Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

© Eric A. CAPRIOLI, Avocat à la Cour de Paris Page 1 « De l’authentification à

© Eric A. CAPRIOLI, Avocat à la Cour de Paris Page 1 « De l’authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales ? » © Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, chargé de cours à l’Université de Paris II, (Panthéon-Assas), Membre de la délégation française auprès de la C.N.U.D.C.I.1 e.caprioli@caprioli-avocats.com www.caprioli-avocats.com Sommaire Introduction : Enjeux juridiques et sociaux ........................................................................................... 2 I. Cadre juridique et normatif de la gestion de l’identité ..................................................................... 8 A. Eléments de définitions ................................................................................................................... 8 1. Authentification ......................................................................................................................... 8 2. Identification ............................................................................................................................ 12 3. Identité sous forme numérique .............................................................................................. 14 4. Sceaux électroniques ............................................................................................................... 16 5. Signature électronique ............................................................................................................ 19 6. Procédés biométriques ............................................................................................................ 21 B. Exigences liées à l’identité numérique .......................................................................................... 24 1. L’incontournable sécurité technique ...................................................................................... 24 2. Exemples français en matière conformité légale et règlementaire ....................................... 25 II. Mise en œuvre juridique internationale ...................................................................................... 30 A. Des règles normatives sur les éléments de base .......................................................................... 31 1. Authentification électronique ................................................................................................. 32 2. Signature électronique « technique »..................................................................................... 33 3. Datation électronique ............................................................................................................. 34 4. Signature « juridique » d’une personne morale ..................................................................... 35 5. Certificats « éphémères » ou « à la volée » ............................................................................ 36 6. Obligations et responsabilités dans le cadre d’une Infrastructure à clé Publique (ICP). ...... 37 B. Organisation juridique de la gestion des identités numériques ................................................... 41 1. Reconnaissance mutuelle ........................................................................................................ 41 2. Fédération d’identités ............................................................................................................. 43 3. La labellisation de dispositifs de sécurité ............................................................................... 44 a. Le label ID Num (France) ....................................................................................................... 45 1 L’auteur, bien qu’impliqué à des titres divers dans les travaux de la C.N.U.D.C.I., n’exprime dans le présent article que ses opinions personnelles. Celles-ci ne sauraient d’aucune façon engager la délégation française. © Eric A. CAPRIOLI, Avocat à la Cour de Paris Page 2 b. Le Label suisNum (Suisse) ...................................................................................................... 46 c. Autres initiatives .................................................................................................................... 47 Introduction : Enjeux juridiques et sociaux A l’heure des communications électroniques et des technologies de l’information, la criminalité et la fraude empruntent d’autres formes que celles traditionnellement rencontrées et ce, avec un essor décuplé. Avec les réseaux numériques, leur spectre d’intervention ne se limite plus à un pays ou une région, voire à un réseau international géographiquement localisé, il est planétaire et affecte le fameux « village global ». Cette sphère doit être entendue comme la zone mondiale interconnectée, celle qui est « enrobée » de réseaux de communications électroniques : filaires, hertziens, satellitaires, numériques2. L’accès aux réseaux est parfois considéré comme un droit fondamental ; en tous les cas, cet accès constitue un prérequis incontournable pour l’économie numérique. Cela signifie que plusieurs milliards d’individus3 naviguent, communiquent, échangent, partagent, commercent, téléchargent, en leur nom propre comme au nom de leurs entreprises, associations ou organismes publics (Etats, collectivités locales, …). De plus, les technologies de l’information et de la communication (TIC) connaissent un développement sur tous les continents et dans tous les pays quel que soit leur niveau de développement économique4. Néanmoins, au regard des moyens technologiques utilisés, des spécificités locales ou régionales existent (ex : le mobile au Japon, en Afrique ou en Amérique latine). D’une part, les communications électroniques se caractérisent par l’abrogation de l’espace géographique (distances, frontières) et du temps (tout est quasi-instantané, en temps réel). D’autre part, avec le web 2.0, elles sont interactives entre personnes et entre ces dernières et des contenus ou services hébergés et diffusés sur le web. En outre, le monde numérique, contrairement au monde physique, est par nature international : tout ce qui est diffusé sur les réseaux numériques est accessible de n’importe quel point du globe. Or, le réseau des réseaux constitue une mémoire collective de toutes les informations diffusées ; le droit à l’oubli n’existe pas en raison des reproductions et des stockages des informations réalisés dès la première publication sur l’internet, en des lieux soumis à des lois différentes. De plus, les internautes sont amenés à avoir des relations avec des objets immatériels ou virtuels comme des serveurs ou des sites, ou à utiliser des biens incorporels comme les logiciels ou les bases de données5. Là aussi, il faut être certain que l’on est en relation avec la bonne personne morale qui détient les droits patrimoniaux sur ces objets complexes composés de droits intellectuels (noms de domaine, droit d’auteur, …) et de droits de propriété industrielle. Confronté à ce contexte, le besoin de confiance s’impose aux acteurs 2 René-Jean Dupuy, L’humanité dans l’imaginaire des nations, Paris, Juilliard, Conférences, Essais et leçons du Collège de France, 1991. 3 1.966.514.816 connectés au 30 juin 2010, à l’adresse : http://www.internetworldstats.com/stats.htm. . 4 Pour un état de la situation des TIC dans les pays les plus pauvres, v. UNCTAD, Information economy report 2010, United Nations, New York and Geneva, 2010. 5 Pierre Catala, Le droit à l’épreuve du numérique, Jus ex machina, Paris, P.U.F., 1998, voir le chapitre sur les bases de données. © Eric A. CAPRIOLI, Avocat à la Cour de Paris Page 3 de l’économie numérique dans la mesure où il est essentiel de pouvoir imputer une action ou une opération donnée à une personne déterminée6. Le développement de l’économie numérique auquel on assiste présentement ne va pas sans risques. Les questions de l’authentification et de la signature électronique des personnes doivent être traitées et résolues afin d’assurer au mieux la confiance dans les communications électroniques dans la mesure où ces méthodes ont des incidences juridiques importantes en terme de preuve des engagements et des faits juridiques7. Elles conduisent à s’interroger sur les manifestations de l’identité numérique, soit les données identifiantes qui constituent la personne juridique (en France, celles de l’Etat civil), et les identifiants qui peuvent se traduire par l’usage d’un simple login/mot de passe pour se logger, d’un certificat d’identification électronique, mais aussi : adresses électroniques, pseudonymes, noms de domaine, Url, adresses IP, traces informatiques, empreintes biométriques (doigt, iris, oreille)8. Parmi les nombreuses interrogations, certaines peuvent être relevées à ce stade, sans toutefois avoir vocation à l’exhaustivité. Outre les questions de qui doit-on identifier et comment, doit-on s’identifier ou s’authentifier ? - Pour une transaction en ligne ? - Pour accéder à des données en ligne dont l’accès est réservé ? - Comment gérer les droits d’accès des personnes habilitées ? - Quels mécanismes sont mis en œuvre par ces deux modes de connexion9 et comment répondent-ils aux différentes attentes du marché ? - Quelles transactions requièrent une signature et comment cette signature se distingue-t-elle de l’authentification ? - Peut-on signer avec un certificat émis à la volée et qui peut être utilisé pendant une durée très courte et pour une seule et unique transaction ? - Quels types de signatures sont attendus par les acteurs de l’économie en ligne ? 6 Eric A. Caprioli, Sécurité et confiance dans le commerce électronique, JCP éd G, n°14, 1 avril 1998, I, 123. 7 Pierre-Yves. Gautier et Pierre Catala, L’audace technologique à la cour de cassation : vers la libération de la preuve contractuelle, JCP éd. G, 1998, p. 905 et s. ; Eric A. Caprioli, Preuve et signature dans le commerce électronique, Droit et Patrimoine, n°55, Décembre 1997, p. 56-61. 8 Eric A. Caprioli, Traitement utilisant des données biométriques, Comm. Com. Electr. n°3, 1 mars 2007, comm. 48 ; Eric A. Caprioli, Généralisation du passeport biométrique, Comm. Com. Electr. n°7, juillet 2008, comm. 98. 9 Le service d’authentification permet de garantir l’intégrité et l’origine du message des données authentifiées mais, contrairement au service de signature électronique, il ne signifie pas que l’émetteur manifeste son consentement au contenu du message des données. Voir en ce sens, le RGS (Référentiel Général de Sécurité), rédigé par l’Agence Nationale de la Sécurité des Système d’Information (ANSSI) et par la Direction Générale de la Modernisation de l’Etat (DGME), a été pris en application de l’article 9 de l’ordonnance du 8 décembre 2005 (Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, JO n°286 du 9 décembre 2005, p. 18896 et s. ; Eric A. Caprioli, Des échanges électroniques entre les usagers et les autorités administratives d’une part, et entre ces dernières d’autre part, JCP éd. A et CT, 2006, n°1079, p. 432 et Comm. Com. Electr. avril 2006, n°4, comm. 75). Le RGS définit un ensemble de règles de sécurité s’imposant aux autorités administratives dans le but de sécuriser leur système d’information dans le cadre d’échange des informations par voie électronique et notamment l’authentification. Son décret d’application a été publié au Journal Officiel du 4 février 2010 (Décret n°2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, JO 4 février 2010, p. 2072) suivi d’un arrêté ministériel en date du 6 mai 2010 (JO du 18 mai 2010), qui approuve la version 1.0 du RGS. © Eric A. CAPRIOLI, Avocat à la Cour de Paris Page 4 uploads/S4/ caprioli-article-signature-electronique.pdf