Chaque
semaine, gros plan sur la loi et l'Internet
PKI
et protection des données personnelles
-
Mardi 4 juin 2002
-
Le
respect des dispositions relatives à la protection des données
personnelles par les prestataires de services de certification
électronique représente désormais un enjeu juridique
et économique majeur.
par
Guillaume Desgens-Pasanau,
Deloitte & Touche Juridique et Fiscal, société d'avocats
|
Les
services de confiance, assurés par les prestataires de services
de certification électronique, jouent un rôle incontournable
dans la mise en uvre d'un système de signature à clé publique.
Ces services répondent aux besoins nouveaux d'identification,
d'intégrité et de confidentialité liés à la nature dématérialisée
des transactions.
Ce
besoin exprimé de sécurité et de confiance auquel répondent
ces prestataires leur impose la plus grande rigueur quant
aux données qu'ils collectent dans le cadre de la création,
la gestion et la révocation de certificats. En particulier,
l'autorité d'enregistrement (AE), dont la fonction est de
mettre en uvre les procédures d'identification des personnes
physiques conformément aux règles définies par l'autorité
de certification (AC), devra veiller au respect des règles
impératives en matière de protection des données et du respect
de la vie privée
Sur
ce chapitre, il existe des dispositions juridiques spécifiques
aux architectures PKI tant dans la directive européenne du
24 octobre 1995
(1) que
dans le projet de loi de réforme de la loi Informatique et
Libertés du 6 janvier 1978
(2).
En outre, force est de constater que la mise en uvre d'une
architecture PKI pose des problématiques juridiques inédites
au regard de l'application des dispositions de la loi de 1978.
Il importe que les praticiens en prennent toute la mesure,
afin de permettre aux prestataires de confiance d'exercer
leurs activités dans un cadre juridiquement sécurisé, gage
de leur crédibilité.
1.
Les formalités à accomplir par les prestataires
Au delà des formalités traditionnelles de déclaration
de fichiers à effectuer auprès de la Commission Nationale
de l'Informatique et des Libertés (CNIL) et des mentions obligatoires
à faire figurer sur les formulaires de collecte de données
(3),
il convient
de s'intéresser brièvement à l'existence de certaines mentions
à faire figurer dans le cadre des relations contractuelle
des prestataires.
Un
architecture PKI fait en effet intervenir différents intervenants
contractuellement liés les uns aux autres (l'AE, l'AC, etc.).
Les contrats ainsi conclus ne devront pas négliger les questions
relatives à la circulation de ces données entre les différents
intervenants.
Ainsi,
par exemple, si l'autorité d'enregistrement (AE) prévoit de
sous-traiter la gestion des données collectées, elle devra
prévoir dans le contrat de sous-traitance les obligations
prévues aux articles 16 et 17 de la directive européenne du
24 octobre 1995.
Ces
articles prévoient que la réalisation de traitements en sous-traitance
sont régis par un contrat ou un acte juridique qui lie le
sous-traitant au responsable du traitement et qui prévoit
notamment que le sous-traitant n'agit que sur la seule instruction
du responsable du traitement. De même, la directive prévoit
que "les Etats membres prévoient que le responsable du traitement,
lorsque le traitement est effectué pour son compte, doit choisir
un sous-traitant qui apporte des garanties suffisantes au
regard des mesures de sécurité technique et d'organisation
relatives aux traitements à effectuer et qu'il doit veiller
au respect de ces mesures".
2.
La spécificité d'une architecture PKI au regard des principes
relatifs à la protection des données
- Des principes plus stricts que le droit commun
Dans le domaine sensible et très nouveau des services de certification
électronique, l'article 33 du projet de loi
(4)
de réforme
de la loi Informatique et Libertés adopté en 1ère lecture
par l'Assemblée Nationale le 30 janvier dernier introduit
un régime spécifique en matière de collecte de données à caractère
personnel pour les prestataires de service de certification
électronique des signatures électroniques. .
En effet,
si la loi n° 2000-230 du 13 mars 2000
(5)
relative
à la signature électronique a, pour l'essentiel, assuré la
transposition en droit interne des dispositions de la directive
1999/93 du 13 décembre 1999
(6),
il reste cependant à effectuer celle du paragraphe 2 de son
article 8 concernant les règles applicables à la collecte
de données. .
Plus exigeant
que le régime de droit commun résultant de la directive 95/46
CE, ce dispositif impose aux prestataires des services de
certification de ne recueillir les données à caractère personnel
nécessaires à la délivrance des certificats que directement
auprès de la personne concernée ou avec son consentement exprès.
Il précise, en outre, que les données recueillies ne peuvent
être utilisées à d'autres fins que celles pour lesquelles
elles l'ont été..
La
question des données collectées indirectement nominatives
Dans le cadre d'un projet PKI, l'autorité d'enregistrement
(AE) est amenée à collecter de nombreuses données personnelles
relatives aux porteurs de certificats. Ces données sont à
la fois classiques, s'agissant par exemple du nom ou de l'adresse
du porteur, mais également inédites s'agissant par exemple
des informations liées à la clé publique et privée du certificat.
S'agissant
de ces données techniques spécifiques, celles-ci entrent dans
le cadre des données dites indirectement nominatives. Sur
ce point, la directive du 24 octobre 1995 prévoit qu'est réputée
identifiable une personne qui peut être identifiée, directement
ou indirectement, notamment par référence à un numéro d'identification
ou à un ou plusieurs éléments spécifiques, propres à son identité
physique, physiologique, psychique, économique, culturelle
ou sociale.
La position
de la CNIL sur les données indirectement identifiable est
constante, considérant qu'une telle donnée, même si elle ne
permet pas a priori l'identification d'une personne physique,
peut néanmoins permettre de la rendre identifiable. En conséquence,
de telles données devront être déclarées à la CNIL : il appartiendra
ainsi au prestataire de procéder à une nomenclature très précise
des données collectées, qu'elle soit directement ou indirectement
identifiable.
L'obligation
de sécurité et de confidentialité
L'attention des prestataires devra être portée en particulier
sur une obligation prévue par l'article 29 de la loi du 6
janvier 1978 qui dispose que : "toute personne ordonnant ou
effectuant un traitement d'informations nominatives s'engage
de ce fait, vis-à-vis des personnes concernées, à prendre
toutes précautions utiles afin de préserver la sécurité des
informations et notamment d'empêcher qu'elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés". Le
non-respect de cette obligation de sécurité est pénalement
sanctionné ( art. 226-17 du code pénal) par 5 ans d'emprisonnement
de 2 000 000 francs d'amende.
Le prestataire
sera ainsi tenu dans sa déclaration de préciser les mesures
générales de sécurité envisagées, s'agissant tant de la fiabilité
des matériels et logiciels utilisés que des mesures prévues
en cas d'atteinte volontaire ou involontaire aux infrastructures
en charge de la conservation des données collectées. Il pourra
utilement insérer dans la déclaration les extraits spécifiques
de sa politique de certification (PC) ou de sa déclaration
relative aux procédures de certification (DPC).
Relevant
l'importance de cette question, l'article 34 du projet de
loi précité prévoit que le responsable du traitement est tenu
de prendre toutes précautions utiles, au regard de la nature
des données et des risques présentés par le traitement, pour
préserver la sécurité des données et, notamment, empêcher
qu'elles ne soient déformées, endommagées ou communiquées
à des tiers non autorisés. Des décrets, pris après avis de
la CNIL, pourront d'ailleurs fixer les prescriptions techniques
auxquelles doivent se conformer certains traitements d'informations
nominatives
Dans ces
circonstances, on ne peut qu'encourager les prestataires à
avoir recours à des engagements contractuels de confidentialité
et de sécurité vis à vis tant de collaborateurs internes que
de prestataires externes concernés (par exemple un sous-traitant).
On relèvera néanmoins que de telles clauses ne déchargeront
en aucun cas le prestataire de son obligation de veiller au
respect de ces mesures de sécurité et de confidentialité.
3 L'existence
de questions juridiques inédites
La mise en uvre d'une architecture PKI pose aux praticiens
des problématiques nouvelles qui sont à ce jour peu solutionnées.
En l'absence de dispositions spécifiques ou d'une position
officielle de la CNIL arrêtée sur ces questions, il importe
de porter une attention particulière à ces questions.
La
question de la révocation du certificat
Dans le cadre d'une architecture PKI, les prestataires tiennent
une liste des certificats révoqués (LCR). La mise en uvre
de programmes informatiques assurant la révocation automatique
d'un certificat peut, dans certaines circonstances, poser
difficulté au regard de l'article 3 de la loi du 6 janvier
1978 qui dispose que : "toute personne a le droit de connaître
et de contester les informations et les raisonnements utilisés
dans les traitements automatisés dont les résultats lui sont
opposés".
La loi
du 6 janvier 1978 tend en effet à éviter tout automatisme
dans la prise de décision. L'appréciation sur les comportements
humains doit être laissée à l'homme et ne pas dépendre des
seules conclusions de la machine. Il semble nécessaire de
porter une réflexion sur cette question afin de pouvoir concilier
à la fois ce principe fondamental avec les pratiques techniquement
nécessaires des prestataires.
Les
contradictions liées à la durée de conservation des données
Le décret du 30 mars 2001 (8)
relatif à la signature électronique prévoit dans son article
6 qu'un prestataire de services de certification électronique
doit "conserver, éventuellement sous forme électronique, toutes
les informations relatives au certificat électronique qui
pourraient s'avérer nécessaires pour faire la preuve en justice
de la certification électronique (
) vérifier, d'une part,
l'identité de la personne à laquelle un certificat électronique
est délivré, en exigeant d'elle la présentation d'un document
officiel d'identité, d'autre part, la qualité dont cette personne
se prévaut et conserver les caractéristiques et références
des documents présentés pour justifier de cette identité et
de cette qualité".
Cette
légitime exigence de conservation de données se heurte au
principal fondamental du "droit à l'oubli" prévu dans l'article
28 de la loi du 6 janvier 1978 qui dispose en substance que
les données nominatives ne doivent pas être conservées au-delà
de la durée nécessaire aux finalités du traitement pour lequel
elles ont été enregistrées. Au cas par cas, il conviendra
d'analyser si la finalité relative aux traitements de certificats
justifie une durée de conservation satisfaisante pour les
prestataires. On peut en tout cas redouter des difficultés
d'application principe sur ce point.
Au terme
de cette brève étude on comprend donc l'ampleur des problématiques
et des enjeux existant en ce domaine, tant au regard des enjeux
économiques que de l'importance prise dans notre droit par
les questions relatives à la protection des données. A cet
égard on ne manquera pas de rappeler que le projet de loi
de réforme de la loi du 6 janvier 1978 prévoit de doter la
CNIL de pouvoirs d'investigation, d'injonction et de sanction
administrative qui lui permettront d'exercer un contrôle a
posteriori sur les traitements de données. La Commission pourra
dès lors prononcer des sanctions et notamment des amendes
pouvant aller jusqu'à 150.000 euros, et jusqu'à 300.000 euros
ou 5% du chiffres d'affaires de l'entité sanctionnée en cas
de récidive.
gdesgenspasanau@deloitte.fr
(1) Directive
n°95/46/CE, du Parlement et du Conseil, du 24 octobre 1995,
relative à la protection des personnes physiques à l'égard
du traitement des données à caractère personnel et à la libre
circulation de ces données, JOCE, L 281, novembre 95, p.31
à 50.
(2) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique,
aux fichiers et aux libertés.
(3) L'ensemble de ces informations à insérer impérativement
dans les formulaires de collecte fait l'objet de formules
types disponibles sur le site de la CNIL : www.cnil.fr
(4) Projet de loi relatif à la protection des personnes physiques
à l'égard des traitements de données à caractère personnel
et modifiant la loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés, n° 3250, déposé
le 18 juillet 2001.
(5) Loi n° 2000-230 du 13 mars 2000 portant adaptation du
droit de la preuve aux technologies de l'information et relative
à la signature électronique, JO du 14 mars 2000, p. 3968.
(6) Directive 1999/93/CE du Parlement européen et du Conseil,
du 13 décembre 1999, sur un cadre communautaire pour les signatures
électroniques- Journal officiel n° L 013 du 19/01/2000 p.
0012 - 0020.
(7) On entend par révocation, l'opération demandée par le
porteur, le Mandataire de Certification ou le responsable
de l'entreprise mandaté à cet effet (pour les certificats
d'entreprises), par une AC ou une AE, et dont le résultat
est la suppression de la caution de l'AC sur un certificat
donné, avant la fin de sa période de validité. La demande
peut être la conséquence de différents types d'événements
tels que la compromission d'une clé, le changement d'informations
contenues dans un certificat, etc. L'opération de révocation
est considérée terminée quand le certificat mis en cause est
publié dans la liste des certificats révoqués.
(8) Décret no 2001-272 du 30 mars 2001 pris pour l'application
de l'article 1316-4 du code civil et relatif à la signature
électronique.
A
lire également :
Au
sommaire de l'actualité
|