Chaque
semaine, gros plan sur la loi et l'Internet
La
sécurité au quotidien et Internet
- Mardi
11 décembre 2001 -
La "loi relative à la sécurité quotidienne" adoptée
par le Parlement contient plusieurs dispositions relatives
aux nouvelles technologies de l'information et de la communication.
Tour d'horizon.
|
par
Eric Barbry,
Directeur du Département Internet, Alain Bensoussan-Avocats
|
Le
15 novembre dernier, le Parlement a adopté une loi dite "loi
relative à la sécurité quotidienne". Cette loi, comme son
nom l'indique est une loi générale qui comporte un grand nombre
de dispositions destinées à permettre de lutter plus efficacement
contre l'insécurité. Ce texte comporte plusieurs dispositions
qui traitent des nouvelles technologies de l'information et
de la communication.
Ainsi, l'article 22 de la loi relatif
aux dispositions de lutte contre le terrorisme précise-t-il
que le terrorisme est alimenté notamment par le trafic de
stupéfiants et les trafics d'armes et "peut s'appuyer sur
l'utilisation des nouvelles technologies de l'information
et de la communication". S'agissant plus particulièrement
de l'usage de moyens de télécommunications, l'article 29 de
la loi précise que "les opérateurs de télécommunications,
(
) sont tenus d'effacer ou de rendre anonyme toute donnée
relative à une communication dès que celle-ci est achevée".
Le texte
prévoit cependant un certain nombre de dispositions et notamment
la suivante : "pour les besoins de la recherche, de la constatation
et de la poursuite des infractions pénales et dans le seul
but de permettre, en tant que de besoin, la mise à disposition
de l'autorité judiciaire d'informations, il peut être différé,
pour une durée maximale d'un an, aux opérations tendant à
effacer et à rendre anonymes certaines catégories de données
techniques". Il est à noter qu'un décret pris en Conseil d'Etat
après avis de la Commission Nationale Informatique et Libertés
viendra préciser quelles sont les catégories et durées de
conservation.
Le texte
précise cependant que les données ainsi conservées et traitées
portent exclusivement sur l'identification des personnes utilisatrices
des services fournis par les opérateurs et sur les caractéristiques
techniques des communications assurées par ces derniers, mais
ne peuvent "en aucun cas porter sur le contenu des correspondances
échangées ou des informations consultées sous quelque forme
que ce soit, dans le cadre de ces communications". On notera
enfin que le texte prévoit que sera puni d'un an d'emprisonnement
et de 75.000 euros d'amende le fait pour un opérateur de télécommunications
ou ses agents de ne pas procéder à la conservation des données
techniques dans les conditions qui seront définies par la
loi.
Le texte
de loi sur la sécurité quotidienne prévoit également un dispositif
relatif à ce que l'on appelle la mise au clair des données
chiffrées nécessaires à la manifestation de la vérité. La
loi modifie également l'article 230 du Code de procédure pénale
qui, en résumé, prévoit que lorsque, dans le cours d'une enquête
ou d'une instruction, les autorités compétentes sont en présence
de données saisies ou obtenues au cours de l'enquête qui ont
fait l'objet de transformations empêchant d'accéder aux informations
"en clair" qu'elles contiennent, le Procureur de la République,
le Juge d'instruction ou la juridiction du jugement saisie
de l'affaire peut désigner toute personne qui sera chargée
d'effectuer les opérations techniques "permettant d'obtenir
la version en clair de ces informations, ainsi que, dans le
cas où un moyen de cryptologie a été utilisé, la conversion
secrète de chiffrement, si cela apparaît nécessaire". Les
autorités compétentes peuvent même dans certains cas (peine
encourue supérieure ou égale à deux ans d'emprisonnement)
prescrire le recours au moyen de l'Etat soumis au secret de
Défense nationale.
Mais sur
ce point, c'est aussi la loi du 10 juillet 1991 relative au
secret des correspondances émises par voie de télécommunications
qui est modifiée et qui prévoit dorénavant un article 11-1
qui dispose que "les personnes physiques ou morales qui fournissent
des prestations de cryptologie visant à assurer une fonction
de confidentialité sont tenues de remettre aux agents autorisés
et sur leur demande, les conventions permettant le chiffrement
de données transformées au moyen de prestations qu'elles ont
fournies".
On notera
que le Code pénal lui-même est modifié, qui prévoit dorénavant
un dispositif nouveau en la forme suivante : "est puni de
trois ans d'emprisonnement et de 45.000 euros d'amende le
fait pour quiconque ayant connaissance de la convention secrète
de chiffrement d'un moyen de cryptologie susceptible d'avoir
été utilisé pour préparer, faciliter ou commettre un crime
ou un délit, de refuser de remettre ladite convention aux
autorités judiciaires ou de la mettre en uvre sur les réquisitions
de ces autorités délivrées en application des dispositions
du Code de procédure pénale". On notera que la peine est portée
à cinq ans et 75.000 euros d'amende lorsque le refus est opposé
alors que "la remise ou la mise en uvre de la convention
aurait permis d'éviter la commission d'un crime ou d'un délit
ou d'en limiter les effets".
Une autre
avancée notable du texte de loi repose sur l'article 32, qui
modifie le Code de procédure pénale et prévoit l'utilisation
de moyens de télécommunications en cours de procédure. Le
texte précise notamment que lorsque les nécessités de l'enquête
ou de l'instruction le justifient, l'audition ou l'interrogatoire
d'une personne ainsi que la confrontation entre plusieurs
personnes peuvent être effectuées en plusieurs points du territoire
de la République se trouvant liés par des moyens de télécommunications
garantissant la confidentialité de la transmission.
Le texte
prévoit également un certain nombre de mesures d'ordre technique
et précise qu'un décret pris en Conseil d'Etat précisera,
en tant que de besoin, l'application de cette disposition.
S'agissant
des nouvelles technologies, on ne peut non plus ignorer les
dispositions visant à modifier le Code monétaire et financier,
spécifiquement pour ce qui concerne l'utilisation des cartes
de paiement et l'utilisation de monnaie électronique. On notera
sur ce point que le Code monétaire et financier est modifié
et qu'un article L.132-4 y est inséré qui précise que " la
responsabilité d'utilisateur de cartes (
) n'est pas engagée
si le paiement contesté a été effectué frauduleusement, à
distance, sans utilisation physique de sa carte ". On voit
difficilement comment une utilisation à distance pourrait
être compatible avec l'utilisation physique de la carte, mais
surtout le texte est intéressant en ce qu'il évoque l'utilisation
" frauduleuse " de la carte. Toute la problématique est posée
par cette seule mention, notamment en termes de charge de
preuve. Il est clair que ce texte n'est pas pour satisfaire
aux exigences de développement du commerce électronique.
Le texte
confère également un rôle nouveau à la Banque de France s'agissant
des normes de sécurité en matière de monnaie, et notamment
de monnaie électronique. Ainsi, le nouvel article L.141-4
du Code monétaire et financier est complété par un certain
nombre de dispositions, et notamment celles qui consistent
à confier à la Banque de France le soin de s'assurer de "
la sécurité des moyens de paiement, autre que la monnaie fiduciaire,
et de la pertinence des normes applicables en la matière ".
Si la Banque de France estime que les moyens de paiement présentent
des garanties de sécurité insuffisantes, elle peut alors recommander
à l'émetteur de cette monnaie de prendre des mesures destinées
à remédier à ces carences. Dans l'hypothèse où l'émetteur
de ladite monnaie ne suivrait pas ces recommandations, la
Banque de France peut alors émettre un avis négatif publié
au Journal Officiel.
Par ailleurs,
on notera qu'est institué un observatoire de la sécurité des
cartes de paiement destiné notamment à suivre les mesures
de sécurisation entreprises par les émetteurs et les commerçants
et l'établissement de statistiques de la fraude et une veille
technologique en matière de cartes bancaires. Le texte complète
également un dispositif pénal de lutte contre les fausses
cartes de paiement.
On le
voit, le texte de loi entend compléter le dispositif de lutte
contre ce que l'on appelle la " cybercriminalité ". Il est
clair que la notion de sécurité sera l'un des enjeux majeurs
de la prochaine campagne électorale en France, mais sur le
plan législatif, cette campagne semble déjà bien avancée puisqu'à
côté de l'adoption de la loi sur la sécurité quotidienne,
a été également adoptée à l'initiative du Conseil de l'Europe
une convention de lutte contre la cybercriminalité et que,
le projet de loi dit " LSI " (Loi sur la Société de l'Information)
envisage lui aussi d'intégrer dans notre dispositif législatif
un certain nombre d'autres dispositions relatives à la sécurité.
L'affaire
est donc à suivre qui permettra sans doute de développer le
commerce électronique et de limiter les fraudes que nous connaissons
aujourd'hui. Cependant, la vigilance doit être de mise, notamment
pour ce qui concerne le développement des entreprises liées
au commerce électronique, puisque la combinaison des dispositions
protectrices du consommateur au regard du Code de la consommation
et celles protectrices du porteur (celui qui détient un moyen
de paiement) ne sont pas à l'avantage du commerçant, qui doit
prendre pour sa part des dispositions importantes de lutte
contre le fraude. Il en est spécifiquement ainsi pour ceux
qui commercialisent à distance des services exempts de livraison
physique et où la problématique de la preuve de la confiance
et de la lutte contre la fraude sera un enjeu majeur.
[eric-barbry@alain-bensoussan.tm.fr]
A lire
également :
Au
sommaire de l'actualité
|