Chaque
semaine, gros plan sur la loi et l'Internet
Le
métier de tiers de confiance,
pièce essentielle de la signature électronique
- Mardi 7 mai 2002 -
En
matière de signature électronique, les règles
sont là. Reste à établir la confiance.
C'est l'affaire des "tiers de confiance" qui, dans la diversité
de leurs métiers, vont être les garants de la fiabilité des
échanges numériques.
par
Isabelle Renard,
Avocat associée August&Debouzy
|
Les
choses bougent enfin en matière de signature électronique.
D'abord parce qu'on nous promet pour très bientôt des textes
réglementaires destinés à compléter le décret n°2001-272 du
30 mars 2001. Ensuite parce que, élections obligent, la question
du vote électronique se pose avec acuité, de même que l'introduction
généralisée de l'Internet comme vecteur essentiel d'une démocratie
directe .
Dans un
tel contexte, le problème de la sécurité des échanges réseaux
se pose avec acuité car l'Internet est par essence un réseau
ouvert, dérégulé et sans contrôle. Toutes caractéristiques
incompatibles avec un fonctionnement harmonieux du commerce
et des échanges qui, depuis que le monde est monde, n'ont
pu se développer que lorsque deux éléments essentiels étaient
réunis : le droit, c'est à dire les règles du jeu, et la confiance.
Les règles,
nous les avons, depuis que la loi n°200-230 du 13 mars 2000
est venu modifier en profondeur notre droit de la preuve pour
accorder à l'"écrit" numérique la même valeur qu'un écrit
papier sous réserve du respect d'un certain nombre de conditions.
La confiance, elle est en train de se construire. C'est l'affaire
de ces fameux "tiers de confiance" qui, dans la diversité
de leurs métiers, vont être les garants de la fiabilité des
échanges numériques : garants de l'identité de celui qui est
à l'autre bout de la ligne, garant de l'intégrité et de la
confidentialité du message envoyé, garant des bonnes conditions
de sa conservation.
Les
prestataires de service de certification
Ces
tiers de confiance, qui sont ils ? Ce sont bien sûr tout d'abord
les prestataires qui mettent en uvre les systèmes de signature
électronique reposant sur des architectures dites "PKI" (pour
"Public Key Infrastructure") : ceux qui délivrent des certificats
de signature, des outils de signature, et de l'infrastructure
technique. Une des raisons de la difficulté d'appréhension
de la signature électronique par les "non initiés" est que
le vocabulaire utilisé par les fournisseurs présents sur ce
marché est sensiblement différent du vocabulaire juridique
employé par les textes. Pour la directive européenne ou pour
le décret précité, ces fournisseurs sont désignés sous l'appellation
globale de "Prestataires de service de certification", sur
qui reposent un certain nombre de responsabilités et d'obligations.
L'approche
des professionnels est différente : ils parlent d'"autorité
de certification", "opérateur de certification", "autorité
d'enregistrement", utilisant un vocabulaire technique déjà
largement répandu dans le monde de la sécurité et correspondant
à un découpage fonctionnel logique de leurs différents rôles.
1.
L'autorité de certification (AC) définit une politique
de certification, et la fait appliquer. Elle est l'entité
qui est porteuse de la confiance des utilisateurs.
2.
L'autorité d'enregistrement (AE) vérifie que le demandeur
de signature électronique est bien la personne qu'il prétend
être, et ce conformément aux règles définies dans la politique
de certification. Elle garantit la validité des informations
contenues dans le certificat. L'autorité d'enregistrement,
qui a un rôle essentiel d'identification, sera souvent l'entreprise
qui est la mieux placée pour assurer ce rôle : une assurance
ou une banque peuvent par exemple choisir d'être autorités
d'enregistrements parce qu'elles connaissent déjà l'identité
de leurs clients, alors qu'elles n'endosseront pas nécessairement
le rôle d'autorité de certification.
3.
L'opérateur de certification (OC) assure la fourniture
et la gestion des certificats électronique. Son rôle consiste
à mettre en uvre une plate-forme technique sécurisée, et
ce dans le respect des exigences énoncées dans la politique
de certification.Les opérateurs de certification sont en nombre
limité sur le marché (par exemple : Certplus, Certinomis,
Thales Secure Solutions); la plupart des offres actuelles
reposent donc toutes sur les mêmes plate forme techniques.
Il n'est
pas douteux que ce divorce syntaxique entre les textes juridiques
et le vocabulaire courant ait été un frein à l'établissement
de la confiance, car il génère une grande insécurité tant
parmi les professionnels qui souhaitent rentrer sur ce marché
que parmi les utilisateurs. La question nous est souvent posée
des responsabilités encourues par le professionnel qui souhaiterait
devenir autorité d'enregistrement pour ses clients : responsabilité
vis à vis de ses clients, vis à vis de l'autorité de certification
dont il distribue les certificats, vis à vis des tiers
Les
réponses existent bien sûr, même si les schémas contractuels
sont complexes. Il faut dans ce domaine combiner l'imagination
et la rigueur du raisonnement juridique, car, on l'a dit plus
haut, la confiance ne se développera pas tant que les acteurs
et les utilisateurs de ces nouveaux procédés n'auront pas
la certitude d'avancer dans un terrain balisé par le droit.
Les
tiers archiveurs
Un
autre volet essentiel du métier de tiers de confiance est
incontestablement celui de l'archivage. L'abandon du papier
au profit d'un support numérique, donc intangible et incontrôlable
par l'homme sans le relais d'un outil informatique, est en
effet l'un des bouleversements les plus importants auquel
nous serons confrontés dans les années à venir. Il correspond
en pratique à un enjeu de taille, car tous ceux qui ont approché
l'informatique depuis suffisamment longtemps savent que l'un
de ses caractères endémiques est son évolutivité rapide, et
l'incompatibilité des matériels et logiciels entre eux au
fur et à mesure de l'apparition de générations successives.
En d'autres termes, et sauf à l'avoir prévu à l'avance, il
est maintenant quasi impossible de relire des fichiers qui
ont été enregistrés sur certains types de supports il y a
seulement une dizaine d'années.
Or, certains
documents doivent être conservés pendant des durées excessivement
longues pour des raisons qui tiennent tant à la durée de prescription
des actes juridiques (30 ans en droit civil) qu'à la nature
de certains actes. L'archivage met en uvre des techniques
coûteuses, qui ne sont pas à la portée de tous. Cela signifie
que seules les très grandes entreprises ou les professionnels
spécialisés seront à même de garantir l'archivage à long terme
des documents numériques. Les particuliers devront se reposer
sur ces professionnels pour garder la preuve numérique des
actes importants les concernant.
Un certain
nombre de professionnels regroupés au sein de la Fédération
Nationale des Tiers de Confiance (FNTC) se sont saisis de
cette problématique depuis le début de l'année 2001. Ils entendent
mettre en place une "Charte d'Ethique pour les services de
tiers archivage", ainsi qu'un label de conformité, dont pourront
se prévaloir les tiers archiveurs qui se conformeront à cette
charte.
L'archivage
fait par ailleurs l'objet d'un certain nombre de réflexions
de normalisation technique, qui ne font pas nécessairement
l'unanimité parmi les professionnels du secteur, mais montrent
bien l'intérêt soulevé par la question. Ainsi, l'AFNOR a élaboré
des préconisations contenues dans la norme NF Z 42-013, et
l'ISO (International Standard Organisation) a commencé à se
pencher sur la question.
Il est
un peu tôt pour préjuger de l'orientation de ce marché. Il
est vraisemblable qu'à côté des entreprises privées, qui s'organiseront
dans un cadre auto régulé, des services réglementés verront
le jour pour les actes dont la conservation sera considérée
comme étant du ressort de l'ordre public (état-civil ou foncier
par exemple).
Vers
de nouveaux possibles
La migration de notre société vers le monde numérique est
en route, mais elle a souffert d'un grave problème de confiance,
comme la faillite des éphémères sociétés de l'internet l'a
amplement démontré. Nous rentrons dans la seconde phase du
processus, qui est celle de la construction de la confiance.
Cette confiance repose sur des entreprises, qui mettent en
place des techniques dont elles doivent démontrer qu'elles
sont fiables et pérennes. Elle repose sur le droit, qui, depuis
que le commerce existe, fournit les règles du jeu. Elle repose
enfin sur la capacité qu'auront à travailler ensemble hommes
de droit, de technique, et de commerce dans les années à venir.
A cet
égard, il convient de rappeler une vérité première : la confiance
suppose la relation à l'autre, et la connaissance de sa réputation
(réputation qui est elle même le fruit d'une série de relations
établies au cours du temps avec un certain nombre de personnes).
Le contrat dit de "commission" s'est autrefois développé car
le commerçant étranger n'était pas le mieux placé pour emporter
la confiance d'un acheteur. L'acheteur avait naturellement
confiance en un commerçant proche de lui, qu'il connaissait.
Le vendeur étranger passait dès lors un contrat de commission
avec un commerçant établi sur la place aux fins que celui
ci vende la marchandise en son propre nom, puisque c'était
sur ce nom, connu de la place, que reposait la confiance.
De nos jours, rien n'a vraiment changé : ceux qui ont vocation
naturelle à devenir des tiers de confiance dans le monde numérique
sont ceux sur qui repose déjà la confiance dans la vie de
tous les jours. Autrement dit ce sont les banques (et la Banque
de France y a déjà pensé), c'est la Poste, ce sont les notaires,
et certainement bien d'autres, chacun dans le rôle qui est
cohérent avec son métier.
[IRenard@augdeb.com]
A
lire également :
Au
sommaire de l'actualité
|