Afin de limiter encore plus le développement des activités préjudiciables décrites dans les chapitres précédents, le droit facilite également la sécurité du réseau lui-même.
Vous allez dès à présent découvrir le régime juridique de la cryptologie, de la signature électronique, et de la blockchain… et faire l’apprentissage de l’encadrement juridique et de la répression de la fraude informatique au sens strict, et de la fraude réalisé via un moyen informatique.
Cette connaissance vous permettra de mieux dresser la carte des risques encourus et des actions et organisations possibles à mettre en place pour en limiter les conséquences potentielles.
Le régime juridique de la cryptologie
Le terme cryptologie renvoie aux techniques qui permettent de protéger une information au moyen d'un code secret ou d'une clef : il s'agit de transformer un message compréhensible en clair en un message codé compréhensible seulement au moyen d'une clé.
L'utilisation des techniques de chiffrement était initialement très strictement encadrée, au nom de la sécurité de l'État : l'utilisation était réservée aux domaines militaires, diplomatique et gouvernemental. L'évolution s'est faite en faveur d'une libéralisation : d'abord en 1990, pour le commerce électronique avec un cadre stricte d'autorisation et de contrôle, puis, en 2004, avec l'adoption d'un cadre réglementaire libéralisé.
Définition
La cryptologie englobe, au sens de la loi, des moyens de cryptologie et la prestation de cryptologie.
Un moyen de cryptologie est tout matériel ou logiciel conçu ou modifié pour transformer des données (informations ou signaux) à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète.
La prestation de cryptologie est toute opération qui vise, pour le compte d'autrui, à mettre en œuvre un moyen de cryptologie. La loi ajoute que "ces moyens [...] ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité".
Régime
Concernant les moyens de cryptologie
L'utilisation des moyens de cryptologie est libre.
La fourniture au sein de l'UE, l'importation et l'exportation des moyens exclusifs de cryptologie, c'est-à-dire assurant exclusivement des fonctions d'authentification ou de contrôle d'intégrité, sont libres.
La fourniture, le transfert en France en provenance d'un État membre de l'UE, l'importation en France d'un moyen non exclusif de cryptologie, c'est-à-dire n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité, sont soumis à une déclaration préalable.
Le transfert vers un État membre de l'UE et l'exportation d'un moyen non exclusif de cryptologie, c'est-à-dire n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité, sont soumis à une autorisation.
Concernant la prestation de cryptologie
Les déclarations prévues par la loi sont effectuées auprès d'un service rattaché au Premier ministre : l'Agence nationale de la sécurité des systèmes d'information, ANSSI. Il faut remplir le formulaire correspondant, accessible sur le site de l'ANSSI.
La spécificité des biens à double usage
Ce régime libéral est toutefois contrarié par une autre classification, celle que l'on nomme biens à double usage, c'est-à-dire susceptible d'un usage civil et militaire. C'est une définition commune à tous les États membres de l'UE.
Or, les moyens de cryptologie sont expressément classés comme des biens à usage double. Il faut alors obtenir une licence auprès du Service des biens à double usage (SBDU). Cette licence est obligatoire et concerne toute exportation d'un moyen de cryptologie classé biens double usage (ce qui est le cas dans la plupart des configurations).
Responsabilités
La responsabilité civile
La loi LCEN prévoit un régime de responsabilité civile de celui qui fournit une prestation de cryptologie, en précisant que :
ces prestataires sont assujetties au secret professionnel,
ils sont responsables "du préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d'atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données transformées à l'aide de ces conventions".
Un régime particulier est prévu pour les prestataires de certification électronique, c'est-à-dire ceux qui certifient la qualité du moyen de cryptologie. Ils sont, par principe, tenus d'une responsabilité pour faute, et sont ainsi responsables "du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés" dans les cas suivants :
les informations du certificat s'avèrent inexactes ;
les données fondant la certification étaient incomplètes ;
l'octroi du certificat n'a pas donné lieu à la vérification de la titularité des clefs privées du moyen de cryptologie ;
l'enregistrement et la révocation du certificat n'a pas été effectuée et tenue à disposition des tiers.
En revanche, il est légalement précisé que le prestataire de certification n'est pas responsable en cas de préjudice lié à un usage du certificat "dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé, à condition que ces limites figurent dans le certificat et soient accessibles aux utilisateurs".
La limitation du risque de responsabilité suppose donc du prestataire, non seulement de spécifier clairement les limitations d'usage du moyen de cryptologie certifié, mais surtout de s'assurer de l'accès à cette information.
La responsabilité administrative
La responsabilité administrative sanctionne le non respect du régime de déclaration préalable, d'autorisation ou de licence d'exportation : à défaut de satisfaire à ces obligations, le fournisseur d'un moyen de cryptologie peut être sanctionné par l'interdiction de mise en circulation du moyen de cryptologie concerné.
La responsabilité pénale
Quant à la responsabilité pénale, la loi LCEN a prévu des sanctions spécifiques :
concernant le non respect du régime d'utilisation/fourniture/exportation (déclaration préalable, autorisation),
concernant la commercialisation d'un moyen de cryptologie qui a fait l'objet d'une interdiction de mise en circulation,
concernant la fourniture de prestations de cryptologie sans déclaration.
Les peines encourues comprennent des amendes (de 15 000 à 30 000 euros) et de l'emprisonnement (de 1 à 2 ans). Ces sanctions peuvent être accompagnées de peines complémentaires : interdiction d'émettre des chèques ou d'utiliser des cartes de paiement, confiscation des biens ayant servis à réaliser l'infraction, interdiction d'exercer une fonction publique ou l'activité professionnelle ayant donné lieu à l'infraction...
Le contrôle de l'usage des moyens de cryptologie
La sensibilité potentielle de l'usage des moyens de cryptologie suffit à expliquer qu'elle soit contrôlée, outre le régime spécifique de déclaration/autorisation.
Les autorités compétentes pour le contrôle des ces obligations sont :
des officiers et agents de police judiciaire (on a déjà vu qu'en outre, police nationale et gendarmerie sont dotées de structures dédiées à la cybercriminalité),
les agents des douanes,
des agents habilités à cet effet par le Premier ministre (dans le cadre de ses services spécifiques, ANSSI ou SBDU).
Les modalités de constat des infractions sont prévues par la loi : prérogative d'accès aux locaux et aux moyens de transport à usage professionnel, droit de demander des communication de documents et d'en prendre copie, saisie des moyens de cryptologie, matériel et logiciels, sur autorisation judiciaire.
Les entraves à l'exercice de la justice ont donné lieu à des débats dans l'opinion publique. C'est l'obligation de remise des clés de chiffrement dans le cadre d'une opération de police. Cette obligation pèse notamment sur les prestataires et s'étend à toute personne ayant connaissance des clefs de chiffrement utilisés.
Le régime juridique de la signature électronique
L'importance de la signature - et plus généralement de l'écrit - dans la mise en œuvre des mécanismes juridiques explique pourquoi la signature électronique était un véritable enjeu et a nécessité une réglementation spécifique.
Un contrat se forme uniquement par la rencontre des volontés. Un écrit et une signature permettent de rapporter la preuve de cette rencontre, et donc la formation du contrat.
De plus, avec le format électronique, le lien entre un contenu (l'énoncé des obligations) et la signature n'existe plus "naturellement" : il doit donc être créé spécialement.
C'est ce que l'on appelle parfois le phénomène des quatre coins de la feuille : cela délimite matériellement et évidemment les éléments liés à la signature, laquelle manifeste le consentement.
C'est la raison pour laquelle la loi a prévu un formalisme spécifique aux contrats dits "électroniques", en prévoyant des conditions spécifiques pour la validité de la signature électronique.
Définition
La signature électronique est définie par le code civil : elle "identifie son auteur". Cela n'impose aucune forme particulière : elle peut être un nom, un symbole, un gribouillis, un code... dès lors que cela permet d'identifier l'auteur de la signature.
Cela signifie que la loi est "technologiquement neutre" et ne prend pas partie sur la nature du procédé : est donc électronique autant un code, qu'un scan d'une signature manuscrite, qu'un tracé sur un écran tactile...
En revanche, le risque essentiel de l'emploi d'une signature électronique est l'incertitude quant au lien avec un contenu (les obligation du contrat, par exemple). C'est l'aspect qui, techniquement, doit être le plus attentivement traité.
Cela signifie que lorsque le procédé de signature électronique que vous mettez en place répond aux conditions qui ont été fixées, cette signature ne peut être contestée comme non fiable, sauf à rapporter la preuve de l'absence de fiabilité.
Dans les textes européens, la signature qui satisfait à ces conditions spécifiques est appelée "signature électronique sécurisée", ce qui signifie qu'alors elle est présumée fiable.
Mise en œuvre
La signature électronique présumée fiable suppose :
l'utilisation d 'un dispositif sécurisé de création de signature électronique,
une vérification de la signature par un certificat électronique qualifié.
Ces éléments sont précisés au décret du 30 mars 2001 et du 18 avril 2002.
Valeur juridique
Quelle est la valeur juridique d'une signature électronique, et d'un document électronique ?
La réponse est simple : "L'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité" (art. 1366, code civil).
Cette simplicité apparente doit néanmoins être précisée par deux observations :
La loi exige que l'on puisse identifier la personne "dont il émane", ce qui n'est pas des plus explicites et n'est pas exigé en présence d'un support papier : on considère que cela signifie que l'on doit pouvoir identifier la personne qui a donné son accord à des obligations.
La loi exige, pour le support électronique uniquement, que le document soit "établi et conservé dans des conditions" qui garantissent son "intégrité". La neutralité technologique de la loi laisse une grande liberté de choix technique et organisationnel pour cela. Concrètement, cela impose une solution de conservation des informations et il est conseillé alors de documenter le processus technique de manière à démontrer qu'il garantit l'intégrité des informations.
Les mécanismes juridiques favorisant la sécurité des réseaux
Le droit joue sa part dans la sécurité des réseaux en favorisant la sécurité juridique (en offrant des mécanismes qui réduisent les risques de contestation) et en orientant les comportements des acteurs (en créant des infractions, par exemple).
Passons en revue la répression des infractions qui visent à garantir la sécurité des systèmes d'information.
Toutes les atteintes aux systèmes informatiques (dont les systèmes de traitement automatisé de données) sont sanctionnées, et il s'agit de dispositions du code pénal. Sont ainsi visées toutes les intrusions non autorisées dans un système tiers, le sabotage ou l'altération du système, l'entrave à son fonctionnement et l'introduction frauduleuse de données.
Le secret des correspondances protège expressément les "correspondances émises, transmises ou reçues par la voie électronique".
Enfin, un cas particulier lié à la protection des mineurs est visé à l'article 227-23 du code pénal : est réprimée toute diffusion, fixation enregistrement ou transmission de l'image d'un mineur présentant un caractère pornographique.
Quant à l'usurpation d'identité, réprimée à l'article 226-4-1 du code pénal, elle est expressément sanctionnée "lorsqu'elle est commise sur un réseau de communication au public en ligne".
Vous savez désormais comment le droit peut favoriser la sécurité des réseaux. Voyons ensemble un dernier élément : comment vous familiariser avec le droit international privé pour sécuriser vos projets internationaux.
