les tiers de confiance - adij.frsentation-tiers... · en place d’audit interne ... envoyer une...
Post on 04-Jun-2018
218 Views
Preview:
TRANSCRIPT
Les Tiers de Confiance
© CAPRIOLI & Associés – Société d’Avocats - www.caprioli-avocats.com
contact@caprioli-avocats.com / contactparis@caprioli-avocats.com
Eric A. CAPRIOLI Avocat à la Cour de Paris, Docteur en droit
Membre de la délégation française aux Nations Unies
Vice-Président de la Fédération Nationale des Tiers de Confiance
ANR – LISE - ADIJ
Preuve informatique : quelles nouveautés techniques pour quelles évolutions juridiques ?
Bibliothèque de l’Ordre, Paris, 8 décembre 2011
8/12/11 2
Le cabinet Caprioli & Associés est une société d’avocats en droit des affaires : conseil, audit, contentieux et arbitrage.
• Spécialisé en :
– Informatique, technologies de l’information et des communications électroniques
– Dématérialisation et archivage
– Vie privée et données à caractère personnel
– Sécurité des systèmes d’information
– Propriétés intellectuelles (logiciels, bases de données, droit d’auteur, marques, dessins, brevets, …)
• Adresses : 29, rue Mogador, 75009 Paris 9, avenue Henri Matisse, 06200 Nice • Site Web : www.caprioli-avocats.com • Mél : contactparis@caprioli-avocats.com (Paris)
contact@caprioli-avocats.com (Nice)
ADIJ Présentation
8/12/11 3
I. Environnement juridique et confiance
II. Fonctionnalités et services de confiance A. Identification/authentification/signature
électronique B. Datation électronique C. Archivage D. Confidentialité
Plan de la présentation
ADIJ Présentation
8/12/11 4
I. Environnement juridique et confiance
II. Fonctionnalités et services de confiance A. Identification/authentification/signature
électronique B. Datation électronique C. Archivage D. Confidentialité
Plan de la présentation
ADIJ Présentation
8/12/11 5
Cadre juridique général
Cadre juridique
• Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée
• Loi du 13 mars 2000 portant adoption de la preuve aux technologies de l’information et relative à la signature électronique
• Loi du 21 juin 2004 pour la confiance dans l’économie numérique
• Ordonnance du 16 juin 2005 relatif aux contrats électroniques et documents électroniques
• Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives (et ses décrets d’application)
ADIJ Présentation
8/12/11 6
• Décret du 16 février 2005 pris en application de l’article L. 134-2 du Code consom. (archivage > ou = 120 €)
• Décret du 2 février 2011 pris en application de l'article 1369-8 du Code civil relatif à l'envoi d'une lettre recommandée par courrier électronique
• Décret du 20 avril 2011 relatif à l'horodatage des courriers expédiés ou reçus par voie électronique pour la conclusion ou l'exécution d'un contrat
• Arrêté du 20 avril 2011 relatif à la reconnaissance de la qualification des prestataires de services d’horodatage électronique et à l’accréditation des organismes qui procèdent à leur évolution
• Et des instruments européens : directives du 24 octobre 1995, du 13 décembre 1999, du 8 juin 2000, (et leurs modifications à venir…).
Cadre juridique général
Cadre juridique ADIJ Présentation
8/12/11 7
Qu’est ce que la confiance ?
• Croyance en la bonne foi, loyauté, sincérité et fidélité d’autrui (un tiers, un cocontractant) ou en ses capacités, compétence et qualification professionnelle (ex : la confiance en un professionnel du droit ou de la médecine)
• Action de se fier à autrui, ou plus précisément de lui confier une mission (mandat, dépôt, …), à l’opposé le droit sanctionne son abus (abus de confiance, article 314-1 du code pénal)
Confiance numérique : sentiment de sécurité dans le marché numérique, qui recouvre à la fois les usages de la confiance, et l’industrie de la confiance qui les supporte
La Confiance ADIJ Présentation
8/12/11 8
Pourquoi recourir à un tiers de confiance ?
Nul ne peut se préconstituer de preuve à soi-même
La Confiance ADIJ Présentation
… mais
Les preuves établies en interne (traces) sont toujours acceptables devant un tribunal si elles sont considérées comme fiables (mise en place d’audit interne…) ex : les jurisprudences relatives au DAB, Relevé
téléphonique de FT, etc.
Alors pourquoi ?
Parce que la responsabilité du tiers de confiance peut être engagée dans le cadre de ses services et obligations liés à la preuve électronique (PSCE, Archiveur, …).
Parce que, malgré tout, le fait de recourir à des prestataires externes constitue un élément d’impartialité et de neutralité devant les tribunaux. Parce que les coûts relatifs à la mise en œuvre des services de confiance seront moindres (les différents services existent déjà et ils sont mutualisés).
8/12/11 9
Quelques catégories de prestataires
• Prestataire de services de certification électronique (P.S.C.E.) : « Toute personne qui délivre des certificats électroniques ou fournit d'autres services en matière de signature électronique » (art. 1-11 du décret du 30 mars 2001)
• Certificat électronique : « Document sous forme électronique attestant du lien entre les données de vérification de signature et un signataire » (art. 1-9 du décret du 30 mars 2001)
• Prestataire de services d’horodatage électronique (P.S.H.E.) : « Personne en charge de la
production et de la délivrance de contremarques de temps » (art. 1.4 du décret n°2011-434)
• Horodatage (procédé) : « Mécanisme associant une représentation d'une donnée à un temps particulier et attestant de l'existence de la représentation de cette donnée à cet instant au moyen d'une contremarque de temps » (art. 1.2 du décret n°2011-434)
• Prestataire de services de confiance : « Toute personne offrant des services tendant à la mise en œuvre de fonctions qui contribuent à la sécurité des informations échangées par voie électronique » (art. 1-II-2° de l’ordonnance n°2005-1516 du 8 décembre 2005).
Définitions juridiques ADIJ Présentation
8/12/11 10
Exemple de schéma de recours à des tiers de confiance
Solution standard à plusieurs prestataires
Prestataire de services de certification
électronique
Prestataires de services
d’horodatage électronique
Prestataire d’archivage
Prestataire technique en
charge du modèle de document (PDF à remplir souvent)
et de la cinématique
Politique de Certification
Contrat avec le PSCE Conditions d’utilisation
des Certificats
Politique d’horodatage Contrat avec le PSHE
Conditions d’utilisation des Jetons
Politique d’archivage Contrat avec l’AA
Conditions d’utilisation du service d’archivage
Spécifications techniques
Contrat avec le Prestataire technique
Attention à la gestion des contrats et de la
cohérence de l’ensemble
documentaire !!!
CLIENT
ADIJ Présentation
8/12/11 11
Caractéristiques des tiers de confiance
Tiers de confiance
Pérennité
Fiabilité Sécurité
La Confiance ADIJ Présentation
8/12/11 12
I. Environnement juridique et confiance
II. Fonctionnalités et services de confiance A. Identification/authentification/Signature
électronique B. Datation électronique C. Archivage D. Chiffrement
Plan de la présentation
ADIJ Présentation
8/12/11 13
Gestion de la preuve
(établissement d’un fichier de preuve, éléments de traçabilité et contenant des vérifications avant versement au service d’archivage)
La chaîne de la confiance pour un écrit électronique
La Confiance ADIJ Présentation
1. Identification/
Authentification/signature électronique (intégrité)
2. Horodatage
3. Chiffrement (éventuel)
4. Archivage
8/12/11 14
Identification/authentification
Identification/authentification/SE ADIJ Présentation
Définition de l’authentification et de l’identification : « L’authentification a pour but de vérifier l’identité dont une entité (personne ou
machine) se réclame. Généralement, l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer une identité préalablement enregistrée, s’authentifier c’est apporter la preuve de cette identité ».
Référentiel Général de Sécurité, §3.2
Recours fréquent aux certificats électroniques (éphémères, ou standards) qui contiennent des données permettant d’identifier leurs porteurs (plus ou moins fiable) => ce qui permet de vérifier la signature des actes et leur intégrité.
8/12/11 15
15
Objectifs de l’authentification :
Authentification
Contrôle d’accès
Imputabilité
Identification/authentification/SE ADIJ Présentation
8/12/11 16
16
L’Autorité de Certification (souvent assimilée au PSCE)
• Chef d’orchestre des entités de l’IGC (Infrastructure de Gestion de Clés ou ICP : Infrastructure à clé publique)
• Responsable devant la loi et les tiers de la validité des certificats
• Éditeur et garant de la PC (Politique de Certification)
• Le cas échéant centre de recouvrement des secrets (clés privées)
Tout le monde peut être AC, mais il faut pouvoir créer la confiance (préférence pour des entités pérennes et fiables).
Autorité de certification
Politique/Responsabilité
Identification/authentification/SE ADIJ Présentation
8/12/11 17
Absence d’enregistrement de la révocation du certificat : LCR (ou pas d’information des tiers).
Responsabilité du P.S.C.E.
Inexactitude des informations contenues dans le certificat (à la date de sa délivrance)
Incomplétude des données requises pour disposer d’un certificat qualifié
Absence de vérification de la détention de la convention privée par le signataire avec la convention publique du certificat
Identification/authentification/SE ADIJ Présentation
Certificat qualifié ou présenté comme tel (art. 33 LCEN) et en l’absence de faute intentionnelle ou de négligence
Toutes les obligations pour un Certificat standard
Responsabilité de plein droit
Responsabilité de droit commun
Les autres obligations pour un Certificat qualifié
8/12/11 18
Contexte relatif à la date et à l’horodatage électronique
Horodatage électronique ADIJ Présentation
Exigences de datation
La date est une donnée fondamentale dans tous les systèmes juridiques. C’est le jour et/ou l’heure auquel s’accomplit un acte ou se produit un fait.
La date est un fait juridique dont la preuve est libre en droit (par tous moyens absence de preuve)
Intérêt de l’horodatage électronique Faire partir un délai (de réflexion, de rétractation, prise d’effet d’un contrat…)
Marquer le moment de la signature d’un contrat ou de son archivage…
Envoyer une Lettre recommandée ou simple par voie électronique (notification, mise en demeure)
8/12/11 19
Quelles sont les obligations du P.S.H.E. ?
Horodatage électronique ADIJ Présentation
Obligations juridiques (non exhaustives – Art. 3 Décret 2011-434) : • Utiliser des systèmes et des produits assurant la sécurité technique et cryptographique des fonctions qu'ils assurent, notamment un module d'horodatage certifié ; • Assurer que l'horloge interne du module d'horodatage est synchronisée avec une ou plusieurs sources de temps fiable ; • Prendre toute disposition propre à prévenir la falsification des contremarques de temps ; • Disposer d'un certificat d'horodatage ; • Conserver toutes les informations relatives au fonctionnement du service d'horodatage électronique et utiles à la manifestation de la preuve d'une date ; • Publier sans délai tout événement affectant la fiabilité des contremarques de temps émises ;
Obligations techniques (Politique d’horodatage type) : • L’Autorité d’horodatage (entité technique équivalente du PSHE) garantit la date par rapport à une source de temps fiable (ex : UTC) et reconnue du marché • L’Autorité d’horodatage garantit le lien entre les données et la date (l’AH signe le jeton d’horodatage)
8/12/11 20
Moyen de cryptologie : tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète.
Prestation de cryptologie : toute opération visant à la mise en
œuvre, pour le compte d’autrui, de moyens de cryptologie.
Définition des moyens et prestations de cryptologie (art. 29 LCEN)
Confidentialité ADIJ Présentation
8/12/11 21
« Sauf à démontrer qu'elles n'ont commis aucune faute intentionnelle ou négligence, les personnes fournissant des prestations de cryptologie à des fins de confidentialité sont responsables au titre de ces prestations, nonobstant toute stipulation contractuelle contraire, du préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d'atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données transformées à l'aide de ces conventions. »
Responsabilité de plein droit des fournisseurs de prestations de cryptologie (art. 32 LCEN)
Présentation de ce prestataire presque anecdotique (peu de prestataires eu égard cette obligation essentielle). Par contre, les entreprises recourent en interne à des moyens de cryptologie pour leurs échanges ou leurs documents (article 230-1 du code de Procédure Pénale : déchiffrement demandé en cours d’enquête judiciaire).
Confidentialité ADIJ Présentation
8/12/11 22
• L’archivage a pour finalité d’assurer une valeur juridique aux documents de leur établissement jusqu’au terme du délai de conservation
• La sauvegarde : copie de données d'un support sur un autre (backup, plan de secours) pour permettre la restauration des données d’origine, en cas de panne matérielle ou logicielle, donc sans intérêt pour la question de la valeur juridique des documents
• Le stockage : enregistrement des données sur un disque dur d’ordinateur en vue d’une utilisation ultérieure. Il se distingue de l’archivage du fait du caractère pérenne et juridique de ce dernier
Définition de l’archivage
Archivage ADIJ Présentation
8/12/11 23
L’archivage « légal »:
• Obligations légales d’archivage = « archivage légal » ?
• « Archivage légal » ?
Pas de règles impératives de forme en matière d’archivage (sauf factures électroniques)
Pas de potion magique donnant une valeur juridique à des documents, quels qu’ils soient, archivés dans un système « d’archivage légal »
Un indéniable atout marketing
• Archivage sécurisé ou à vocation probante ?
« l’ensemble des modalités de conservation et de gestion des données électroniques ayant une valeur juridique lors de leur établissement ; cet archivage garantissant la valeur juridique jusqu’au terme du délai durant lequel des droits y afférents peuvent exister. »
Intérêt = garantir que le document sera conservé dans le respect des conditions légales, réglementaires et jurisprudentielles afin de produire ses effets juridiques dans le temps
Archivage ADIJ Présentation
8/12/11 24
Gestion de l’archivage par une entreprise
En interne : • En évaluant ses besoins selon des profils d’archivage • En définissant sa Politique d’archivage et les procédures y
afférentes Risques pour l’entreprise : responsabilité de la fiabilité du système d’archivage électronique (SAE).
Archivage ADIJ Présentation
En externe : • En faisant appel à un tiers archiveur (contrat d’archivage)
• Autorité d’archivage (responsabilité pour l’ensemble du SAE) • ou Opérateur d’archivage (responsabilité sur la fiabilité des moyens
techniques mis en place pour le SAE)
• En faisant appel à un autre prestataire de services
8/12/11 25
Obligations essentielles du tiers archiveur
• Obligation de fiabilité de son SAE
• Obligation liées à l’exécution de sa mission
• Exemple : disposer d’un espace de stockage suffisant pour pouvoir assurer sans discontinuité la prise en charge des documents
• Obligation de conservation selon la Politique d’Archivage et les procédures d’archivage associées :
• migration de support et de format
• Obligations relatives à la continuité de services
• Garantir la réversibilité vers un autre prestataire ou chez le client
• …
(voir le Chapitre 13 de la norme AFNOR Z 42013 de mars 2009)
Archivage ADIJ Présentation
8/12/11 26
Conclusions et perspectives Les tiers de confiance contribuent à l’établissement et à la conservation des preuves électroniques.
Leur régime juridique est un cocktail qui se compose de dispositions contractuelles, s’appuie sur des normes techniques et des bonnes pratiques avec quelques zestes de dispositions législatives et règlementaires.
Exemple de statut de tiers archiveur à l’étranger Statut du tiers archiveur fixé en droit belge par la loi du 15 mai 2007 fixant un cadre juridique pour certains prestataires de services de confiance
Exemple de garanties demandées : lisibilité, intégrité et durabilité des documents archivés.
Archivage ADIJ Présentation
8/12/11 27
Merci de votre attention !
Eric A. CAPRIOLI Avocat à la Cour de Paris
Docteur en droit Membre de la délégation française aux Nations Unies
Vice-Président de la Fédération Nationale des Tiers de Confiance mél : e.caprioli@caprioli-avocats.com
Société d’avocats 29 rue Mogador, 75009 Paris / Tél. 01 47 70 22 12
9 avenue Henri Matisse, 06200 Nice / Tél. 04 93 83 31 31 www.caprioli-avocats.com
© CAPRIOLI & Associés – Société d’Avocats - www.caprioli-avocats.com
contact@caprioli-avocats.com / contactparis@caprioli-avocats.com
top related