Caprioli - Article - Signature Électronique

De lauthentification la signature lectronique : quel cadre juridique pour la confiance dans les communications lectroniques internationales ?
Eric A. CAPRIOLI, Avocat la Cour de Paris, Docteur en droit, charg de cours lUniversit de Paris II, (Panthon-Assas), Membre de la dlgation franaise auprs de la C.N.U.D.C.I.1 e.caprioli@caprioli-avocats.com www.caprioli-avocats.com
Sommaire
Introduction : Enjeux juridiques et sociaux ........................................................................................... 2 I. Cadre juridique et normatif de la gestion de lidentit ..................................................................... 8 A. 1. 2. 3. 4. 5. 6. B. 1. 2. II. A. 1. 2. 3. 4. 5. 6. B. 1. 2. 3. a. Elments de dfinitions ................................................................................................................... 8 Authentification ......................................................................................................................... 8 Identification............................................................................................................................ 12 Identit sous forme numrique .............................................................................................. 14 Sceaux lectroniques ............................................................................................................... 16 Signature lectronique ............................................................................................................ 19 Procds biomtriques ............................................................................................................ 21 Exigences lies lidentit numrique .......................................................................................... 24 Lincontournable scurit technique ...................................................................................... 24 Exemples franais en matire conformit lgale et rglementaire ....................................... 25 Mise en uvre juridique internationale ...................................................................................... 30 Des rgles normatives sur les lments de base .......................................................................... 31 Authentification lectronique ................................................................................................. 32 Signature lectronique technique ..................................................................................... 33 Datation lectronique ............................................................................................................. 34 Signature juridique dune personne morale..................................................................... 35 Certificats phmres ou la vole ............................................................................ 36 Obligations et responsabilits dans le cadre dune Infrastructure cl Publique (ICP). ...... 37 Organisation juridique de la gestion des identits numriques ................................................... 41 Reconnaissance mutuelle ........................................................................................................ 41 Fdration didentits ............................................................................................................. 43 La labellisation de dispositifs de scurit ............................................................................... 44 Le label ID Num (France) ....................................................................................................... 45
Lauteur, bien quimpliqu des titres divers dans les travaux de la C.N.U.D.C.I., nexprime dans le prsent article que ses opinions personnelles. Celles-ci ne sauraient daucune faon engager la dlgation franaise.
Eric A. CAPRIOLI, Avocat la Cour de Paris
Page 1
b. c.
Le Label suisNum (Suisse) ...................................................................................................... 46 Autres initiatives .................................................................................................................... 47
Introduction : Enjeux juridiques et sociaux

A lheure des communications lectroniques et des technologies de linformation, la criminalit et la fraude empruntent dautres formes que celles traditionnellement rencontres et ce, avec un essor dcupl. Avec les rseaux numriques, leur spectre dintervention ne se limite plus un pays ou une rgion, voire un rseau international gographiquement localis, il est plantaire et affecte le fameux village global . Cette sphre doit tre entendue comme la zone mondiale interconnecte, celle qui est enrobe de rseaux de communications lectroniques : filaires, hertziens, satellitaires, numriques2. Laccs aux rseaux est parfois considr comme un droit fondamental ; en tous les cas, cet accs constitue un prrequis incontournable pour lconomie numrique. Cela signifie que plusieurs milliards dindividus3 naviguent, communiquent, changent, partagent, commercent, tlchargent, en leur nom propre comme au nom de leurs entreprises, associations ou organismes publics (Etats, collectivits locales, ). De plus, les technologies de linformation et de la communication (TIC) connaissent un dveloppement sur tous les continents et dans tous les pays quel que soit leur niveau de dveloppement conomique4. Nanmoins, au regard des moyens technologiques utiliss, des spcificits locales ou rgionales existent (ex : le mobile au Japon, en Afrique ou en Amrique latine). Dune part, les communications lectroniques se caractrisent par labrogation de l espace gographique (distances, frontires) et du temps (tout est quasi-instantan, en temps rel). Dautre part, avec le web 2.0, elles sont interactives entre personnes et entre ces dernires et des contenus ou services hbergs et diffuss sur le web. En outre, le monde numrique, contrairement au monde physique, est par nature international : tout ce qui est diffus sur les rseaux numriques est accessible de nimporte quel point du globe. Or, le rseau des rseaux constitue une mmoire collective de toutes les informations diffuses ; le droit loubli nexiste pas en raison des reproductions et des stockages des informations raliss ds la premire publication sur linternet, en des lieux soumis des lois diffrentes. De plus, les internautes sont amens avoir des relations avec des objets immatriels ou virtuels comme des serveurs ou des sites, ou utiliser des biens incorporels comme les logiciels ou les bases de donnes5. L aussi, il faut tre certain que lon est en relation avec la bonne personne morale qui dtient les droits patrimoniaux sur ces objets complexes composs de droits intellectuels (noms de domaine, droit dauteur, ) et de droits de proprit industrielle. Confront ce contexte, le besoin de confiance simpose aux acteurs
2
Ren-Jean Dupuy, Lhumanit dans limaginaire des nations, Paris, Juilliard, Confrences, Essais et leons du Collge de France, 1991. 3 . 1.966.514.816 connects au 30 juin 2010, ladresse : http://www.internetworldstats.com/stats.htm. 4 Pour un tat de la situation des TIC dans les pays les plus pauvres, v. UNCTAD, Information economy report 2010, United Nations, New York and Geneva, 2010. 5 Pierre Catala, Le droit lpreuve du numrique, Jus ex machina , Paris, P.U.F., 1998, voir le chapitre sur les bases de donnes.
Page 2
de lconomie numrique dans la mesure o il est essentiel de pouvoir imputer une action ou une opration donne une personne dtermine6. Le dveloppement de lconomie numrique auquel on assiste prsentement ne va pas sans risques. Les questions de lauthentification et de la signature lectronique des personnes doivent tre traites et rsolues afin dassurer au mieux la confiance dans les communications lectroniques dans la mesure o ces mthodes ont des incidences juridiques importantes en terme de preuve des engagements et des faits juridiques7. Elles conduisent sinterroger sur les manifestations de lidentit numrique, soit les donnes identifiantes qui constituent la personne juridique (en France, celles de lEtat civil), et les identifiants qui peuvent se traduire par lusage dun simple login/mot de passe pour se logger, dun certificat didentification lectronique, mais aussi : adresses lectroniques, pseudonymes, noms de domaine, Url, adresses IP, traces informatiques, empreintes biomtriques (doigt, iris, oreille)8. Parmi les nombreuses interrogations, certaines peuvent tre releves ce stade, sans toutefois avoir vocation lexhaustivit. Outre les questions de qui doit-on identifier et comment, doit-on sidentifier ou sauthentifier ? Pour une transaction en ligne ? Pour accder des donnes en ligne dont laccs est rserv ? Comment grer les droits daccs des personnes habilites ? Quels mcanismes sont mis en uvre par ces deux modes de connexion9 et comment rpondent-ils aux diffrentes attentes du march ? Quelles transactions requirent une signature et comment cette signature se distingue-t-elle de lauthentification ? Peut-on signer avec un certificat mis la vole et qui peut tre utilis pendant une dure trs courte et pour une seule et unique transaction ? Quels types de signatures sont attendus par les acteurs de lconomie en ligne ?
6 7
Eric A. Caprioli, Scurit et confiance dans le commerce lectronique , JCP d G, n14, 1 avril 1998, I, 123. Pierre-Yves. Gautier et Pierre Catala, Laudace technologique la cour de cassation : vers la libration de la preuve contractuelle, JCP d. G, 1998, p. 905 et s. ; Eric A. Caprioli, Preuve et signature dans le commerce lectronique, Droit et Patrimoine, n55, Dcembre 1997, p. 56-61. 8 Eric A. Caprioli, Traitement utilisant des donnes biomtriques, Comm. Com. Electr. n3, 1 mars 2007, comm. 48 ; Eric A. Caprioli, Gnralisation du passeport biomtrique, Comm. Com. Electr. n7, juillet 2008, comm. 98. 9 Le service dauthentification permet de garantir lintgrit et lorigine du message des donne s authentifies mais, contrairement au service de signature lectronique, il ne signifie pas que lmetteur manifeste son consentement au contenu du message des donnes. Voir en ce sens, le RGS (Rfrentiel Gnral de Scurit), rdig par lAgence Nationale de la Scurit des Systme dInformation (ANSSI) et par la Direction Gnrale de la Modernisation de lEtat (DGME), a t pris en application de larticle 9 de lordonnance du 8 dcembre 2005 (Ordonnance n2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives, JO n286 du 9 dcembre 2005, p. 18896 et s. ; Eric A. Caprioli, Des changes lectroniques entre les usagers et les autorits administratives dune part, et entre ces dernires dautre part, JCP d. A et CT, 2006, n1079, p. 432 et Comm. Com. Electr. avril 2006, n4, comm. 75). Le RGS dfinit un ensemble de rgles de scurit simposant aux autorits administratives dans le but de scuriser leur systme dinformation dans le cadre dchange des informations par voie lectronique et notamment lauthentification. Son dcret dapplication a t publi au Journal Officiel du 4 fvrier 2010 (Dcret n2010-112 du 2 fvrier 2010 pris pour lapplication des articles 9, 10 et 12 de lordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives, JO 4 fvrier 2010, p. 2072) suivi dun arrt ministriel en date du 6 mai 2010 (JO du 18 mai 2010), qui approuve la version 1.0 du RGS.
Page 3
Enfin, quel cadre juridique envisager pour la reconnaissance juridique internationale des moyens dauthentification et de signature lectroniques ?
Par ailleurs, lmergence de linformatique dans les nuages ou Cloud computing , associe aux services proposs en mode SaaS, doit permettre de garantir la conformit juridique des oprations, spcialement le contrle et le suivi des identits des utilisateurs de ces services, ainsi que leurs activits sur les donnes et les infrastructures. En ce domaine encore, la confiance passe par la mise en place de mthodes dauthentification et de signature lectroniques fiables (ex : SSO, OTP, certificats, ). La scurit et la confidentialit des informations, ainsi que leur lieu dhbergement sont des questions cls notamment en termes contractuels et de conformit aux rglementations sur la protection des donnes caractre personnel. A laccs aux informations et aux services, on peut troitement associer lauthentification qui le permet. Les rgles de scurit associes aux diverses mthodes sont plus ou moins fiables et leur utilisation dpendra de la scurit juridique recherche. Nonobstant les lois et rglements relatifs la conformit qui simposent, une analyse de risques sera dterminante (ex : la norme internationale ISO 27005 ou en France, la mthode EBIOS). Le dveloppement des technologies de linformation a fait merger diffrentes mthodes pour relier une donne sous forme numrique une personne ou une entit dfinie et ceci afin dassurer lintgrit de linformation ainsi que de permettre cette personne ou entit de dmontrer quelle a le droit ou lautorisation daccder un certain service ou une certaine source dinformation. Sur le plan juridique, les acteurs doivent pouvoir se fier lidentit numrique dune personne, afin dtre en position de lui imputer un acte ou un fai t juridique. Pour assurer une bonne gestion des risques juridiques, chaque partie doit tre en mesure davoir une confiance raisonnable en lidentit numrique dclare ou vrifie, selon le besoin et la nature de lopration en cause. Ces besoins dauthentification et de signature lectronique existent tant au sein dune entreprise ou dun groupe, que dans les relations commerciales, tant en droit interne, quen droit international. En cas de diffrend, lidentit dune personne reste incontournable pour introduire une action en justice contre celle-ci, devant un tribunal territorialement comptent. Cette prise de conscience impose de soumettre les acteurs conomiques aux nouvelles exigences lies la scurisation de leurs activits, notamment via les mthodes dauthentification et didentification. Ainsi, ltude du cadre juridique des mthodes dauthentification, didentification et de signature lectronique savre essentielle pour dterminer les enjeux socitaux, conomiques et politiques des communications lectroniques internationales. Luvre normative de la C.N.U.D.C.I. a t continue et fournie depuis sa fameuse loi-type sur le commerce lectronique de 1996 sur laquelle les fondations de la confiance se sont progressivement construites au niveau international10. Pourtant, lors de sa recommandation
10
Eric A. Caprioli et Renaud Sorieul, Le commerce lectronique international : vers lmergence de rgles juridiques transnationales, Journal du Droit international (Clunet) 1997, p.323 s ; Olivier Cachard, La rgulation internationale du march lectronique, L.G.D.J., Bibl. de dr. priv, 2002 ; Ugo Draetta, Internet et commerce lectronique en droit international des affaires, Paris et Bruxelles, F.E.C. et Bruylant, Collection feduci, 2003, p.
Page 4
de 1985, reprise par une rsolution de lAssemble gnrale des Nations Unies du 11 novembre 1985 concernant lutilisation des traitements automatiques de linformation11, la C.N.U.D.C.I. recommandait dj aux Gouvernements : c) de rexaminer l'exigence lgale d'une signature manuscrite ou de toute autre mthode d'authentification sur papier pour les documents commerciaux afin de permettre, le cas chant, l'utilisation de moyens lectroniques d'authentification ; . Par la suite, les travaux de la C.N.U.D.C.I. ont conduit ladoption de la loi -type sur le commerce lectronique en 199612, de la loi-type sur les signatures lectroniques en 200113 et de la Convention des Nations Unies sur lutilisation des communications lectroniques dans les contrats internationaux en 200514. Ces instruments juridiques ont largement contribu lharmonisation des dispositions lgislatives nationales applicables a ux signatures lectroniques15. Outre les aspects juridiques de chaque systme juridique sur lauthentification et la signature lectronique, les principales questions juridiques lies leur utilisation et leur reconnaissance transfrontires lors doprations internationales ont t identifies loccasion de la publication indpendante du secrtariat de la CNUDCI remarque lors de la
101 s. ; Eric A. Caprioli, Droit international de lconomique numrique , prface de Renaud Sorieul, Paris, Litec, me 2 d., 2007 ; Amelia H. Boss, The United Nations Convention on the Use of Electronic Communications in International Contracts, Kluwer Law International, 2008 ; Jos Angelo Estrella Faria, Convention des Nations Unies sur lutilisation des communications lectroniques dans les contrats internationaux , Journal du Droit international (Clunet), 2006, p. 393 et s. ; Corinne Montineri, Un droit moderne pour le commerce mondial, Journal du Droit international (Clunet), n4, octobre 2007, biblio. 24. 11 CNUDCI, Doc. A/CN.9/265, du 21 fvrier 1985, v. 82. En outre, la Commission avait recommand aux Etats : a) de rexaminer les rgles juridiques touchant l'utilisation des enregistrements informatiques comme moyens de preuve en justice afin d'liminer les obstacles superflus leur recevabilit, de s'assurer que ces rgles sont compatibles avec les progrs techniques et de donner aux tribunaux les moyens leur permettant d'apprcier la fiabilit des donnes contenues dans ces enregistrements ; b) de rexaminer les rgles juridiques en vertu desquelles certaines transactions commerciales ou certains documents ayant trait au commerce doivent tre sous forme crite, que cette forme crite soit ou non une condition requise pour que la transaction ou le document soit valide ou s'impose aux parties, afin de faire en sorte que, le cas chant, la transaction ou le document puissent tre enregistrs et transmis sur support informatique; () d) de rexaminer les rgles juridiques selon lesquelles les documents soumettre l'administration doivent tre prsents par crit et doivent porter une signature manuscrite en vue d'autoriser leur prsentation sur support informatique aux services administratifs qui ont acquis les quipements ncessaires et mis en place les procdures requises ; . 12 E. Caprioli, Un texte prcurseur en matire de commerce lectronique : la loi type de la Commission des Nations Unies pour le commerce international (CNUDCI), Droit de lInformatique et des Tlcoms 96/3, p. 88. 13 E. Caprioli, Le projet de rgles uniformes de la C.N.U.D.C.I. sur les signatures lectroniques : bauche dune harmonisation internationale, in Droit et conomie du savoir, Journes Maximilien-Caron 2000, Montral, d. Thmis, 2001, p.103 s. ; E. Caprioli, La loi type de la CNUDCI sur les signatures lectroniques (Vienne 23 juin - 13 juillet 2001), Comm. Com. Electr. 2001, n12, p.9 ; Commentaire sur Loi type de la CNUDCI sur les signatures lectroniques ralis par le CRID, sous la coordination de H. Jacquemin, consultable ladresse : http://mineco.fgov.be/internet_observatory/pdf/legislation/cmt/law_un_2001-07-05_cmt_fr.pdf. 14 er Cette convention ntait pas en vigueur au 11 fvrier 2011. Au 1 mars 2011, les Etats ayant ratifi linstrument sont au nombre de 2, le Honduras et Singapour. V. sur le site : www.uncitral.org. 15 Loi-type de la CNUDCI sur le commerce lectronique, 1996, v. larticle 7 ; Loi-type de la CNUDCI sur les signatures lectroniques, 2001, v. les articles 1, 8, 9, 11 ; Convention des Nations Unies sur l'utilisation de communications lectroniques dans les contrats internationaux, 2005, v. la rticle 9.
Page 5
quarantime session de la Commission en 200716. Lintervention de tiers, prestataires de services de confiance, prsente des difficults spcifiques, notamment pour ceux qui, dans le cadre dune infrastructure cl publique (ICP), mettent et grent des certificats dauthentification, de signature lectronique ou permettant le chiffrement de donnes. En effet, chaque application appellera un flux spcifique de donnes identification, authentification, signature ou chiffrement qui dpend du niveau de scurit des informations changes sur le web, mais galement de son cadre juridique. Certains Etats se sont dores et dj saisis de la question de lidentification sur les rseaux, en incluant dans leur titre national didentit plusieurs catgories de certificats, publics ou privs17. A titre dexemple, la dmatrialisation des moyens de paiement virements, cartes de crdit, prlvements - fait depuis longtemps appel des mcanismes relativement robustes de confirmation didentit et de solvabilit18; les moyens traditionnellement admis (usages) ne suffisent plus garantir une identit dans le cadre de lconomie numrique. Ainsi, une simple adresse lectronique suffit-elle garantir lidentit dun commerant ? Avec le dveloppement actuel de lconomie numrique, des rgles fiables, traduites sous forme de normes juridiques internationales, doivent tre instaures pour prvenir les menaces de fraude et pour garantir un niveau de confiance suffisant. Lutilisation des communications lectroniques dans les contrats commerciaux internationaux ne peuvent plus reposer uniquement sur les moyens classiques de reconnaissance mutuelle des parties (valables si les parties sont dans une relation courante daffaires, car une fraude ou une usurpation didentit peut affecter les communications lectroniques)19, mais sur les nouvelles mthodes dauthentification et de signature lectronique (3D Secure20, PCI-DSS)21. En outre, bien que se situant hors du domaine dintervention de la C.N.U.D.C.I., il convient de souligner que sur le plan de la cybercriminalit, la gestion de lidentit numrique a de multiples incidences juridiques. Des travaux ont t initis rcemment dans le cadre de
16
V. Documents officiels de lAssemble gnrale, soixantime et unime session, supplment no 17 (A/61/17), paragraphe 21 ; v. aussi Promouvoir la confiance dans le commerce lectronique : questions juridiques relatives lutilisation internationale des mthodes dauthentification et de si gnatures lectroniques, CNUDCI, Vienne 2009. Disponible sur http://www.uncitral.org/pdf/french/texts/electcom/08-55699_Ebook.pdf. 17 Voir notamment la carte didentit lectronique en Belgique (eid) ladresse : http://welcome-to-ebelgium.be/fr/ ; en Estonie (Card id, disponible ladresse www.id.ee) ; en Italie (http://www.cnipa.gov.it). 18 A titre dexemple, le rseau des cartes de paiement certifie quasiment en temps rel la solvabilit de lacheteur mais galement la possession lgitime du titre par la gnration du code PIN et son contrle lors des transactions. 19 Lenvoi de documents bancaires et de pices didentit des inconnus peuvent servir de nombreuses fraudes non seulement lencontre des personnes physiques, mais aussi des entreprises. 20 Rappelons ici que 3D Secure est un protocole scuris de paiement sur lInternet. Il consiste sassurer, lors de chaque paiement en ligne, que la carte est bien utilise par son titulaire. Ainsi, en plus du numro de carte bancaire, de la date d'expiration de la carte et des trois chiffres du code de scurit (imprims au dos de la carte), linternaute doit saisir un mot de passe, tel que sa date de nai ssance ou un code dynamique usage unique. Voir notamment le site : http://visa-europe.fr/fr. 21 Le Payment Card Industry Data Security Standard (PCI DSS) est un standard de scurit des donnes pour l industrie des cartes de paiement cr par le comit PCI SSC pour les plus importantes entreprises de carte de dbit et crdit (Visa, MasterCard, American Express, Discover, JCB). Cette norme comporte 12 exigences applicables aux commerants en ligne et aux fournisseurs de services de paiement en vue de protger leurs donnes et de prvenir les fraudes. Voir notamment http://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/doc/pci_dss_v1-2.pdf.
Page 6
lUNODC Vienne (United Nations Office on Drugs and Crime22) et pourraient aboutir une convention internationale sur la cybercriminalit dans la ligne de la Convention du Conseil de lEurope du 23 novembre 200123. Sagissant des rgles juridiques internationales, elles constitueraient une avance significative dans un domaine o lauthentification est souvent encadre de manire purement contractuelle. Dans la plupart des systmes juridiques, seule la signature lectronique laquelle une valeur juridique est associe et lcrit lectronique qui en rsulte, font lobjet de dispositions lgislatives24. Si lidentit est un concept complexe, elle peut cependant se manifester sous des formes trs diverses dans lunivers numrique, en fonction des utilisations. Cest pourquoi, il faut ce stade bien distinguer lidentit sous forme numrique qui relve de la puissance rgalienne de certains Etats comme la France et les identifiants numriques qui peuvent aller de la simple adresse de messagerie lectronique, un login/mot de passe, en passant par une adresse IP ou une signature manuscrite scanne25. Les effets juridiques de ces dispositifs techniques doivent tre diffrencis tant donn quils varient en fonction de limportance accorde lopration en cause. La prsente tude a pour objectif de prsenter les donnes de base de la gestion de lidentit numrique (ou des identits) et de tracer quelques pistes de rflexion en vue dassurer la mise en uvre de rgles juridiques internationales par une autorit l gitime (la C.N.U.D.C.I.) afin de combler des carences importantes en la matire. Il en va de la confiance dans lconomie numrique.
22 23
Pour les travaux de lOffice des Nations Unies contre la drogue et le crime, v. le site : www.unodc.org/. Myriam Qumner, Lutte contre la cybercriminalit. O en est -on des instruments internationaux? , Expertises, Mars 2011, spc. p.98 -99. V. gal., Gilberto Martins de Almeida, Typology and criminalization approaches to identity -related crime: Compendium of examples of relevant legislation , paratre sur le site de lUNODC. Sur la Convention du Conseil de lEurope, v. Eve Tourny, La lutte contre la criminalit informatique en matire bancaire : approches de droit compar et de droit international , Thse pour le Doctorat en droit, Universit de Nice Sophia Antipolis, 27 Mai 2011, p.329 s. 24 V. pour la France : Loi n2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative la signature lectronique (JO n 62 du 14/05/2000 p. 3968), Dcret d'application n 2001-272 du 30 mars 2001 (JO n 77 du 31 mars 2001), Dcret n2002-535 du 18 avril 2002 relatif l'valuation et la certification de la scurit offerte par les produits et les systmes des technologies de l'information (JO n 92 du 19 avril 2002) ; pour la Belgique : Loi n 2000/10017 du 20 octobre 2000 introduisant lutilisation de moyens de tlcommunication et de la signature lectronique dans la procdure judiciaire et extrajudiciaire (Moniteur Belge du 22/12/2000, p.42698), Arrt royal du 6 dcembre 2002 organisant le contrle et l'accrditation des prestataires de service de certification qui dlivrent des certificats qualifis (Moniteur belge du 17/01/2003) ; pour le Luxembourg : Loi du 14 aot 2000 relative au commerce lectronique (JO n 96 du 8/09/2000 p. 2176), le rglement grand-ducal du 1er juin 2001 relatif aux signatures lectroniques, au paiement lectronique et la cration du comit commerce lectronique (JO n 71 du 22 juin 2001 p. 1429), le rglement grand-ducal du 21 dcembre 2004 portant organisation de la notification des prestataires de services dlivrant des certificats qualifis, mettant en place un systme daccrditation des prestataires de services de certification, crant un comit signature lectronique et dterminant la procdure dagrment des auditeurs externes (JO n 21 du 14/02/2005 p. 418). 25 La reprsentation graphique de la signature manuscrite peut tre contrle par le signataire (ex : avec un mot de passe) ou non. Juridiquement, la fiabilit du procd et sa scurit sont essentielles tant donn les consquences qui peuvent tre associes une signature.
Page 7
Ainsi, aprs avoir procd lanalyse de lenvironnement juridique et normatif de la gestion didentit (I), les diverses possibilits de leur mise en uvre juridique internationale seront envisages (II).
I. Cadre juridique et normatif de la gestion de lidentit

Afin danalyser les principaux concepts associs la gestion de lidentit numrique, la dmarche retenue nous conduira exposer les lments de dfinition des principaux concepts relatifs aux mthodes dauthentification et de signature lectronique (A) avant de prciser les exigences techniques et juridiques (conformit lgale et rglementaire) ncessaires la mise en uvre de lidentit numrique (B).
A. Elments de dfinitions
Avant de pouvoir, tracer les contours juridiques que pourrait emprunter la gestion de lidentit numrique, il sagira de poser plusieurs dfinitions dans un domaine o la complexit est de mise et o la dimension technique a fortement influencer les pratiques et les usages. Mais certaines normes juridiques impratives sapplique ; il en va ainsi des dispositions relatives la protection des donnes personnelles tant donn que la gestion des identits numriques implique la collecte, le traitement voire la conservation de donnes permettant didentifier directement ou indirectement une personne physique26. Ce pralable ncessaire passe par lexamen des termes utiliss comme lauthentification, la signature lectronique, ce qui nous amnera prsenter les principales techniques utilises dans le cadre des changes lectroniques.
1. Authentification27
La scurit dans les communications lectroniques induit un besoin accru en matire didentification des personnes, de sorte que lauthentification prend alors le relais sur lidentification physique traditionnelle avec, pour finalit, de vrifier lidentit dont une entit (personne ou machine) se rclame. Dans les pays europens de tradition civiliste, le concept dauthentification est interprt de faon assez troite. Il signifie que lauthenticit dun document a t vrifie et certifie par une autorit publique comptente (juridiction ou Etat civil) ou un officier public et ministriel dont les pouvoirs ont t dlgus par une autorit publique (notaires, huissiers de justice). En procdure civile, il est courant de se rfrer plutt la notion de document original . Dans cette logique, le caractre authentique dun document renvoi e sa nature
26
Le sujet de la protection des donnes caractre personnel mriterait de plus amples dveloppements que ceux contenus dans la prsente tude qui se contente dvoquer les questions y affrentes comme par exemple en matire de donnes biomtriques, v. infra I.A.6. 27 Mcanisme de scurit qui permet de sassurer de lauthenticit de lmetteur ou du rcepteur dun message. Lauthentification peut tre simple (utilisation dun mot de passe) ou complexe (recours au chiffrement). Authentification de lorigine des donnes : confirmation que la source des donnes est telle que dclare , in Dictionnaire de linformatique, sous la direction de Pierre Morvan, Larousse, 1996, VAuthentification (en anglais : authentication).
Page 8
sincre28, cest--dire quil mane bien des signataires, quil constitue linstrumentum original des informations quil contient, sans altration ni modification depuis son tablissement. Pendant longtemps, en labsence de dfinition juridique29 prcise de lauthentification au niveau europen, il a fallu se rfrer aux dispositions relatives la signature lectronique en tant que mthode dauthentification. En effet, larticle 2 de la directive 1999/93/CE30 du 13 dcembre 1999 du Parlement europen et du Conseil, sur un cadre communautaire pour les signatures lectroniques dfinit la signature lectronique comme une donne sous forme lectronique, qui est jointe ou lie logiquement dautres donnes lectroniques et qui sert de mthode dauthentification . En outre, un certificat constitue un dispositif de vrification dune signature lectronique ; il est dfini par larticle 2-9 de la directive comme une attestation lectronique qui lie des donnes affrentes la vrification de signature une personne et confirme lidentit de cette personne . Sagissant dun certificat qualifi , selon larticle 2-10, cest : un certificat qui satisfait aux exigences vises l'annexe I et qui est fourni par un prestataire de service de certification satisfaisant aux exigences vises l'annexe II . La premire vritable dfinition juridique de lauthentification a t introduite dans le Rglement communautaire n 460/2004 du 10 mars 200431 instituant lAgence europenne charge de la scurit des rseaux et de linformation (ENISA). Selon son article 4 -e, lauthentification doit tre entendue comme la confirmation de lidentit prtendue dentits ou dutilisateurs . Cette dfinition est assez large puisquelle intgre les personnes morales. Dans le contexte international, ni la Loi type de la CNUDCI sur le commerce lectronique 32 ni la Loi type de la CNUDCI sur les signatures lectroniques33 nemploient le terme authentification lectronique , en raison du sens diffrent attribu au mot authentification dans divers systmes juridiques et de la confusion possible avec des procdures ou des exigences de forme particulires. Par ailleurs, sil est fait tat de
28
Eric A. Caprioli, La sincrit de la signature lectronique , in La sincrit en droit, (sous la coordination de Olivier Le Bot), Bruxelles, Larcier, 2011, v. p.111-127 ; disponible ladresse : http://www.caprioli-avocats.com. 29 Il existe des dfinitions purement techniques de lauthentification, elles ne sont pas prises en compte dans le cadre de la prsente analyse qui se situe sur un plan juridique. 30 J.O.C.E., L 13 du 19 janvier 2000, p. 12 et s. V. notamment : Pierre Catala, Le formalisme et les nouvelles technologies, Defrnois 2000, p.897 s. ; Eric A. Caprioli, La loi franaise sur la preuve et la signature lectroniques dans la perspective europenne, J.C.P. d. G, 2000, I, 224 et La directive europenne n1999/93/CE du 13 dcembre 1999 sur un cadre communautaire pour les signatures lectroniques , Gaz. Pal. 29-31 octobre 2000, p. 5 et s. ; Eric A. Caprioli, Scurit et confiance dans les communications lectroniques en droits franais et europen, in Libre droit, Mlanges Ph. Le Tourneau, Dalloz, 2008, p. 155 et s ., disponible ladresse : http://www.caprioli-avocats.com/pdf/securite-informatique-electronique.pdf. ; Pierre Yves Gautier et Xavier Linant de Bellefonds, De lcrit lectronique et des signatures qui sy attachent , JCP d. G, I, 236, 2000, p. 1113 et s ; Pierre Leclercq Le nouveau droit civil et commercial de la preuve et le rle du juge, Le droit des preuves au dfi de la modernit, Actes du colloque du 24 mars 2000, d. La documentation franaise, 2000. 31 J.O.C.E L 077, 13 mars 2004, p.1 et s. 32 Loi-type de la CNUDCI sue le commerce lectronique et Guide pour son incorporation, 1996 avec article 5bis tel quajout en 1998, Publication des Nations Unies, accessible sur le site Internet : http://www.uncitral.org/pdf/french/texts/electcom/ml-elecsign-f.pdf. 33 Loi-type de la CNUDCI sur la signature lectronique et Guide pour son incorporation, 2001, accessible sur le site Internet : http://www.uncitral.org/pdf/french/texts/electcom/ml-elecsign-f.pdf.
Page 9
lauthentification dans le Guide dincorporation de la loi type de la CNUDCI sur le commerce lectronique34, elle na trait qu lauthentification des messages ou des donnes. La responsabilisation des acteurs sur lInternet est encore en dveloppement. Elle a reu rcemment quelques confirmations importantes de la part de la justice amricaine. Notamment, dans une dcision du Tribunal de lIllinois, dans une affaire Shames Yeakel vs Citizen Financial Bank en date du 21 aot 2009 (Case 07 C 5387)35, les juges ont accueilli favorablement la plainte dune victime dune cyber-attaque sur son compte bancaire en ligne, dpose contre ltablissement bancaire. Ce jugement remettait en cause lauthentification facteur unique (un seul canal didentification comme lidentifiant/mot de passe) pour protger laccs aux comptes bancaires en ligne. Ainsi, dans le cadre de lauthentification au moment de laccs aux comptes bancaires via lInternet, ltablissement bancaire est tenu de satisfaire aux normes techniques et scuritaires gnralement admises et proportionnes aux risques lis ses produits et services, qui sont considres comme les seules suffisantes. Le jugement en question fournit par ailleurs, une liste des mthodes mises en place par ces institutions financires afin de procder lauthentification de leurs clients. Cette liste comprend notamment lutilisation de mots de passe, de numros personnels didentification (PINs), de certificats lectroniques, de supports physiques tels que les smart cards ou les cls USB, de mots de passe uniques (OTPs) ou dautres types de tokens , des procds biomtriques, etc. En France, la Cour dappel de Versailles le 18 novembre 201036 a eu juger une question de scurit connexe pour engager la responsabilit dune banque. Dans cette affaire, on peut constater que lauthentification, plus quun simple moyen de vrification de lidentit dune personne, doit tre considre comme une vritable mesure de scurit pour la gestion des accs) linstar de ce que prcise la norme ISO 2700137. En l'espce, une femme, agent de la RATP, a saisi la justice lencontre de la banque dans laquelle elle avait constitu une pargne salariale dentreprise. Elle demandait le remboursement de la somme de 13.244,85 euros prleve de son compte bancaire par son poux avec lequel elle tait en instance de divorce. Les magistrats observent que dans un premier temps, l'pargnant qui souhaitait consulter en ligne ses comptes sur le site internet de la socit intime pouvait accder son espace scuris en saisissant ses identifiants tels que le numro d'entreprise et le code serveur qui taient mentionns sur les relevs adresss titre personnel au titulaire ; qu'ensuite, l'utilisateur devait ncessairement, s'il voulait effectuer une opration, utiliser un mot de passe ; qu'ainsi la ralisation de toute opration telle que demande de remboursement d'avoirs disponibles ou demandes de transfert, requraient l'utilisation par l'pargnant du mot de passe, qu'on lui laissait crer lui-mme lors de sa premire connexion .
34
Guide pour lincorporation de la loi type CNUDCI sur le commerce lectronique, n 39 et s., http://www.uncitral.org/pdf/french/texts/electcom/05-89451_Ebook.pdf. 35 Commentaire par Eric Caprioli, Premire dcision amricaine concernant l'authentification par voie lectronique d'un client bancaire, Communication Commerce Electronique (LexisNexis) n 4, Avril 2010, comm. 41. 36 Dcision N 09/06634, Marie-Maure C. pouse A. c/ SA Natixis Interepargne. 37 ISO/IEC 27001 :2005 v. le 16.
Page 10
Ainsi, pour les juges l'utilisation du compte pargne entreprise l'insu de la titulaire, notamment par son poux, avec lequel elle tait alors en instance de divorce, restait alors possible, tout tiers suffisamment proche de Mme X pour entrer en possession de ses relevs de compte n'ayant qu' crer lui-mme un premier mot de passe pour se rendre matre des sommes non bloques qui taient dposes sur ce dernier . Au surplus, une modification ultrieure de son systme de scurisation des comptes, consistant en lmission du mot de passe par la banque et sa communication par c ourrier spar de celui portant le code identifiant dmontrait que la banque avait bien conscience de ce que dans une premire priode de gestion en ligne des comptes individuels de ses clients, elle ne remplissait pas totalement son obligation de scurit et donc de scurisation des oprations de gestion informatique de ces comptes. . La banque se voit donc condamne rembourser la titulaire du compte la moiti des sommes dbites frauduleusement par son poux (correspondant la hauteur des sommes lui revenant l'issue de la procdure de divorce) sur le fondement de son manquement lobligation de scurit. Cependant, la Cour dappel a galement reconnu que la banque tait fond e agir en garantie contre le conjoint indlicat. A la suite de demandes rptes de la Banque de France concernant la hausse du niveau de scurisation des activits de banque en ligne, le Groupe dexpertise FBF-BDF a travaill jusquen mars 2009 sur lauthentification et la scurit des paiements sur lInternet (Rapport du 2 mars 2009 au COMP). La principale recommandation consiste en lusage dun mot de passe alatoire pour lauthentification lors de virements sur lInternet ou dautres oprations sensibles (services dmission de chque dmatrialis, commandes de moyens de paiement, services de mise jour de toute donne client permettant une prise de contrle, mme partielle, du compte - changement dadresse courrier, etc. - ou des donnes pouvant tre utilises par la banque pour authentifier son client - selon les cas : numro de portable, adresse email, etc. -, services de coffre-fort lectronique). Lobjet de cette recommandation est de garantir ainsi un niveau de scurit considr comme lmentaire laide dune solution dynamique non rejouable. Par ailleurs, la Banque de France considre que certaines donnes (identifiants de compte type BIC/IBAN, numros de carte) affiches ou utilises via la banque en ligne revtent une certaine sensibilit en raison de leur possible rutilisation frauduleuse via le canal de lInternet ou sur dautres canaux (paiement par prlvement ou paiement par carte sur certains sites sur lInternet). Cest la raison pour laquelle la Banque de France appelle les tablissements bancaires tre vigilants vis--vis de laffichage de ces identifiants de compte ou de carte en clair sur leurs sites de banque en ligne, lorsque ceux-ci ne sont pas scuriss ds la connexion par une authentification non rejouable. De mme, la Banque de France considre que la saisie des numros de compte comme identifiants lors de la connexion ne constitue pas une bonne pratique en termes de scurit. Elle recommande aux tablissements demployer un autre type didentifiant pour la connexion de ses clients, ou dfaut dtudier la mise en uvre de mesures palliatives afin de dissimuler totalement ou partiellement ces donnes la saisie. Eric A. CAPRIOLI, Avocat la Cour de Paris
Page 11
Ainsi, les mthodes dauthentification fortes sont plus fiables et permettent de prvenir des cas de fraude plus efficacement. Par exemple, la protection assure par lutilisation dun mot de passe et dun identifiant est une authentification un facteur (lutilisateur fournit uniquement une information quil possde) tandis quune mthode dauthentification forte impose une combinaison de deux canaux distincts et de deux facteurs : un en ligne, lautre gnr de faon alatoire (non rejouable) via le tlphone mobile ou un One time Password (OTP).
2. Identification
Lidentification peut tre dfinie comme une opration permettant un individu de faire tat de son origine sur la base dun lment externe, dexprimer son identit. Elle peut tre ralise par le biais de tout document pouvant attester de lorigine dune personne (extrait de naissance, carte didentit, permis de conduire, passeport), mais galement sur la base du tmoignage de tiers. En revanche, cette procdure nexige pas que soit constitu un lien physique entre la personne et llment externe qui atteste de son origine. Sidentifier cest donc communiquer une identit pralablement enregistre, sauthentifier, cest apporter la preuve de son identit. Cette dernire recouvre lensemble des composantes grce auxquelles il est tabli quune personne est bien celle qui se dit ou que lon prsume telle (nom, prnoms, nationalits, filiation...)38, ainsi que tous les traits juridiquement pertinents qui se retrouvent aussi bien dans le numro national didentification attribu par lINSEE que sur la carte nationale didentit dlivre par le ministre de lintrieur ou sur les actes de ltat civil.39. Lidentification des personnes constitue la condition sine qua none de la scurit des changes sur les rseaux numriques, quil sagisse de transactions commerciales ou administratives (tl-services) ou de simples correspondances prives. Ainsi, ds le moment o lon considre que le droit lanonymat40, sous rserve notamment de larticle 6-III-2 de la Loi pour la confiance dans lconomie numrique (LCEN) du 21 juin 2004 41 ne trouve pas sappliquer dans lunivers des rseaux numriques comme linternet , plusieurs risques juridiques devront tre pris en compte, notamment : Les risques lis la dngation dun acte juridique conclu par voie lectronique (remise en cause dun engagement/contrat sur les rseaux) ;
38
Lexique des termes juridiques, d. Dalloz, 1999, p. 280, V Identit. Selon Grard Cornu : Pour une personne physique : ce qui fait quune personne est elle -mme et non une autre ; par ext., ce qui permet de la reconnatre et de la distinguer des autres ; lindividualit de chacun, par ext. Lensemble des caractres qui permettent de lidentifier , Vocabulaire juridique, Quadrige/PUF, 2000, p. 431, V Identit. 39 Alain Supiot, Lidentit professionnelle, in Les orientations sociales du droit contemporain. Ecrits en lhonneur du Professeur J. Savatier, P.U.F., 1992, p. 409 et s. 40 Jacqueline Pousson-Petit, Le droit lanonymat, in Mlanges ddis Louis Boyer, Presse de lUniversit des Sciences sociales de Toulouse, 1996, p. 595 s. ; Eric A. Caprioli, Anonymat et commerce lectronique, in Les premires journes internationales du droit du commerce lectronique, Actes du colloque de Nice des 23, 24 et 25 octobre 2000 organis par le Dpartement Sciences Juridiques de lEDHEC et lEcole du Droit de lEntreprise de la Facult de Droit de lUniversit de Montpellier, sous la respon sabilit scientifique de Eric A. Caprioli, Litec, 2002, v. p. 149 s. 41 2. Les personnes ditant titre non professionnel un service de communication au public en ligne peuvent ne tenir la disposition du public, pour prserver leur anonymat, que le nom, la dnomination ou la raison sociale et l'adresse du prestataire mentionn au 2 du I, sous rserve de lui avoir communiqu les lments d'identification personnelle prvus au 1.
Page 12
Les risques lis une utilisation dlictuelle des donnes personnelles et des rseaux (par exemple, infractions lies aux actes de paiement, aux dnis de service (saturation), ou infractions facilites ou lies l'utilisation des technologies de linformation : diffusion de contenus illicites (pdopornographie, racisme, antismitisme, etc.), escroqueries par utilisation frauduleuse de numros de carte bancaire pour une transaction en ligne (phishing42) ou de donnes sociales, les escroqueries par fausses ventes sur un site d'enchres en ligne, les contrefaons de logiciels ou d'uvres audiovisuelles, que ces actes soient effectus partir dun ordinateur situ au domicile dune personne ou dans une entreprise43.
En France, par exemple, en vertu de larticle 6-II de la LCEN, les fournisseurs daccs et les hbergeurs de contenus sont soumis une obligation de dtenir et de conserver les donnes de nature permettre lidentification des personnes qui ont contribu la cration du contenu ou de l'un des contenus des services dont elles sont prestataires 44. Cependant, ces identifications ne touchent que les contenus diffuss sur linternet et non pas les transactions ou les accs en ligne des donnes ou des services 45. Do, nonobstant la
42
Eric A. Caprioli, Le phishing saisi par le droit (TGI Paris, 31 chambre, 21 sept. 2005, Microsoft Corporation / Robin B), Comm. Com. Electr. Fvrier 2006, p. 48, n37. 43 Myriam Qumner et Yves Charpenel, Cybercriminalit, Droit pnal appliqu, Economica, 2010 ; Abbas Jaber, Les infractions commises sur Internet, Paris, LHarmattan, Prface de Herv Bonnard, 2009 ; Eric A. Caprioli, Le risque pnal dans lentreprise et les technologies de linformation , JCP E, 2006, Cah. Dr. Entrep., janvier-fvrier 2006, n10. 44 II. () Elles fournissent aux personnes qui ditent un service de communication au public en ligne des moyens techniques permettant celles-ci de satisfaire aux conditions d'identification prvues au III. L'autorit judiciaire peut requrir communication auprs des prestataires mentionns aux 1 et 2 du I des donnes mentionnes au premier alina. Les dispositions des articles 226-17, 226-21 et 226-22 du code pnal sont applicables au traitement de ces donnes. Un dcret en Conseil d'Etat, pris aprs avis de la Commission nationale de l'informatique et des liberts, dfinit les donnes mentionnes au premier alina et dtermine la dure et les modalits de leur conservation. III. - 1. Les personnes dont l'activit est d'diter un service de communication au public en ligne mettent disposition du public, dans un standard ouvert : a) S'il s'agit de personnes physiques, leurs nom, prnoms, domicile et numro de tlphone et, si elles sont assujetties aux formalits d'inscription au registre du commerce et des socits ou au rpertoire des mtiers, le numro de leur inscription ; b) S'il s'agit de personnes morales, leur dnomination ou leur raison sociale et leur sige social, leur numro de tlphone et, s'il s'agit d'entreprises assujetties aux formalits d'inscription au registre du commerce et des socits ou au rpertoire des mtiers, le numro de leur inscription, leur capital social, l'adresse de leur sige social ; c) Le nom du directeur ou du codirecteur de la publication et, le cas chant, celui du responsable de la rdaction au sens de l'article 93-2 de la loi n 82-652 du 29 juillet 1982 prcite ; d) Le nom, la dnomination ou la raison sociale et l'adresse et le numro de tlphone du prestataire mentionn au 2 du I. 2. Les personnes ditant titre non professionnel un service de communication au public en ligne peuvent ne tenir la disposition du public, pour prserver leur anonymat, que le nom, la dnomination ou la raison sociale et l'adresse du prestataire mentionn au 2 du I, sous rserve de lui avoir communiqu les lments d'identification personnelle prvus au 1. Les personnes mentionnes au 2 du I sont assujetties au secret professionnel dans les conditions prvues aux articles 226-13 et 226-14 du code pnal, pour tout ce qui concerne la divulgation de ces lments d'identification personnelle ou de toute information permettant d'identifier la personne concerne. Ce secret professionnel n'est pas opposable l'autorit judiciaire. 45 Dans une affaire rcente, aprs notification par lettre recommande Facebook afin dobtenir le retrait intgral de la page incrimine et face linaction de la plate-forme, le tribunal saisi a indiqu dans sa dcision que Facebook n'est pas l'diteur des contenus publis sur son site mais un prestataire technique dont l'activit
me
Page 13
scurit, limportance juridique des diverses mthodes dauthentification et de signatures lectroniques.
3. Identit sous forme numrique

Lexplosion rapide des espaces de communication et dexpression sur lInternet pose avec acuit la question de lidentit sous forme numrique, notion encore complexe que les travaux les plus rcents en sciences humaines et sociales tentent de circonscrire. Daprs le Rapport Truche46, Le concept mme didentit numrique nest pas, et pas plus que lidentit traditionnelle univoque et uniforme : lidentit numrique se compose dun ensemble didentifiants partiels, finaliss, et des relations quentretiennent ces identifiants. Lessor de ladministration lectronique, et plus largement de la socit de linformation, multiplie et complexifie ces identits partielles et ces relations, sans pour autant conduire les fusionner : cela pose la question de linteroprabilit des identits numriques. . En effet, les procds didentit sous forme numrique ne doivent nullement tre considrs comme la transposition de rgles de fonctionnement du monde physique mais comme des dispositifs qui, grce aux technologies mises en uvre, permettent d'anticiper des gains de productivit importants et favorisent lapparition de nouveaux mtiers dintermdiation. Cependant, il nen demeure pas moins que lidentit doit apporter sa pierre ldification de la scurit des usages numriques. L'usage courant du pseudonyme (qui est un moyen didentification dun individu sous couvert danonymat47) constitue un obstacle la recherche de certitude dune vritable
est d'offrir des services de communication au public en ligne . Aprs avoir retenu, sur le fondement de la LCEN, la qualification dhbergeur, le juge des rfrs a ordonn sous astreinte, Facebook le retrait des contenus litigieux ainsi que la communication des lments permettan t lidentification de leurs auteurs. TGI Paris, ord. re rf. du 13 avril 2010, H. Giraud c/ Facebook France, RG : n 10/53340 ; V. gal. : Cass. civ. 1 , 14 janvier 2010, Tiscali Mdia / Dargaud Lombard, Lucky Comics, RG n 06/18855, v. Jrme Huet, Tiscali n'est pas un hbergeur, Legipresse n 270, 1 mars 2010, p.39-42 ; Lionel de Souza, Statut de l'hbergeur : la Cour de cassation adopte une analyse stricte, Expertises des systemes d'information n345, 1 mars 2010, p. 100-101 ; Philippe Stoffel-Munck, Avis de tempte sur le Web 2.0 : la Cour de cassation juge que Tiscali n'est pas un hbergeur, Comm. Com. Electr. n3, 1 mars 2010, comm. 25 ; Frederic Pollaud-Dulian, Note sous Cour de cassation, premire Chambre civile, 14 janvier 2010, Socit Telecom Italia (anciennement Tiscali media) contre Socit Dargaud Lombard, pourvoi numro 06-18.855, RTD com n2, 1 avril 2010, p. 307-310. 46 Rapport Truche, Administration lectronique et protection des donnes personnelles . Synthse, Paris 2002, disponible sur http://www.foruminternet.org/telechargement/documents/rapp-truche-20020226.pdf. 47 Lusage du pseudonyme est prvu dans la directive n 1999/93/CE du 13 dcembre 1999, sur un cadre communautaire pour les signatures lectroniques (JOCE n L 013 du 19 janvier 2000 p. 0012 0020) : considrant 25 : () les dispositions relatives l'utilisation de pseudonymes dans des certificats n'empchent pas les tats membres de rclamer l'identification des personnes conformment au droit communautaire ou national ; Article 8.3 : Sans prjudice des effets juridiques donns aux pseudonymes par la lgislation nationale, les tats membres ne peuvent empcher le prestataire de service de certification d'indiquer dans le certificat un pseudonyme au lieu du nom du signataire ; Annexe I c) : Tout certificat qualifi doit comporter () le nom du signataire ou un pseudonyme qui est identifi comme tel ; Annexe IV f) : Durant le processus de vrification de la signature, il convient de veiller, avec une marge de scurit suffisante, ce que () l'utilisation d'un pseudonyme soit clairement indique () ; et en France, dans le dcret n 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif la signature lectronique (JO n 77 du 31 mars 2001 p. 05070) : Article 5 f) : Un dispositif de vrification de signature lectronique peut faire, aprs valuation, l'objet d'une certification, selon les procdures dfinies par le dcret mentionn l'article 4, s'il rpond aux exigences suivantes : Lorsqu'il est fait usage d'un pseudonyme, son utilisation doit tre clairement porte la
Page 14
identification numrique. Ainsi, l'identit sous forme numrique chappe pour lheure toute attribution par une autorit publique ; en ce sens, on peut estimer que les lments qui la composent ne relvent pas de l'identit juridique de la personne. Pourtant, dans la mesure o elle se trouve au cur dune rflexion nationale voire europenne dans le cadre du renforcement de la confiance numrique, touchant des problmes tels que lereputation, la protection des donnes personnelles ou encore le respect de la vie prive sur lInternet, diffrents textes lgislatifs et rglementaires sy rfrent. Actuellement, parmi les textes franais qui peuvent s'appliquer la protection de lidentit et du nom dune personne (donc dans des cas trs spcifiques), on trouve notamment : L'article 433-19 du code pnal qui concerne lutilisation dune fausse identit (au sens de lEtat civil) ; L'article 434-23 du code pnal qui concerne la prise du nom d'un tiers dans des circonstances qui pourraient engendrer son encontre des poursuites pnales ; Larticle 781 du code procdure pnale qui incrimine la prise dun faux nom ou dune fausse qualit ; Enfin, larticle 441-6 du code pnal, incriminant le fait de se faire indment dlivrer par administration un document destin constater un droit, une identit. Cependant, il convient de noter quici, ce nest pas lusurpation de lun ou plusieurs des identifiants numriques de la personne (ex : adresse de messagerie, nom de domaine, pseudonyme virtuel etc.), qui est rprime, mais seulement lusage des donnes didentification figurant lEtat civil dont le nom de famille, prnoms, domicile, ce qui ne permet pas dapprhender des comportements lis la cybercriminalit, tels que le phishing ou le spoofing . Par consquent, lide dinsrer un nouvel article dans le code pnal qui introduirait une pnalisation de lusurpation didentit numrique a fait lobjet de plu sieurs initiatives lgislatives, notamment le projet de la Loi dorientation et de programmation pour la performance de la scurit intrieure (LOPPSI), en deuxime lecture devant lAssemble nationale, ou encore le projet dpos le 27 juillet 2010 devant le Snat visant moderniser la carte nationale didentit, en lquipant de puce lectronique scurise contenant des donnes biomtriques ainsi que, facultativement, dun systme dauthentification distance de la signature lectronique. Il faut cependant noter que l aussi, ce nest pas lusurpation de lidentit-mme qui se voit sanctionne, mais plutt un accs frauduleux dans une base, lentrave ou laltration du fonctionnement de la base ou lintroduction, la modification ou la suppression frauduleuse de donnes. Dsormais, le nouvel article 226-4-1 du Code pnal introduit par la loi n 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la scurit intrieure48 dispose Le fait d'usurper l'identit d'un tiers ou de faire usage d'une ou plusieurs donnes de toute nature permettant de l'identifier en vue de troubler sa tranquillit ou celle d'autrui, ou de porter atteinte son honneur ou sa considration, est puni d'un an d'emprisonnement et de 15 000 d'amende.
connaissance du vrificateur ; Article 6-I. c) : Un certificat lectronique qualifi doit comporter () le nom du signataire ou un pseudonyme, celui-ci devant alors tre identifi comme tel. 48 J.O du 15 mars 2011 p. 4582.
Page 15
Cette infraction est punie des mmes peines lorsqu'elle est commise sur un rseau de communication au public en ligne. . Aucun domaine de la socit (organismes publics, entreprises, associations et individus) ntant labri des atteintes apportes lidentit sous forme numrique notamment en matire daccs des informations sensibles (mdicales, sociales, bancaires, etc.), de recrutement et dimage vhicule, les premiers problmes dordre juridique viennent souligner le caractre fondamental de ces questions et mettent en vidence leur complexit49. Le programme didentit lectronique franais ambitionne la mise en service dune carte nationale didentit (lectronique) spcifique, avec un objectif didentification gnrale et non des usages spcifiques, comme le permis de conduire ou le passeport 50. Comme le rappelait le Rapport Truche, les mcanismes inhrents aux certificats lectroniques constituent une vritable mine de renseignements si, lavenir, les fichiers devaient tre croiss par les dtenteurs des traces51. Les certificats de cette Carte Nationale dIdentit Electronique pourraient alors servir dans le cadre des formalits administratives (signature de mandataires sociaux, rponses aux appels doffres ou TlTVA, etc.)52. Paralllement, ils pourraient tre utiliss par les grandes entreprises dans le cadre de dlgations de pouvoirs, entre autres, grce des outils de workflow ou de paraphe lectronique.
4. Sceaux lectroniques
49
A titre dexemple, on peut citer le projet de loi allemande du 25 aot 2010 concernant la protection des donnes caractre personnel des salaris et qui vise, notamment, interdire aux employeurs de consulter le profil Facebook et les messages publis par les candidats lembauche. En France, mme si lobligation de sinformer simpose celui qui recrute (Cour dAppel de Nancy 27 mars 2002 SARL Comabois c./Dacquembronne, n00/01923 ; Cour dAppel de Montpellier 5 fvrier 2002), il est important de veiller au respect de larticle L. 1132-1 du code de travail). Ordonnance de rfr du 24 novembre 2010 du TGI de Paris, e 17 ch., Omar S. / Alexandre, P., Agathe Lepage, Faux profil sur Facebook, Comm. Com. Electr. n3, mars 2011, comm. 28. 50 La carte didentit se distingue des autres pices didentit par la runion de trois conditions : elle est dlivre par ltat ; elle vise des fins didentification gnrale et non des usages spcifiques (comme le permis de conduire ou le passeport) ; elle contient des renseignements qui en font, en comparaison des autres pices didentit, un document privilgi pour identifier les personnes. Rapport Truche, Administration lectronique et protection des donnes personnelles, Paris, 2002. Sur le passeport, v. Rglement (CE) n2252/2004 du Conseil du 13 dcembre 2004 tablissant des normes pour les lments de scurit et les lments biomtriques intgrs dans les passeports et les documents de voyage dlivrs par les Etats membres, JOUE du 20 dcembre 2004, L. 385/1. 51 Les risques et les perceptions en matire de vie prive se sont dplacs de la constitution de grands fichiers vers la problmatique de la gestion des traces que lon laisse dans les systmes que lon utilise ; Les risques et les perceptions en matire de vie prive se sont dplacs des fichiers publics, principaux crateurs et gestionnaires de fichiers, vers les oprateurs privs, spcialistes de marketing et de gestion optimise (du point de vue de lentreprise) de la relation client . Rapport Truche, Administration lectronique et protection des donnes personnelles, Synthse, Paris, 2002. 52 V. le rapport du Forum des Droits sur Internet "Projet de carte nationale d'identite numerique ", publie le 16 juin 2005 http://www.foruminternet.org/telechargement/documents/rapp-cnie-20050616.pdf ; Thierry PietteCoudol, L'identit des personnes, les certificats et la signature lectronique , Comm. Com. Electr. n 1, 1 janvier 2005, p. 19-24.
Page 16
Les tl-procdures au service des usagers - entreprises, professionnels ou particuliers - se sont dveloppes tout au long de la dernire dcennie (on pense ici aux dclarations de la TVA53 ou lImpt sur le revenu). Les procdures seffectuent galement dans les relations entre lEtat et les collectivits locales, notamment dans le cadre du contrle de lgalit par voie lectronique 54. Les procds de scellement lectroniques ont pour objet de garantir lintgrit des donnes auxquelles ils sont appliqus. Leurs manifestations soprent par le biais des signatures dites techniques (certificat de serveur) et de lhorodatage. Cest en France quest apparue la premire loi permettant la dmatrialisation des factures. En effet, la facture lectronique par Echanges de Donnes Informatiss (EDI) existe en France depuis la loi de finances rectificative pour 199055. En revanche, sagissant de la facture lectronique signe, elle a t introduite par larticle 17 de la loi de finances rectificative pour 200256, qui transpose la directive n2001/115 du 20 dcembre 2001 modifiant la directive n77/388/CEE en vue de simplifier, moderniser et harmoniser les conditions imposes la facturation en matire de taxe sur la valeur ajoute et pose, ct des factures EDI, le rgime des factures lectroniques, ayant recours aux dispositifs de signature lectronique. Les modalits dapplication de la facturation lectronique ont t prcises dans linstruction du 7 aot 200357. Il sagit ici dune signature lectronique utilisant un certificat de serveur (certificat de personne morale) et non dune signature lectronique (certificat de personne physique) au sens juridique de signer un acte . Il est noter en cet endroit que la facturation lectronique se dveloppe en Europe, notamment en raison de la croissance de lconomie numrique. Or, la diversit des rgles en vigueur au sein des Etats membres de lUnion europenne relative la facturation lectronique , issue des diverses transpositions de la directive dans les droits des Etats membres, est considre comme un frein lexpansion de ce type de facturation. De nombreux Etats ont introduit des rgles spcifiques qui interdisent aux entreprises europennes dutiliser le mme service dans tous les Etats. Le droit est harmonis, il nest pas unifi, do les difficults. Un Rglement europen eut t plus adapt la situation.
53 54
Loi n2002-1576 du 30 dcembre 2002, J.O. n 304 du 31 dcembre 2002, p. 22070. V. pour une analyse de la problmatique, Anne Cantro, Des actes unilatraux des communes dans le contexte lectronique, Vers la dmatrialisation des actes administratifs ? , PUAM, Coll. Collectivits locales, 2002. Nicolas Fouilleul, Le contrat administratif lectronique, (2 tomes), prface de Florian Linditch, Avantpropos Yves-Ren Guillou, P.U.A.M., 2007. V. galement pour les textes adopts : la loi n2004-809 du 13 aot 2004 relative aux liberts et aux responsabilits locales, J.O. du 17 aot 2004, p. 14545 et s. ; le dcret n 2005324 du 7 avril 2005 relatif la transmission par voie lectronique des actes des collectivits territoriales soumis au contrle de lgalit et modifiant la partie rglementaire du code gnral des collectivits territoriales, J.O. du 8 avril 2005, p. 6340 et s. ; larrt du 26 octobre 2005 portant approbation dun cahier des charges des dispositifs de tltransmission des actes soumis au contr le de lgalit et fixant une procdure dhomologation de ces dispositifs, J.O. du 3 novembre 2005, p. 17289 et s. ; Eric Caprioli et Anne Cantro, Lentreprise face la dmatrialisation des marchs publics, JCP, d. E, 3 novembre 2005, pp.1887-1891 ; Herv de Gaudemar, La preuve devant le juge administratif, Droit Administratif n 6, Juin 2009, tude 12. 55 Eric A. Caprioli, La dmatrialisation de la facture commerciale au regard de sa polyvalence juridique , JCP, d. E, Cah. dr. entrep., 1993/1, p. 34 et s. 56 Loi n2002-1576 du 30 dcembre 2002, JO du 31 dcembre 2002. 57 Instruction de la Direction gnrale des impts n 136 du 7 aot 2003, 3CA. V. gal. Dmatrialisation et archivage lectronique, Eric A. Caprioli, Marie-Anne Chabin, Jean-Marc Rietsch, d. Dunod, 2006, p.58 68.
Page 17
Ceci explique pourquoi une nouvelle directive a t adopte le 13 juillet 2010 58. Elle a pour but d'accrotre l'utilisation de la facturation lectronique, de rduire les charges pour les entreprises, de soutenir les petites et moyennes entreprises (PME) et d'aider les tats membres lutter contre la fraude Pour atteindre ces objectifs, les autorits fiscales doivent accepter les factures lectroniques dans les mmes conditions que les factures sur support papier en vertu de lapplication du principe de non-discrimination de lcrit lectronique. Elle vise galement supprimer de la Directive 2006/112/CE59 les obstacles entravant le recours la facturation lectronique. En effet, il est ncessaire daccrotre le recours la facturation lectronique, en cessant de faire des signatures lectroniques avances ou de lchange des donnes informatises des conditions indispensables ltablissement des factures lectroniques ; sur le plan fiscal, lauthenticit de lorigine, lintgrit du contenu et la lisibilit de la facture restent les conditions ncessaires ltablissement et la conservation des factures lectroniques. En outre, la loi dite de simplification et de clarification du droit et d'allgement des procdures60 a autoris les employeurs dmatrialiser la procdure de remise de bulletins de salaire leurs salaris. Les modalits techniques de la loi permettant de garantir l'intgrit des donnes ne sont toutefois pas encore arrtes, mme si les solutions de dmatrialisation des bulletins de salaire ne devraient gure diffrer de celles dj disponibles pour les factures lectroniques. Sous langle juridique, larticle L. 3243-2 du Code du travail dispose que lors du paiement du salaire, l'employeur remet *+ une pice justificative dite bulletin de paie . Il prcise qu avec l'accord du salari concern, cette remise peut tre effectue sous forme lectronique, dans des conditions de nature garantir l'intgrit des donnes . Deux conditions distinctes ressortent ainsi de la remise du bulletin de salaire : laccord du salari et la garantie de lintgrit des donnes. Nul besoin de signer les bulletins de salaire au sens juridique, car, de jurisprudence constante, ce sont des pices justificatives et non des actes juridiques. Par ailleurs, les articles L. 3243-4 et L. 3243-5 du Code du travail posent les obligations de conservation par lemployeur du bulletin de salaire par voie lectronique. La loi ne prcise pas les moyens de garantir lintgrit de ces donnes, conformment au principe de neutralit technologique. Les objectifs atteindre sont exposs mais sans imposer une solution spcifique61. En pratique, il apparat que le recours une signature lectronique technique (scellement) du document telle quelle est employe pour la facture lectronique devrait tre considr comme une garantie suffisante. Des mcanismes
58
Directive 2010/45/UE du Conseil du 13 juillet 2010 modifiant la directive 2006/112/CE relative au systme commun de taxe sur la valeur ajoute en ce qui concerne les rgles de facturation, J.O.U.E L. 189 du 22 juillet 2010, p. 1 et s. 59 Directive 2006/112/CE du 28 novembre 2006 relative au systme commun de taxe sur la valeur ajoute, JOUE n L 347 du 11/12/2006, p. 0001-0118. 60 Loi n 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allgement des procdures publie au J.O. du 13 mai 2009. 61 Eric A. Caprioli Bulletins de paie dmatrialiss, Comm. Com. Electr. Juillet 2009, n71 ; Eric A. Caprioli, La dmatrialisation des bulletins de paie, Cahiers de droit de lentreprise, Fiche pratique Juillet 2009, n20 ; Thierry Piette-Coudol, La remise lectronique de bulletin de paie, JCP d. Sociale n43, 26 Octobre 2010, n1440.
Page 18
de coffre-fort lectronique permettant au salari de conserver et de disposer de ses bulletins de paie peuvent galement tre mis en place.
5. Signature lectronique
La signature lectronique fait lobjet dune rglementation prcise et dtaille sur le territoire franais. Transposant la directive 1999/93/CE du 13 dcembre 1999 pour un cadre commun sur les signatures lectroniques du Parlement et du Conseil europens, la loi franaise du 13 mars 200062 a pos le cadre juridique de la preuve et de la signature lectroniques. Elle a t complte par les dcrets n 2001-272 du 30 mars 200163 et n 2002-535 du 18 avril 200264 ainsi que l'arrt du 31 mai 200265. Ce dernier arrt a dailleurs t abrog par un arrt du 26 juillet 200466relatif la reconnaissance de la qualification des prestataires de services de certification lectronique et laccrditation des organismes qui procdent leur valuation. Enfin, la loi n2004-575 pour la confiance dans lconomie numrique du 21 juin 2004 a consacr la validit juridique des crits sous forme lectronique (articles 1108-1 et 1108-2 du code civil)67. La premire dfinition lgale de la signature lectronique, fonde sur une approche fonctionnelle du dispositif, a t donne larticle 1316-4, al. 2 du code civil : Lorsquelle est lectronique, elle (la signature) consiste en lusage dun procd fiable didentification garantissant son lien avec lacte auquel elle sattache. La fiabilit de ce procd est prsume, jusqu preuve contraire, lorsque la signature lectronique est cre, lidentit du signataire assure et lintgrit de lacte garantie, dans des conditions fixes par dcret en Conseil d Etat. .
V. Eric A. Caprioli, La loi franaise sur la preuve et la signature lectroniques dans la perspective europenne , J.C.P. d. G, 2000, I, 224 et Ecrit et preuve lectroniques dans la loi n2000-230 du 13 mars 2000, J.C.P. 2000, d. E, cah. dr. entr. n2, Suppl. au n30, p.1- 11 ; Pierre Catala, Le formalisme et les nouvelles technologies, Rp. Defrnois, Art. 37210, 2000 ; P. Y. Gautier et X. Linant de Bellefonds, prc. ; Jrme Huet, Vers une conscration de la preuve et de la signature lectroniques, D. 2000, n6, Chr., p. 95 et s. ; Pierre Leclercq, prc., Arnaud Raynouard, Adaptation du droit de la preuve aux nouvelles technologies de linformation et la signature lectronique, Rp. Defrnois n10, 2000, Doct., p. 593 et s. 63 Dcret pris pour lapplication de larticle 1316-4 du Code civil et relatif la signature lectronique, J.O. du 31 mars 2001, p. 5070. V. Eric A. Caprioli, Commentaire du dcret n2001-272 du 30 mars 2001 relatif la signature lectronique, Revue de Droit Bancaire et financier, Mai/juin 2001, p. 155 s., v. gal. Laurent Jacques, Le dcret n2001-272 du 30 mars 2001 relatif la signature lectronique, J.C.P. d. E 2001, Aperu rapide, p. 1601 ; Franois Coupez, C. Gailligue, Vers une signature lectronique juridiquement matrise. A propos de larrt du 31 mai 2002, C.C.E., novembre 2002, p. 8 et s ; Anne Penneau, La certification des produits et systmes permettant la ralisation des actes et signatures lectroniques ( propos du dcret 2002-535 du 18 avril 2002), D. 2002, n 26, p. 2065. 64 J.O. du 19 avril 2002, p. 6944. v. cet gard, Droit & Patrimoine, fvrier 2003, p. 116, obs. Eric A. Caprioli. 65 J.O. du 8 juin 2002, p. 10223. 66 J.O. du 7 aot 2004, p. 14104. 67 J.O. n 143 du 22 juin 2004, p. 11182. V. ce titre, Eric A. Caprioli et Pascal Agosti, La confiance dans lconomie numrique, Les Petites Affiches, 3 juin 2005 p 4 s. ; Numro spcial consacr la loi pour la confiance dans l'conomie numrique, Comm. Com. Electr. n 9, Septembre 2004, Repre 9 ; Numro spcial Cahier Lamy droit de l'informatique et des rseaux n171, juillet 2004 ; Le dossier contrat lectronique Revue des contrats, 1 avril 2005 n2 .Mustapha Mekki, Le formalisme lectronique : la neutralit technique nemporte pas neutralit auxiologique , Revue des contrats, 1 juillet 2007, n3, p. 681 ; Arnaud Van Eeckhout, La scurit juridique dans le secteur des communications lectroniques : un principe malmen ?, Revue des contrats, 1 juillet 2007, n3, p. 933.
62
Page 19
La signature lectronique peut donc tre considre comme un moyen dauthentification, en ce sens quelle permet de vrifier lidentit du signataire et lintgrit du document, mais sans toutefois se limiter ce seul aspect dans la mesure o la signature permet galement de manifester la volont du signataire de consentir un acte (lalina 1er de larticle 1316 -4 : Elle manifeste le consentement des parties aux obligations qui dcoulent de cet acte. )68. La dfinition tablie par la loi type de la C.N.U.D.C.I. sur les signatures lectroniques va dans le mme sens puisquelle linterprte comme des donnes sous forme lectronique contenues dans un message de donnes ou logiquement associes audit message, pouvant tre utilises pour identifier le signataire dans le cadre du message de donnes et indiquer quil approuve linformation qui y est contenue 69. Diffrentes mthodes dauthentification pour les signatures lectroniques ont t mises au point au fil des annes visant satisfaire des besoins spcifiques, confrer des niveaux de scurit diffrents correspondant des exigences techniques distinctes. Ces mthodes peuvent tre classes en trois catgories : celles qui sont fondes sur la connaissance de lutilisateur (mot de passe, numro didentification personnel etc.), celles qui sont fondes sur les caractristiques physiques de lutilisateur (comme la reconnaissance biomtrique) et celles enfin qui sont fondes sur la possession dun objet par lutilisateur (carte, cl USB, token, etc.)70. Ces catgories qui peuvent se cumuler, reposent sur le triptyque classique de la scurit : ce que je connais, ce que je suis et ce que je possde71. Il convient dajouter que les niveaux de scurit des certificats lectroniques permettant de vrifier signature sont galement lis leurs modalits de dlivrance par un tiers de confiance (appel Prestataire de services de certification lectronique/P.S.C.E.), trois niveaux du plus fort au plus faible : enregistrement en face face, enregistrement sur la base de documents justificatifs envoys par La Poste ou par lectronique et avec une simple adresse lectronique. Le procd didentification de la signature lectronique doit tre fiable, comme le rappelle la jurisprudence72. Reprenant la Directive europenne de 1999, le dcret du 30 mars 2001 a trait la signature lectronique scurise prsume fiable, une catgorie particulire de signature lectronique.
68 69
Christiane Fral-Schul, Cyberdroit, le droit lpreuve de linternet, Paris, Dalloz, 6 d., 2010, v. n92.11. Article 2-a) de la Loi type de la CNUDCI sur les signatures lectroniques. 70 V. le rapport du Groupe de travail sur le commerce lectronique sur les travaux de sa trente-deuxime session, tenue Vienne du 19 au 30 janvier 1998 (A/CN.9/446, paragraphes 91 sq.).
71
me
Seul un procd biomtrique permet dtre vraiment certain que cest la personne qui signe
lectroniquement qui est derrire son cran dordinateur. Mais aucun moyen technique ne permettra dtablir quau moment de la signature, le contrat na pas t vici : par exemple par la violence (contrainte physique ou morale). 72 En ce sens, propos dune signature scanne (non admise) dans le cadre dune procdure dappel : CA Besanon, 20 octobre 2000, JCP d. G. 2001, II, 10606, p. 1890 et s. note Eric A. Caprioli et Pascal Agosti ; confirm par la Cour de cassation le 30 avril 2003, Bull. civ. 2003, n118, p. 101 et s. (disponible sur le site www.legifrance.gouv.fr).
Page 20
La signature lectronique scurise (Signature lectronique avance dans la directive europenne de 1999) est dfinie larticle 1.2 comme : une signature lectronique qui satisfait, en outre, aux exigences suivantes : - tre propre au signataire ; - tre cre par des moyens que le signataire puisse garder sous son contrle exclusif ; - garantir avec l'acte auquel elle s'attache un lien tel que toute modification ultrieure de l'acte soit dtectable. En outre, doivent tre pris en compte le dispositif scuris de cration de signature lectronique et le certificat lectronique qualifi73 pour caractriser une signature lectronique scurise disposant dune prsomption de fiabilit (si elle est tablie grce un dispositif scuris de cration de signature lectronique et que la vrification de cette signature repose sur l'utilisation d'un certificat lectronique qualifi 74). Cette dernire sera prsume fiable, contrairement aux autres formes de signature dont la fiabilit devra tre dmontre par lutilisateur. Bien quil existe une distinction entre les signatures lectroniques dites simples , savoir toutes celles qui ne bnficient pas de la prsomption de fiabilit, et la signature lectronique scurise prsume fiable, les deux types de signature lectronique ont la mme valeur juridique ds lors quelles reposent sur lutilisation dun procd fiable didentification garantissant son lien avec lacte auquel elles sattachent75. Il incombe donc au juge de dcider si la signature et lcrit sous forme lectronique sont admissibles ou non, aussi bien pour la valeur probante que pour la validit de lcrit qui lui est prsent dans le cadre dun litige et seule la charge de la preuve sera renverse en fonction du bnfice ou non de la prsomption de fiabilit76.
6. Procds biomtriques
Les applications biomtriques ont tendance se multiplier et se banaliser dans de nombreuses applications, ce qui ne va pas sans poser de srieux problmes juridiques77. La
73
Ce certificat didentification dlivre par le P.S.C.E. devra prciser, pour tre considr comme qualifi : a) Une mention indiquant que ce certificat est dlivr titre de certificat lectronique qualifi ; b) L'identit du prestataire de services de certification lectronique ainsi que l'Etat dans lequel il est tabli ; c) Le nom du signataire ou un pseudonyme, celui-ci devant alors tre identifi comme tel ; d) Le cas chant, l'indication de la qualit du signataire en fonction de l'usage auquel le certificat lectronique est destin ; e) Les donnes de vrification de signature lectronique qui correspondent aux donnes de cration de signature lectronique ; f) L'indication du dbut et de la fin de la priode de validit du certificat lectronique ; g) Le code d'identit du certificat lectronique ; h) La signature lectronique scurise du prestataire de services de certification lectronique qui dlivre le certificat lectronique ; i) Le cas chant, les conditions d'utilisation du certificat lectronique, notamment le montant maximum des transactions pour lesquelles ce certificat peut tre utilis .. 74 Art. 2 du dcret du 30 mars 2001. 75 V. art. 1316-4, al. 2 du code civil. 76 Dans un cas, il appartient lutilisateur du procd de signature de prouver cette fiabilit (signature lectronique simple ), dans lautre, cest celui qui la conteste qui devra prouver son absence de respect de s exigences (signature lectronique scurise). 77 V. sur le sujet, le remarquable article de Pierre Leclercq, A propos de la biomtrie, Comm. Com. Electr. Mars 2006, p.14-18.
Page 21
biomtrie se dfinit comme ltude de caractristiques physiques, uniques des personnes, susceptibles de les identifier dans leur individualit78. Dsormais, avec des procds biomtriques la vrification didentit se fait quasi-instantanment, notamment pour contrler laccs certains locaux scuriss, aux salles informatiques, pour grer les entres et sorties des salaris dans les entreprises ou pour protger les accs des ordinateurs et leurs donnes. Il sagit dun moyen didentification ou dauthentification des plus srs qui permet de sassurer que la personne qui est derrire le dispositif connect est bien celle quelle prtend tre. En revanche, un procd biomtrique ne permet pas de manifester la volont ncessaire la signature. Certains auteurs estiment quune signature utilisant ce type de reconnaissance biomtrique est infalsifiable79, mais ils omettent limportance de la manifestation de consentement comme fonctionnalit juridique essentielle de la signature dans certains systmes juridiques ou encore larticle 7 de la loi-type de la CNUDCI sur le commerce lectronique et larticle 9-3-a) de la Convention des Nations Unies sur lutilisation de communications lectroniques dans les contrats internationaux . Ces mthodes80 pourraient venir en complment de ce que la personne possde (la carte, la cl, le token) et de ce quelle connait (les donnes dactivation de la cl prive) 81 dans le cadre dune identification renforce partir du moment o la particularit biomtrique est lie un individu et que le lien tabli est scuris. Il existe une limite quant la fiabilit de ces empreintes : certaines caractristiques physiques peuvent tre sujettes des variations dues au stress comme la voix et empchent une identification certaine. Le public est rticent concernant lusage de certains procds didentification biomtriques. De plus, ils sont encore relativement lourds et coteux mettre en uvre. En outre, lutilisation de ces procds est strictement encadre par les lois relatives la protection des donnes caractre personnel afin dviter tout dbordement scuritaire (bases centralises et croisement de donnes : Big brother ). Les donnes biomtriques doivent faire lobjet dune demande dautorisation dans de nombreuses lgislations transposant la directive
78
On peut citer, par exemple, lexamen des empreintes digitales (dactyloscopie) ou des vaisseaux sanguins de la rtine de lil (rtinoscopie), la reconnaissance vocale ou encore la reconnaissance dynamique de la signature (analyse de la manire dont elle est trace : vitesse, mouvements, pression, ). 79 Chimie, gntique et biologie offrent aujourdhui toute main dcrire une signature inviolable, unique et inimitable. : Expression de J. Srazzula, cite par Ch. Gavalda sous Cass. civ. 8 novembre 1989, D.1990, Jp. p. 370. 80 Pour lempreinte digitale, utilise comme moyen didentification lectronique, la procdure technique est la suivante. Dans un premier temps, un capteur va prendre une image de lempreinte. Cette image sera analyse par un logiciel de traitement dimage, afin de reprer les sillons et crtes de lempreinte, puis elle sera transforme en code. Ces points caractristiques de lempreinte appels minuties permettent dobtenir une empreinte digitale rduite ; elle est stocke dans une base de donnes (ou sur le matriel du titulaire). Par la suite, lempreinte prsente est compare avec lempreinte digitale rduite, en mesurant la proximit de deux nuages de minuties. Le rsultat de cette comparaison confirmera lappartenance ou non des empreintes digitales rduites une mme personne. Ensuite, lorsquune personne se prsente un contrle didentit, elle indique alors la rfrence de son empreinte digitale rduite en prsentant le doigt appropri au lecteur dempreinte. Si la personne est reconnue, elle accde aux droits qui lui sont reconnus et dans lhypothse inverse, le systme la rejettera. 81 Certaines techniques pourraient cumuler plusieurs types de signatures. Par exemple, un dispositif biomtrique pourrait sappuyer sur des signatures dynamiques. Avec un tel dispositif, le signataire apposerait sa signature manuscrite laide dun stylo spcial ou dun stylet, soit sur lcran dun ordinateur, soit sur une tablette numrique. La signature manuscrite serait alors analyse pa r lordinateur et mise en mmoire comme une srie de valeurs numriques qui pourrait tre ajoute un message de donnes affich par le destinataire aux fins dauthentification. Ce dispositif remplacerait le code personnel du signataire quatre chiffres. V. en ce sens, Jean-Franois Blanchette, Les technologies de lcrit lectronique : synthse et valuation critique, in Mission de recherche Droit et justice sous la direction de Isabelle de Lamberterie, Les actes authentiques lectroniques, La documentation franaise, 2002, p. 139 et s.
Page 22
europenne 95/46 du 24 octobre 1995 (en cours de rvision), par exemple en France, conformment aux articles 25-I-8 et 27-I-2 de la loi du 76 janvier 1978 modifie82. Une dlibration de la Commission Nationale Informatique et Libert (CNIL) n2011-074 a t adopte le 10 mars 2011. Elle porte autorisation unique de mise en uvre de dispositifs biomtriques reposant sur la reconnaissance de lempreinte digitale et elle a pour finalit le contrle de laccs aux postes informatiques portables professionnels83. Les responsables de ces traitements devront adresser la CNIL un engagement de conformit aux conditions fixes par lautorisation unique nAU-027. Cette dlibration tait trs attendue des professionnels concerns. Dans certains cas, lapplication de la loi Informatique et liberts intervient de manire connexe. A titre dillustration, une dcision de la Cour dappel de Paris en date du 23 fvrier 2011 vient rappeler limportance des formalits pralables (en ltat une demande autorisation) pour la mise en uvre de dispositif biomtrique. En ltat, la S.A. dconomie mixte pour la construction et lexploitation du march dintrt national dAvignon -SMINA a conclu le 23 dcembre 2004, trois contrats de maintenance avec option de location de matriel , avec la socit SafeTIC. Le 12 janvier 2005, la socit SafeTIC SA a livr la solution de contrle daccs aux locaux de SMINA. Cependant, le procs-verbal de livraison indique que lutilisation de ce matriel biomtrique est soumise lautorisation de la Commission nationale de linformatique et des liberts (CNIL). Or, le 19 juin 2005, la CNIL avait jug lutilisation de ce matriel non conforme la rglementation applicable en matire de protection des donnes caractre personnel et avait donc refus lautorisation demande. Par un jugement en date du 30 novembre 2007, le Tribunal de commerce de Paris a prononc la rsiliation des contrats signs aux torts de SMINA et a donn acte Easydentic (qui est devenue la socit SafeTIC) de ce quelle tait en mesure de fournir SMINA un nouveau systme de contrle en totale conformit avec les nouvelles exigences de la CNIL. Ce jugement a t infirm par un arrt en date du 23 fvrier 2011 de la Cour dappel de Paris. Cette dernire a condamn Easydentic en prononant la rsolution des trois contrats conclus aux motifs qu il incombait Easydentic, professionnelle en matriels de biomtrie, de *+ fournir des matriels conformes la rglementation en vigueur . Cette dcision reconnat donc la responsabilit contractuelle de SafeTIC SA pour manquement son obligation dinformation. Mme sil appartenait SMINA (la socit utilisatrice) de soumettre une demande dautorisation pralable de lutilisation du matriel biomtrique la CNIL, il semblerait que SafeTIC SA ait sciemment omis cette information lors de la conclusion des contrats.
Article 25-I Sont mis en uvre aprs autorisation de la Commission nationale de l'informatique et des liberts, l'exclusion de ceux qui sont mentionns aux articles 26 et 27 : () 8 : Les traitements automatiss comportant des donnes biomtriques ncessaires au contrle de l'identit des personnes et article 27-I : Sont autoriss par dcret en Conseil d'Etat, pris aprs avis motiv et publi de la Commission nationale de l'informatique et des liberts : () 2 Les traitements de donnes caractre personnel mis en uvre pour le compte de l'Etat qui portent sur des donnes biomtriques ncessaires l'authentification ou au contrle de l'identit des personnes. 83 V. le site : www.cnil.fr.
82
Page 23
B. Exigences lies lidentit numrique

Si ces exigences sont de deux ordres, technique et juridique, leurs objectifs convergent vers la scurit entendue au sens large, des biens et des personnes, mais aussi des intrts de lEtat et de la Socit. Limportance des usages de lidentit dans le monde numrique justifie des mesures particulires en termes de fiabilit des procds utiliss (1), et de rgles juridiques respecter dans certaines hypothses de conformit, comme par exemple dans lorganisation des jeux en ligne ou de la lutte anti-blanchiment dargent (2). Outre les aspects technico-juridiques et commerciaux, lincidence des exigences juridiques attenantes aux aspects de protection de la vie prive, l encore, doit tre souligne, en ce y compris la dimension des flux transfrontires de donnes caractre personnel en dehors de lUnion europenne. Lhypothse peut exister dans le cadre dune fdration didentit regroup ant des entits pluri-localises et des personnes sur plusieurs continents ou de lapplication dune politique dIdentity and Access Management au sein dun groupe international.
1. Lincontournable scurit technique

En France, le basculement dans l're numrique a t consacr par plusieurs lois84 et de nombreux textes rglementaires ; il s'appuie, en outre, sur des normes techniques permettant d'identifier avec un degr de confiance suffisant les personnes utilisant des systmes dinformation85. Les diffrentes formes de signature numrique , les mthodes d'authentification et les protocoles de chiffrement des flux de donnes constituent autant de garanties techniques sur lesquelles reposent la rgularit et la scurit des transactions et partant leur valeur juridique. En vertu de la jurisprudence de la Cour de cassation, une norme consiste en une codification crite des rgles de lart86. Elle dtermine et dcrit un socle de rgles techniques, voire organisationnelles, sur lequel les acteurs conomiques peuvent sappuyer. Une norme na donc pas de pouvoirs directement contraignants. En France, les normes sont obligatoires lorsquelles sont prvues dans un arrt, par contrat ou quelles rsultent dun usage dans un secteur dactivit. En revanche, la norme offre un certain nombre de repres (modalits, conditions, moyens) pour arriver la finalit quelle sest fixe. On utilise
84
Notamment : Loi n2002-1094 du 29 aot 2002 d'orientation et de programmation pour la performance de la scurit intrieure dite LOPPSI, J.O. n202 du 30 aot 2002 ; Loi n2004-575 sur la confiance en l'conomie numrique du 21 juin 2004, J.O. n143 du 22 juin 2004, p. 11168 et s ; Loi n 2004-669 du 9 juillet 2004 relative aux communications lectroniques et aux services de communication audiovisuelle, J.O. n159 du 10 juillet 2004 ; Loi n 2008-776 du 4 aot 2008 de modernisation de l'conomie, J.O. n181 du 5 aot 2008 ; Loi n78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts, modifie par la Loi 2004-801 du 6 aot 2004 (J.O. du 7 aot 2004) ; Loi n 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la cration sur internet, J.O. du 13 juin 2009, p. 9666 ; Loi n 2009-1311 du 28 octobre 2009 relative la protection pnale de la proprit littraire et artistique sur internet, J.O. n251 du 29 octobre 2009 p. 18290. 85 Le code pnal, articles 323-1 et suivants, les qualifie de systmes de traitement automatis de donnes (STAD). La jurisprudence a donn une interprtation extensive des STAD. Par exemple, il a t jug que le radiotlphone tait un systme (CA Paris, 18 nov. 1992, JCP E 1994, I, 359, obs. M. Vivant et C. Le Stanc) ; la mme chose a t juge propos du rseau cartes de France Tlcom (T. corr. Paris, 26 juin 1995, Petites affiches 1er mars 1976, note Alvarez) et de l'annuaire lectronique de France Tlcom (T. corr. Brest, 14 mars 1995, Petites affiches 22 juin 1995, note M. Choisy). Naturellement, il a t jug qu'un service tlmatique est un systme (CA Paris, 5 avr. 1994, Petites affiches 5 juill. 1995, note Alvarez ; JCP E 1995, I, 461, obs. M. Vivant et C. Le Stanc). 86 me Cass. civ. 3 , 4 fvrier 1976 ; n de pourvoi : 74-12643, disponible sur le site www.legifrance.gouv.fr.
Page 24
d'autres appellations telles que spcification caractre normatif ou standard pour tout autre document de rfrence. Concernant les exigences techniques applicables la signature lectronique, les dispositions rglementaires portent notamment sur les lments de scurit (profils de protection) des diffrents composants des outils de cration de certificats et des produits de signature lectronique publis par le Comit Europen de Normalisation87. Les rfrences prcises des textes indispensables la signature lectronique sont explicites dans un mmento dit par la DCSSI (Direction centrale de la scurit des systmes dinformation devenue lANSSI)88. Dans le cadre franais, lauthentification est traite dans le cadre du Rfrentiel Gnral de scurit (RGS)89, ct de la signature, du chiffrement et de lhorodatage. Ce rfrentiel sapplique aux relations entre les citoyens et les autorits administratives et ces dernires entre elles. En outre, les prestataires de services de certification lectronique (PSCE) doivent utiliser des systmes et des produits garantissant la scurit technique et cryptographique des fonctions quils assurent 90. Lauthentification constitue une exigence essentielle en matire de scurit des systmes dinformation dans certaines normes. Ainsi, la norme ISO 27001 fixant les mthodes et pratiques en matire de systme de management de la scurit de linformation (SMSI) prvoit une partie relative la gestion des droits des utilisateurs91 et par consquent leur authentification.
2. Exemples franais en matire conformit lgale et rglementaire

La conformit lgale et rglementaire impose aux entreprises de plus en plus dobligations. La plupart du temps, ces obligations vont sappliquer sur un territoire donn. Certain es obligations sont sectorielles, par exemple en France, dans le domaine bancaire, le Rglement 97-02 ou le blanchiment et le financement du terrorisme (a), ou encore dans le secteur des jeux en ligne (b). Dautres obligations sont plus gnrales et sappliquent quel que soit le secteur dactivit de lentreprise. Ainsi, pour les pays de lUnion europenne, lune des principales obligations concerne la protection des donnes caractre personnel. Dans le
87
Rfrences CWA 14167-1, CWA 14167-2 et CWA 14169. Dcision de la Commission du 14 juillet 2003 relative la publication des numros de rfrence de normes gnralement admises pour les produits de signatures lectroniques conformment la directive 1999/93/CE du Parlement europen et du Conseil, notifie sous le numro C (2003) 2439, 2003/511/CE. 88 L'Agence nationale de la scurit des systmes d'information (ANSSI) a t cre par le dcret n 2009-834 du 7 juillet 2009 (JO du 8 juillet 2009). 89 V. larrt du 6 mai 2010 portant approbation du rfrentiel gnral de scurit et prcisant les modalits de mise en uvre de la procdure de validation des certificats lectroniques, JO n0113 du 18 mai 2010, p.9152. 90 V. larticle 6-II-g du dcret n2001-272 du 30 mars 2001. Eric A. Caprioli, Rfrentiel gnral de scurit : adoption de l'arrt, Comm. Com. Electr. n7, juillet 2010, comm. 81. 91 Eric A. Caprioli, Introduction au droit de la scurit des systmes dinformation, in Droit et technique, Etudes la mmoire du Professeur Xavier Linant de Bellefonds, d. Litec, novembre 2007, article disponible sur le site www.caprioli-avocats.com.
Page 25
domaine de la gestion de lidentit numrique, il est vident que lidentification directe ou indirecte des personnes physique impliquera le respect des rgles applicables aux donnes personnelles par le responsable du traitement92. A ce titre, des formalits devront tre accomplies auprs des autorits de contrles comptentes (en France, la CNIL). a) Blanchiment de capitaux et financement du terrorisme Aux termes de larticle L. 561-5 du Code montaire et financier : I.- Avant d'entrer en relation d'affaires avec leur client ou de l'assister dans la prparation ou la ralisation d'une transaction, les personnes mentionnes l'article L. 561-2 identifient leur client et, le cas chant, le bnficiaire effectif de la relation d'affaires par des moyens adapts et vrifient ces lments d'identification sur prsentation de tout document crit probant. Elles identifient dans les mmes conditions leurs clients occasionnels et, le cas chant, le bnficiaire effectif de la relation d'affaires, lorsqu'elles souponnent que l'opration pourrait participer au blanchiment des capitaux ou au financement du terrorisme ou, dans des conditions fixes par dcret en Conseil d'Etat, lorsque les oprations sont d'une certaine nature ou dpassent un certain montant. II.- Par drogation au I, lorsque le risque de blanchiment des capitaux ou de financement du terrorisme parat faible et dans des conditions fixes par dcret en Conseil d'Etat, il peut tre procd uniquement pendant l'tablissement de la relation d'affaires la vrification de l'identit du client et, le cas chant, du bnficiaire effectif. ()93 Il est important que les moyens mis en uvre rpondent au souci de scuriser laccs un compte et de faire face aux menaces de fraude. Ainsi, consulter son compte requiert un minimum de confidentialit et engager une transaction ou procder un virement ncessite un formalisme et un niveau de scurisation plus levs garantissant leur traabilit en cas de litige. Dans cette perspective, les tablissements bancaires (physiques) commencent proposer leurs clients un tlchargement de certificats (standard ou la vole) pour signer des contrats ou des avenants aux contrats en cours. Dans ce cas prcis, les risques de fraude sont relativement faibles, le client tant dj connu du banquier et ses donnes didentification enregistres dans son back-office. Le recours la signature lectronique est prcieux en termes de scurit juridique et technique. Cette procdure est galement retenue par certains tablissements pour proposer des contrats dassurance ou faciliter un changement dintitul de compte. Les banques en ligne, quant elles, du fait de leur ambition de dmatrialiser la gestion de comptes, constituent un champ privilgi dauthentification forte, tout le moins lors de la premire mise en relation avec leurs clients. Cest un secteur particulirement
92
Sur les risques lis la vie prive et aux donnes caractre personnel en raison de lutilisations des nouvelles technologies, v. Alex Trk, La vie prive en danger, Paris, d. Odile Jacob, 2011. 93 Les articles R. 563-1 et s. du Code Montaire et Financier prvoient les modalits propres assurer cette identification. Cette disposition lgislative se rsume en un sigle KYC (Know Your Customer) qui constitue dsormais un vritable ssame pour tout dploiement dun service financier distance.
Page 26
prometteur dans la mesure o la rglementation impose aux banques en ligne des contraintes trs strictes qui peuvent tre idalement mises en uvre par des moyens dauthentification forte. En effet, louverture de comptes (authentification) et les transactions sur le web (avec signature ou authentification) ncessitent lutilisation de mthodes techniques scurises ayant une valeur juridique ou probatoire en cas de litige. Le blanchiment de capitaux constitue une proccupation majeure dans le secteur bancaire. En effet, la suite des attentats intervenus en 2001 aux Etats-Unis et en 2004 en Europe, la lutte contre le terrorisme et le blanchiment dargent sest intensifie. Afin de combattre cette nouvelle forme de guerre, des rgles permettant de lutter efficacement contre le dveloppement de ces rseaux criminels sont labores. Elles portent notamment sur le contrle des flux financiers entre les diffrents Etats. Les pays dmocratiques ont largement pris conscience des liens troits nous entre terrorisme et blanchiment dargent. Bras arm des Etats, le GAFI (Groupe dAction Financire)94 a propos le principe dune coopration internationale troite, tout en soulignant la ncessit de mettre profit les technologies de linformation pour contrer les actes de malveillance95. Ainsi, lorigine des fonds est-elle systmatiquement contrle, tout comme les virements pour des montants levs. La Directive Europenne 2005/60/CE du Parlement et du Conseil du 26 octobre 2005 relative la prvention de l'utilisation du systme financier aux fins du blanchiment de capitaux et du financement du terrorisme96 constitue la rponse de lUnion europenne. Elle fait largement place au contrle didentit Conformment ses dispositions, chaque tat membre est tenu d'interdire le blanchiment de capitaux et d'imposer son secteur. Pour mieux vrifier lidentit des clients, une dfinition prcise du bnficiaire effectif est indispensable. Plus prcisment, les mesures de vigilance l'gard de la clientle comprennent : - l'identification du client et la vrification de son identit, sur la base de documents, de donnes ou d'informations de source fiable et indpendante; - le cas chant, l'identification du bnficiaire effectif et la prise de mesures adquates et adaptes au risque, pour vrifier son identit, de telle manire que l'tablissement ou la personne soumis la prsente directive ait l'assurance de connatre ledit bnficiaire effectif (Article 8) . Cette directive a t transpose en droit franais par une ordonnance en date du 30 janvier 2009 relative la prvention de l'utilisation du systme financier aux fins de blanchiment de
94 95
Anglais FATF (Financial Action Task Force). In recent years, several governments worldwide have instituted electronic commerce laws that directly or indirectly require companies to reduce their vulnerability to identity theft. The United States, the European Union, Korea, Brazil, Japan, Australia, Singapore and many other nations have drafted or implemented regulations to safeguard consumer privacy, protect corporate data integrity and enhance auditing accountability. Standards to combat money laundering and terrorist financing that include customer identification have been proposed by the Financial Action Task Force (FATF), an inter-governmental organization, and have been adopted by more than 150 jurisdictions. In large part, these rules call for companies to adopt stronger identity authentication measures to assure governmental authorities about the veracity of their electronic transactions. Current and prospective regulations have created a boom in the interest in and use of identity authentication technologies such as digital certificates, biometrics, one-time passwords (OTP) and tokens. citation provenant du rapport Complying with rules of Identity management ralis par Economist Intelligence unit, p. 4, disponible ladresse : http://www.eiu.com/report_dl.asp?mode=fi&fi=1911955376.PDF. 96 JOCE n309 du 25 novembre 2005, p. 15-36.
Page 27
capitaux et de financement du terrorisme97. Dans la pratique, en vertu de cette ordonnance, il existe une obligation pour un grand nombre de professionnels notamment de la finance, de la comptabilit et du droit, procder une dclaration de soupons pour les infractions punissables dune peine demprisonnement suprieure un an, conformment larticle L. 561-15 du CMF. Lordonnance a t ratifie par larticle 140 de la loi n 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allgement des procdures98. Le Rglement (CE) n1781/2006 du Parlement europen et du Conseil du 15 novembre 2006 relatif aux informations concernant le donneur dordre accompagnant les virements de fonds a t adopt dans un contexte de lutte contre le blanchiment des capitaux et le financement du terrorisme. Le financement du terrorisme (dfini larticle 2-1) est le fait, par quelque moyen que ce soit, directement ou indirectement, de fournir ou de runir des fonds au sens de larticle 1er 4 de la directive 2005/60/CE, cest--dire dans l'intention de les voir utiliss ou en sachant qu'ils seront utiliss, en tout ou en partie, en vue de commettre l'une quelconque des infractions vises aux articles 1er 4 de la dcision cadre 2002/475/JAI du Conseil du 13 juin 2002 relative la lutte contre le terrorisme99. Lobjectif de ce rglement est, selon larticle premier, dtablir les rgles relatives aux informations sur le donneur dordre qui doivent accompagner les virements de fonds, aux fins de prvention, de lenqute et de la dtection des activits de blanchiment de capitaux et de financement du terrorisme . Cest travers ces obligations de tracer et didentifier leurs clients, la charge des tablissements financiers, que sopre la lutte contre le blanchiment dargent et le financement du terrorisme100.
97 98
Lordonnance n2009-104 du 30 janvier 2009, JO du 31 janvier 2009. JO n110 du 13 mai 2009. 99 J.O.C.E. L. 164, du 22 juin 2002, p. 3. 100 Ainsi larticle L. 563-1 du Code montaire et financier dispose : Les organismes financiers ou les personnes vises l'article L. 562-1 doivent, avant de nouer une relation contractuelle ou d'assister leur client dans la prparation ou la ralisation d'une transaction, s'assurer de l'identit de leur cocontractant par la prsentation de tout document crit probant. Ils s'assurent dans les mmes conditions de l'identit de leur client occasionnel qui leur demande de faire des oprations dont la nature et le montant sont fixs par dcret en Conseil d'Etat. Les personnes vises au 8 de l'article L. 562-1 satisfont cette obligation en appliquant les mesures prvues l'article L. 565-1. Ils se renseignent sur l'identit vritable des personnes avec lesquelles ils nouent une relation contractuelle ou qui demandent leur assistance dans la prparation ou la ralisation d'une transaction lorsqu'il leur apparat que ces personnes pourraient ne pas agir pour leur propre compte. Les organismes financiers et les personnes mentionns l'article L. 562-1 prennent les dispositions spcifiques et adquates, dans les conditions dfinies par un dcret, ncessaires pour faire face au risque accru de blanchiment de capitaux qui existe lorsqu'elles nouent des relations contractuelles avec un client qui n'est pas physiquement prsent aux fins de l'identification ou lorsqu'elles l'assistent dans la prparation ou la ralisation d'une transaction. .
Page 28
b) Les jeux en ligne101
Quant au secteur des jeux en ligne, le lgislateur franais a fix dans la loi du 10 mai 2010 de nombreuses mesures de scurit informatique en prvoyant notamment, la charge de loprateur candidat ( la licence), de prciser les modalits daccs et dinscription son site de tout joueur et les moyens lui permettant de sassurer de lidentit de chaque nouveau joueur, de son ge, de son adresse et de lidentification du compte de paiement sur lequel sont verss ses avoirs *+ (article 17). Les mesures de vrification didentit constituent donc une exigence essentielle pour tout candidat. Lune des mthodes permettant dassurer cette vrification est relative lapprovisionnement du compte joueur. En effet, conformment larticle 17, cet approvisionnement ne peut tre ralis quau moyen dinstruments de paiement mis disposition par un prestataire de services de paiement tabli dans un Etat membre de la Communaut europenne ou un Etat partie laccord sur lEspace conomique europen*+ . Ds lors, la vrification didentit relve en partie du prestataire de services de paiement (tablissement de paiement et tablissement de crdit au sens de lart. L. 521-1 du C.M.F suite la transposition de la directive 2007/64 du 13 novembre 2007)102. Cela ne signifie pas pour autant que loprateur pourra se dfausser de cette vrification didentit. Larticle 38 de la loi prvoit, en outre, que les oprateurs
101
V. Olivier de Mattos, Le nouveau droit fixe d par les oprateurs des jeux en ligne se fixe, Comm. Com. Electr., mai 2010, n5, alerte 57 ; Eric. A. Caprioli, Paris en ligne, Comm. Com. Electr., juillet 2010, n7, comm. 79 ; Pauline Le More et Olivier Sautel, Louverture la concurrence et la rgulation du secteur des jeux dargent et de hasard en ligne en France : clairages conomique et juridique croiss, Contrats, Concurrence, Consommation juin 2010, n6, et. n7 ; Linda Arcelin-Lcuyer, Loi sur louverture des jeux et paris en ligne la concurrence : une rforme bien timide ; Contrats, Concurrence, Consommation juin 2010, n6, alerte 42 ; David Bosco, Rformer la politique de sanction de lAutorit ?, Contrats, Concurrence, Consommation, novembre 2010, n11, comm. 261 ; Loi n 2010-476 du 12 mai 2010 relative l'ouverture la concurrence et la rgulation du secteur des jeux d'argent et de hasard en ligne (JO du 13 mai 2010, p. 8881) ; Dcret n 20101070 du 8 septembre 2010 modifiant le dcret n 2010-481 du 12 mai 2010 relatif l'organisation et au fonctionnement de l'Autorit de rgulation des jeux en ligne (JO du 10 septembre 2010, p.16469 s.) ; Dcret n 2010-798 du 12 juillet 2010 modifiant le dcret n 2010-498 du 17 mai 2010 relatif la dfinition des courses hippiques supports des paris en ligne et aux principes gnraux du pari mutuel (JO du 14 juillet 2010, p. 13101 s.) ; Dcret n 2010-723 du 29 juin 2010 relatif aux catgories de jeux de cercle mentionnes au II de l'article 14 de la loi n 2010-476 du 12 mai 2010 relative l'ouverture la concurrence et la rgulation du secteur des jeux d'argent et de hasard en ligne ainsi que les principes rgissant leurs rgles techniques (JO du 30 juin 2010, p. 11810 s.) ; Arrt du 8 juin 2010 fixant le contenu et les modalits d'affichage des messages de mise en garde prvus par les articles 26, 28, 29 et 33 de la loi n 2010-476 du 12 mai 2010 relative l'ouverture la concurrence et la rgulation du secteur des jeux d'argent et de hasard en ligne (JO du 9 juin 2010, p.10573 s.) ; Dcret n 2010-624 du 8 juin 2010 relatif la rglementation des communications commerciales en faveur des oprateurs de jeux d'argent et de hasard ainsi qu' l'information des joueurs quant aux risques lis la pratique du jeu (JO du 9 juin 2010, p. 10575 s.) ; Dcret n 2010-623 du 8 juin 2010 fixant les obligations d'information des oprateurs agrs de jeux ou de paris en ligne pour la prvention des risques lis la pratique du jeu et modifiant le dcret n 2010-518 du 19 mai 2010 relatif la mise disposition de l'offre de jeux et de paris par les oprateurs agrs de jeux ou de paris en ligne (JO du 9 juin 2010, p.10575 s.) ; Dcret n 2010-518 du 19 mai 2010 relatif la mise disposition de l'offre de jeux et de paris par les oprateurs agrs de jeux ou de paris en ligne (JO du 20 mai 2010, p.9295 s.) ; Dcret n 2010-509 du 18 mai 2010 relatif aux obligations imposes aux oprateurs agrs de jeux ou de paris en ligne en vue du contrle des donnes de jeux par l'Autorit de rgulation des jeux en ligne (JO du 19 mai 2010, p.9223 s.) ; Dcret n 2010-495 du 14 mai 2010 relatif la procdure de sanction applicable aux oprateurs agrs de jeux ou de paris en ligne (JO du 15 mai 2010 ; p.9052 9054) ; Dcret n 2010-482 du 12 mai 2010 fixant les conditions de dlivrance des agrments d'oprateur de jeux en ligne (JO du 13 mai 2010, p. 8930 s.) ; Dcret n 2010-481 du 12 mai 2010 relatif l'organisation et au fonctionnement de l'Autorit de rgulation des jeux en ligne (JO du 13 mai 2010, p.8927 s .). 102 J.O U.E. du 5 dcembre 2007, p.1 et s.
Page 29
doivent mettre disposition permanente de lARJEL (Autorit de rgulation des jeux en ligne) entre autres - les donnes portant sur lidentit de chaque joueur, son adresse et son adresse de courrier lectronique ainsi que le compte du joueur. Les oprateurs doivent donc disposer dune base de donnes caractre personnel dtaille et respecter les exigences de la loi Informatique, Fichiers et Liberts (article 19). L encore, rappelons que larticle 34 de cette dernire loi prvoit la mise en place de mesures de scurit linitiative du responsable de traitement. Lobjectif principal consiste prserver la scurit des donnes et, ce titre, le responsable du traitement occupe une place prpondrante, de mme que loprateur joue un rle considrable dans le processus de protection et de vrification des donnes utilises pour le site de jeux. Il convient dtudier maintenant, les aspects juridiques de la gestion des identits numriques qui pourraient faire lobjet de travaux la C.N.U.D.C.I. en vue de contribuer la confiance dans les communications lectroniques internationales.
II.
Mise en uvre juridique internationale
La confiance repose principalement sur un sentiment psychologique des acteurs du march103. Mme si la confiance ne se dcrte pas, les instruments juridiques internationaux, notamment ceux de la C.N.U.D.C.I., sont particulirement importants dans la mesure o ce sont les seuls pouvoir servir de supports juridiques aux pratiques et usages des mthodes dauthentification et de signature lectronique. Les normes juridiques ont une porte et une effectivit du fait de la source de laquelle elles procdent : une institution internationale, lgitime et reconnue, la C.N.U.D.C.I. Rappelons que la C.N.U.D.C.I. peut laborer des instruments juridiques de natures trs varies : rgles normatives plus ou moins contraignantes (recommandations, guides et lignes directrices, principes gnraux, loi-type, ou convention internationale). Il appartiendra, sans doute la fin des travaux du groupe de travail, aux reprsentants des Etats membres de dcider de la nature juridique du (ou des) instruments juridiques. Encore faudra-t-il que lors de sa prochaine session104, la Commission dcide de (re)lancer le Groupe de Travail IV Commerce lectronique dont la dernire session sest tenue en 2004105, sur les aspects juridiques de la gestion de lidentit dont certains aspects ont dj t esquisss dans les travaux relatifs aux lois-types sur le Commerce et la Signature lectroniques. Dix-huit pays ont rpondu un questionnaire de lOCDE sur la gestion des identits numriques. Outre les diffrences historiques et culturelles des systmes juridiques, il apparat quil ne peut pas y avoir une approche gnrique et unique sur ces questions 106. Cependant, plusieurs facteurs devront tre pris en considration lors de lamorce
103
Valrie-Laure Benabou et de Muriel Chagny (sous la direction), La confiance en droit priv des contrats, Paris, Dalloz, 2008. 104 me La 44 session est prvue du27 juin au 15 juillet 2011 Vienne. 105 http://www.uncitral.org/uncitral/fr/commission/working_groups/4Electronic_Commerce.html. 106 V. lintervention de M. Laurent Bernat, membre du Secrtariat de lOCDE, en date du 14 fvrier 2011 lors du colloque de la CNUDCI New York : www.uncitral.org. V. gale. Le site : www.oecd.org/sti/security-privacy.
Page 30
dventuels travaux : linteroprabilit, le respect de la vie prive, la confidentialit et lergonomie des nouveaux usages. Les travaux sur les mthodes dauthentification et de signature pourraient envisager dtablir des rgles relatives certaines notions de base quil convient de dfinir et dencadrer (a), mais aussi de poser les principes fondamentaux dautres aspects essentiels la mise en uvre concrte (interoprabilit, mthodes dauthentification suivre, horodatage, ) de la reconnaissance croise des mthodes dauthentification, des fdration didentits, ou encore de renvoyer aux Etats la mise en place des processus de labellisation respectant certains principes et objectifs (b).
A. Des rgles normatives sur les lments de base

Au regard des analyses dveloppes ci-dessus, il apparat quil existe de nombreux cueils la reconnaissance des effets juridiques des mthodes dauthentification dans les communications lectroniques internationales. Cependant, il est possible dy pallier, tout le moins pour partie, par la technique contractuelle, et sous rserve dventuelles prescriptions impratives du droit national applicable (droits et liberts fondamentales des personnes, droit de la consommation, droit social, dispositions pna les, ). A lheure actuelle, et outre certaines dfinition s techniques issues de normes internationales107, rgionales ou nationales108, les dfinitions juridiques des principaux
107
Par exemple, les normes : ISO/IEC 9797 Information technology - Security techniques - Message Authentication Codes (MACs) ; ISO/IEC 9798 Information technology Security techniques Entity authentication ; ISO/IEC 18013 Information technology Personal Identification ISO-compliant driving license et notamment : o ISO/IEC 18013-3:2009(E) Part 3: Access control, authentication and integrity validation ; ISO/IEC 24727 Identification cards Integrated circuit card programming interfaces et notamment : o ISO/IEC FCD 24727-6 Part 6: Registration authority procedures for the authentication protocols for interoperability. LIETF sest galement positionne sur cette question : RFC 4422, Simple Authentication and Security Layer (SASL), Juin 2006. RFC 4954, SMTP Service Extension for Authentication, Juillet 2007. LETSI prvoit : ETSI TS 187 001 V3.3.0 (dcembre 2009, Telecommunications and Internet converged Services and Protocols for Advanced Networking (TISPAN) NGN SECurity (SEC) Requirements. 108 En France, selon le R.G.S., dans le cadre d'une authentification lors d'un accs un tlservice ou dune authentification auprs dune personne physique, la partie qui doit s'authentifier applique une transformation cryptographique, l'aide de sa cl prive, une requte d'authentification gnre par la partie souhaitant vrifier l'authentification. Le lien entre cette phase d'authentification et les changes qui suivent ("ouverture du canal de communication") doit ensuite tre garanti avec une scurit quivalente. Dans le cadre de lauthentification dun message ou de donnes, l'authentification est ralise par l'usager ou par lagent en appliquant une transformation cryptographique au message ou aux donnes authentifier, l'aide de sa cl prive. Le service d'authentification permet de garantir l'intgrit et l'origine du message / des donnes authentifies mais, contrairement au service de signature lectronique, il ne signifie pas que l'metteur manifeste son consentement sur le contenu du message ou des donnes. Le service de confiance de signature lectronique permet de garantir lidentit du signataire, lintgrit du document sign ainsi que la manifestation du consentement du signataire quant au contenu des donnes lectroniques ainsi signes. Lusager ou lagent devant signer lectroniquement un message ou un fichier utilise
Page 31
concepts, en dehors de la signature sous forme lectronique109, ne sont ni unifies, ni harmonises110. Toutefois, de manire gnrale et non exhaustive, on notera que la question de lauthentification est consubstantielle de celle de la scurit et quelle innerve ce titre chaque produit ou service recourant des rseaux mobiles, WIFI ou autres. En ce sens, les mthodes dauthentification jouent un rle essentiel dans les communications lectroniques internationales. Or, pour la scurit juridique, il est important de connatre les dfinitions et les qualifications associes aux principales notions qui sont susceptibles de gnrer des consquences juridiques. Par exemple, certains thmes ci-dessous pourraient tre tudis dans le groupe de travail IV Commerce lectronique de la C.N.U.D.C.I.
1. Authentification lectronique
Il sagit ici des mthodes les plus courantes telles que le login/mot de passe, jusqu des mthodes de vrification didentit et dorigine dune demande qui sappuie sur des OTP (One Time password), des certificats lectroniques ou encore lassociation de deux facteurs et deux mdias (ex : en ligne et par tlphone mobile). Ainsi, lauthentification peut
une cl prive asymtrique qu'il dtient et qu'il met en uvre dans un dispositif de cration de signature qu'il doit garder sous son contrle. 109 Loi type de la CNUDCI sur les signatures lectroniques, 2001, art. 2-a) : Le terme signature lectronique dsigne des donnes sous forme lectronique contenues dans un message de donnes ou jointes ou logiquement associes audit message, pouvant tre utilises pour identifier le signataire dans le cadre du message de donnes et indiquer quil approuve linformation qui y est contenue ; Convention des Nations Unies sur l'utilisation de communications lectroniques dans les contrats internationaux, 2005, art. 7 : Aucune disposition de la prsente Convention na dincidence sur lapplication dune rgle de droit obligeant les parties communiquer leur identit, leur tablissement ou toute autre information, ni nexonre une partie des consquences juridiques auxquelles elle sexposerait en faisant des dclarations inexactes, incompltes ou fausses cet gard ; art. 9 : 1. Aucune disposition de la prsente Convention nexige quune communication ou un contrat soit tabli ou constat sous une forme partic ulire. 2. Lorsque la loi exige quune communication ou un contrat soit sous forme crite, ou prvoit des consquences juridiques en labsence dun crit, une communication lectronique satisfait cette exigence si linformation quelle contient est acces sible pour tre consulte ultrieurement. 3. Lorsque la loi exige quune communication ou un contrat soit sign par une partie, ou prvoit des consquences en labsence dune signature, cette exigence est satisfaite dans le cas dune communication lectronique : a) Si une mthode est utilise pour identifier la partie et pour indiquer la volont de cette partie concernant linformation contenue dans la communication lectronique ; et b) Si la mthode utilise est : i) Soit une mthode dont la fiabilit est suffisante au regard de lobjet pour lequel la communication lectronique a t cre ou transmise, compte tenu de toutes les circonstances, y compris toute convention en la matire; ii) Soit une mthode dont il est dmontr dans les faits quelle a, par elle-mme ou avec dautres preuves, rempli les fonctions vises lalina a ci -dessus. 4. Lorsque la loi exige quune communication ou un contrat soit disponible ou conserv sous sa forme originale, ou prvoit des consquences juridiques en labsence dun original, cette exigence est satisfaite dans le cas dune communication lectronique : a) Sil existe une garantie fiable quant lintgrit de linformation quelle contient compter du moment o elle a t cre pour la premire fois sous sa forme dfinitive, en tant que communication lectronique ou autre ; et b) Si, lorsquil est exig que linformation quelle contient soit disponible, cette information peut tre prsente la personne laquelle elle doit tre rendue disponible. 5. Aux fins de lalina a du paragraphe 4 : a) Lintgrit de linformation sapprcie en dterminant si celle -ci est reste complte et na pas t altre, exception faite de lajout de tout endossement et de toute modification susceptible dintervenir dans le processus normal de la communication, de la conservation et de laffichage ; et b) Le niveau de fiabilit requis sapprcie au regard de lobjet pour lequel linformation a t cre et la lumire de toutes les circonstances y ayant trait . Eric A. Caprioli, Droit international de lconomie numrique , prface R. Sorieul, Ed. Litec, 2me dition, mars 2007, p.87-90. 110 Franck Violet, Articulation entre la norme technique et la rgle de droit , Prface J. Schmidt-Szalewski, P.U. Aix-Marseille, 2003 ; Anne Penneau, Rgles de lart et normes techniques, Paris, LGDJ, 1989, n285, spc. p. 203, du mme auteur, Respect de la norme et responsabilit civile et pnale de lhomme de lart , P. Aff., 11 fvrier 1998, n18, p. 28-34.
Page 32
tre dite simple ou forte en fonction des moyens de scurit mis en place. Aujourdhui, on parle de plus en plus souvent dIAM (Identity & Acces Management) dans les grandes entreprises. Les instruments technico-juridiques dIAM ont pour objectifs de fournir les principes et les modalits de gouvernance de tous les identifiants utiliss, ainsi que la gestion des droits et des habilitations de chacun. Pour lorganisation de ces lments, les entits ont la possibilit de recourir des politiques dIAM, en fonction de leurs besoins et des mthodes utilises. Toutefois, de telles politiques doivent tre opposables aux utilisateurs quils soient internes ou externes. Les Politiques dIAM doivent assurer linteroprabilit daccs entre deux entits partageant un mme single sign on (SSO). Elles permettent galement de dterminer le niveau didentification attendu par rapport un produit ou un service. En effet, plus un service sera sensible (engageant financirement), plus le niveau dauthentification requis sera important.
2. Signature lectronique technique

Les deux principales fonctions juridiques de ce procd sont le scellement des fins dintgrit et dauthenticit de lorigine. On retrouve ce systme dans plusieurs textes de lUnion europenne telle que la signature lectronique avance, exige dans le cadre des factures lectroniques111 et qui peut consister en une signature lectronique technique, sans intervention humaine pour la saisine des donnes dactivation loccasion de chaque facture. Ces procds de signature lectronique technique renvoient galement la signature de la personne morale avec un certificat de serveur (voir infra II-A-4). Les types de procds cryptographiques viss ont des applications multiples dans les changes et les transactions lectroniques, spcialement pour garantir de multiples preuves de faits juridiques comme des dates. Cela peut se traduire concrtement par des oprations sur les transmissions de documents lectroniques comme les notifications, les envois, les dpts, ou les accuss de rception. Lutilisation de ces procds de signature lectronique trouvent galement leur place pour les documents des ressources humaines (bulletins de paie, notes de frais, ).
111
Larticle 233 de la directive 2006/112/CE relative au systme commun de taxe sur la valeur ajoute en ce qui concerne les rgles de facturation modifi par la Directive 2010/45/UE du Conseil du 13 juillet 2010 (JOUE L 189 du 22 juillet 2010, p. 18) nonce : 1. L'authenticit de l'origine, l'intgrit du contenu et la lisibilit d'une facture, que celle-ci se prsente sur papier ou sous forme lectronique, sont assures compter du moment de son mission et jusqu' la fin de sa priode de conservation. Chaque assujetti dtermine la manire dont l'authenticit de l'origine, l'intgrit du contenu et la lisibilit de la facture sont assures. Cela peut tre ralis par des contrles de gestion qui tabliraient une piste d'audit fiable entre une facture et une livraison de biens ou de services. On entend par "authenticit de l'origine" l'assurance de l'identit du fournisseur ou de l'metteur de la facture. On entend par "intgrit du contenu" le fait que le contenu prescrit par la prsente directive n'a pas t modifi. 2. Outre le type de contrles de gestion dcrits au paragraphe 1, les mthodes suivantes constituent des exemples de technologies permettant d'assurer l'authenticit de l'origine et l'intgrit du contenu d'une facture lectronique : a) une signature lectronique avance au sens de l'article 2, point 2, de la directive 1999/93/CE du Parlement europen et du Conseil du 13 dcembre 1999 sur un cadre communautaire pour les signatures lectroniques [*], fonde sur un certificat qualifi et cre par un dispositif scuris de cration de signature au sens de l'article 2, points 6 et 10, de ladite directive ; b) un change de donnes informatises (EDI) tel que dfini l'article 2 de la recommandation 94/820/CE de la Commission du 19 octobre 1994 concernant les aspects juridiques de l'change de donnes informatises [**] lorsque l'accord relatif cet change prvoit l'utilisation de procdures garantissant l'authenticit de l'origine et l'intgrit des donnes..
Page 33
La traabilit des oprations se retrouvent dans de trs nombreuses applications mtiers, et dans la plupart des secteurs dactivits conomiques : banques, assurances, industries diverses comme laronautique, lautomobile, la sant, la grande distribution, ). Par exemple, la traabilit fera partie des mesures de scurit techniques quil faut respecter du point de vue de la conformit lgale112 dans les systmes de back et de middle office en salle de march113.
3. Datation lectronique114
La datation lectronique ou horodatage est un systme qui consiste en lassociation dune date un acte ou un fait juridique. Sur le plan technique, le procd dhorodatage se fonde sur la cryptographie115. Son utilit est trs importante dans la mesure o le procd permet dassurer, en outre, une fonction dintgrit des donnes auxquelles la date est associe. On va retrouver la datation lectronique dans de nombreuses applications telles que les notifications et les envois recommands avec ou sans accus de rception116, Les lettres recommandes lectroniques ont t prises en compte en France (Article 1369-8 du Code civil et son dcret dapplication : le Dcret n 2011-144 du 2 fvrier 2011 relatif
112
Rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement, art. 30-1 : Les prestataires doivent disposer dun systme de suivi des oprations dintermdiation permettant notamment : () denregistrer la fin de chaque journe et de retracer individuellement toutes erreurs dans la prise en charge et lexcution des ordres. Ces positions doivent tre considres au plan de la surveillance et de la matrise des risques comme des risques de march pris pour compte propre. Les prestataires qui ne sont pas habilits fournir le service de ngociation pour compte propre dnouent ces positions sans dlai. Chaque incident doit faire lobjet dun document descriptif port la connaissance de lun des responsables pour le contrle permanent prvu au premier tiret du point a de larticle 6 ds lors que lerreur est suprieure un seuil tabli par lorgane excutif. ; modifi notamment par un arrt du 19 janvier 2010 modifiant le rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement (JO n0036 du 12 fvrier 2010, texte n35) ; v. gal. le rglement relatif aux fonds propres des tablissements de crdit et des en treprises dinvestissement Convergence internationale de la mesure et des normes de fonds propres (Ble II), prvoyant la mise en place dun dispositif de surveillance prudentielle qui vise non seulement garantir que les banques disposent de fonds propres adquats pour couvrir lensemble des risques lis leurs activits, mais galement les inciter laborer et utiliser de meilleures techniques de surveillance et de gestion des risques. Le processus de surveillance prudentielle reconnat quil appartient lorgane de direction dlaborer un processus interne dvaluation des fonds propres et de fixer des objectifs de fonds propres correspondant au profil de risque et la structure de contrle de ltablissement. Dans le dispositif rvis, lorgane de direction demeure charg de veiller ce que son tablissement soit dot de fonds propres suffisants, au-del des exigences minimales de base, pour couvrir les risques auxquels il est expos. 113 Tribunal correctionnel de Paris 5 octobre 2010, Socit gnrale c./Kerviel, Comm. Com. Electr. Fvrier 2011, com. n16, p.36, note Eric A. Caprioli ; Didier Rebut, Affaire Kerviel : le tribunal n'avait pas le pouvoir d'individualiser les dommages et intrts sur le modle de l'individualisation des peines, JCP d. G, 2010, 1019 ; pour une critique virulente de la dcision : Flix Rome, Ne tirez plus sur le lampiste, D. 2010, Editorial du 14 octobre 2010, n35 ; Expertises des systmes dinformation, Novembre 2010, p.362, Editorial, Kerviel/Socit gnrale : une affaire de fraude informatique. 114 Laurent Jacques, La date lectronique et le contrat, in Les deuximes journes internationales du droit du commerce lectronique, Litec, 2005, p. 165 et s. 115 Marie Demoulin, Aspects juridique de lhorodatage des documents lectroniques, in Commerce lectronique : de la thorie la pratique, Cahiers du C.R.I.D. n23, Bruxelles, Bruylant, 2003, v .p.43 et s. 116 Etienne Montero, Du recommand traditionnel au recommand lectronique : vers une scurit et une force probante renforces, in Commerce lectronique : de la thorie la pratique, Cahiers du C.R.I.D. n23, Bruxelles, Bruylant, 2003, v.p.69 et s.
Page 34
l'envoi d'une lettre recommande par courrier lectronique pour la conclusion ou l'excution d'un contrat117) pour les cas de mise en demeure, de rsiliation, dinformation obligatoire prvus par les textes. Ladmission de la lettre recommande adresse par voie lectronique pour la conclusion ou lexcution du contrat est subordonne au respect des conditions suivantes : le courrier doit avoir t achemin par un tiers selon un procd permettant didentifier ce dernier ; lexpditeur doit tre dsign ; lidentit du destinataire doit tre garantie ; la remise effective de la lettre au destinataire doit galement tre garantie ; la date dexpdition doit tre fiable ou prsume fiable conformment aux dispositions du Dcret n2011-434 du 20 avril 2011)118. Par ailleurs, deux modalits de rception du courrier recommand lectronique sont prvues lalina 2 de larticle 1369-8 du Code civil, lesquelles sont laisses au libre choix de lexpditeur la condition que le destinataire soit un professionnel ou sil sagit dun consommateur ou dun non professionnel, que ce dernier ait sollicit un envoi dune lettre recommande sous forme lectronique ou quil y ait pralablement consenti, notamment dans le cadre dchanges antrieurs. Ainsi, dune part, le courrier peut faire lobjet dune rception lectronique par le destinataire (lettre recommande entirement lectronique) et dautre part, le courrier peut tre imprim par le tiers charg de lacheminer puis distribu sous forme papier au destinataire par La Poste. Cette dernire possibilit est importante puisquelle vise certaines pratiques dites hybrides .
4. Signature juridique dune personne morale119

Dans cette hypothse, comme dans la prcdente (signature technique), la signature sopre galement via un certificat de serveur, mais une diffrence fondamentale existe : elle engage une personne morale sans que la signature soit mise en uvre directement par une personne physique qui saisit ses donnes dactivation de la cl prive, mais par le biais dun agent lectronique120. Le systme de signature peut tre entirement automatis. Dans tous les cas, il y a toujours une personne physique dument habilite pour programmer le serveur et indiquer quels sont les messages qui doivent tre signs par la machine au nom de la personne morale. En effet, lorsquune entreprise signe de nombreux contrats en ligne, il est trs difficile en pratique de dsigner une personne physique agissant au nom et pour le
117
J.O. du 4 fvrier 2011 p.2274. Pour un commentaire de ce texte, v. Eric Caprioli, Comm. Com. Electr., avril 2011. 118 D. n2011-434 du 20 avril 2011 relatif lhorodatage des courriers expdis ou reus par voie lectronique pour la conclusion ou lexcution dun contrat, JO du 21 avril 2011, p.7093 ; Arrt du 20 avril 2011 relatif la reconnaissance de la qualification des prestataires de services dhorodatage lectronique et laccrditation des organismes qui procdent leur valuation, JO du 21 avril 2011, p.7094. Pour un commentaire, v. Eric Caprioli, Comm. Com. Electr. Juillet-Aot 2011, p.42-43. Les lettres recommands lectroniques, Cahier de droit de lentreprise, Mai-Juin, Fiche pratique, Eric Caprioli. 119 Sur le sujet, v. Mireille Antoine et Didier Gobert, La directive europenne sur la signature lectronique. Vers la scurisation des transactions sur lInternet ?, J.T.D.E., 2000, p.73 s. 120 Eric A. Caprioli, Consentement et systmes dinformation , Revue de la rech. jurid. Droit prospectif, 1999-4, d. PUAM, p. 1075 et s ; Yves Poullet, La conclusion du contrat par un agent lectronique , Cahiers du CRID n17, d. Bruylant, Bruxelles, 2000, p. 129 et s. ; Eric A. Caprioli, Lagent lectronique et le contrat, in Les deuximes journes internationales du droit du commerce lectronique, Litec, 2005, p. 215.
Page 35
compte de la personne morale et qui entre ses donnes dactivation du certificat pour chaque transaction. Cette signature de la personne morale garantirait les fonctions juridiques de la signature lectronique (identification et intgrit), en ce y compris la manifestation de volont de la personne. A la vrit, deux questions juridiques de fond se posent : est-ce que la personne morale nest engage que par la signature de la personne physique qui la reprsente ? Et, est-ce que la personne morale peut signer elle-mme via un systme dinformation, de faon automatique et sans intervention humaine directe ? Larticle 12 de la convention de la C.N.U.D.C.I. de 2005 prvoit la validit ou la force excutoire de la formation des contrats par linteraction de systmes de messagerie automatise (agent lectronique) ne peuvent pas tre contestes. Mais cet article ne traite pas de la question de la signature lectronique par un agent lectronique. Les rponses lgislatives et rglementaires divergent. Alors que le droit franais semble exclure la possibilit dune personne morale signataire dun acte121 sans lintervention dune personne physique, certains systmes juridiques semblent avoir consacrs cette solution juridique de faon imparfaite. Ainsi, si lon se penche sur la loi relative au commerce lectronique du Luxembourg, la notion de signataire est dfinie larticle 17 comme : toute personne qui dtient un dispositif de cration de signature et qui agit soit pour son propre compte, soit pour celui dune personne physique ou morale quelle reprsente 122. En droit belge, en revanche, larticle 4 4 de la loi du 9 juillet 2001 dispose : une signature lectronique avance ralise sur la base dun certificat qualifi et conue au moyen dun dispositif scuris de cration de signature lectronique, est assimile une signature manuscrite, quelle soit ralise par une personne physique ou morale , mais son article 8 3 prcise, ce qui nest pas exig par le droit du Luxembourg, que le prestataire de services de certification tient un registre contenant le nom et la qualit de la personne physique qui reprsente la personne morale et qui fait usage de la signature lie au certificat, de telle manire qu chaque utilisation de cette signature, on puisse tablir lidentit de la personne physique. . Une harmonisation internationale sur ce point semble opportune, tant donn les divergences qui existent sur le sujet avec des consquences juridiques radicalement opposes : validit ou nullit de lacte sign.
5. Certificats phmres ou la vole

Eu gard la lenteur du dploiement des signatures et des certificats lectroniques, le march a mis en uvre dautres mthodes plus pragmatiques mais qui nomettent pas pour autant la scurit juridique ncessaire une transaction. Ainsi, les certificats phmres ou la vole auxquels les acteurs ont recours sur certains marchs notamment en France pour conclure des contrats de crdit la consommation par voie lectronique ou pour raliser des
121
Selon le Dcret du 30 mars 2001, seule une person ne physique peut tre titulaire dun certificat et a contrario, une personne morale ne peut pas ltre. V. gal. Thierry Piette -Coudol, Le bilan de dix ans de signature lectronique, RLDI, Dcembre 2010, spc. p.78 81. 122 Andr Prm, Yves Poullet, Etienne Montero (sous la direction scientifique), Le commerce lectronique en droit luxembourgeois, Bruxelles, Larcier, 2005, v. les dveloppements sur ce texte : n178 180.
Page 36
paiements (par exemple des virements ou des prlvements), ou encore pour souscrire des contrats dassurance. Une rserve doit cependant tre pose : ces solutions ne sappliquent qu loccasion de transactions avec des clients dj connus et identifis par ltablissement bancaire ou de crdit. Ces certificats peuvent se dfinir comme des fichiers lectroniques attestant quune bi-cl appartient la personne physique (mais pourquoi pas une personne morale ou llment matriel ou logiciel identifi), directement ou indirectement (pseudonyme). Ce certificat transactionnel est valide pendant une dure de temps donne qui est prcise dans un de ses champs123. Le certificat phmre ne sera valable que pour un seul contrat ou transaction. Et il ne peut tre mis en uvre que pour des personnes dj connues par le commerant, tant donn quil convient de disposer au pralable des informations les concernant des fins denregistrement pour tablir le certificat. Avec ce type de signature, il ny a pas de Liste de rvocation des certificats grer par le Prestataire de services de certification lectronique (P.S.C.E.), ce qui rduit considrablement le risque de compromission du certificat. En principe, il faut prvoir une politique de gestion de preuve afin que le fichier y affrent comporte tous les lments informatiques (ex : contrat sign, certificat phmre, date) ncessaires ltablissement du contrat, avant que ce dernier ne soit verser au service darchivage lectronique. Concrtement, le client signera lissue dun processus contractuel en ligne, en cliquant sur un bouton o il est indiqu je signe ou signer . De plus en plus souvent, pour des raisons de scurit, cette technologie se double de lenvoi dun OTP ou dun code unique et gnr de faon alatoire sur le tlphone mobile du client comme mesure de sur-authentification ou dauthentification forte.
6. Obligations et responsabilits dans Infrastructure cl Publique (ICP).
le
cadre
dune
Une I.C.P. comprend plusieurs entits qui ont des fonctions et des responsabilits distinctes. A ct des utilisateurs des certificats (signataire et partie qui se fie au certificat), plusieurs mtiers coexistent : Autorit de certification, Oprateur de certification et Autorit denregistrement, Services de publication (annuaire ou liste de rvocation des certificats ou liste des autorits de certification reconnues), autorit de validation, autorit et oprateur dhorodatage. Il ressort de ce systme que la confiance dpend de lensemble des composantes de lI.C.P. dont les rles et responsabilits sont dfinis dans la politique de certification (P.C.) et les conventions. LI.C.P. est constitue dun ensemble de moyens techniques, humains, documentaires et contractuels mis la disposition des utilisateurs pour assurer un environnement scuris aux changes lectroniques. La mise en uvre dune Infrastructure Cl Publique permet de
123
En gnral, la dure varie de quelques dizaines de secondes une deux minutes au plus.
Page 37
sassurer de la correspondance entre une cl publique figurant dans un certificat et un titulaire du certificat (celui qui signe laide de la cl prive), ainsi que de fournir des services valeur ajoute pour les transactions lectroniques124. Les certificats lectroniques peuvent servir aux courriers lectroniques, transactions commerciales, tlprocdures, etc., mais aussi la protection de la confidentialit des donnes. LI.C.P. permet de vrifier et dassurer lexactitude et lintgrit des informations concernant le titulaire, runies lors de leur collecte au moment de lenregistrement et figurant dans le certificat. Ce s donnes sont particulirement importantes lors lidentification du signataire dun acte ou de son authentification. Elle peut prendre plusieurs formes techniques125, allant du modle interne pour un intranet dentreprise jusquau modle externe sur lInternet.
Demande de certificat
AE dlgue ou Bureau AE dlgue Autorit d'Enregistrement
Autorit de Certification Oprateur de Certification
Emission du certificat
Exemple d'organisation et dinteraction entre les composantes de l'ICP pour l'obtention d'un certificat.
124
CNUDCI, Doc. A/CN.9/ 493, 50 : Pour inspirer cette confiance, une Infrastructure Cl Publique peut offrir un certain nombre de services, dont les suivants : 1) grer les cls cryptographiques utilises pour les signatures numriques ; 2) certifier quune cl publique correspond bien une cl prive ; 3) fournir des cls aux utilisateurs finaux ; 4) dcider quels utilisateurs se verront confrer tel ou tel privilge dans le systme ; 5) publier un rpertoire scuris des cls publiques ou des certificats ; 6) grer des objets personnaliss (par exemple, carte mmoire) capables didentifier lutilisateur au moyen dlments didentification qui lui sont spcifiques ou capables de crer et de garder en mmoire les cls prives dun individu ; 7) vrifier lidentit des utilisateurs et leur offrir des services ; 8) offrir des services de non-rpudiation ; 9) offrir des services dhorodatage ; 10) grer les cls de chiffrement utilises pour le chiffrement de confidentialit lorsque le recours cette technique est autoris.. 125 CNUDCI, Doc. A/CN.9/ 493, 51 : Une Infrastructure Cl Publique sappuie souvent sur divers niveaux dautorit. Par exemple, les modles envisags dans certains pays pour tablir ce type dinfrastructure se rfrant notamment aux niveaux suivants : 1) une autorit principale (autorit racine) unique, qui certifierait la technologie et les pratiques de toutes les parties autorises produire les paires de cls cryptographiques ou les certificats concernant lutilisation de ces paires de cls, et qui enregistrerait les autorits de certification infrieures ; 2) diverses autorits de certification, situes en dessous de lautorit racine, qui certifieraient que la cl publique dun utilisateur correspond effectivement sa c l prive ; et 3) diverses autorits locales denregistrement, places en dessous des autorits de certification et charges, dune part, de recevoir les demandes de paires de cls cryptographiques ou de certificats relatifs lutilisation de ces paires de cls adresses par des utilisateurs et, dautre part, dexiger une preuve didentification et de vrifier lidentit des utilisateurs ventuels.
Page 38
A ct des utilisateurs (titulaires dun certificat et parties qui se fient au certificat/destinataires), la question de la responsabilit reste une tche dlicate pour le titulaire ou pour la partie qui se fie au certificat (celle qui procde la vrification de la signature laide du certificat), victime dune dfaillance du certificat. Lidentification de lauteur de la faute est dautant plus malaise en raison du nombre dentits ncessaires lmission et la gestion du certificat. Toutes les composantes permettant dassurer le bon droulement des tapes du processus de certification peuvent commettre des fautes, comme lAutorit dEnregistrement (A.E.) ou lAE dlgue (bureau denregistrement), lOprateur de Certification ou lAutorit de Certification. Mais dautres composantes peuvent intervenir dans des systmes plus complexes : autorit dhorodatage, oprateur dhorodatage, autorit de validation, service dannuaires et de liste de rvocation des certificats, service de recouvrement de cls de chiffrement, autorit darchivage126. A titre dexemple, on citera la question des validations de signature lectronique qui se manifestent en pratique au travers dun service qui respecte une politique de signature et une politique de validation. Quelle sera la valeur juridique de ces oprations de vrification techniques qui emporteront des effets juridiques ? Quelle sera la responsabilit de lAutorit de validation si la signature valide est conteste ultrieurement ? Si lon se trouve en prsence de certificats phmres , pour la preuve du contrat sign lectroniquement, il faudra tenir compte de la Politique de Gestion de preuve. Qui assurera cette responsabilit ? Est-ce que cette entit sera assujettie une obligation de moyen ou une obligation de rsultat ? Quel partage de responsabilit avec lautorit darchivage auprs de qui sera vers le fichier de preuve ?
126
Comment assurer et garantir la conservation des signatures associes des contrats ou documents dans le temps ? Ou encore, comment assurer la conservation des preuves dauthentification dans le cadre de la traabilit des oprations ?
Page 39
Autorit de Certification
Emission du Certificat
Client
Signature du Contrat
Autorit de validation
Horodatage du Contrat, vrification du Certificat et de la signature et constitution du fichier de preuve
Autorit dArchivage
Versement et conservation du fichier de preuve
Exemple de processus de gestion de la preuve En raison du caractre plural des intervenants, il est ncessaire quune seule entit le plus souvent, lAutorit de Certification rponde des dommages causs aux titulaires ou parties qui se fient pouvant rsulter dune mauvaise excution ou dune inexcution fautive, charge pour cette entit de prvoir contractuellement les rpartitions des obligations et responsabilits des entits au sein de lInfrastructure Cl Publique. En effet, les relations existant entre chacune des composantes de lI.C.P. surtout lorsque les composantes sont indpendantes juridiquement doivent tre clairement prcises dans les contrats, reprenant notamment certaines dispositions de la Politique de Certification et de la (ou des) Dclarations des Pratiques de certification (DPC). La Politique de certification dfinit et prcise les rles et les obligations de chacune des composantes de lI.C.P. ; elle est publique et accessible contrairement aux Dclarations des Pratiques de certification. Il faut cependant, ce stade, prciser quil nest fait tat que des relations entre une Autorit de certification et des utilisateurs et non pas de la relation entre une Autorit de certification Racine (ACR) et des Autorits de certification (AC) dont elle signe les certificats. Dans la seconde hypothse, les responsabilits et les engagements souscrits (qui figurent dans la Politique de certification racine et le contrat) sont sensiblement diffrents de ceux de la premire (entre lAC et les utilisateurs).
Page 40
B.
Organisation juridique de la gestion des identits numriques
Parmi les lments fondamentaux de la gestion des identits, nous retiendrons les trois solutions qui nous paraissent les plus adaptes parmi les solutions qui existent. Ces solutions procdent de logiques diffrentes : la reconnaissance mutuelle transnationale des moyens didentification, dauthentification et de signature (1), les fdrations didentit sur la base dun encadrement contractuel (2) et les systmes de labellisation qui peuvent fournir des lments de solutions dans des environnements de confiance, btis autour de rfrentiels techniques et scurit (3). La C.N.U.DC.I. peut contribuer, selon la volont des Etats membres, dans chacune de ces voies, en formalisant et en encourageant les bonnes pratiques en ce domaine, mais galement en prenant des dispositions plus fermes pour des reconnaissance mutuelles sur la base de standards reconnus au niveau international.
1. Reconnaissance mutuelle
Pour assurer une coopration internationale et donc un vritable dveloppement du commerce lectronique, la reconnaissance mutuelle des signatures et certificats lectroniques par diffrents pays doit tre garantie. Celle-ci peut tre ralise, de manire gnrale, par la signature daccords bilatraux ou multilatraux donc llment clef rside dans les considrations relatives aux mesures de scurit (par exemple le niveau de scurit qui peut tre ncessaire), la scurit du stockage des donnes, aux critres dacceptation des certifications transfrontires sil y a lieu, etc. Dans le cadre europen, on remarquera que les dispositions portent uniquement sur le certificat127, car larticle 5-2 de la directive 1999/93/CE - s'appliquant aux autres signatures lectroniques qui ne correspondent pas aux critres de la Signature lectronique avance - nonce un principe de non-discrimination : Les Etats membres doivent veiller ce que l'efficacit juridique et la recevabilit comme preuve en justice ne soient pas refuses au seul motif que la signature se prsente sous une forme lectronique ou quelle ne repose pas sur un certificat qualifi, ou qu'elle ne repose pas sur un certificat qualifi dlivr par un prestataire accrdit de service de certification ou qu'elle nest pas cre par un dispositif scuris de cration de signature . L'utilisation de ces procds de signatures lectroniques implique que l'on apporte, au juge, la preuve de leur fiabilit technique. Pour le certificat qui est une attestation lectronique qui lie les donnes affrentes la vrification de signature (la cl publique) une personne et confirme lidentit de cette personne , en revanche, la situation est diffrente pour les prestataires de services de certification tablis en dehors de la Communaut europenne, car si ce sont des donnes lectroniques qui sont amenes circuler et tre utilises dans le march intrieur de lUnion europenne, elles doivent respecter les exigences des annexes I et II de la directive pour tre reconnues quivalente aux certificats qualifis dlivrs par un prestataire tabli dans la communaut. Un rapport sur la mise en uvre de la directive 1999/93/CE sur un cadre communautaire pour les signatures lectroniques tabli le 15 mars 2006 a permis pour la premire fois danalyser la mise en uvre par les Etats Membres des dispositions de ce texte afi n de
127
V. Eric Caprioli, La directive europenne n1999/93/CE du 13 dcembre 1999 sur un cadre communautaire pour les signatures lectroniques, Gaz. Pal. 29-31 octobre 2000, p. 5 et s.
Page 41
vrifier si un de ses objectifs premiers a pu tre ralis, savoir llimination du risque de fragmentation que faisait peser, sur le march intrieur des produits et services lis la signature lectronique, l'adoption par les Etats membres, de lgislations nationales divergentes128. Ainsi, la Commission a pu constater que les lenteurs de dploiement de la signature lectronique dans les Etats membres ont un effet ngatif sur les changes commerciaux de biens et de services via lInternet. En pratique, les entreprises et les citoyens de l'Union europenne ne disposent toujours pas d'un certificat lectronique unique pour signer lectroniquement des documents de la mme faon que les documents manuscrits. Par consquent, la Commission prconise la promotion de linteroprabilit et de lutilisation transfrontalire des signatures lectroniques, travers la poursuite des travaux de normalisation et lutilisation de toutes sortes de technologies pour les signatures lectroniques dans le march intrieur. Selon larticle 12 de la loi-type de la CNUDCI sur les signatures lectroniques : 1. Pour dterminer si, ou dans quelle mesure, un certificat ou une signature lectronique produit lgalement ses effets, il nest pas tenu compte : a) Du lieu dans lequel le certificat est mis ou la signature lectronique cre ou utilise ; ou b ) Du lieu dans lequel lmetteur ou le signataire a son tablissement. 2. Un certificat mis en dehors de * lEtat adoptant + a les mmes effets juridiques dans * lEtat adoptant + quun certificat mis dans * lEtat adoptant + condition quil offre un niveau de fiabilit substantiellement quivalent. () Aux termes de cette brve analyse, on peut estimer que les nouvelles mthodes dlaboration des rgles internationales et europennes correspondent aux besoins du commerce lectronique et expriment un savant dosage grands traits de globalisation et de localisation129. Or, ces textes ne disent rien sur les effets juridiques des mthodes dauthentification , alors quil est opportun de favoriser lefficacit de ces mthodes dauthentification de personnes trangres sur le territoire dun autre pays. Il en va de mme pour les signatures lectroniques manant dune personne trangre. Pour ce faire, il faut reconnatre les mthodes dauthentification et de signatures lectroniques trangres. La reconnaissance transfrontire de ces mthodes reposera sur des critres techniques, organisationnels et juridiques, faute de quoi leffectivit ne sera pas au rendez-vous. Il en rsulterait une assimilation entre les mthodes dauthentification et de signature trangres et nationales. Les mthodes trangres bnficieraient dune vritable quivalence juridique. Une juridiction tatique ou arbitrale, appele dcider de leffet juridique dune telle mthode, pourrait les examiner en fonction de leurs caractristiques propres et juger de son assimilation la mthode ayant le niveau le plus proche dans lEtat o le moyen dauthentification est cens produire ses effets. Afin de trouver et de mettre en place des nouvelles solutions pour liminer les obstacles linteroprabilit transfrontalire des signatures lectroniques qualifies ainsi que des signatures lectroniques bases sur des certificats qualifis, la Commission Europenne a
128
Rapport de la Commission au Parlement europen et au Conseil sur la mise en uvre de la Direc tive 1999/93/CE sur un cadre communautaire pour les signatures lectroniques, COM (2006)120, 15 mars 2006, http://ec.europa.eu_society/policy/esignature/eu_legislation/legislation2. 129 Eric A. Caprioli, Aperus sur le droit du commerce lectronique (international), in Souverainet tatique et marchs internationaux la fin du XXme sicle, Mlanges en lhonneur de Ph. Kahn , Paris, d. Litec, 2000, p. 247 et s. Eric A. Caprioli, La loi type de la CNUDCI sur les signatures lectroniques (Vienne 23 juin - 13 juillet 2001), Comm. Com. Electr. 2001, n12, p.9. Thierry Piette-Coudol, Le bilan de dix ans de signature lectronique , RLDI, Dcembre 2010, p.69 et s..
Page 42
dcid de mener une tude appele CROBIES , entre le mois daot 2008 et juin 2010130. Cette initiative a permis de raliser une analyse des exigences en matire de signature lectronique dans le contexte international, avec comme rfrence les dispositions de la directive 1999/93/CE, les mesures nationales de sa transposition ainsi que les travaux de normalisation fonds sur ce te texte. Ainsi, CROBIES pourra contribuer aux diffrentes amliorations des rgles applicables en matire tant juridique que technique. Parmi ses nonciations, nous retrouvons notamment une proposition d un modle commun de surveillance et daccrditation des prestataires de service de certification, la cration dune liste de confiance regroupant les services de certification qualifies, linstauration dune structure homogne des recommandations relatives aux dispositifs de cration des signatures lectroniques, llaboration dune liste des algorithmes dont lutilisation est recommande pour les signatures lectroniques etc. Paralllement, la Commission soutient la prparation dune initiative sur la reconnaissance mutuelle de le-identification et de le-authentification dans le cadre dun projet pilote STORK (Secure idenTity acrOss BoRders linKed) ayant pour objectif de faciliter l'accs aux services publics dans 18 pays europens131. Tous ces lments ont conduit la Commission vouloir remdier au manque de confiance des consommateurs et des entreprises dans les transactions en ligne. Elle a donc dcid de lancer une consultation publique auprs de ceux dentre eux qui souhaitent apporter leur avis sur la faon dont les signatures, lidentification et lauthentification lectronique peuvent contribuer la ralisation du march numrique unique en Europe. Les rsultats de cette consultation permettront dlaborer un nouveau cadre europen de la signature lectronique, accompagne de la rvision de la directive 1999/93/CE. Dans le cadre de ce systme de reconnaissance transfrontires, on signalera une ralisation trs intressante : le service WebNotarius de Pologne. Il permet une vrification instantane et scurise de diffrents formats de signatures lectroniques ainsi que des certificats cl publique les accompagnants. Le certificat lectronique dlivr suite un tel processus de vrification est sign lectroniquement et horodat et peut donc tre utilis en tant que preuve lors dun litige ventuel. Ce systme prsente des nombreux avantages, notamment le transfert de responsabilit envers lutilisateur final du service ainsi que ladaptabilit aux Trust-Service StatusLists (TSL, ce qui signifie la liste des autorits de certification qualifies132) mis en uvre dans les pays membres de lUnion europenne.
2. Fdration didentits133
La gestion de l'identit numrique ainsi que le fait de permettre un utilisateur d'utiliser un login unique pour accder diffrents services dans le cadre dune fdration d'identits sont devenus des enjeux majeurs de lconomie numrique. A ce titre, il est important de signaler le consortium Liberty Alliance (disparu au profit de la Kantara Initiative 134) qui a
130 131
V. http://ec.europa.eu/information_society/policy/esignature/crobies_study/index_en.htm. V. https://www.eid-stork.eu. 132 V.http://www.webnotarius.eu/webnotariuseu/main.xml. Sur ce site, est publie la liste de 407 Autorits de certification reconnues par ce service. 133 V. larticle de Thomas J. Smedinghoff, Introduction to Online Identity Management, publi sur le site de la Confrence de la C.N.U.D.C.I : www.uncitral.org. 134 http://kantarainitiative.org/, connue sous le nom de Liberty Alliance, http://www.projectliberty.org.
Page 43
rdig un ensemble de spcifications et de protocoles ouverts permettant de standardiser la gestion et la fdration d'identits. Ces protocoles, articuls aujourd'hui autour de SAML 2.0, permettent de mettre en place des "cercles de confiance" au sein desquels l'utilisateur ne s'identifie qu'une seule fois (au moyen dun Single Sign On/SSO), tout en assurant la protection de sa vie prive. Ce modle semble actuellement l'approche la plus aboutie en terme de standardisation pour la gestion de donnes d'identit135 sur l'internet136. Il met en uvre des techniques d'anonymisation et de pseudonymisation et il s'appuie sur les standards les plus courants de services Web : la spcification SOAP dvelopp par le W3C et les protocoles standardiss au sein du consortium OASIS tels que SAML. Un profil particulier LECP (Liberty-Enabled Client or Proxy) intgre un modle de protocole de services Web visant un faible transfert de connaissance au sein d'un mme cercle de confiance. Cette architecture fait appel un tiers de confiance qui dtient pour le compte de l'utilisateur, certaines donnes caractre personnel et fait un lien entre le propritaire de ces donnes et un demandeur ; par exemple, un commerant qui propose un service qui require que l'utilisateur soit majeur pour acheter. Ainsi, dans l'architecture Liberty Alliance, il tait possible d'autoriser une personne utiliser un ou plusieurs pseudonymes et de signer lectroniquement les informations d'identit fournies par le tiers de confiance. Toutefois, autoriser un particulier faire usage de plusieurs pseudonymes ne fait pas l'unanimit. Jusqu quelle limite peut-on demeurer anonyme ? A l'avenir, un cadre tel que celui propos par le consortium Liberty Alliance, aura besoin d'tre complt : des travaux sont notamment proposs pour interconnecter plusieurs cercles de confiance et permettre, par exemple, un utilisateur reconnu par un premier cercle de confiance, d'accder un deuxime cercle de confiance avec le mme niveau de scurit quant la gestion de ses donnes. Les fdrations didentits posent diverses problmatiques juridiques relatives la scurit, la confidentialit et la protection des donnes personnelles (usage de lanonymat), mais aussi la gestion des droits et aux droits et obligations des utilisateurs. Pour linstant, la plupart des projets de fdrations didentits se fondent sur une approche de nature contractuelle entre les membres. Les participants adhrent en quelque sorte un rseau ferm , limage de ce qui existe en matire de cartes bancaires ou dans les rseaux EDI.
3. La labellisation de dispositifs de scurit

Plusieurs initiatives gouvernementales, avec des objectifs plus ou moins tendues ont t entreprises dans certains pays afin de permettre la gestion des moyens dauthentifications et de signature lectroniques. Ces labellisations peuvent procder partir de rfrentiels tablis par lEtat ou par le march.
135
A l'oppos de la fdration d'identit, la socit Microsoft a dvelopp un modle propritaire de cercle de confiance sur les rseaux, dans le cadre de son initiative Microsoft Passport. 136 D'autres modles existent : par exemple, en entreprise, la gestion des droits d'accs au sein de cercles de confiance repose souvent sur un annuaire conforme aux recommandations X500 ou au standard LDAP de l'IETF.
Page 44
a. Le label ID Num (France) Le gouvernement franais a depuis longtemps prsent une volont damorcer la transition vers la socit de linformation en permettant aux citoyens de disposer de tlservices et dun accs direct par voie lectronique aux autorits administratives (administrations, collectivits territoriales, tablissements publics administratifs, ). Lamlioration de la scurit des infrastructures, des changes et des donnes est un facteur cl de succs de cette transition. Ainsi, linitiative du dfunt Secrtariat dEtat lEconomie Numrique, a t lanc, le 1er fvrier 2010, le label IDNum. Il consiste fdrer les outils d'authentification mis par diffrents acteurs, en garantissant un niveau homogne de scurit et dinteroprabilit. Un outil labellis pourrait ainsi donner accs tous les services en ligne, publics ou privs, de ce niveau de scurit, ce qui devrait crer une unification des moyens dauthentification trs diversifis sur le march. Les metteurs pourront ds lors proposer leurs clients un nouveau service, plus utile dans la vie courante. Ce label sera spcifi, test et valid par les acteurs de lconomie numrique eux -mmes et viendra complter la liste des solutions de signature lectronique dj certifies et rgules par le ministre de lconomie et des finances en prvoyant les produits IdNum. Ces produits se prsentent sous la forme de dispositifs physiques scuriss dans lequel se trouvent des lments propres au propritaire, qui peut tre peut dverrouiller au moyen dun code PIN. Ces lments propres sont deux bi-cls cryptographiques lune ddie lauthentification, lautre la signature lectronique pour lesquelles chaque cl publique a t certifie. En tant que tel, il pourrait tre constitu comme une solution provisoire dans lattente de la Carte Nationale dIdentit Numrique. Un produit IdNum devrait pouvoir tre obtenu auprs des prestataires de services de certification lectronique (PSCE) dont loffre IdNum sera atteste comme tant conforme aux exigences techniques, figurant dans le cahier des charges. Du fait de sa rfrence expresse au RGS137, les produits et les tlservices rfrencs par lordonnance du 8 dcembre 2005 seront automatiquement accepts par toutes les autorits administratives qui disposent des services lectroniques. Les services privs seront galement autoriss accepter les produits selon quils sont rfrencs ou non. Le label IDNum saffichera sur les sites qui le reconnaissent et les internautes pourront choisir librement leur fournisseur. Ainsi, le label permettra de fournir aux internautes un moyen fiable didentification pour simplifier leurs dmarches en ligne (accs leurs comptes administratifs, abonnement des services payants, souscription de services ou de
137
Rfrentiel gnral de scurit (RGS), rdig par lAgence Nationale de la Scurit des Systme dInformation (ANSSI) et par la Direction Gnrale de la Modernisation de lEtat (DGME), a t pris en application de larticle 9 de lordonnance n 2005-1516 du 8 dcembre 2005; dcret n 2010-112 du 2 fvrier 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives, JO n0029 du 4 fvrier 2010, p. 2072 ; arrt du 6 mai 2010 portant approbation du rfrentiel gnral de scurit et prcisant les modalits de mise en uvre de la procdure de validation des certificats lectroniques, JO n0113 du 18 mai 2010, p.9152. Il dfinit un ensemble de rgles de scurit simposant aux autorits administratives dans le but de scuriser leur systme dinformation dans le cadre dchange des informations par voie lectronique.
Page 45
contrats), en unifiant le march et en facilitant les formalits quotidiennes des administrs et des citoyens. Qui plus est, le label permettra au public de bnficier de produits didentification et de signature lectronique de qualit garantie et didentifier facilement les services en ligne qui acceptent ces produits138. b. Le Label suisNum (Suisse) La carte SuisseID a t lance linitiative du Secrtariat dEtat lconomie en Suisse et avec un budget de 17 millions de francs suisses attribu par le Conseil fdral au titre du dveloppement de lespace conomique lectronique. Ce dispositif a pour objectif de permettre de raliser des oprations scurises sur lInternet et les rseaux numriques. Il se dcline sur plusieurs supports : carte puce ou cl USB et constitue une combinaison de deux fonctions essentielles : lauthentification lectronique (vrification de lidentit) dune personne qui a de multiples applications : autorisation et contrle daccs des contenus, des services en ligne (bancaires), ou au SI de lentreprise, tlservices avec une autorit administrative, ), dune part, et la signature lectronique valable juridiquement, dautre part. Il se fonde sur les mmes technologies quIDnum. Grce ce premier produit standardis en Suisse destin servir de preuve didentit lectronique, des transactions scurises peuvent tre conclues directement en ligne entre les particuliers et les entreprises (BtoC), entre entreprises (BtoB) et entre les citoyens et ladministration (AtoC). Lacquisition de SuisseID exige un investissement de 164 francs suisses pour trois ans de validit pour une personne prive avec 65 francs suisses rembourss dans le cadre de la subvention fdrale pour toute acquisition de cette technologie par les particuliers. Toute personne physique peut se procurer des produits labelliss SuisseID auprs dun des fournisseurs de signatures lectroniques, lesquels seront chargs de la phase de lauthentification physique des personnes (QuoVadis, Trustlink Suisse SA ou La Poste Suisse/SwissSign AG). Quant aux autorits administratives, elles peuvent lobtenir auprs de lOffice fdral de linformatique et de la tlcommunication (OFIT) en vue de son utilisation par leurs collaborateurs. Plusieurs administration cantonales et fdrales, dont Genve, se sont dj mises niveau et dadaptent en ligne cette innovation technologique. Il est par exemple dj possible dutiliser la SuisseID avec certains services fiscaux ou pour demander une autorisation de manifestation. Au mois de septembre 2010, 110.000 certificats lectroniques labelliss SuisseID avaient t dj commercialiss. Le label SuisseID prsente des atouts non ngligeables, savoir un niveau lev de scurit des transactions lectroniques et un gain de temps, trs apprciable dans le milieu conomique. Au surplus, si les institutions, les entreprises et les particuliers optent pour ce nouveau moyen didentification et dauthentification, lconomie nationale pourrait pargner plusieurs centaines de millions de francs. La carte SuisseID est ainsi un lment fondamental dans le dveloppement de ladministration et du commerce lectroniques. Le systme a, comme le label IDNum, des inconvnients et des avantages : il est limit une reconnaissance au sein dun systme juridique national, mais il harmonise les usages de la scurit en ligne, ce qui peut tre trs utile dans le cadre dune reconnaissance un
138
V. Fdration Nationale des Tiers de Confiance (FNTC), Vademecum juridique de la dmatrialisation des me documents, rdig par le Cabinet davocats, Caprioli & Associs, 3 d., avril 2010, p. 42, disponible sur le site de la Fdration Nationale des Tiers de Confiance, www.fntc.org et sur le site www.caprioli-avocats.com. Une me prochaine dition (4 d.) sera disponible en juin 2011.
Page 46
niveau plus large. A tout le moins, les instruments de comparaison des niveaux de scurit existent et ils peuvent servir en vue dune interoprabilit entre Etats et pourquoi pas constituer les fondations de rgles de reconnaissance vritablement transnationales des mthodes dauthentification et de signature lectronique. c. Autres initiatives Le label IDNum et le label SuisNum s'inspirent de diffrentes initiatives entreprises dans dautres pays europens. Ainsi, en Italie, des certificats sur des cartes puce sont proposs au niveau rgional. En Autriche, les certificats sont intgrs dans des cartes dtudiants ; en Norvge sur des cartes de la loterie nationale ; en Sude sur des cartes remises La Poste. En Turquie et dans des pays nordiques, les certificats sont transfrables sur les tlphones mobiles. Aux Etats-Unis, plusieurs acteurs majeurs de lInternet (Google, Paypal, Verisign etc.), ont annonc la formation de lassociation Open Identity Exchange (OIX), qui vise distribuer des certificats aux internautes. Plusieurs niveaux de confiance sont envisags, dont le niveau suprieur peut tre compar celui du label IDNum. Ces certificats seront utilisables aussi bien dans le secteur public que dans le secteur priv. Si lanalyse dveloppe ci-dessus ne prjuge en rien de la forme que pourraient prendre les travaux de la C.N.U.D.C.I. sur les mthodes dauthentification et de signature lectronique, en revanche, elle est de nature identifier certains obstacles ou carences juridiques de nature rduire la confiance dans les communications lectroniques internationales et de proposer certains sujets traiter. Labsence de confiance ne peut que freiner, voire restreindre le dveloppement de ces moyens de scurisation des communications lectroniques lchelle internationale. Selon Ren-Jean Dupuy, lengagement dans luniversel conscutif lentre dans lre informationnelle ne peut occulter les composantes nationales, conomiques, financires culturelles dun univers interconnect. Ce nest point le chaos : cest la gestion dun ordre partir dun dsordre. On pense Teilhard de Chardin : Nous croyons traverser un orage ; en ralit nous changeons de climat. 139. Gageons que la C.N.U.D.C.I. contribue au changement climatique en matire de scurit des communications lectroniques internationales avec le passage de la fragmentation des souverainets nationales luniversel. La cration dun climat de confiance en dpend.
139
Ren-Jean Dupuy, Le ddoublement du monde, Revue Gnrale de Droit International Public, 1996-2, p.321.
Page 47

Caprioli - Article - Signature Électronique

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Caprioli - Article - Signature Électronique

Transféré par

Droits d'auteur :

Formats disponibles

De lauthentification la signature lectronique : quel cadre juridique pour la confiance dans les communications lectroniques internationales ?

Eric A. CAPRIOLI, Avocat la Cour de Paris

Le Label suisNum (Suisse) ...................................................................................................... 46 Autres initiatives .................................................................................................................... 47

Introduction : Enjeux juridiques et sociaux

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

I. Cadre juridique et normatif de la gestion de lidentit

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

scurit, limportance juridique des diverses mthodes dauthentification et de signatures lectroniques.

3. Identit sous forme numrique

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

B. Exigences lies lidentit numrique

1. Lincontournable scurit technique

Eric A. CAPRIOLI, Avocat la Cour de Paris

2. Exemples franais en matire conformit lgale et rglementaire

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

b) Les jeux en ligne101

Eric A. CAPRIOLI, Avocat la Cour de Paris

Mise en uvre juridique internationale

Eric A. CAPRIOLI, Avocat la Cour de Paris

A. Des rgles normatives sur les lments de base

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

2. Signature lectronique technique

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

4. Signature juridique dune personne morale119

Eric A. CAPRIOLI, Avocat la Cour de Paris

5. Certificats phmres ou la vole

Eric A. CAPRIOLI, Avocat la Cour de Paris

6. Obligations et responsabilits dans Infrastructure cl Publique (ICP).

Eric A. CAPRIOLI, Avocat la Cour de Paris

AE dlgue ou Bureau AE dlgue Autorit d'Enregistrement

Autorit de Certification Oprateur de Certification

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Horodatage du Contrat, vrification du Certificat et de la signature et constitution du fichier de preuve

Versement et conservation du fichier de preuve

Eric A. CAPRIOLI, Avocat la Cour de Paris

Organisation juridique de la gestion des identits numriques

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris

Eric A. CAPRIOLI, Avocat la Cour de Paris