Identité intelligente et respect des libertés

Rapports d'information

Rapport d'information n° 439 (2004-2005), déposé le 29 juin 2005

Les informations clés

Nature

Rapport d'information

Structures en charge

RAPPORTEUR

Jean-René LECERF

NOTICE DU DOCUMENT

Voir la notice

B. VERS DE NOUVEAUX USAGES DES TITRES D'IDENTITÉ AFIN DE SÉCURISER LES ÉCHANGES ÉLECTRONIQUES ?

Les pouvoirs publics français se sont attachés à élaborer un cadre juridique destiné à promouvoir les échanges électroniques. Pour les sécuriser, ils envisagent depuis plusieurs années de doter les cartes d'identité de puces offrant des possibilités d'authentification et de signature électroniques. Les solutions retenues dans plusieurs Etats européens les y encouragent. Toutefois, la mise en oeuvre de ce projet suscite des objections de principe et des difficultés pratiques.

1. La définition d'un cadre juridique destiné à promouvoir les échanges électroniques

Le développement des technologies de l'information et de la communication suppose de sécuriser les échanges électroniques. Tel est l'objet des plans « RE/SO 2007 » (Pour une République numérique dans la société de l'information), présenté le 12 novembre 2002 par M. Jean-Pierre Raffarin, alors Premier ministre, et « eEurope 2005 », élaboré par l'Union européenne, qui tendent à promouvoir des services publics en ligne modernes, un environnement dynamique pour les affaires électroniques, une infrastructure d'information sécurisée, un accès au haut débit à des prix concurrentiels, une évaluation comparative et la diffusion des bonnes pratiques.

a) Un recours croissant aux technologies de l'information et de la communication

Les technologies de l'information et de la communication sont de plus en plus utilisées aussi bien dans les transactions privées que dans les relations entre l'administration et ses usagers.

Selon le tableau de bord du commerce électronique établi en décembre 2004 par la mission pour l'économie numérique, 31 % des ménages français étaient connectés à l'internet à domicile, en début d'année 2004, cette proportion ayant quadruplé depuis 1999. En septembre 2004, la moitié d'entre eux, soit environ 3,8 millions de ménages, disposait d'une connexion à haut débit.

Toutefois, au sein de l'Union européenne, la France figure en douzième position en matière de connexion à l'internet. Cette situation résulte notamment d'un équipement des ménages français en micro-ordinateurs inférieur à celui de la majorité des autres pays européens : 45 % début 2004 selon l'INSEE contre 62 % en Allemagne et 58 % au Royaume-Uni.

La pratique des achats en ligne , confidentielle au départ, devient de plus en plus un phénomène de société. Ainsi, sur 21,8 millions d'internautes à la fin 2003, environ 8,3 millions avaient effectué des achats en ligne, soit 38 % contre seulement 30 % un an plus tôt. En septembre 2004, plus de 47 % des internautes affirmaient leur confiance dans ce type d'achats.

Selon la Fédération des entreprises de ventes à distance, le chiffre d'affaires des ventes en ligne de biens et services a atteint 3,6 milliards d'euros (hors réservation voyages et produits financiers) en 2003 , contre 2,2 milliards en 2002. Néanmoins, le nombre d'acheteurs réguliers reste encore limité.

Si elles appellent moins l'attention du public, les transactions commerciales interentreprises représentent plus de 90 % du chiffre d'affaires du commerce électronique total.

Plus de 90 % des entreprises françaises sont équipées en micro-ordinateurs, près de 83 % d'entre elles sont connectées à l'Internet, dont 53 % en haut débit (ADSL), et 83 % utilisent le courrier électronique.

La vente par Internet reste encore limitée à un faible nombre d'entreprises : moins d'une entreprise française sur dix avait franchi le pas à la fin de l'année 2002. En revanche, les achats se sont nettement développés. Plus de 31 % des entreprises françaises déclaraient y recourir en 2002, contre 25 % en 2001, cette part étant supérieure à la moitié pour les entreprises de plus de 250 salariés. Au total, les achats par Internet représentaient 3,7 % de l'ensemble des achats des entreprises à la fin de l'année 2001.

L' administration électronique constitue l'un des leviers essentiels de la réforme de l'Etat . Elle permet en effet, d'une part, de réaliser d'importants gains de productivité ou de développer, à coût constant, de nouveaux services, d'autre part, de simplifier l'ensemble des démarches que doivent effectuer les citoyens et les entreprises. Aussi son développement a-t-il été encouragé par les gouvernements successifs.

Dans le cadre du plan RE/SO 2007, le programme ADELE (administration électronique) recense 140 mesures destinées à moderniser l'administration entre 2004 et 2007. La coordination de ces projets a été confiée à l'Agence pour le développement de l'administration électronique, service interministériel placé auprès du Premier ministre et mis à la disposition du ministre chargé de la réforme de l'Etat.

Le premier bilan est positif . 7.000 sites Internet publics ont d'ores et déjà été créés. Neuf formulaires sur dix sont disponibles en ligne. Une feuille de maladie sur deux est traitée sous forme dématérialisée, contre une sur quatre il y a deux ans. 3,7 millions de citoyens, soit 11 % des foyers fiscaux, ont déclaré leurs revenus à l'administration fiscale par voie électronique en 2005, contre 119.000 en 2002, 600.000 en 2003 et 1,25 million en 2004.

Depuis le 1 ^er janvier 2005, les acheteurs publics sont tenus, en application du second alinéa de l'article 56 du code des marchés publics, de recevoir les candidatures et les offres relatives aux marchés passés selon une procédure formalisée qui leur sont transmises par la voie électronique. Conformément aux dispositions d'un décret n° 2002-692 du 30 avril 2002, les candidats doivent revêtir leur envoi d'une signature électronique.

Depuis le mois de mai 2005, en application d'une ordonnance n° 2005-395 du 28 avril 2005 et d'un décret n° 2005-469 du 16 mai 2005, le service public du changement d'adresse permet aux quelque 6 millions de Français qui déménagent chaque année de déclarer en ligne leur nouvelle adresse aux caisses d'allocations familiales, aux caisses primaires d'assurance maladie, aux caisses d'assurance chômage, aux services des impôts et aux bureaux du service national. Il devrait être progressivement élargi aux autres services publics, caisses d'assurance vieillesse et services de renouvellement de cartes grises des véhicules notamment. A terme, les changements d'adresse devraient pourvoir être notifiés aux entreprises fournissant des services postaux, aux opérateurs de télécommunications et aux distributeurs d'électricité, de gaz et d'eau.

Cette croissance est liée à la progression du nombre d'internautes, au développement des connexions à haut débit mais également à la définition d'un cadre juridique protecteur.

b) L'élaboration d'un cadre juridique protecteur

Comme le soulignait le Conseil d'Etat dans une étude réalisée en 1998, le développement des échanges électroniques suppose l'élaboration d'un cadre juridique garantissant leur valeur juridique et leur confidentialité , la réglementation étatique devant par ailleurs se combiner avec l'autorégulation des acteurs ^{75

(

*
)} .

De nombreux textes européens ont tracé ce cadre :

- la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, s'est attachée à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne, en fixant des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et en demandant la création d'un organisme de contrôle dans chaque Etat membre ;

- la directive 1999/93/CE du 13 décembre 1999 portant sur un cadre communautaire pour les signatures électroniques a consacré la reconnaissance légale de la signature électronique et la libre circulation des services de certification électronique en Europe ;

- la directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur s'est attachée à renforcer la sécurité juridique du commerce électronique afin d'améliorer la confiance des internautes en soumettant les services de la société de l'information aux principes du marché intérieur (libre circulation et liberté d'établissement) et en instaurant un nombre limité de mesures harmonisées ;

- la directive cadre 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002, complétée par six autres directives ou décisions formant ce qui est communément appelé le « paquet télécoms », a établi un cadre réglementaire commun pour les réseaux et les services de communications électroniques.

Ces textes ont été progressivement transposés en droit interne.

La loi n° 2000-719 du 1er août 2000 modifiant la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication a mis en place un régime de responsabilité pour les fournisseurs d'hébergement76 ( * ).

La loi n° 2000-1230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique a reconnu la validité juridique de la signature électronique au même titre que la signature manuscrite, instauré une présomption de fiabilité en faveur des signatures électroniques répondant à des conditions définies par décret en Conseil d'Etat et établi les règles applicables à la cryptologie.

En application du décret n° 2001-272 du 30 mars 2001, pour être présumée fiable, une signature doit être :

- sécurisée, c'est-à-dire propre au signataire, créée par des moyens que le signataire puisse garder sous son contrôle exclusif, et garantissant avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de cet acte soit détectable ;

- établie au moyen de dispositifs sécurisés de création, certifiés par un service du Premier ministre, la direction centrale de la sécurité des systèmes d'information, ou tout organisme désigné à cet effet par un Etat membre de la Communauté européenne ;

- vérifiée au moyen de certificats électroniques délivrés par des prestataires de services de certification électronique qualifiés selon une procédure précisée par un arrêté du 26 juillet 2004.

La signature électronique

Le développement du commerce électronique est subordonné à l'existence de garanties sur la sécurité des transmissions de données et des paiements en ligne. Grâce à un système de chiffrement appliqué au message transmis, sans que ce dernier soit nécessairement lui-même chiffré, la signature électronique constitue une réponse au problème, car elle garantit l'authenticité et l'intégrité des données, ainsi que l'identité du signataire. Si la confidentialité est requise, il faut chiffrer le contenu du message.

De façon générale, le chiffrement consiste à rendre le texte d'un message illisible pour qui ne détient pas la clé de déchiffrement. Dans les systèmes de chiffrement symétriques, une seule clé sert à la fois à chiffrer et à déchiffrer les données. Elle doit être gardée secrète par les parties intéressées pour que la sécurité de l'information soit garantie. L'inconvénient principal réside dans le fait que l'expéditeur et le destinataire doivent convenir à l'avance de la clé et disposer d'un canal sûr pour l'échanger.

Telle est la raison pour laquelle se développent depuis quelques années des systèmes de signature électronique reposant sur des algorithmes de chiffrement asymétriques où chaque utilisateur dispose de deux clés, une clé publique et une clé privée. Ces deux clés sont elles-mêmes créées à l'aide d'algorithmes mathématiques. Elles sont associées l'une à l'autre de façon unique et sont propres à un utilisateur donné. Un message chiffré à l'aide d'un algorithme asymétrique et d'une clé privée, qui constitue l'un des paramètres de l'algorithme, ne peut être déchiffré qu'avec la clé publique correspondante, et inversement. La clé publique doit donc être connue de tous, tandis que la clé privée reste secrète, la carte à puce semblant être le meilleur support de stockage des clés privées. Lorsque l'algorithme de chiffrement asymétrique est utilisé seulement pour créer la signature électronique, les mêmes clés, privée et publique, sont utilisées, mais seulement pour vérifier l'authenticité et l'intégrité du message.

Contrairement à la signature manuscrite, la signature numérique, composée de chiffres, de lettres et d'autres signes, ne comporte aucun élément permettant de l'attribuer à une personne donnée. Chaque utilisateur doit donc établir avec certitude l'identité de ses correspondants. Telle est la raison pour laquelle on recourt à des services de certification, souvent désignés comme « tiers de certification », qui disposent de la confiance de chacun et qui garantissent l'appartenance d'une signature à une personne. Comme le destinataire utilise la clé publique de l'expéditeur pour vérifier la signature électronique de ce dernier, la vérification suppose que le tiers certifie au destinataire que la clé publique qu'il utilise correspond bien à la clé privée de l'expéditeur signataire et que ce dernier est bien celui qu'il prétend être. Les tiers de certification délivrent donc des certificats d'authentification contenant, d'une part, divers renseignements sur la personne dont on souhaite vérifier l'identité (nom, prénom, date de naissance...), d'autre part, sa clé publique. Ces certificats sont généralement réunis dans des bases de données mises en ligne sur le réseau Internet, ce qui permet à chacun d'y accéder facilement.

La signature numérique constitue donc un bloc de données créé à l'aide d'une clé privée ; la clé publique correspondante et le certificat permettent de vérifier que la signature provient réellement de la clé privée associée, qu'elle est bien celle de l'expéditeur et que le message n'a pas été altéré.

La loi n° 2004-575 du 21 juin 2004 sur la confiance dans l'économie numérique a parachevé cette évolution. Elle a complété le régime de la responsabilité des prestataires contribuant à la mise à disposition du public de services de communication en ligne, établi des règles spécifiques applicables en matière de commerce électronique, précisé les conditions de la reconnaissance de la validité de l'écrit électronique, créé un nouveau régime applicable à la cryptologie et renforcé les dispositions permettant de lutter contre la cybercriminalité.

Peu après, la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle a tiré les conséquences en droit interne des directives formant le « paquet télécoms ».

La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 a quant à elle été transposée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ⁷⁵ « Internet et les réseaux numériques » - Etude adoptée par l'Assemblée générale du Conseil d'Etat le 2 juillet 1998 - M. Jean-François Thery, Mme Isabelle Falque-Pierrotin - La Documentation française.

* ⁷⁶ Les fournisseurs d'hébergement ont pour fonction de gérer techniquement les ressources connectées au réseau Internet et de mettre ces ressources à la disposition de leurs abonnés. Ils assurent, en quelque sorte, une activité de loueur d'emplacement : techniquement, leur rôle se résume à stocker sur leur propre serveur l'ensemble des informations qu'ils sont conduits à recueillir et qui, par la suite, seront consultées par les utilisateurs du service de communication publique en ligne.

Les thèmes associés à ce dossier

Page mise à jour le 3 avril 2023

Partager cette page