Projet de loi pour la confiance dans l'économie numérique

B. LA SÉCURISATION DES ÉCHANGES

Hormis la levée de certains aléas et obstacles juridiques, le projet de loi tend à conforter l'essor des échanges électroniques en renforçant leur sécurisation.

1. La prise en compte du caractère transfrontalier des échanges

Au-delà des questions de portée symbolique telles que la définition du commerce électronique ou la proclamation du principe du libre exercice de cette activité - aspects du texte mis en exergue par les travaux de l'Assemblée nationale - les articles 6 à 8 du projet de loi définissent, par transposition de la directive du 8 juin 2000, le cadre juridique applicable à des échanges qui se caractérisent par leur caractère transfrontalier. Ils délimitent le champ d'exercice de l'activité de commerce électronique et posent les règles de détermination de la loi applicable au contrat.

Ainsi, comme le prévoit la directive, certaines activités telles que les jeux d'argent, la représentation en justice ou encore le notariat sont exclues du champ du commerce électronique ; en outre, lorsque cette activité est exercée par une personne établie dans un Etat membre de la Communauté européenne autre que la France, celle-ci est assujettie au respect de certaines législations dans des domaines sensibles tels que les assurances, la fiscalité, le droit de la propriété intellectuelle ou encore le droit de la concurrence et de la concentration économique. Enfin, l'article 8 introduit une clause de sauvegarde permettant à l'autorité administrative de déroger au principe de la liberté du commerce électronique sur le territoire national dans des cas limitativement énumérés tels que le maintien de l'ordre public, la protection des mineurs ou de la santé publique, ou la préservation des intérêts de la défense nationale.

Concernant la loi applicable , l' article 7 désigne la loi du pays d'établissement du prestataire , sous réserve de la commune intention des parties et, pour les contrats conclus avec les consommateurs, des mesures protectrices définies par la convention de Rome du 19 juin 1980 sur la loi applicable aux obligations contractuelles.

2. Des exigences accrues en matière de transparence et de formalisme protecteur

Conformément à l'objectif affiché par le considérant n° 30 de la directive du 8 juin 2000 en vertu duquel « dans l'intérêt de la protection des consommateurs et de la loyauté des transactions, les communications commerciales [...] doivent respecter un certain nombre d'obligations relatives à la transparence », l'article 9 du projet de loi énonce les informations qui doivent être portées à la connaissance des clients potentiels et permettent l'identification du prestataire .

Par ailleurs, et au-delà du champ du seul commerce électronique, l' article 14 du projet de loi tend à encadrer la procédure de conclusion des contrats de façon à protéger la personne qui accepte une offre émanant d'un professionnel . A cet effet, il insère trois nouveaux articles dans le code civil qui précisent les obligations à la charge dudit professionnel et, en particulier, les conditions de pérennité de son engagement juridique, les mentions qui doivent figurer dans l'offre pour renseigner le cocontractant sur la procédure à suivre et les conditions ultérieures d'accès au contrat archivé, ainsi que l'exigence d'une étape de confirmation de l'acceptation de l'offre après vérification de sa teneur, procédure dite du « double clic ».

Enfin, l' article 16 du projet de loi crée une obligation de conserver l'écrit électronique constatant le contrat lorsque celui-ci porte sur un montant d'une certaine importance , dont la détermination est renvoyée à un décret. Cette mesure, en l'absence d'écrit sur support papier, doit faciliter l'administration de la preuve et permettre, le cas échéant, de produire le contrat à titre de pièce justificative.

3. Une nouvelle donne pour la cryptologie

La confiance que peuvent avoir les utilisateurs dans l'économie numérique dépend largement des conditions techniques dans lesquelles les échanges de toute nature, intervenant par voie électronique, sont opérés. Parmi celle-ci, la sécurité des transactions est essentielle. Elle repose sur l'utilisation de procédés de cryptologie par les prestataires de la société de l'information.

Des algorithmes permettent ainsi de chiffrer les données circulant sur les réseaux de communication publique en ligne. Ce chiffrement a deux objets distincts.

Il peut d'abord permettre d'authentifier ou de contrôler l'intégrité des données transmises par voie électronique. Parmi les techniques utilisées, on peut notamment ranger le moyen nouveau de la signature électronique ^{6( * )} . Elle certifie l'identité de l'auteur de données adressées par voie électronique.

Mais le chiffrement peut aussi avoir pour objet d'assurer la confidentialité des échanges de données. Il rend ainsi ces données inintelligibles aux personnes qui ne détiendraient pas une clé susceptible de les décoder.

La libéralisation progressive du régime applicable à la cryptologie

En France, les procédés de cryptologie ont longtemps été considérés comme stratégiques pour la défense nationale et la préservation de la sécurité intérieure et extérieure de l'Etat. En conséquence la détention, l'utilisation et la fourniture de moyens de cryptologie ont fait l'objet d'une réglementation particulièrement stricte.

La rigueur du régime adopté par la France en matière de cryptologie faisait d'ailleurs figure d'exception parmi les Etats démocratiques. Ces derniers ont en effet opté, pour la plupart, en faveur d'un régime de liberté en matière de cryptologie ^{7( * )} , cette liberté étant parfois restreinte s'agissant de l'exportation de moyens de cryptologie ^{8( * )} .

Toutefois, depuis une dizaine d'années, le régime juridique de la cryptologie a fait l'objet d'une libéralisation par étapes.

Ainsi, l'article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, assouplissant le régime antérieurement applicable a, dans un premier temps, soumis tant l'utilisation que la fourniture de moyens de cryptologie à un régime administratif de déclaration ou d'autorisation préalable auprès du Premier ministre.

La loi n° 96-659 du 26 juillet 1996 de réglementation des télécommunications a accentué cette libéralisation en soumettant à un régime de liberté totale l'utilisation de moyens de cryptologie visant exclusivement à assurer l'identification et le contrôle de l'intégrité des données transmises. Elle a soumis, d'une part, l'utilisation des moyens visant à assurer la confidentialité des données à un régime d'autorisation ou, le cas échéant, à l'intervention d'un « tiers de confiance », agréé par l'autorité administrative et chargé de détenir les clés de chiffrement et, d'autre part, la fourniture, l'exportation et l'importation de moyens de cryptologie à un régime de déclaration ou d'autorisation préalable.

Cette loi a également ouvert la possibilité à des décrets en Conseil d'Etat de prévoir qu'aucune formalité administrative ne serait exigée pour l'utilisation ou la fourniture de certains matériels de cryptologie qui, compte tenu de leurs caractéristiques techniques, ne constituaient pas un danger pour la sécurité de l'Etat. Sur ce fondement, plusieurs moyens de cryptologie ont vu les conditions de leur utilisation ou de leur fourniture considérablement assouplies ^{9( * )} .

Le chapitre Ier du titre III du présent projet de loi procède à une réforme complète du régime de la cryptologie, en accentuant plus encore la libéralisation des conditions d'utilisation et de fourniture des moyens de cryptologie.

La libéralisation achevée du régime applicable à la cryptologie proposée par le présent projet de loi

Après avoir défini plus largement les moyens et prestations de cryptologie à l' article 17 , le présent projet de loi, en son article 18 , libéraliserait totalement l'utilisation de ces moyens et assouplirait les conditions de leur fourniture, de leur importation et de leur exportation. Deux régimes -déclaration ou autorisation préalables- coexisteraient.

L' article 19 prévoit que l'activité de fourniture de prestation de moyens de cryptologie serait désormais soumise à un simple régime de déclaration préalable.

Les articles 20 et 21 du projet de loi visent à responsabiliser davantage les acteurs de la cryptologie en prévoyant des régimes de présomption de responsabilité à l'égard des prestataires de services de confidentialité et des prestataires de services de certification électronique.

Parallèlement à cette libéralisation, il convenait cependant de renforcer les sanctions applicables aux personnes ne satisfaisant pas aux formalités exigées par la loi.

L' article 22 confère au Premier ministre un pouvoir de sanction administrative à l'encontre des fournisseurs de prestations de cryptologie qui n'auraient pas satisfait aux formalités exigées par l'article 18.

Les articles 23 et 24 du projet de loi sanctionnent pénalement la violation des obligations définies aux articles 18, 19 et 22 et prévoient des modalités particulières de constatation de ces infractions.

Créant un nouvel article 132-77 dans le code pénal, l' article 25 du présent projet de loi accentue la répression pénale des infractions, lorsque leurs auteurs ont utilisé des moyens de cryptologie en vue de les commettre. Il prévoit cependant que ces aggravations de peines ne seraient pas applicables aux personnes qui auraient remis aux autorités judiciaires ou administratives les données mises au clair ainsi que les conventions secrètes indispensables à leur déchiffrement.

Le présent projet de loi renforce par ailleurs les moyens mis à la disposition des pouvoirs publics pour réprimer les comportements délictueux résultant de l'utilisation des procédés de cryptologie .

L' article 26 tend ainsi à pérenniser les dispositions de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, imposant aux personnes fournissant des prestations de cryptologie de remettre leurs conventions de déchiffrement pour les besoins des procédures judiciaires.

Enfin, l' article 27 du présent projet de loi vise à pérenniser les dispositions prévues par la loi sur la sécurité quotidienne visant à obtenir, dans le cadre d'une procédure judiciaire, la mise au clair de données chiffrées, le cas échéant, en utilisant les moyens de l'Etat couverts par le secret de la défense nationale.