INTRODUCTION CLICK AND TRUST a mis en place une offre de certification pour la sécurisation des transactions sur Internet. Dans ce contexte, CLICK AND TRUST a pour but d'authentifier les participants et de garantir la non-répudiation des transactions. Les certificats "BANQUE POPULAIRE CLICK AND TRUST PAIEMENTS SECURISES" sont dédiés aux entreprises et sont attribués aux utilisateurs afin de les authentifier sur Internet, et de leur permettre de signer des documents. Ce service s'adresse uniquement aux utilisateurs personnes physiques et ne prend pas en charge les problématiques d'identification des serveurs. PRESENTATION DU SERVICE Les échanges d'information entre entreprises requièrent des exigences de confiance propres aux systèmes de communication ouverts : authentification des interlocuteurs, contrôle d'intégrité des informations échangées, non-répudiation des documents conservés, confidentialité des échanges. Toutes ces fonctions de confiance peuvent être assurées par des outils cryptographiques reposant sur des processus de signature et de chiffrement standard. Ces mécanismes peuvent reposer sur des Infrastructures à Clés Publiques (ci-après appelées ICP, ou PKI pour Public Key Infrastructure) utilisant des certificats numériques comme cartes d'identité numériques. Ces ICP font un large appel à des Autorités de Certification qui émettent et distribuent des certificats selon des règles reprises dans le présent document. Ce document constitue la Politique de Certification de l'autorité de Certification "BANQUE POPULAIRE CLICK AND TRUST PAIEMENTS SECURISES" commercialisée sous le nom MERCANTEO, c'est à dire l'ensemble des engagements de celle-ci concernant la délivrance de certificats numériques. Ces engagements couvrent notamment le respect des normes et standards du marché, et les conditions d'émissions de certificats en terme de fiabilité et de sécurité. L'ambition de cette AC MERCANTEO est d'émettre des certificats pour les transactions sécurisées sur Internet de manière générale, et plus particulièrement, de satisfaire aux exigences du MINEFI afin que les certificats émis soient éligibles aux télé-procédures. Les principales caractéristiques de cette autorité sont les suivantes : Face à face OUI Support matériel OUI Référence et télé-procédures OUI Niveau de confiance ÉLEVÉ L'infrastructure à Clés Publiques repose sur les acteurs suivants :

Page 6 / 38 L'Autorité de Certification (AC), dont la fonction est de définir la Politique de Certification (PC) et de la faire appliquer, garantissant ainsi un certain niveau de confiance aux utilisateurs. L'Opérateur de Certification (OC), dont la fonction est d'assurer la fourniture et la gestion du cycle de vie des certificats. Son rôle consiste à mettre en œuvre une plateforme opérationnelle, fonctionnelle, sécurisée, dans le respect des exigences énoncées dans la Politique de Certification (PC) et dont les modalités sont détaillées dans la Déclaration des Pratiques de Certification (DPC). L'Autorité d'enregistrement (AE), dont la fonction est de vérifier que le demandeur est bien la personne qu'il prétend être, conformément aux règles définies par l'autorité de Certification. Elle garantit la validité des informations contenues dans le certificat. Le porteur de certificat est la personne physique détentrice d'un certificat. L utilisateur de certificat, dont la fonction est d'authentifier un porteur de certificat, de vérifier une signature numérique et/ou de chiffrer des messages à l'intention d'un porteur de certificat. Dans le cadre présent, les différents acteurs sont les suivants : CLICK & TRUST est la société portant l'autorité de Certification MERCANTEO. La fonction d autorité d enregistrement est assurée par CLICK AND TRUST et peut éventuellement être déléguée à d autres sociétés mandatées par CLICK AND TRUST. Le porteur est titulaire d un certificat MERCANTEO. L Autorité de Certification "BANQUE POPULAIRE AUTORITE DE CERTIFICATION" est l autorité racine dans la hiérarchie des Autorités de Certification du Groupe Banque Populaire. Son empreinte est "FDD8 F159 4B5E EE8D 3EF2 6C53 72E0 9047 16A5 A0AB". Autorité racine : BANQUE POPULAIRE AUTORITE DE CERTIFICATION BANQUE POPULAIRE CLICK AND TRUST PAIEMENTS SECURISES MERCANTEO BANQUE POPULAIRE CLICK AND TRUST TVA ADMINEO L Autorité de Certification "BANQUE POPULAIRE CLICK AND TRUST PAIEMENTS SECURISES" OU MERCANTEO est une autorité fille de l Autorité racine "BANQUE POPULAIRE AUTORITE DE CERTIFICATION". L'Autorité de Certification MERCANTEO délivre un type unique de certificat. Le certificat MERCANTEO désigne le certificat délivré par l'autorité de Certification "BANQUE POPULAIRE CLICK AND TRUST PAIEMENTS SECURISES" (MERCANTEO) à un collaborateur d'entreprise (salarié, mandataire social, contractuel, etc.).

Page 7 / 38 PARTIE I. PRÉSENTATION GÉNÉRALE DE LA PC Une Politique de Certification (PC) est identifié par un nom unique (OID*). Elle est composée d'un ensemble de règles décrivant les conditions de recevabilité d'un certificat pour des applications ayant des besoins de sécurité communs. Une PC est définie indépendamment des modalités de mise en œuvre de l'infrastructure à Clés Publiques (ICP) à laquelle elle s'applique. Elle décrit les exigences auxquelles l'icp doit se conformer pour l'enregistrement et la validation des demandes de certificats, et pour la gestion des certificats. Les procédures de certification sont rassemblées dans un document appelé Déclaration des Pratiques de Certification (DPC), distinct de la PC, qui décrit comment ces exigences sont atteintes en pratique. Cette PC est donc associée à la DPC relative à l'ac MERCANTEO. La DPC n'est pas diffusée de la même manière que la PC, et sa consultation doit faire l'objet de demande argumentée auprès de l'ac. Cette PC vise la conformité au document "Procédures et Politiques de Certification de Clés (PC²)" émis par la Commission Interministérielle pour la Sécurité des Systèmes d'information (CISSI), à la PC-type V3.1 du MINEFI ainsi qu'au document RFC 2527 de l'ietf. 1. Identification de la PC - OID La présente PC est identifiée par l'oid 1.2.250.1.98.1.1.3.1.4. La Déclaration des Pratiques de Certification correspondante est référencée par l'oid 1.2.250.1.98.1.1.3.2.4. Les PC et DPC correspondantes aux OID ci-dessus sont ci-après désignées sous le nom de "PC" et de "DPC". 2. Liste des acronymes utilisés Cette liste des acronymes est consultable en annexe 1. 3. Définitions des termes utilisés dans la PC Les définitions des termes utilisés dans la PC sont consultables en annexe 2. 4. Type d'applications concernées par la PC 4.1. Liste des applications autorisées L'Autorité de Certification MERCANTEO distribue des certificats numériques dans le but de : Fournir des outils adaptés aux télé-procédures administratives et au référencement en particulier par le MINEFI ;

Page 8 / 38 Fournir des outils adaptés pour la télétransmission EDI via TransBRED.net et TransBRED.com ; Fournir des outils adaptés pour la télétransmission EBICS ; Permettre à tous les utilisateurs de certificats qui ont établi un contrat avec CLICK AND TRUST de proposer des transactions sécurisées ; Fournir des outils adaptés pour signer des courriers électroniques. 4.2. Liste des applications interdites CLICK AND TRUST décline toute responsabilité dans l'usage que ferait un porteur de son certificat MERCANTEO dans le cadre d'une application non mentionnée dans le paragraphe précédent. En particulier, CLICK AND TRUST n'acceptera aucune plainte d'aucune sorte d'usagers ou d'utilisateurs, liées à des litiges sans rapport avec les applications mentionnées dans le présent paragraphe. Tout usage du certificat MERCANTEO non-autorisé dans le paragraphe précédent est interdit. 5. Modification de la PC Cette PC sera revue périodiquement pour : Assurer sa conformité aux normes de sécurité attendues par le MINEFI; Mettre à jour la liste des applications concernées par la PC. La périodicité de révision de cette PC est fixée à deux (2) ans à minima. En cas de projet de modification des spécifications, les cas suivants sont envisageables par l'ac MERCANTEO : S il s'agit de changements typographiques, cela ne donne pas lieu à notification et à modification de l'oid de la PC/DPC ou de l'url ; S il s'agit de changements quant au niveau de qualité et de sécurité des fonctions de l'ac et de l'ae vis-à-vis des certificats référencés, mais sans pour autant perdre la conformité d'un certificat avec la PC qu'il supporte, cela donne lieu à une période de notification (notamment du MINEFI) d'un mois avant le début des changements sans que soit modifiée l'oid de la PC/DPC ou de l'url ; S il s'agit de changements entraînant la perte de la conformité d'un certificat avec la PC qu'il supporte, cela implique la modification de l'oid de la PC/DPC ainsi que de l'url de téléchargement. Les spécifications modifiées sont publiées sur le site Internet de l'ac réalisé dans le présent document et la notification est effectuée un mois avant de devenir effective. Par ailleurs, l'ac avertit les utilisateurs de certificats, ayant établi des relations contractuelles avec elle, des modifications.

Page 9 / 38 Version Date Principaux points de modification 2 janvier 2001 12 janvier 2001 1 1.01 2.03b 2.04b 2.05 2.06 2.07 2.08 2.09 2.10 2.2 2.3 8 février 2001 30 mars 2001 2 avril 2001 26 mars 2002 30 avril 2002 mai 2002 17 juin 2002 27 septembre 2002 20 août 2003 18 novembre 2003 Version interne Séparation PC/DPC (modification du plan et du contenu de la PC) Prise en compte des remarques de CAP. Prise en compte des remarques de l EAR. Attribution des OID des PC et DPC. Mise à jour de la PC. Mise à jour de la PC. Prise en compte des corrections de Click and Trust Prise en compte des corrections de Click and Trust Prise en compte des remarques de l EAR Révision générale pour mise en conformité avec la PC type V3.0 du Minefi. Version pour avis. Version publiée le 18-11-03, conforme à la PC-Type V3.1 du Minefi 2.4 2 novembre 2005 Révision. Version pour avis 2.5 17 janvier 2006 Version publiée le 17-01-06, conforme à la PC-Type V3.1 du Minefi & PRIS V1.0 2.6 7 août 2006 Certificats à 3 ans. 2.7 7 novembre 2007 Prise en compte des remarques de INS. 2.8 25 février 2008 Certificats à 2 ans 2.9 01 juillet 2009 Clefs de certificats à 2048 bits et mise à jour de la PC 3.8 4.0 29 janvier 2010 20 Septembre 2013 Certificats à 3 ans et mise à jour de la PC Mise à jour responsable légal

Page 10 / 38 6. Coordonnées des entités responsables de la présente PC 6.1. Organisme responsable La société CLICK AND TRUST est responsable de cette PC. CLICK AND TRUST 18, quai de la Rapée 75012 PARIS FRANCE 6.2. Personne physique responsable M. Jean-Marie BERTRAND Directeur-Général CLICK AND TRUST 18, quai de la Rapée 75012 PARIS FRANCE 6.3. Personne déterminant la conformité de la DPC à la PC CLICK AND TRUST détermine la conformité de la DPC à la PC soit directement, soit par l'intermédiaire d'experts indépendants spécialisés dans le domaine des Infrastructures à Clé Publique.

Page 11 / 38 PARTIE II. DISPOSITIONS DE PORTEE GENERALE 1. Obligations 1.1. Obligations communes à toutes les composantes de l'ac et de l'ae L AE et l AC MERCANTEO s engagent à : N utiliser leurs clés publiques et privées qu'aux fins pour lesquelles elles ont été émises et avec les outils spécifiés, selon la présente Politique de Certification ; Respecter et appliquer leur DPC ; Se soumettre aux contrôles de conformité effectués par l'entité d'audit et de Référencement du MINEFI, en respecter les conclusions et remédier aux nonconformités qu'ils révéleraient ; Respecter les accords ou contrats qui les lient aux utilisateurs ; Documenter leurs procédures internes de fonctionnement ; Mettre en œuvre les moyens (techniques et humains) nécessaires à la réalisation des prestations auxquelles elles s'engagent, dans des conditions garantissant qualité et sécurité. 1.2. Obligations de l'ac 1.2.1. S'agissant des fonctions de gestion des certificats L'AC MERCANTEO s engage à : Assurer le lien entre l'identité d'un porteur et son certificat ; Tenir à disposition des utilisateurs et des porteurs de certificats la notification de révocation du certificat d'une composante de l'icp ou d'un porteur ; S assurer que ses porteurs connaissent leurs droits et obligations en ce qui concerne l'utilisation et la gestion des clés, des certificats ou encore de l'équipement et des logiciels utilisés aux fins de l'icp. La relation entre un porteur et l'ac est formalisée par un abonnement ou un lien contractuel précisant les droits et obligations des parties et notamment les garanties apportées par l'ac. 1.2.2. S'agissant de la fonction de gestion des supports et données d'activation Les données d activation des secrets du porteur ne sont jamais imposées par l AC. 1.2.3. S'agissant de la fonction de publication L'AC s'engage à diffuser publiquement la politique de certification, les Listes de Certificats Révoqués (LCR) et la liste des certificats auxquels la clé racine de l'icp est subordonnée. L AC s engage à ce que la Liste de Certificats Révoqués soit : fiable, c'est à dire comporte des informations contrôlées et à jour, protégée en intégrité, Publiée, Disponible 24 heures sur 24 et 7 jours sur 7.

Page 12 / 38 1.2.4. S'agissant des fonctions de journalisation et d'archivage Se reporter à la partie V paragraphe 1 1.2.5. S'agissant de la fonction de séquestre L AC MERCANTEO ne réalise pas de fonction de séquestre. 1.3. Obligations de l'ae L'AE s engage à vérifier l'authenticité des pièces justificatives et l'exactitude des mentions qui établissent l'identité du porteur ou de l'entreprise selon les procédures décrites au chapitre 3 de cette PC. Si elle est saisie d'une demande de révocation de clé, l'ae doit en vérifier l'origine et l'exactitude, et doit mettre en œuvre les moyens permettant de traiter la demande de révocation selon les exigences décrites dans la partie IV, paragraphe 2. 1.4. Obligations de l'oc En tant que prestataire de services, l'oc s'engage à respecter la DPC et le contrat de service établi avec l'ac. 1.5. Obligations du porteur Le porteur a le devoir moral et contractuel de : communiquer des informations justes lors de la demande de certificat, protéger sa clé privée par des moyens appropriés à son environnement, protéger ses données d'activation, respecter les conditions d'utilisation de sa clé privée et du certificat correspondant, Informer sans délai l'ae ou l'ac en cas de possibilité de compromission de sa clé privée. La relation entre le porteur et l'ac ou l'ae est formalisée par un engagement du porteur visant à certifier l'exactitude des renseignements et des documents fournis. 1.6. Obligations des utilisateurs de certificats Les utilisateurs de certificats doivent : respecter l'usage pour lequel un certificat a été émis lorsque cet usage a été déclaré critique, Vérifier la signature numérique de l'ac émettrice du certificat. Contrôler la validité des certificats (dates de validité et statut de révocation). 2. Responsabilités 2.1. Responsabilité de l'ac L AC s engage à respecter la conformité de son dispositif de gestion des certificats et de ses procédures tels que décrits dans cette PC. Le détail des engagements pris envers les utilisateurs est détaillé dans l accord d abonnement.

Page 13 / 38 2.2. Responsabilité de l'ae Seule l'ac MERCANTEO peut mettre en cause la responsabilité de l'ae, ce qui exclut explicitement tout engagement de l'ae envers les utilisateurs et les utilisateurs finaux. 2.3. Responsabilité de l'oc L'OC a la responsabilité d'opérer un service de certification gérant l'ensemble du cycle de vie d'un certificat, conformément à la présente PC. 3. Respect et interprétation des dispositions juridiques 3.1. Droit applicable La Loi française est applicable aux dispositions du présent document (y incluant le Contrat Utilisateur du Service de MERCANTEO). En cas de traduction seule la version française du présent document fera foi. En cas de difficulté, les parties se conformeront à la procédure de règlement des litiges prévue par le Contrat Utilisateur du Service de Certification MERCANTEO. A défaut de règlement amiable, le litige sera porté devant les juridictions compétentes. 3.2. Règlement des différends Toute contestation relative aux dispositions du présent document et au Service de Certification sera soumise, préalablement à toute instance judiciaire, à la procédure décrite à l'article règlement des litiges du Contrat Utilisateur du Service de Certification. 3.3. Dispositions pénales Le fait d'accéder et de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni deux ans d'emprisonnement et de 30 000 Euros d'amende (article L.323-1, alinéa 1 du Code Pénal). Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 45 000 Euros d'amende (article L.323-1, alinéa 2 du Code Pénal). Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 Euros d'amende (article L.323-2 du Code Pénal). Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 Euros d'amende (article L.323-3 du Code Pénal). CLICK AND TRUST est une marque déposée et enregistrée. Sont interdits, sauf autorisation du propriétaire (article L.713-2 du Code de la Propriété Intellectuelle) : a) La reproduction, l'usage ou l'apposition de la marque CLICK AND TRUST, même avec l'adjonction de mots tels que : "formule, façon, système, imitation, genre, méthode", ainsi que l'usage d'une marque reproduite, pour des produits ou services identiques à ceux désignés dans l'enregistrement de la marque CLICK AND TRUST;

Page 14 / 38 b) La suppression, ou la modification de la marque CLICK AND TRUST régulièrement apposée. L'atteinte portée au droit du propriétaire de la marque CLICK AND TRUST constitue une contrefaçon engageant la responsabilité civile de son auteur. Constitue une atteinte aux droits de la marque CLICK AND TRUST la violation des interdictions prévues aux articles L.713-2, L.713-3 et L.713-4 du Code de la Propriété Intellectuelle (article L.716-1 du Code de la Propriété Intellectuelle). 3.4. Permanence de la PC Le fait que l une des parties n ait pas exigé l application d une clause quelconque du présent document et/ou du Contrat Utilisateur du Service de Certification MERCANTEO, que ce soit de façon permanente ou temporaire, ne pourra en aucun cas être considéré comme une renonciation aux droits de cette partie découlant de ladite clause dont l inapplication a été tolérée. Si l une quelconque des dispositions du présent document et/ou du Contrat Utilisateur du Service de Certification MERCANTEO est non valide, nulle ou sans objet elle sera réputée non écrite et les autres dispositions conserveront toute leur force et leur portée. Aucune action, quels qu en soient la nature, le fondement ou les modalités, née du présent document et/ou du Contrat Utilisateur du Service de Certification, ne peut être intentée par les parties plus de deux ans après la survenance de son fait générateur. Les titres des articles du présent document et/ou du Contrat Utilisateur du Service de Certification MERCANTEO sont insérés dans le seul but d'en faciliter la référence et ne peuvent être utilisés pour donner une interprétation à ces articles ou en affecter la signification. Aussi, en cas de difficulté d interprétation entre l un quelconque des titres et l une quelconque des clauses constituant le document et/ou le Contrat Utilisateur du Service de Certification MERCANTEO, les titres seront déclarés comme inexistants. 4. Tarifs 4.1. Émission ou renouvellement de certificats Les tarifs correspondants à l'émission ou au renouvellement de certificats sont publiés sur le site Internet de CLICK AND TRUST ou négociés contractuellement avec une entité demandant le service. 4.2. Validité de certificats Aucun frais d'accès aux LCR permettant de vérifier la validité des certificats n'est facturé. 4.3. Politique de remboursement Toute demande de remboursement devra être adressée à : CLICK AND TRUST SERVICE CLIENT 18 quai de la Rapée 75012 PARIS

Page 15 / 38 FRANCE 5. Publication et dépôt de documents 5.1. Informations publiées Les informations publiées seront les suivantes : la politique de certification (PC), Url : http://www.click-and-trust.com/pc/pcclickandtrustpaiementssecurises.pdf les Listes de Certificats Révoqués (LCR), Url : http://www.click-andtrust.com/banquepopulairebanquepopulaireclickandtrustpaiement SSECURISES/LatestCRL.crl La liste des certificats auxquels la clé de l'ac est subordonnée, le cas échéant. Url : https://www.click-and-trust.com/site/offre-mercanteo.htm 5.2. Fréquence de diffusion La Politique de Certification (PC) est mise à jour sur le site après chaque modification Les Listes de Certificats Révoqués (LCR) sont actualisées toutes les heures. 5.3. Contrôle d'accès Des habilitations spécifiques sont mises en place afin de n'autoriser l'accès en modification à la DPC qu'au personnel autorisé. 5.4. Dépôt des documents Les documents mentionnés au paragraphe 5.1 sont publiés via le site Internet de l'ac ou via l'utilisation d'annuaires. L'ensemble des documents nécessaires au fonctionnement de l'ac est conservé par l'ac, dans leur dernière version, en un lieu centralisé et protégé.

Page 16 / 38 6. Contrôle de conformité à la PC L'Autorité de Certification MERCANTEO a la responsabilité du bon fonctionnement des composantes de l'icp, conformément aux dispositions énoncées dans le présent document. L'AC effectuera donc en ce sens des contrôles réguliers de conformité et de bon fonctionnement des composantes de cette ICP. Par ailleurs, l'ambition de l'ac MERCANTEO étant d'être référencée par le MINEFI pour que les certificats MERCANTEO soient éligibles aux applications administratives mentionnées parmi les applications concernées (voir paragraphe 4 de la partie I), l'ac accepte les audits demandés par le MINEFI concernant toutes les composantes de l'icp, afin que celui-ci s'assure du bon respect de ses exigences. 6.1. Fréquence du contrôle de conformité Le contrôle de conformité est réalisé, à minima, tous les 2 ans et à chaque renouvellement de la bi-clé d'ac. 6.2. Indépendance et qualifications du contrôleur Le contrôleur est désigné par l'ac. Celui-ci est choisit selon des critères d'indépendance et d'expertise dans le domaine de la sécurité informatique et, en particulier, des ICP. 6.3. Périmètre du contrôle de conformité Le périmètre de l'audit concerne la présente PC. 6.4. Communication des résultats Les résultats sont communiqués à l'ac MERCANTEO, et éventuellement à l'ear du MINEFI, qui est responsable de leur éventuelle diffusion aux entités concernées. Eu égard au caractère confidentiel de ces informations, la publication des résultats est limitée et strictement contrôlée. 6.5. Actions entreprises en cas de non-conformité En cas de non-conformité, l'ac MERCANTEO décide de toute action correctrice nécessaire. En fonction du degré de non-conformité de la DPC à la PC, l'ac concernée peut : Demander la mise en place d'actions correctrices dont la réalisation sera vérifiée lors du prochain audit ; Demander la correction des non-conformités selon un calendrier précis à la suite duquel un contrôle de mise en conformité sera effectué ; Révoquer le certificat de l'ac correspondante.

Page 17 / 38 7. Politique de confidentialité de l'ac 7.1. Types d'informations considérées comme confidentielles Les informations suivantes sont considérées comme confidentielles : les clés privées des entités propriétaires de certificats, les données d'activation pour les utilisateurs, les secrets de l IGC les journaux d'événements des composantes de l'ac et de l'ae, le dossier d'enregistrement du porteur, et notamment les données personnelles (à l'exception des informations à caractère personnel contenues dans les certificats), les causes de révocations, les rapports d'audit, La DPC. 7.2. Divulgation des causes de révocation de certificat L'AC ne demande pas de justificatif de la demande de révocation. En conséquence, les causes de révocation ne sont pas divulguées. 7.3. Divulgation des informations sur demande de leur propriétaire Les données à caractère personnelle détenues par l AC ne sont divulguées qu au porteur, sur demande de ce dernier, et peuvent être consultables et modifiables en conformité avec la loi Informatique, Fichiers et Libertés (Article 32 de la loi n 78-17 du 6 janvier 1978). 8. Droits de propriété intellectuelle Lors de l exécution des prestations de services définies dans le présent document et/ou le Contrat Utilisateur du Service de Certification MERCANTEO, il peut être livré des éléments protégés par la législation sur les droits d'auteur. Ces éléments, ainsi que les droits d'auteur qui y sont attachés, resteront la propriété du détenteur des droits correspondants. Le bénéficiaire de ces services aura le droit de reproduire ces éléments pour son usage interne. Mais il ne pourra, sans l'autorisation préalable du détenteur des droits d'auteur, mettre à la disposition de tiers, extraire ou réutiliser en tout ou en partie, ces éléments ou des œuvres dérivées ou copies de ceux-ci, en particulier logiciels ou bases de données. Sous réserve des dispositions du présent article, aucune licence, implicite ou explicite, n'est concédée par le détenteur des droits sur des inventions, brevets ou demandes de brevets lui appartenant et ayant été réalisés hors du présent document et/ou du Contrat Utilisateur de Certification MERCANTEO.

Page 18 / 38 PARTIE III. ATTRIBUTION DE CERTIFICAT La mise en place du service implique que le représentant légal de la Société mandate un ou plusieurs interlocuteurs - qui sera(ont) le point d'entrée de CLICK AND TRUST au sein de l'entreprise. Ce(s) interlocuteur(s) assumera(ont) la responsabilité de demander l'attribution ou la révocation d'un certificat pour l'un des collaborateurs de l'entreprise (conditions définies dans le paragraphe 1 Partie III et paragraphe 2 Partie IV). Cet interlocuteur est appelé dans cette PC «Administrateur de certificat». Ces délégations seront formalisées dans un contrat qui définira les règles et procédures à respecter par la Société dans la gestion de l'attribution et de la révocation des certificats, et plus particulièrement dans la signature par chaque utilisateur d un document reconnaissant qu'il a accepté ces règles et procédures. L'Administrateur de certificat se voit attribuer un certificat dès lors que le contrat est signé, que les pièces justificatives ont été remises et que les vérifications mentionnées au paragraphe 1 " Gestion de la demande d'attribution de certificat au sein de l'entreprise" se sont avérées positives. La délivrance d un certificat requiert la saisie d un formulaire sécurisé spécifique disponible sur notre site www.click-and-trust.com. Ce formulaire sécurisé est celui de première demande de certificat, si l'entreprise n a pas encore signé de contrat avec CLICK AND TRUST. Si l'entreprise a déjà signé le contrat, il s agit du formulaire de commande de certificat qui doit être signé par l'administrateur de certificat. 1. Gestion de la demande d'attribution de certificat au sein de l'entreprise L espace certificats du site www.click-and-trust.com met à disposition deux rubriques différentes pour les «formulaires» : 1 ère demande de certificat, La demande de certificat pour les utilisateurs de l'entreprise. Ces formulaires sont sécurisés - leur structure ne peut être modifiée - et horodatés, afin de conserver les dates et heures de la demande, de l acceptation de la demande, etc. La réception des formulaires entraîne un certain nombre de contrôle définis dans le paragraphe 2 «Gestion de la demande d'attribution des certificats». La demande de certificat devra être effectuée via les formulaires mentionnés précédemment et hébergés par www.click-and-trust.com: soit après avoir signé le contrat de service suite à un entretien bilatéral, soit en effectuant toutes les démarches sur notre site.

Page 19 / 38 1.1. Mise en place du service - Première demande de certificat 1.1.1. Informations contenues dans le formulaire de «Première demande du certificat» Nom de la Société, Siren /Siret de la Société, Nom et prénom de l Administrateur désigné par l entreprise, Fonction au sein de cette entreprise, Coordonnées téléphoniques, Adresse mail, Adresse postale, D'autres informations sur le Kit matériel choisi. Cette demande ne peut être réalisée que dans la mesure où le contrat CLICK AND TRUST a été signé et que toutes les pièces justificatives ont été adressées à l Administrateur CLICK AND TRUST. 1.1.2. Contrat CLICK AND TRUST et documents justificatifs Le contrat CLICK AND TRUST doit parvenir à l Administrateur CLICK AND TRUST dûment signé par le représentant légal et inclure les documents justificatifs suivants : RCS de la Société, Statuts de l'entreprise portant les signatures de ses représentants, Un justificatif d identité du représentant légal sous la forme de photocopie certifiée conforme par le titulaire ( carte d'identité nationale, passeport, permis de conduire ou permis de chasse ), Document justifiant des pouvoirs du représentant légal, Un justificatif d'identité de la personne physique mandatée sous la forme de photocopie certifiée conforme par le titulaire ( carte d'identité nationale, passeport, permis de conduire ou permis de chasse ), Acceptation par la personne désignée des conditions d'utilisation du certificat. L Administrateur CLICK AND TRUST procède alors aux contrôles des pièces justificatives reçues et de l existence de la société. Si l un des contrôles des documents n est pas positif (document manquant ou non conforme) l Administrateur CLICK AND TRUST contacte alors l Administrateur de certificat afin de recueillir les documents concernés. 1.1.3. Validation de la demande de certificat Si tous les contrôles s avèrent positifs, l Administrateur CLICK AND TRUST valide la demande de certificat. Dans les 48 heures, l Administrateur de certificat sera contacté par la maintenance agréée par CLICK AND TRUST (cf. paragraphe 4 «Opérations du mainteneur») pour réaliser l'installation et la délivrance de certificat.

Page 20 / 38 1.2. Demande de certificat pour les utilisateurs de l entreprise 1.2.1. Informations contenues dans le formulaire de demande du certificat Nom de la Société, Siren de la Société, Nom et prénom de l interlocuteur désigné par l entreprise, Fonction de l interlocuteur désigné par l entreprise, Nom et prénom de la personne porteur du certificat demandé, Fonction de la personne porteur du certificat demandé, Coordonnées téléphoniques, Adresse mail, Adresse professionnelle, D'autres informations sur la solution technique choisie. L organisation au sein de l entreprise est la suivante : L Administrateur de certificat centralise les demandes d'attribution des certificats contrôle l'identité du demandeur et son appartenance à l'entreprise, se charge de la saisie des formulaires et de leur signature sur notre site Internet. 1.2.2. Validation de la demande d attribution de certificat aux collaborateurs de l entreprise Seuls les formulaires saisis sur le site web et transmis par l'administrateur de certificat préalablement autorisé pourront faire l'objet de contrôles de validation par CLICK AND TRUST. 2. Identification du porteur 2.1. Conventions de noms Le nom du porteur figure dans le champ "Objet" ("Subject" en anglais) du certificat MERCANTEO, sous la rubrique CN ("Common Name") au format "printablestring". Cette mention est obligatoire. Il est constitué du prénom usuel et du nom patronymique. Ce nom est celui du porteur tel qu'il figure dans les documents d'état Civil. 2.2. Nécessité d'utilisation de noms explicites Les informations portées dans le champ "Objet" du certificat MERCANTEO sont explicites: le nom du porteur (rubrique CN, tel que décrit au paragraphe 2.1), l'adresse électronique du porteur, la raison sociale de l'organisation représentée par le porteur, tel que figurant au K-Bis, le numéro de SIREN de l'organisation représentée par le porteur, tel que figurant au K- Bis, le nom de la commune du siège social de l'organisation représentée par le porteur, tel que figurant au K-Bis, Le nom de pays du siège social de l'organisation représentée par le porteur, tel que figurant au K-Bis et formulé selon la convention internationale de nommage.