La sécurité au quotidien et Internet
- Mardi 11 décembre 2001 -

La "loi relative à la sécurité quotidienne" adoptée par le Parlement contient plusieurs dispositions relatives aux nouvelles technologies de l'information et de la communication. Tour d'horizon.

par Eric Barbry, Directeur du Département Internet, Alain Bensoussan-Avocats

Le 15 novembre dernier, le Parlement a adopté une loi dite "loi relative à la sécurité quotidienne". Cette loi, comme son nom l'indique est une loi générale qui comporte un grand nombre de dispositions destinées à permettre de lutter plus efficacement contre l'insécurité. Ce texte comporte plusieurs dispositions qui traitent des nouvelles technologies de l'information et de la communication.

Ainsi, l'article 22 de la loi relatif aux dispositions de lutte contre le terrorisme précise-t-il que le terrorisme est alimenté notamment par le trafic de stupéfiants et les trafics d'armes et "peut s'appuyer sur l'utilisation des nouvelles technologies de l'information et de la communication". S'agissant plus particulièrement de l'usage de moyens de télécommunications, l'article 29 de la loi précise que "les opérateurs de télécommunications, (…) sont tenus d'effacer ou de rendre anonyme toute donnée relative à une communication dès que celle-ci est achevée".

Le texte prévoit cependant un certain nombre de dispositions et notamment la suivante : "pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il peut être différé, pour une durée maximale d'un an, aux opérations tendant à effacer et à rendre anonymes certaines catégories de données techniques". Il est à noter qu'un décret pris en Conseil d'Etat après avis de la Commission Nationale Informatique et Libertés viendra préciser quelles sont les catégories et durées de conservation.

Le texte précise cependant que les données ainsi conservées et traitées portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs et sur les caractéristiques techniques des communications assurées par ces derniers, mais ne peuvent "en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées sous quelque forme que ce soit, dans le cadre de ces communications". On notera enfin que le texte prévoit que sera puni d'un an d'emprisonnement et de 75.000 euros d'amende le fait pour un opérateur de télécommunications ou ses agents de ne pas procéder à la conservation des données techniques dans les conditions qui seront définies par la loi.

Le texte de loi sur la sécurité quotidienne prévoit également un dispositif relatif à ce que l'on appelle la mise au clair des données chiffrées nécessaires à la manifestation de la vérité. La loi modifie également l'article 230 du Code de procédure pénale qui, en résumé, prévoit que lorsque, dans le cours d'une enquête ou d'une instruction, les autorités compétentes sont en présence de données saisies ou obtenues au cours de l'enquête qui ont fait l'objet de transformations empêchant d'accéder aux informations "en clair" qu'elles contiennent, le Procureur de la République, le Juge d'instruction ou la juridiction du jugement saisie de l'affaire peut désigner toute personne qui sera chargée d'effectuer les opérations techniques "permettant d'obtenir la version en clair de ces informations, ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la conversion secrète de chiffrement, si cela apparaît nécessaire". Les autorités compétentes peuvent même dans certains cas (peine encourue supérieure ou égale à deux ans d'emprisonnement) prescrire le recours au moyen de l'Etat soumis au secret de Défense nationale.

Mais sur ce point, c'est aussi la loi du 10 juillet 1991 relative au secret des correspondances émises par voie de télécommunications qui est modifiée et qui prévoit dorénavant un article 11-1 qui dispose que "les personnes physiques ou morales qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité sont tenues de remettre aux agents autorisés et sur leur demande, les conventions permettant le chiffrement de données transformées au moyen de prestations qu'elles ont fournies".

On notera que le Code pénal lui-même est modifié, qui prévoit dorénavant un dispositif nouveau en la forme suivante : "est puni de trois ans d'emprisonnement et de 45.000 euros d'amende le fait pour quiconque ayant connaissance de la convention secrète de chiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre sur les réquisitions de ces autorités délivrées en application des dispositions du Code de procédure pénale". On notera que la peine est portée à cinq ans et 75.000 euros d'amende lorsque le refus est opposé alors que "la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets".

Une autre avancée notable du texte de loi repose sur l'article 32, qui modifie le Code de procédure pénale et prévoit l'utilisation de moyens de télécommunications en cours de procédure. Le texte précise notamment que lorsque les nécessités de l'enquête ou de l'instruction le justifient, l'audition ou l'interrogatoire d'une personne ainsi que la confrontation entre plusieurs personnes peuvent être effectuées en plusieurs points du territoire de la République se trouvant liés par des moyens de télécommunications garantissant la confidentialité de la transmission.

Le texte prévoit également un certain nombre de mesures d'ordre technique et précise qu'un décret pris en Conseil d'Etat précisera, en tant que de besoin, l'application de cette disposition.

S'agissant des nouvelles technologies, on ne peut non plus ignorer les dispositions visant à modifier le Code monétaire et financier, spécifiquement pour ce qui concerne l'utilisation des cartes de paiement et l'utilisation de monnaie électronique. On notera sur ce point que le Code monétaire et financier est modifié et qu'un article L.132-4 y est inséré qui précise que " la responsabilité d'utilisateur de cartes (…) n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte ". On voit difficilement comment une utilisation à distance pourrait être compatible avec l'utilisation physique de la carte, mais surtout le texte est intéressant en ce qu'il évoque l'utilisation " frauduleuse " de la carte. Toute la problématique est posée par cette seule mention, notamment en termes de charge de preuve. Il est clair que ce texte n'est pas pour satisfaire aux exigences de développement du commerce électronique.

Le texte confère également un rôle nouveau à la Banque de France s'agissant des normes de sécurité en matière de monnaie, et notamment de monnaie électronique. Ainsi, le nouvel article L.141-4 du Code monétaire et financier est complété par un certain nombre de dispositions, et notamment celles qui consistent à confier à la Banque de France le soin de s'assurer de " la sécurité des moyens de paiement, autre que la monnaie fiduciaire, et de la pertinence des normes applicables en la matière ". Si la Banque de France estime que les moyens de paiement présentent des garanties de sécurité insuffisantes, elle peut alors recommander à l'émetteur de cette monnaie de prendre des mesures destinées à remédier à ces carences. Dans l'hypothèse où l'émetteur de ladite monnaie ne suivrait pas ces recommandations, la Banque de France peut alors émettre un avis négatif publié au Journal Officiel.

Par ailleurs, on notera qu'est institué un observatoire de la sécurité des cartes de paiement destiné notamment à suivre les mesures de sécurisation entreprises par les émetteurs et les commerçants et l'établissement de statistiques de la fraude et une veille technologique en matière de cartes bancaires. Le texte complète également un dispositif pénal de lutte contre les fausses cartes de paiement.

On le voit, le texte de loi entend compléter le dispositif de lutte contre ce que l'on appelle la " cybercriminalité ". Il est clair que la notion de sécurité sera l'un des enjeux majeurs de la prochaine campagne électorale en France, mais sur le plan législatif, cette campagne semble déjà bien avancée puisqu'à côté de l'adoption de la loi sur la sécurité quotidienne, a été également adoptée à l'initiative du Conseil de l'Europe une convention de lutte contre la cybercriminalité et que, le projet de loi dit " LSI " (Loi sur la Société de l'Information) envisage lui aussi d'intégrer dans notre dispositif législatif un certain nombre d'autres dispositions relatives à la sécurité.

L'affaire est donc à suivre qui permettra sans doute de développer le commerce électronique et de limiter les fraudes que nous connaissons aujourd'hui. Cependant, la vigilance doit être de mise, notamment pour ce qui concerne le développement des entreprises liées au commerce électronique, puisque la combinaison des dispositions protectrices du consommateur au regard du Code de la consommation et celles protectrices du porteur (celui qui détient un moyen de paiement) ne sont pas à l'avantage du commerçant, qui doit prendre pour sa part des dispositions importantes de lutte contre le fraude. Il en est spécifiquement ainsi pour ceux qui commercialisent à distance des services exempts de livraison physique et où la problématique de la preuve de la confiance et de la lutte contre la fraude sera un enjeu majeur.

[eric-barbry@alain-bensoussan.tm.fr]