Petit-déjeuner au FIC « Créer les conditions de la confiance numérique «
Je suis intervenue ce matin au petit-déjeuner organisé par le Forum International Cybercriminalité (FIC) sur le thème « Créer les conditions de la confiance numérique ».
Il s’agissait de faire un point à la suite de l’adoption, le 23 juillet dernier, du Règlement (UE) eIDAS n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.
Voici une synthèse des thèmes que j’ai abordés :
Le principe de reconnaissance mutuelle introduit par le règlement
Quelques exemples pour commencer :
Un étudiant française qui souhaiterait s’inscrire en ligne dans une université espagnole, grâce à sa future carte d’identité électronique.
Candidature d’une entreprise italienne, par le biais d’une signature électronique fournie par un prestataire français, à un appel d’offres passé par un acheteur public allemand.
Le principe établi par le Règlement est celui selon lequel le numérique ne doit pas être un obstacle au marché intérieur.
Il consacre par conséquent la reconnaissance mutuelle des moyens d’identification électronique. C’est à dire, en d’autres termes, que si un moyen d’identification est exigé sur un état membre (état A), le moyen d’identification délivré dans un autre état membre (état B) doit être reconnu, dès lors que les conditions suivantes sont réunies :
– la délivrance du moyen d’identification relève d’un schéma d’identification électronique figurant sur la liste publiée par la Commission,
– celui-ci offre le même niveau de garantie que celui exigé par l’état A (niveau substantiel ou élevé).
Le Règlement reprend également un autre volet de réciprocité : les services de confiance fournis par des prestataires établis dans des pays hors UE sont reconnus, sous réserve de réciprocité (si le pays tiers reconnaît aux services fournis par des prestataires UE la même valeur qu’aux services de prestataires locaux).
Les principaux nouveaux dispositifs de confiance introduits par le règlement
On connaissait déjà, en France, la signature électronique.
Le règlement introduit de nouveaux instruments :
Le cachet électronique : la notion existe déjà dans le RGS.
Sa fonction est de garantir l’origine et l’intégrité du document signé. Il permet notamment de prouver qu’un document a été délivré par telle personne morale. Attention toutefois, cet instrument ne garantit pas le consentement. Ce n’est pas une signature électronique d’une personne morale, qui ne peut, en tant que telle, consentir que par la voix de son représentant légal qui est une personne physique.
Quelques exemples d’applications : bulletins de paie, factures électroniques, offres de crédit bancaire…
Le cachet bénéficie d’une présomption d’intégrité des données et d’exactitude de l’origine des données.
L’authentification électronique : elle permettra à des sites internet d’être authentifiés, c’est à dire que leur existence et leur origine pourront être vérifiées grâce à des « certificats d’authentification de sites internet » : la fin des faux sites ?
Le document électronique à valeur probatoire : il s’agit de « tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel ».
La question de la validation des signatures électroniques
La plupart des textes connus jusqu’ici étaient focalisés sur la question de la génération des certificats et la création de signatures électroniques.
Le problème qui se pose dans la pratique est surtout celui de la vérification et de la validation des signatures.
Exemples :
Tribunal d’instance d’Epinal, 12 décembre 2011 : litige entre une banque et son client, au sujet d’un avenant relatif à son autorisation de découvert, dont la signature était contestée. La banque avait, pour démontrer la signature, communiqué l’avenant signé électroniquement, accompagné d’un fichier de preuve.
« D’autre part, le document « fichier preuve de la transaction » est à lui seul insuffisant pour s’assurer non seulement de l’engagement de M. X puisqu’aucun élément de la prétendue signature électronique ne permet de faire le lien entre l’offre de prêt non signée et le document produit, en l’état simple document imprimé sans garantie d’authenti- cité, ni justification de la sécurisation employée ».
La Cour d’appel de Nancy, dans un arrêt du 14 février 2013, a toutefois annulé ce jugement…
Tribunal d’Instance de Saint Omer, 20 décembre 2007 : il s’agissait d’un litige entre une banque et sa cliente au sujet d’un crédit bancaire. « En l’espèce une attestation émanant de la SA CERTEUROPE est fournie aux débats et confirme la réalité de la signature apposée par Mme X. ainsi que du moment du consentement ».
La question n’a pas été soulevée de la validité de la signature électronique utilisée.
Création d’un nouveau service de confiance dédié à la validation des signatures électroniques.
Il appartiendra au prestataire de vérifier, notamment :
– l’existence, la validité et les contours du certificat de signature électronique,
– le fait qu’il ait été délivré par un prestataire qualifié,
– que l’intégrité des données n’a pas été compromise.
La conservation dans le temps des signatures électroniques
Le Règlement constitue le seul texte à s’intéresser à la question de la conservation, dans le temps, de la fiabilité de la signature électronique.
L’enjeu qui y est attaché est celui de conserver la valeur probatoire d’un document signé et donc d’assurer son intégrité pendant la durée de la prescription.
La manière dont la conservation est perçue par le règlement est celle de l’extension de la fiabilité de la signature au delà de la période de validité technologique, lorsqu’il devient plus facile pour les fraudeurs de la falsifier (on ne parle pas réellement d’archivage).
Mais le règlement renvoie à des actes d’exécution au sujet desquels nous n’en savons pas beaucoup plus pour le moment.
Sur la notion d’archivage : il n’existe pas de cadre juridique spécifique à l’archivage électronique.
Un document signé électroniquement n’aura de valeur, lorsqu’il faudra s’en prévaloir, que s’il a été conservé dans des conditions permettant d’assurer son intégrité dans le temps. D’où l’importance d’un archivage électronique sécurisé, sans lequel le document concerné perd sa valeur juridique.
On peut donner la définition suivante de l’: l’ensemble des modalités de conservation et de gestion des archives électroniques ayant une valeur juridique lors de leur établissement ; cet archivage garantissant la valeur juridique jusqu’au terme du délai durant lequel des droits y afférents peuvent exister (source : site securite-informatique.gouv.fr ).
L’enjeu est de dépasser la question des supports utilisés et permettre la traçabilité dans le temps du document archivé et des opérations qui ont pu l’affecter (les metadonnées présentent à cet égard un intérêt particulier) en vue d’assurer sa fiabilité.
Les questions à se poser quand on recherche une solution d’archivage sont donc principalement les suivantes :
– quelle est la durée de conservation du document (question de la prescription) ?
– à quelle fin le document est-il conservé (écrit ad probationem/ad validitatem) ?
– des exigences particulières sont-elles attachées au document (LRAR, double exemplaire) ?
Il apparaît souvent opportun, dans ce cadre, de recourir à un tiers archiveur auquel sera transférée la responsabilité (rappelons toutefois qu’à quelques exceptions près, ce recours reste interdit pour les personnes publiques).
En définitive, l’état de l’Art aujourd’hui en matière d’archivage électronique s’articule principalement autour :
– de la norme NFZ42-013
– de la norme ISO 15489
– du modèle OAIS (Open Archival Information System)
Statut et obligations des PSCE
Sur leur responsabilité :
Le Règlement pose une présomption de responsabilité des prestataires de services de confiance pour les dommages causés aux personnes physiques ou morales en raison d’un manquement aux obligations résultant du Règlement.
Ils peuvent s’en éxonérer s’ils prouvent qu’ils n’ont pas agi intentionnellement ou par négligence.
Ils ne sont pas non plus responsables des dommages liés à l’utilisation de leurs services au delà des limites qu’ils ont fixées préalablement à l’utilisation des services.
Sur leurs obligations :
En matière de sécurité
Ils doivent prendre des mesures de sécurité proportionnées au degré de risque.
Ils ont une obligation de notification à l’organe de contrôle national, dans les 24h, de toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données personnelles qui y sont conservées. Ils devront également informer les personnes physiques concernées si l’atteinte est susceptible de leur porter préjudice, ainsi que le public si c’est dans son intérêt.
Ces prestataires sont audités, à leurs frais, tous les 24 mois
Autres obligations (article 24) – non exhaustif :
– Vérification de l’identité de la personne à qui est remis un certificat,
– Souscription d’une police d’assurance adaptée,
– Emploi d’un personnel compétent,
– Information de l’organe de contrôle de toutes modifications dans la fourniture de ses services,
– Information de ses clients sur les limites d’utilisation du service fourni.