Rubrique Juridique

Chaque semaine, gros plan sur la loi et l'Internet

Le métier de tiers de confiance,
pièce essentielle de la signature électronique

- Mardi 7 mai 2002 -

En matière de signature électronique, les règles sont là. Reste à établir la confiance. C'est l'affaire des "tiers de confiance" qui, dans la diversité de leurs métiers, vont être les garants de la fiabilité des échanges numériques.

par Isabelle Renard,
Avocat associée August&Debouzy

Les choses bougent enfin en matière de signature électronique. D'abord parce qu'on nous promet pour très bientôt des textes réglementaires destinés à compléter le décret n°2001-272 du 30 mars 2001. Ensuite parce que, élections obligent, la question du vote électronique se pose avec acuité, de même que l'introduction généralisée de l'Internet comme vecteur essentiel d'une démocratie directe .

Dans un tel contexte, le problème de la sécurité des échanges réseaux se pose avec acuité car l'Internet est par essence un réseau ouvert, dérégulé et sans contrôle. Toutes caractéristiques incompatibles avec un fonctionnement harmonieux du commerce et des échanges qui, depuis que le monde est monde, n'ont pu se développer que lorsque deux éléments essentiels étaient réunis : le droit, c'est à dire les règles du jeu, et la confiance.

Les règles, nous les avons, depuis que la loi n°200-230 du 13 mars 2000 est venu modifier en profondeur notre droit de la preuve pour accorder à l'"écrit" numérique la même valeur qu'un écrit papier sous réserve du respect d'un certain nombre de conditions. La confiance, elle est en train de se construire. C'est l'affaire de ces fameux "tiers de confiance" qui, dans la diversité de leurs métiers, vont être les garants de la fiabilité des échanges numériques : garants de l'identité de celui qui est à l'autre bout de la ligne, garant de l'intégrité et de la confidentialité du message envoyé, garant des bonnes conditions de sa conservation.

Les prestataires de service de certification
Ces tiers de confiance, qui sont ils ? Ce sont bien sûr tout d'abord les prestataires qui mettent en œuvre les systèmes de signature électronique reposant sur des architectures dites "PKI" (pour "Public Key Infrastructure") : ceux qui délivrent des certificats de signature, des outils de signature, et de l'infrastructure technique. Une des raisons de la difficulté d'appréhension de la signature électronique par les "non initiés" est que le vocabulaire utilisé par les fournisseurs présents sur ce marché est sensiblement différent du vocabulaire juridique employé par les textes. Pour la directive européenne ou pour le décret précité, ces fournisseurs sont désignés sous l'appellation globale de "Prestataires de service de certification", sur qui reposent un certain nombre de responsabilités et d'obligations.

L'approche des professionnels est différente : ils parlent d'"autorité de certification", "opérateur de certification", "autorité d'enregistrement", utilisant un vocabulaire technique déjà largement répandu dans le monde de la sécurité et correspondant à un découpage fonctionnel logique de leurs différents rôles.

1. L'autorité de certification (AC) définit une politique de certification, et la fait appliquer. Elle est l'entité qui est porteuse de la confiance des utilisateurs.

2. L'autorité d'enregistrement (AE) vérifie que le demandeur de signature électronique est bien la personne qu'il prétend être, et ce conformément aux règles définies dans la politique de certification. Elle garantit la validité des informations contenues dans le certificat. L'autorité d'enregistrement, qui a un rôle essentiel d'identification, sera souvent l'entreprise qui est la mieux placée pour assurer ce rôle : une assurance ou une banque peuvent par exemple choisir d'être autorités d'enregistrements parce qu'elles connaissent déjà l'identité de leurs clients, alors qu'elles n'endosseront pas nécessairement le rôle d'autorité de certification.

3. L'opérateur de certification (OC) assure la fourniture et la gestion des certificats électronique. Son rôle consiste à mettre en œuvre une plate-forme technique sécurisée, et ce dans le respect des exigences énoncées dans la politique de certification.Les opérateurs de certification sont en nombre limité sur le marché (par exemple : Certplus, Certinomis, Thales Secure Solutions); la plupart des offres actuelles reposent donc toutes sur les mêmes plate forme techniques.

Il n'est pas douteux que ce divorce syntaxique entre les textes juridiques et le vocabulaire courant ait été un frein à l'établissement de la confiance, car il génère une grande insécurité tant parmi les professionnels qui souhaitent rentrer sur ce marché que parmi les utilisateurs. La question nous est souvent posée des responsabilités encourues par le professionnel qui souhaiterait devenir autorité d'enregistrement pour ses clients : responsabilité vis à vis de ses clients, vis à vis de l'autorité de certification dont il distribue les certificats, vis à vis des tiers… Les réponses existent bien sûr, même si les schémas contractuels sont complexes. Il faut dans ce domaine combiner l'imagination et la rigueur du raisonnement juridique, car, on l'a dit plus haut, la confiance ne se développera pas tant que les acteurs et les utilisateurs de ces nouveaux procédés n'auront pas la certitude d'avancer dans un terrain balisé par le droit.

Les tiers archiveurs
Un autre volet essentiel du métier de tiers de confiance est incontestablement celui de l'archivage. L'abandon du papier au profit d'un support numérique, donc intangible et incontrôlable par l'homme sans le relais d'un outil informatique, est en effet l'un des bouleversements les plus importants auquel nous serons confrontés dans les années à venir. Il correspond en pratique à un enjeu de taille, car tous ceux qui ont approché l'informatique depuis suffisamment longtemps savent que l'un de ses caractères endémiques est son évolutivité rapide, et l'incompatibilité des matériels et logiciels entre eux au fur et à mesure de l'apparition de générations successives. En d'autres termes, et sauf à l'avoir prévu à l'avance, il est maintenant quasi impossible de relire des fichiers qui ont été enregistrés sur certains types de supports il y a seulement une dizaine d'années.

Or, certains documents doivent être conservés pendant des durées excessivement longues pour des raisons qui tiennent tant à la durée de prescription des actes juridiques (30 ans en droit civil) qu'à la nature de certains actes. L'archivage met en œuvre des techniques coûteuses, qui ne sont pas à la portée de tous. Cela signifie que seules les très grandes entreprises ou les professionnels spécialisés seront à même de garantir l'archivage à long terme des documents numériques. Les particuliers devront se reposer sur ces professionnels pour garder la preuve numérique des actes importants les concernant.

Un certain nombre de professionnels regroupés au sein de la Fédération Nationale des Tiers de Confiance (FNTC) se sont saisis de cette problématique depuis le début de l'année 2001. Ils entendent mettre en place une "Charte d'Ethique pour les services de tiers archivage", ainsi qu'un label de conformité, dont pourront se prévaloir les tiers archiveurs qui se conformeront à cette charte.

L'archivage fait par ailleurs l'objet d'un certain nombre de réflexions de normalisation technique, qui ne font pas nécessairement l'unanimité parmi les professionnels du secteur, mais montrent bien l'intérêt soulevé par la question. Ainsi, l'AFNOR a élaboré des préconisations contenues dans la norme NF Z 42-013, et l'ISO (International Standard Organisation) a commencé à se pencher sur la question.

Il est un peu tôt pour préjuger de l'orientation de ce marché. Il est vraisemblable qu'à côté des entreprises privées, qui s'organiseront dans un cadre auto régulé, des services réglementés verront le jour pour les actes dont la conservation sera considérée comme étant du ressort de l'ordre public (état-civil ou foncier par exemple).

Vers de nouveaux possibles…
La migration de notre société vers le monde numérique est en route, mais elle a souffert d'un grave problème de confiance, comme la faillite des éphémères sociétés de l'internet l'a amplement démontré. Nous rentrons dans la seconde phase du processus, qui est celle de la construction de la confiance. Cette confiance repose sur des entreprises, qui mettent en place des techniques dont elles doivent démontrer qu'elles sont fiables et pérennes. Elle repose sur le droit, qui, depuis que le commerce existe, fournit les règles du jeu. Elle repose enfin sur la capacité qu'auront à travailler ensemble hommes de droit, de technique, et de commerce dans les années à venir.

A cet égard, il convient de rappeler une vérité première : la confiance suppose la relation à l'autre, et la connaissance de sa réputation (réputation qui est elle même le fruit d'une série de relations établies au cours du temps avec un certain nombre de personnes). Le contrat dit de "commission" s'est autrefois développé car le commerçant étranger n'était pas le mieux placé pour emporter la confiance d'un acheteur. L'acheteur avait naturellement confiance en un commerçant proche de lui, qu'il connaissait. Le vendeur étranger passait dès lors un contrat de commission avec un commerçant établi sur la place aux fins que celui ci vende la marchandise en son propre nom, puisque c'était sur ce nom, connu de la place, que reposait la confiance. De nos jours, rien n'a vraiment changé : ceux qui ont vocation naturelle à devenir des tiers de confiance dans le monde numérique sont ceux sur qui repose déjà la confiance dans la vie de tous les jours. Autrement dit ce sont les banques (et la Banque de France y a déjà pensé), c'est la Poste, ce sont les notaires, et certainement bien d'autres, chacun dans le rôle qui est cohérent avec son métier.

[IRenard@augdeb.com]

A lire également :

Tous les articles de la rubrique juridique


Au sommaire de l'actualité

 

Dossiers

Marketing viral

Comment transformer l'internaute en vecteur de promotion ? Dossier

Ergonomie

Meilleures pratiques et analyses de sites. Dossier

Annuaires

Sociétés high-tech

Plus de 10 000 entreprises de l'Internet et des NTIC. Dossier

Prestataires

Plus de 5 500 prestataires dans les NTIC. Dossier

Tous les annuaires