PKI et protection des données personnelles
- Mardi 4 juin 2002 -

Le respect des dispositions relatives à la protection des données personnelles par les prestataires de services de certification électronique représente désormais un enjeu juridique et économique majeur.

Les services de confiance, assurés par les prestataires de services de certification électronique, jouent un rôle incontournable dans la mise en œuvre d'un système de signature à clé publique. Ces services répondent aux besoins nouveaux d'identification, d'intégrité et de confidentialité liés à la nature dématérialisée des transactions.

Ce besoin exprimé de sécurité et de confiance auquel répondent ces prestataires leur impose la plus grande rigueur quant aux données qu'ils collectent dans le cadre de la création, la gestion et la révocation de certificats. En particulier, l'autorité d'enregistrement (AE), dont la fonction est de mettre en œuvre les procédures d'identification des personnes physiques conformément aux règles définies par l'autorité de certification (AC), devra veiller au respect des règles impératives en matière de protection des données et du respect de la vie privée

Sur ce chapitre, il existe des dispositions juridiques spécifiques aux architectures PKI tant dans la directive européenne du 24 octobre 1995 (1) que dans le projet de loi de réforme de la loi Informatique et Libertés du 6 janvier 1978 (2). En outre, force est de constater que la mise en œuvre d'une architecture PKI pose des problématiques juridiques inédites au regard de l'application des dispositions de la loi de 1978. Il importe que les praticiens en prennent toute la mesure, afin de permettre aux prestataires de confiance d'exercer leurs activités dans un cadre juridiquement sécurisé, gage de leur crédibilité.

1. Les formalités à accomplir par les prestataires
Au delà des formalités traditionnelles de déclaration de fichiers à effectuer auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) et des mentions obligatoires à faire figurer sur les formulaires de collecte de données (3), il convient de s'intéresser brièvement à l'existence de certaines mentions à faire figurer dans le cadre des relations contractuelle des prestataires.

Un architecture PKI fait en effet intervenir différents intervenants contractuellement liés les uns aux autres (l'AE, l'AC, etc.). Les contrats ainsi conclus ne devront pas négliger les questions relatives à la circulation de ces données entre les différents intervenants.

Ainsi, par exemple, si l'autorité d'enregistrement (AE) prévoit de sous-traiter la gestion des données collectées, elle devra prévoir dans le contrat de sous-traitance les obligations prévues aux articles 16 et 17 de la directive européenne du 24 octobre 1995.

Ces articles prévoient que la réalisation de traitements en sous-traitance sont régis par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n'agit que sur la seule instruction du responsable du traitement. De même, la directive prévoit que "les Etats membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures".

2. La spécificité d'une architecture PKI au regard des principes relatifs à la protection des données
- Des principes plus stricts que le droit commun
Dans le domaine sensible et très nouveau des services de certification électronique, l'article 33 du projet de loi (4) de réforme de la loi Informatique et Libertés adopté en 1ère lecture par l'Assemblée Nationale le 30 janvier dernier introduit un régime spécifique en matière de collecte de données à caractère personnel pour les prestataires de service de certification électronique des signatures électroniques. .

En effet, si la loi n° 2000-230 du 13 mars 2000 (5) relative à la signature électronique a, pour l'essentiel, assuré la transposition en droit interne des dispositions de la directive 1999/93 du 13 décembre 1999 (6), il reste cependant à effectuer celle du paragraphe 2 de son article 8 concernant les règles applicables à la collecte de données. .

Plus exigeant que le régime de droit commun résultant de la directive 95/46 CE, ce dispositif impose aux prestataires des services de certification de ne recueillir les données à caractère personnel nécessaires à la délivrance des certificats que directement auprès de la personne concernée ou avec son consentement exprès. Il précise, en outre, que les données recueillies ne peuvent être utilisées à d'autres fins que celles pour lesquelles elles l'ont été..

La question des données collectées indirectement nominatives
Dans le cadre d'un projet PKI, l'autorité d'enregistrement (AE) est amenée à collecter de nombreuses données personnelles relatives aux porteurs de certificats. Ces données sont à la fois classiques, s'agissant par exemple du nom ou de l'adresse du porteur, mais également inédites s'agissant par exemple des informations liées à la clé publique et privée du certificat.

S'agissant de ces données techniques spécifiques, celles-ci entrent dans le cadre des données dites indirectement nominatives. Sur ce point, la directive du 24 octobre 1995 prévoit qu'est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

La position de la CNIL sur les données indirectement identifiable est constante, considérant qu'une telle donnée, même si elle ne permet pas a priori l'identification d'une personne physique, peut néanmoins permettre de la rendre identifiable. En conséquence, de telles données devront être déclarées à la CNIL : il appartiendra ainsi au prestataire de procéder à une nomenclature très précise des données collectées, qu'elle soit directement ou indirectement identifiable.

L'obligation de sécurité et de confidentialité
L'attention des prestataires devra être portée en particulier sur une obligation prévue par l'article 29 de la loi du 6 janvier 1978 qui dispose que : "toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés". Le non-respect de cette obligation de sécurité est pénalement sanctionné ( art. 226-17 du code pénal) par 5 ans d'emprisonnement de 2 000 000 francs d'amende.

Le prestataire sera ainsi tenu dans sa déclaration de préciser les mesures générales de sécurité envisagées, s'agissant tant de la fiabilité des matériels et logiciels utilisés que des mesures prévues en cas d'atteinte volontaire ou involontaire aux infrastructures en charge de la conservation des données collectées. Il pourra utilement insérer dans la déclaration les extraits spécifiques de sa politique de certification (PC) ou de sa déclaration relative aux procédures de certification (DPC).

Relevant l'importance de cette question, l'article 34 du projet de loi précité prévoit que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. Des décrets, pris après avis de la CNIL, pourront d'ailleurs fixer les prescriptions techniques auxquelles doivent se conformer certains traitements d'informations nominatives

Dans ces circonstances, on ne peut qu'encourager les prestataires à avoir recours à des engagements contractuels de confidentialité et de sécurité vis à vis tant de collaborateurs internes que de prestataires externes concernés (par exemple un sous-traitant). On relèvera néanmoins que de telles clauses ne déchargeront en aucun cas le prestataire de son obligation de veiller au respect de ces mesures de sécurité et de confidentialité.

3 L'existence de questions juridiques inédites
La mise en œuvre d'une architecture PKI pose aux praticiens des problématiques nouvelles qui sont à ce jour peu solutionnées. En l'absence de dispositions spécifiques ou d'une position officielle de la CNIL arrêtée sur ces questions, il importe de porter une attention particulière à ces questions.

La question de la révocation du certificat
Dans le cadre d'une architecture PKI, les prestataires tiennent une liste des certificats révoqués (LCR). La mise en œuvre de programmes informatiques assurant la révocation automatique d'un certificat peut, dans certaines circonstances, poser difficulté au regard de l'article 3 de la loi du 6 janvier 1978 qui dispose que : "toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés".

La loi du 6 janvier 1978 tend en effet à éviter tout automatisme dans la prise de décision. L'appréciation sur les comportements humains doit être laissée à l'homme et ne pas dépendre des seules conclusions de la machine. Il semble nécessaire de porter une réflexion sur cette question afin de pouvoir concilier à la fois ce principe fondamental avec les pratiques techniquement nécessaires des prestataires.

Les contradictions liées à la durée de conservation des données
Le décret du 30 mars 2001 (8) relatif à la signature électronique prévoit dans son article 6 qu'un prestataire de services de certification électronique doit "conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s'avérer nécessaires pour faire la preuve en justice de la certification électronique (…) vérifier, d'une part, l'identité de la personne à laquelle un certificat électronique est délivré, en exigeant d'elle la présentation d'un document officiel d'identité, d'autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité".

Cette légitime exigence de conservation de données se heurte au principal fondamental du "droit à l'oubli" prévu dans l'article 28 de la loi du 6 janvier 1978 qui dispose en substance que les données nominatives ne doivent pas être conservées au-delà de la durée nécessaire aux finalités du traitement pour lequel elles ont été enregistrées. Au cas par cas, il conviendra d'analyser si la finalité relative aux traitements de certificats justifie une durée de conservation satisfaisante pour les prestataires. On peut en tout cas redouter des difficultés d'application principe sur ce point.

Au terme de cette brève étude on comprend donc l'ampleur des problématiques et des enjeux existant en ce domaine, tant au regard des enjeux économiques que de l'importance prise dans notre droit par les questions relatives à la protection des données. A cet égard on ne manquera pas de rappeler que le projet de loi de réforme de la loi du 6 janvier 1978 prévoit de doter la CNIL de pouvoirs d'investigation, d'injonction et de sanction administrative qui lui permettront d'exercer un contrôle a posteriori sur les traitements de données. La Commission pourra dès lors prononcer des sanctions et notamment des amendes pouvant aller jusqu'à 150.000 euros, et jusqu'à 300.000 euros ou 5% du chiffres d'affaires de l'entité sanctionnée en cas de récidive.

gdesgenspasanau@deloitte.fr

(1) Directive n°95/46/CE, du Parlement et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE, L 281, novembre 95, p.31 à 50.
(2) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
(3) L'ensemble de ces informations à insérer impérativement dans les formulaires de collecte fait l'objet de formules types disponibles sur le site de la CNIL : www.cnil.fr
(4) Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, n° 3250, déposé le 18 juillet 2001.
(5) Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique, JO du 14 mars 2000, p. 3968.
(6) Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques- Journal officiel n° L 013 du 19/01/2000 p. 0012 - 0020.
(7) On entend par révocation, l'opération demandée par le porteur, le Mandataire de Certification ou le responsable de l'entreprise mandaté à cet effet (pour les certificats d'entreprises), par une AC ou une AE, et dont le résultat est la suppression de la caution de l'AC sur un certificat donné, avant la fin de sa période de validité. La demande peut être la conséquence de différents types d'événements tels que la compromission d'une clé, le changement d'informations contenues dans un certificat, etc. L'opération de révocation est considérée terminée quand le certificat mis en cause est publié dans la liste des certificats révoqués.
(8) Décret no 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique.

A lire également :

Tous les articles de la rubrique juridique

Au sommaire de l'actualité