Les apports de la loi pour la confiance dans l’économie numérique

By 4 July 2013

B. Les apports de la loi pour la confiance dans l’économie numérique

194. Objectifs. La loi pour la Confiance dans l’Economie numérique (LEN)220, dite également loi Fontaine, a pour objet de donner une nouvelle impulsion au commerce électronique et à la sécurité des transactions électroniques. Elle constitue le premier élément du plan RE/SO 2007 (Pour une République Numérique dans la société de l’Information) présenté en novembre 2002 par le Premier ministre, décrivant la politique du Gouvernement pour favoriser le développement des technologies de l’information. Ce texte vise à créer un climat de confiance en fixant des règles du jeu claires pour les fournisseurs et en assurant une protection efficace des utilisateurs.

195. Constat. La législation antérieure ne répondant pas aux problèmes nouveaux qu’elle a fait surgir dans une période très courte, il devenait urgent de combler les vides laissés par les textes afin d’assurer la sécurité juridique sans laquelle les énergies ne pourront se développer dans ce secteur particulièrement porteur. La LEN n’abroge pas formellement la loi du 26 juillet 1996, mais en modifie substantiellement la partie relative à la cryptologie.

218 Lors d’une conférence de presse en février 1999, le Premier ministre indique enfin que les dispositions relatives à la cryptologie « restreignent fortement l’usage de la cryptologie dans notre pays, sans pour autant permettre aux pouvoirs publics de lutter efficacement contre des agissements criminels dont le chiffrement pourrait faciliter la dissimulation. Elles font en outre apparaître un risque d’isolement de la France par rapport à ses principaux partenaires », cité par PIETTE-COUDOL T., op.cit., p. 29.
219 Rapport du Conseil d’Etat « Internet et les réseaux numériques » du 2 juillet 1998, op.cit., pp. 73-77.
220 Loi n° 2004 – 575 du 21 juin 2004.

196. Problématiques. Les principales dispositions de la loi visent les problématiques suivantes :

1. Renforcer la confiance dans le commerce électronique et la lutte contre les publicités indésirables ;
2. Définir précisément les conditions de responsabilité des intermédiaires techniques, à savoir les hébergeurs de sites, les fournisseurs d’accès Internet et les opérateurs de télécommunications ;
3. Mettre en place des règles de gestion des adresses françaises de l’Internet renforçant la liberté de la communication publique en ligne en France ;
4. Libéraliser l’utilisation de la cryptologie pour renforcer la sécurité des échanges et amplifier les moyens de lutte contre la cybercriminalité.

Ce texte met fin au retard, de plus d’un an, de la France dans la transposition de la directive européenne 2000/31/CE du 8 juin 2000 sur le commerce électronique221, qui aurait dû être transposée avant le 17 janvier 2002222.

197. « Champ d’application ». Les dispositions proposées par le projet de loi LEN s’articulent autour de cinq thèmes ordonnés en autant de titres :

ƒ Un titre I portant sur la liberté de communication en ligne, qui définit les règles applicables en matière de responsabilité des prestataires techniques et met en place une gestion des adresses française de l’Internet (le suffixe« .fr ») ;
ƒ Un titre II portant sur le commerce en ligne, sur la publicité en ligne223 et sur les contrats par voie électronique ;
ƒ Un titre III portant sur un assouplissement du contrôle des moyens de cryptologie pour permettre le renforcement de la sécurité des transactions et des mesures permettant d’améliorer la lutte contre la cybercriminalité (notamment en ce qui concerne la transmission de virus informatique) ;
ƒ Un titre IV portant sur la mise en place d’une réglementation sur les fréquences des systèmes à satellites rendue nécessaire par la disparition des monopoles publics ;
ƒ Un titre V sur le développement des technologies de l’information et de la communication.

221 La plupart des dispositions de cette directive avaient été reprises dans le projet de Loi sur la Société de l’Information (LSI) présenté en juin 2001 par le précédant gouvernement. Mais bien qu’approuvé en Conseil de Ministres et déposé à l’Assemblée Nationale, le projet LSI est devenu caduc avec la fin de la législature.
222 L’article 22 de la directive énonce que « Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive avant le 17 janvier 2002. Ils en informent immédiatement la Commission ».
223 Il est utile de signaler que la Chambre du commerce internationale a actualisé ses règles de bonne conduite relative à la publicité faite via Internet ou plus généralement par tout média, par un rapport publié le 6 avril 2005.
Le texte de ces nouvelles lignes directrices est disponible sur : http://www.iccwbo.org/iccigc/index.htm

Dans la mesure où les titres I, II, IV et V ne concernent pas le présent chapitre, nous ne traiterons que le titre III relatif à « la sécurité dans l’économie numérique ».

198. Principes. Par rapport aux décrets de mars 1999, le texte de loi va encore plus loin dans le mouvement de libéralisation des moyens et des prestations de cryptologie224. En effet, l’article 30 I énonce que « L’utilisation des moyens de cryptologie est libre ». Le texte ne fait plus de distinction selon que le moyen assure exclusivement des fonctions d’authentification et de contrôle d’intégrité ou si, plus largement, il assure une fonction de confidentialité. Par ailleurs, il ne précise plus une longueur maximale de la clé. L’utilisation reste libre dans l’hypothèse même où la clé dépasserait 128 bits et aurait une longueur de 512 bits voire 1024 bits225. Ainsi, l’utilisation des moyens de cryptologie est entièrement libéralisée. Les personnes physiques comme les entreprises pourront utiliser librement selon la nouvelle définition consacrée « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète ». Est également libre la fourniture, le transfert vers ou depuis un Etat membre de la communauté européenne ou l’importation et l’exportation des moyens de cryptologie dont la seule fonction cryptologique est une fonction d’authentification ou de contrôle d’intégrité, notamment à des fins de signature électronique.

199. Responsabilité. En contrepartie de cette libéralisation, les prestataires qui assurent des prestations de cryptologie à des fins de confidentialité, sont présumés responsables, jusqu’à preuve du contraire, et malgré toute disposition contractuelle contraire, du « préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions ». Cette présomption ne pourra être levée par ledit prestataire que s’il est en mesure de démontrer qu’il n’a commis aucune faute intentionnelle ou de négligence. Le texte précise également l’étendue de la responsabilité des prestataires de certification électronique, que l’on retrouve essentiellement dans la réglementation du 13 mars 2000 et ses décrets.

Ainsi ces prestataires :
ƒ Sont présumés responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés comme qualifiés alors qu’ils ne le sont pas ;
ƒ Doivent justifier d’une garantie financière suffisante, spécialement affectée au paiement des sommes qu’ils pourraient devoir aux personnes s’étant fiées raisonnablement aux certificats qualifiés qu’elles délivrent, ou d’une assurance garantissant les conséquences pécuniaires de leur responsabilité professionnelle.

224 L’article 29 de la LEN définit le moyen de cryptologie comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission des données en permettant d’assurer leur confidentialité, des données, leur authentification ou le contrôle de leur intégrité » et la prestation de cryptologie comme toute « toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie. »

225 Cette solution est heureuse du point de vue de la sécurité. En effet, on considère qu’il est temporellement impossible de casser une clé aussi longue et donc de pouvoir déchiffrer le message chiffré sans disposer de cette clé.

Cependant lesdits prestataires :
ƒ Peuvent lever la présomption énoncée ci-dessus en apportant la preuve qu’ils n’ont commis aucune faute intentionnelle ou de négligence ;
ƒ Ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou la valeur des transactions pour lesquelles il peut être utilisé, à la condition que ces limites aient été clairement portées à la connaissance des utilisateurs dans le certificat.

200. Remarque. On notera que la notion de « garantie suffisante » n’est pas assez explicite, pas plus que ne le sont les notions de faute intentionnelle ou de négligence en cette matière nouvelle et spécifique. On constatera également que, curieusement et sans véritable justification, si pour la responsabilité des prestataires de signature électronique les termes de la responsabilité s’appliquent « nonobstant toute stipulation contractuelle contraire », cette précision textuelle n’existe pas dans l’article relatif à la responsabilité de prestataires de certification ce qui, en conséquence, permettrait de conférer une pleine valeur aux clauses attribuant ou limitant la responsabilité des contrats conclus avec des tiers certificateurs.

201. Résultat. L’avancée proposée est particulièrement heureuse pour le secteur bancaire et financier. Une banque peut elle aussi développer des applications hautement sécurisées, dans son intérêt et dans celui de ses clients, sans devoir au préalable demander une autorisation au Premier ministre (sauf transfert vers un Etat membre de la communauté européenne ou l’exportation de moyens de cryptologie lorsqu’ils assurent d’autres fonctions que celle d’authentification ou de contrôle d’intégrité). En conséquence, il suffira de procéder à une déclaration préalable, voire de recourir à un tiers de séquestre. A noter que dans les deux cas, les conditions de déclaration ou d’autorisation feront l’objet d’un décret pour leur mise en œuvre, la loi prévoyant par avance que le décret pourrait être l’occasion de dresser une liste de catégories de moyens qui pourraient être exonérés de formalité ou contraints à une obligation moindre.

202. Conséquences. Désormais, une banque française ou un utilisateur peut télécharger en toute liberté un logiciel permettant de générer des signatures électroniques. Si, en revanche, le logiciel n’assure pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité mais permet en outre de rendre les messages confidentiels, « la fourniture, le transfert depuis un Etat membre de la Communauté européenne ou l’importation d’un moyen de cryptologie » ne seront libres que s’«ils sont soumis à une déclaration préalable auprès du Premier ministre » et dans ce cas « le fournisseur ou la personne procédant au transfert ou à l’importation tiennent à la disposition du Premier ministre une description des caractéristiques techniques de ce moyen de cryptologie », et cela sans considération de la longueur de la clé (art. 30, IV)226. Il semble que l’ensemble des dispositions prévues par la LEN, puissent être utilisées par les établissements bancaires et financiers, tant pour leur propre compte que pour le compte de leur client. Ainsi, à la question de savoir si les opérations bancaires et financières, eu égard à leur caractère sensible devaient faire l’objet de dispositions spéciales, nous répondons par la négative car le cadre instauré apparaît suffisamment protecteur, et la mise en place d’une spécificité bancaire et financière aurait contribué à la complexification de ce secteur. En revanche, s’agissant de la répression pénale, cette explication n’est à notre sens pas de mise et il aurait sans doute été opportun d’ériger en infraction spéciale la fraude et/ou l’atteinte au secret bancaire, afin que la sanction de ce type de comportement soit rendue comminatoire.

226 A noter toutefois, que la définition et le champ d’application de ce cadre général basé, comme précité, sur trois régimes : un régime de liberté, un régime de déclaration et un régime d’autorisation, sont renvoyés à des décrets en Conseil d’Etat.

227 Nonobstant toute disposition contractuelle contraire, présomption de responsabilité ne pouvant être écartée que par la preuve de faute intentionnelle ou de négligence.

203. Politique de sécurité. La libéralisation s’accompagne d’un régime de responsabilité renforcée227 pour les prestataires de services de cryptologie (art.32) et de certification électronique (art. 33)228 mais également d’une politique de sécurité visant à accroître les moyens de lutte contre l’utilisation de la cryptologie à des fins délictueuses. Ainsi, à la différence de bon nombre de dispositions de la LEN, celles relatives à la cryptologie sont assorties de sanctions pénales particulièrement dissuasives puisqu’elles comportent des peines d’emprisonnement passibles de un ans à deux ans. Pour ce faire, l’article 36 détaille en plus de cinq aliénas les compétences et moyens d’investigation des autorités compétentes dans la recherche d’éventuelles infractions sur la législation applicable en matière de cryptologie.

204. Aggravation des peines. De même, la loi relève les peines encourues au titre d’une infraction dès lors que son auteur aura utilisé un moyen de cryptologie pour faciliter la préparation ou la commission de celle-ci. Cela ne s’applique pas lorsque l’auteur ou le complice de l’infraction remet, à leur demande, aux autorités judiciaires ou administratives « la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement ». Ainsi, l’arsenal des mesures est rendu pleinement effectif par le renforcement des pouvoirs du juge. A noter que la loi emporte modification et précision de la loi relative à la sécurité quotidienne au titre de la possibilité pour les autorités judiciaires de faire procéder à la « mise au clair des données chiffrées nécessaires à la manifestation de la vérité ». A nouveau, les contraintes s’amenuisent considérablement au profit d’une utilisation, d’une fourniture et d’une importation plus étendues des moyens et des prestations de cryptologie réputés sécurisés.

205. Cyber criminalité. S’agissant de la lutte contre la cybercrimalité, la loi propose deux améliorations. La première vise à procéder à un « toilettage » du Code de Procédure Pénale en y ajoutant un certain nombre d’articles relatifs aux investigations. Par ailleurs, la LEN renforce doublement la loi Godfrain, relative aux dispositions du Code Pénal en matière d’infraction dites informatiques en procédant à deux modifications :

ƒ En renforçant les peines prévues aux articles L.323-1 et L.323-2 du Code pénal ;
ƒ En créant une nouvelle incrimination à l’attention des personnes qui détiennent, offrent, cèdent ou mettent à disposition un équipement, un instrument, un programme informatique ou toute donnée conçue ou spécialement adaptée pour commettre une ou plusieurs infractions prévues aux articles L.323-1 à L.323-3 du Code pénal.

228 Ce qui complète le décret d’application de la loi du 13 mars 2000 et assure la transposition de la directive 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques

206. Bilan. A l’analyse des dispositions de la loi on constate sans ambiguïté que la sécurité sur l’Internet se trouve au centre des préoccupations. Présentée comme liberticide sous d’autres aspects, la LEN, dans son volet cryptologie, a clairement pour objet de permettre la mise en place des procédures sécuritaires propres aux nouvelles technologies de l’information et de la communication. En effet, d’un côté elle libéralise les procédés de cryptologie et, de l’autre, notamment, elle renforce le dispositif répressif en cas de fraude. Ces dispositions bénéficient tant aux établissements de crédits qu’aux investisseurs229 (si l’on y ajoute de surcroît, le « tapage médiatique » qui a entouré l’adoption de cette loi).

Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales