• Aucun résultat trouvé

Document 5 (.pdf)

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Document 5 (.pdf)"

Copied!
3
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Sans crytpologie libre, pas de commerce électronique : P. Ferré (Cours E.Com Master IUP Tarbes..

Vous lirez le texte suivant, source Ministère "Mission pour l'économie numérique".

P.F

Dans la société de l'information, l'usage de la télématique et des réseaux informatiques permet de passer des accords à distance par échange de message et sans support papier. Mais, en cas de contentieux, une preuve de nature informatique ou télématique sera-t-elle susceptible d'emporter la conviction du juge? On sait que le droit de la preuve est longtemps resté sous l'empire du document papier "original " et signé "de [la] main ".

Des dispositions communautaires récentes (utilisation de la signature électronique; encadrement des pratiques en matière de commerce électronique) apparaissent comme autant de tentatives d'harmonisation du positionnement des Etats membres en ce domaine ("Les Etats veillent à ce que leur système juridique rende possible la conclusion des contrats par voie électronique ", art. 9 de la directive du 8 juin 2000).

Les nouvelle règles légales

La signature par un "double clic" est une réalité juridique communautaire depuis l'adoption de la directive du 13 décembre 1999. L'objectif principal de ce texte, qui introduit la notion de signature électronique "avancée" (= davantage de sécurité), est de "faciliter l'utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique ". En intégrant les notions d'écrit et de signature électronique, la loi du 13 mars 2000, transposition en droit français de cette directive, est une forme de révolution du droit de la preuve.

Antérieurement à l'entrée en vigueur de cette législation, l'absence de définition légale de la signature était en effet la réalité du droit positif (Première décision sur la signature électronique, note JC Galloux, Jurisclasseur Communication & commerce électronique, janvier 2001).

Le principe de la signature électronique, de même nature et de même valeur qu'une signature manuelle, est désormais reconnu par le Code civil (nouveaux articles 1316 à 1316-4, issus de la loi précitée). En vertu de ces dispositions nouvelles, la signature électronique consiste "en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache".

Dans quelles conditions des signatures électroniques peuvent-elles être présumées fiables ? Le décret d'application de l'article 1316-4 du Code civil indique notamment que " la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée " (art. 2). Une qualification de " signature électronique sécurisée " répond nécessairement à la prise en compte d'un certain nombre d'exigences, à savoir " être propre au signataire ; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; garantir avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable ".

Par la suite, toute signature électronique sécurisée sera établie grâce à un dispositif, également sécurisé, de création de signature électronique. Dans quelles conditions ? Le matériel ou le logiciel utilisé garantira que les données de création de signature électronique ne peuvent être établies plus d'une fois, et assurera la confidentialité des données, mais aussi une protection contre toute falsification ou toute utilisation par des tiers. De

1

(2)

Sans crytpologie libre, pas de commerce électronique : P. Ferré (Cours E.Com Master IUP Tarbes..

plus, cette procédure ne devra entraîner aucune altération du contenu de l'acte à signer, ni poser aucun obstacle à la lecture de cet acte avant signature.

Enfin, la vérification de cette signature devra reposer sur l'utilisation d'un

"certificat électronique qualifié". Répondant à des conditions particulières d'identité (du prestataire, de l'Etat d'émission, du signataire), de conformité des données (création, vérification), de validité et de sécurité (code d'identité du certificat, signature sécurisée du prestataire), ce certificat sera délivré par un " prestataire de service de certification "(PSC). La signature électronique présente ainsi des particularités juridiques paradoxales : "toujours identique et pourtant jamais pareille puisqu'elle est propre à chacun des documents émis. De surcroît, il est possible de la conserver sans la garder matériellement " (L'Union européenne donne son feu vert à la signature électronique, I. Pottier et A. Bensoussan, Les Echos, 25 janvier 2000).

Un mot de législations comparées. La loi fédérale américaine (E-Sign Act du 30 juin 2000) est en vigueur depuis le 1er octobre 2000. Elle reconnaît l'UETA (Uniform Electronic Transactions Act), promulgué par la moitié des Etats américains. A noter également l'existence d'une troisième loi, dite ESRA (Electronic Signatures and Records Act). Des points communs existent entre les réglementations française et américaines : définition, forme et authentification de la signature électronique, souplesse facilitant le progrès technologique.

Mais "E-Sign" ne prévoit pas de conditions préalables d'identification et ne définit pas la portée de la signature, n'aborde pas non plus la question de la certification (sauf en ce qui concerne ESRA : "trusted third parties" ou tiers de confiance). Ces tiers certificateurs, soumis en France au contrôle du Comité directeur de la certification et des services du Premier Ministre, ne relèvent que de sociétés privées aux Etats Unis. Par contre, les textes français ne font pas mention de la protection du consommateur contrairement à "E-Sign" (accord pour la publicité de la démarche, droit de repentir, conséquences). Enfin concernant la fraude sur la certification, à l'exigence d'un double contrôle en France ne correspond qu'un simple rapport d'information au Congrès aux Etats Unis. (La signature électronique, comparaison entre les législations française et américaine, Revue du droit des affaires internationales, 5/2001).

La neutralité technologique

Les systèmes de sécurité sont multiples. La biométrie, par exemple, est l'analyse numérique d'un organe humain (visage, empreinte digitale, iris) comme technique d'identification. La signature électronique est donc un procédé de sécurité parmi d'autres. Elle relève principalement de la cryptographie, dont la version asymétrique serait le procédé le plus fiable actuellement sélectionné.

La cryptographie asymétrique est basée sur l'utilisation de clés indépendantes, une clé privée et une clé publique. Ces clés, dont les caractéristiques propres font que ce qui a été chiffré par l'une ne peut être déchiffré que par l'autre, sont générées par l'émetteur du message.

L'expertise des procédures préconisées n'a pas manqué de soulever les critiques, notamment en matière de protection des clés privées, estimant à ce sujet qu'il

"aurait été préférable d'exiger du logiciel qu'il oblige l'utilisateur à charger la clé privée sur un support de stockage externe (disquette, CD-rom, carte à puce,…) pour éviter tout problème dû à l'intrusion d'un tiers sur son ordinateur". La certification des logiciels étant perçue comme une procédure qui

"risque de s'avérer laborieuse" (Un décret fixe les conditions de fiabilité de la signature électronique, Hubert Bitan, Jurisclasseur Communication & commerce électronique, juillet-août 2001). On a également pu reprocher à la nouvelle législation de ne faire aucune distinction entre vérification par le destinataire (immédiate) et vérification par un juge ou un expert (à plus long

2

(3)

Sans crytpologie libre, pas de commerce électronique : P. Ferré (Cours E.Com Master IUP Tarbes..

terme en cas de difficultés, et par conséquent sur un document ayant fait l'objet d'un processus d'archivage électronique). Et se demander "si l'une des finalités de la signature électronique sécurisée - celle d'assurer l'intégrité pérenne du document signé grâce au processus de vérification - peut être véritablement assurée" (Le décret du 30 mars 2001 relatif à la signature électronique : lecture critique, technique et juridique, I. de Lamberterie et J- F Blanchette, La Semaine Juridique, 20 juillet 2001). D'où la nécessité d'une élaboration beaucoup plus précise des exigences relatives à la conservation des actes (par la prise en compte du double objectif de leur " intelligibilité pérenne " et des signatures qui y sont apposées).

Deux standards de cryptographie sont principalement utilisés :

RSA

(RIVEST, SHAMIR & ADLEMAN) proposé dès 1978 et

DSS

(Digital Signature Standard) publié aux Etats Unis en 1994. En France, la libéralisation du régime de la cryptographie a été maintes fois réclamé (voir le

rapport Assemblée Nationale n°2197/2000

). Les textes réglementaires du 17 mars 1999 (

décret 99-200

et un

arrêté

) ont relevé le seuil de la cryptographie libre de toute autorisation de 40 bits à 128. Ce nouveau seuil devrait garantir "une sécurité plus que suffisante". Or plus d'un site sur deux en France a installé un système de cryptage obsolète (40 ou 56 bits,

Le Monde Informatique

), dont les trois-quarts des sites bancaires. D'où la préconisation de moyens radicaux comme la prise en compte de la norme sécuritaire ISO 15408 de décembre 1999 (voir

Afnor

).

Les mesures complémentaires

Un certain nombre de dispositions de la directive du 13 décembre 1999 sur les signatures électroniques n'ont pas été transposées dans le décret du 30 mars 2001. Ces dispositions relèvent en effet du domaine de la loi. Elles concernent:

· le régime de responsabilité des prestataires de service de certification (PSC) délivrant ou garantissant des certificats "qualifiés" (article 6 de la directive). En cas de préjudice de leur fait, la directive indique que la responsabilité des PSC est entière, sauf à démontrer n'avoir "commis aucune négligence". Les dispositions concernant ce point seront transposées dans le cadre du

projet de loi

sur la société de l'information (art. 40, alinéas 1 &

2). Il est à noter que le projet de loi ne vise pas uniquement les PSC : il élargit le champ des personnes responsables aux "fournisseurs d'autres services liés aux signatures électroniques". Il adjoint par ailleurs le délit de "faute intentionnelle" à la seule responsabilité de négligence.

· la garantie de solvabilité des PSC délivrant des certificats qualifiés (annexe II/h de la directive). Les dispositions seront transposées dans le cadre du même article 40 (alinéa 3) du projet de loi sur la société de l'information. A cet effet la mention "ressources financières suffisantes" inscrite dans la directive est traduite dans le projet de loi en "garantie financière suffisante spécialement affectée" ou en "assurance garantissant les conséquences pécuniaires de [la] responsabilité civile professionnelle" des PSC.

Enfin, la subordination au consentement de l'intéressé de tout recueil par les PSC de données le concernant (article 8 § 2 de la directive). Ces dispositions seront transposées dans le projet

de loi

relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Elles doivent faire l'objet du nouvel article 33 du projet de loi.

A noter que la mise en œuvre complète du décret du 30 mars 2001 renvoie encore à la publication de cinq arrêtés d'application, à prendre soit par le Premier ministre (4 textes), soit par le ministre chargé de l'industrie(un texte).

______________

3

Références

Télécharger maintenant ( PDF - 3 Page - 27.33 KB )

Documents relatifs

ROF 2016_084 Entrée en vigueur : ..............................

1 En cas de vacance d’un poste et lors du renouvellement général des membres du conseil d’administration, le comité de sélection examine les candidatures en se fondant sur

ROF 2016_142 Entrée en vigueur : ..............................

1 Le Recueil officiel et le Recueil systématique sont publiés sous forme électronique dans la Banque de données de la législation fribourgeoise (Banque de données, BDLF).... 2

ROF 2014_103 Entrée en vigueur : ..............................

1 Le Conseil d’Etat fixe les cas dans lesquels des contraventions de peu d’importance peuvent être sanctionnées par des amendes d’ordre et dé‑. termine le montant forfaitaire

ROF 2014_104 Entrée en vigueur : ..............................

1 Dans les cas où il doit assurer l’exécution des contrôles et des soins au sens de l’article 9 al. 2, le Service en arrête, en collaboration avec la commune, les mo-.. 2

ROF 2015_030 Entrée en vigueur : ..............................

2 L’utilisation d’organismes génétiquement modifiés est interdite sur l’ensemble du territoire du canton de Fribourg pour la production des aliments et des végétaux, pour

ROF 2015_046 Entrée en vigueur : ..............................

nach sont réunis en un seul territoire, celui de la nouvelle commune de Morat ; les noms de Courlevon, Jeuss, Lurtigen et Salvenach cessent d’être des noms de communes pour

ROF 2015_049 Entrée en vigueur : ..............................

Les membres du corps intermédiaire ont le droit, individuellement et collecti- vement, d’adresser aux organes de direction des propositions relatives aux acti- vités de la HEP-PH

ROF 2015_065 Entrée en vigueur : ..............................

Vu les articles 48 et 63a de la Constitution fédérale du 18 avril 1999 ; Vu l’article 100 de la Constitution du canton de Fribourg du 16 mai 2004 ; Vu les articles 4 et 13 de la loi