LA SECURITE DES PAIEMENTS INTERNATIONAUX PAR INTERNET

Transcription

1 LA SECURITE DES PAIEMENTS INTERNATIONAUX PAR INTERNET Avertissement : le document qui suit c est le mémoire que j ai préparé et présenté en soutenance pour l obtention de mon DEA en juillet Depuis, des modifications législatives ont eu lieu en France (ex. loi sur l économie numérique) ou au niveau communautaire. Néanmoins, le fond du problème persiste à savoir la réelle protection des paiements par Internet. Il s agit encore de nos jours de l obstacle principal à la cyberconsommation. Malgré les efforts réalisés par les principaux intéressés (cybermarchands, banques) la cybercriminalité évolue très rapidement ce qui lui permet de mettre à mal les systèmes de protection. Il faut encore noter qu il a fallu attendre 2006 à la CNIL pour se prononcer ouvertement sur le caractère de données personnelles des informations bancaires communiquées par le cyberacheteur en ligne lors de son achat (voir deuxième partie du mémoire). Ainsi, et malgré son ancienneté, ce mémoire pourrait constituer une piste de réflexion. 1

2 PLAN INTRODUCTION 1- La notion des paiements internationaux 1- Définition des paiements internationaux 2- La loi-type CNUDCI sur les transferts internationaux de fonds 3- Les paiements transfrontières au sein de l Union européenne 2- La multiplication des moyens de paiement par Internet 1- Porte-monnaie électronique et virtuel a) le porte monnaie électronique b) le porte-monnaie virtuel 2- Cartes bancaires 3- Monnaie virtuelle 4- Monnaie universelle : l or. 5- Les chèques électroniques 6- Les standards de paiements électroniques. 3- Internet face à la souveraineté étatique 1- L autonomie de la volonté. 2- Les conflits de lois. 3- Les conflits de juridiction Chapitre 1 : LE REGIME DES PAIEMENTS PAR INTERNET 1- Les intervenants lors de la transaction Les paiements entre Etats et entre Etats et organisations internationales, par Internet, sont-ils envisageables? A- Le fournisseur/marchand 1- Responsabilité. 2- Gestion des risques. a) La révocabilité de l ordre de paiement b) Les autres risques B- Le client 1- Le Business to Business i) Règle de la personne avertie Question de la libre preuve. ii) Un système de vente assez bien rodé (ex. assurances spécialisées). 2- Le Business to Consumer i. Les règles communautaires ii. Les règles nationales i. question de la capacité du client de contracter (ex. en France pour les montants>à un certain montant, un mineur ne peut pas contracter). ii. Protection des consommateurs Règles générales. iii. Règles de vente par correspondance. 3- La responsabilité et protection du client face à l ordre de paiement C- Intermédiation financière a- l intermédiation bancaire : moyens mis en œuvre ; responsabilité. 2

3 i. Les paiements off-line: le cas des virements bancaires i. Le réseaux SWIFT ii. Fedwire et Chips iii. Chaps iv. Sagittaire ii. Les paiements on-line iii. La réglementation juridique b- Autres intermédiaires : les assurances. D- Les tiers à la transaction : le cas de la fraude a- Répression pénale du hacking. i. Des organes policiers spécialisés ii. b- Coopération policière internationale 2- Les moyens mis en œuvre pour sécuriser les transactions A- La cryptographie i. Eléments techniques. ii. Le refus de libéraliser basé sur des considérations d ordre public. iii. Un régime juridique différend selon les pays. iv. La naissance hésitante d un régime international et communautaire. i. Les lignes directrices de l OCDE ii. L Union Européenne iii. Le Conseil de l Europe B- La certification. i. le tiers certificateur, le tiers de confiance et leur rôle dans les transactions. iv. Le tiers de confiance. v. Le tiers certificateur 2- Vers une normalisation des relations en matière de certification : les ICP. Chapitre 2- LA SECURITE JURIDIQUE DES TRANSACTIONS 1- L authentification et la signature électronique : un bouleversement du régime de la preuve? A- Nécessité d authentification dans les transactions 1- L authentification des parties en vue de la sécurité de la transaction. a. Techniques d identification des parties i. La vérification par l utilisation de mots de passe ii. La vérification de l identité par la possession d un jeton iii. Autres moyens d identification des parties iv. Le choix de la méthode ii) la non répudiation de la transaction et du paiement iii) la fraude : responsabilité ; qui supporte les risques? (NB : ici, rappel très succinct des règles énoncées dans le chapitre 1 du mémoire et seulement sous l aspect de l authentification). L authentification du message. ii) l objectif de garantir l intégrité du message 3

4 iii) le rôle de l intermédiaire à la transaction : force probante. B- La valeur juridique de la signature électronique : vers une reconnaissance juridique. 1- La loi-type CNUDCI. 2- Le régime communautaire. 3- Des régimes nationaux variés et parfois révolutionnaires i. La législation française ii. La législation américaine 4- Le problème de la répudiation des signatures 2- La communication des données bancaires sous le régime de la protection juridique des données personnelles. A- Les sources européennes et internationales i. Les normes TEDIS et UNCID 1. La défaillance du système d échange des données. 2. La sécurité des échanges des données 3. La confidentialité et la protection des données à caractère personnel 4. L enregistrement et la conservation des messages EDI 5. Autres dispositions ii. Le cadre communautaire 1. La directive 95/46/CE du 24 octobre La directive 97/66/CE 3. Le Livre vert du 3 déc iii. Le Conseil de l Europe iv. Les lignes directrices de l OCDE et des Nations Unies B- L obligation de déclaration aux autorités compétentes : l exemple de la CNIL C- Une grande diversité des régimes nationaux. i. L autorégulation : l exemple des Etats Unis. ii. La régulation étatique. 1. La protection des données personnelles. 2. Le régime de la correspondance privée. D- La sanction du non respect de la protection des données personnelles 4

5 INTRODUCTION «Les fous ouvrent les voies qu empruntent ensuite les sages» Carlo Dossi Le commerce électronique doit être défini comme «la simple application d un outil technique supplémentaire c est-à-dire la numérisation de données transportées notamment par les réseaux télécoms permettant un mode de commercialisation nouveau des biens et services» 1. En effet, Internet n est qu un outil supplémentaire de commercialisation, n impliquant pas nécessairement la création de règles nouvelles. De son côté, l AFCEE (Association Française du Commerce et des Echanges Electroniques) le définit de manière suivante : «Ce sont tous les échanges et toutes les transactions qu une entreprise peut être amenée à faire au travers d un média électronique ou d un réseau». Par conséquent, les règles déjà existantes en matière de commerce international sont applicables, contrairement à la thèse qu Internet est «un espace de non-droit». Il conviendra d appliquer, notamment la Convention de Vienne du 11 avril 1980 sur les contrats de vente internationale de marchandises, dès lors que ses conditions d application sont remplies 2. De même, la Convention de Rome du 19 juin 1980 sur la loi applicable, trouvera application. Dans le cadre du commerce électronique deux types de paiements sont envisageables : - le paiement off-line : il s agit du paiement différé par chèque ou virement bancaire ; - le paiement on-line : il s agit du paiement en ligne par carte bancaire ou tout autre instrument de paiement. La majeure difficulté réside dans les paiements on-line, vu les risques pris autant par le client que par le fournisseur. Tous ces risques ainsi que leurs solutions éventuelles sont expliqués tout au long de cette étude. Avant d examiner les différents régimes nationaux et internationaux permettant la sécurité des paiements par l intermédiaire du réseau, certains points importants doivent être abordés pour une meilleure compréhension du problème général. En effet, 1- La notion des paiements internationaux Plusieurs termes sont utilisés : paiements internationaux, transfrontières ou transfrontaliers. Tous ces termes comportent l élément du franchissement d une frontière d une somme d argent. Traditionnellement, on distingue deux types de paiements internationaux : les 1 Stéphane Sénacq, «La vente internationale et le commerce électronique», RDAI/IBLJ n 3/4, 2001 p Article 1er de la Convention prévoit son champ d application: «1. La présente Convention s applique aux contrats de vente de marchandises entre les parties ayant leur établissement dans des Etats différents : a) lorsque ces Etats sont des Etats contractants ;ou b) lorsque les règles du droit international privé mènent à l application de la loi d un Etat contractant. [ ] 3.Ni la nationalité des parties, ni le caractère civil ou commercial des parties ou du contrat ne sont pris en considération pour l application de la présente Convention». 5

6 paiements face-à-face et les paiements à distance. En matière de commerce électronique, seuls les paiements à distance sont concernés. Il peut s agir de petits ou gros montants. La notion de paiement international s est largement développée grâce aux nouvelles technologies. Ainsi, aux systèmes traditionnels, comme le système de virement par SWIFT 3, s y sont ajoutés des nouvelles techniques (par exemple les porte-monnaies électroniques). Dans tous les cas, les banques continuent à jouer le rôle principal. Les paiements transfrontaliers ont préoccupé non seulement les Etats 4, mais également toutes les organisations internationales ainsi que les Communautés européennes. En effet, la Commission a porté son attention aux paiements dits de détail, c est-à-dire ceux qui sont effectués par les particuliers et par les petites et moyennes entreprises et auxquelles elle a assigné un plafond entre écus et écus 5. Ces paiements correspondent à environ 50% des paiements transfrontières, qu ils soient réalisés par virement, chèques, cartes bancaires ou eurochèques. Ils sont encouragés par toutes les instances et textes communautaires, notamment par le traité de Maastricht 6 et le protocole sur le statut du Système européen des Banques centrales Définition des paiements internationaux La notion de paiement international suppose l existence d un élément d extranéité : il doit y avoir un transfert de fonds d un pays à un autre. Dans le cadre du commerce électronique, lors de l engagement des négociations, les parties ne sont pas toujours au courant de la localisation de chacune d entre elles. Même si les règles communautaires 8 obligent le marchand de s identifier de manière claire, cette pratique n est pas généralisée. Il se trouve alors que des sites marchands ne contiennent aucune indication sur le lieu de leur établissement. D autre part, le client n est pas toujours identifié localement. En effet, s il passe par un fournisseur d accès étranger, son identifiant personnel (IP) ne permettra pas de le localiser géographiquement de manière sûre. Certes, lors de l achat de biens, les adresses géographiquement précises seront échangées pour la livraison du bien. Mais, dans l hypothèse de la prestation de services (par exemple, l achat d un logiciel en ligne) le client n est pas obligé de donner son adresse 9. Des problèmes de loi applicable apparaissent, notamment concernant le régime du paiement. Nous supposerons alors qu il s agit d un paiement international dès qu une localisation n est pas possible. 3 Voir infra. 4 Les paiements internationaux affectent directement la balance des paiements de chaque Etat. 5 Document de mars 1992, n Article 109F 3 : «en vue de préparer la troisième phase [de l Union économique et monétaire], l Institut monétaire européen encourage l efficacité des paiements transfrontaliers». Aussi, l article quatrième tiret, énonce : «les missions fondamentales du Système européen des Banques centrales consistent à promouvoir le bon fonctionnement des systèmes de paiement». 7 Article 22 : «La Banque centrale européenne et les banques centrales nationales peuvent accorder des facilités et la Banque centrale européenne peut arrêter des règlements, en vue d assurer l efficacité et la solidité des systèmes de compensation et de paiement au sein de la Communauté et avec les pays tiers». 8 Directive 2000/31/CE du 8 juin 2000, relative à certains aspects juridiques des services de la société de l information, art Même si dans la pratique, lors de l installation du logiciel, une telle identification est exigée. Le client n est pas obligé de déclarer le vrai pays de sa résidence. 6

7 2- La loi-type CNUDCI sur les transferts internationaux de fonds La loi-type comporte dix-neuf articles et un article optionnel relatif aux conflits de lois. Elle vise tous les virements internationaux. Le terme de «virement» 10 est rapproché à celui de «transfert de fonds». Il «englobe tout ordre de paiement émis par la banque du donneur d ordre ou par toute banque intermédiaire ayant pour objet de donner suite à l ordre de paiement du donneur d ordre» (article 2). En d autres termes, il s agit d un mode de transfert et de remise de monnaie scripturale 11. Selon cette définition, les cartes de crédit se trouvent exclues du champ d application de la loi-type, malgré un certain doute doctrinal qui a opposé les conceptions américaine et française 12. En effet, l ordre de paiement transite par le commerçant et sa banque pour aboutir à la banque du titulaire de la carte, suivant ainsi un circuit inverse à celui du virement. La carte bancaire sera, par conséquent, qualifiée d instrument de prélèvement (exclu du champ d application de la loi) et non pas d instrument de virement. La loi-type s applique «de la même manière qu aux banques, aux autres entités qui, dans le cadre normal de leurs activités, exécutent des ordres de paiement» (article 2, 1). Ainsi, tous les établissements financiers ou non sont visés par cette loi CNUDCI. Par conséquent, les établissements privés gérant des porte-monnaies électroniques ou créant de la monnaie virtuelle pourraient se trouver inclus dans son champ d application. Cependant cette position peut se heurter aux dispositions de l article 2. En effet, l ordre de paiement auquel s applique la loi-type, est une instruction de mettre des fonds à la disposition d un bénéficiaire, avec obligation de rembourser la banque réceptrice. Or, dans le cadre du porte-monnaie électronique ou virtuel et de la monnaie électronique, les «unités» sont prépayées par l acheteur. Celui-ci ne transfert que des droits dont il est déjà titulaire. Par conséquent, il paraît difficile d admettre l application de la loi CNUDCI dans le cadre de paiement par ses instruments nouveaux. La loi CNUDCI est applicable quelle que soit la qualité du donneur d ordre et du bénéficiaire. En d autres termes, elle régit tous les virements, y compris ceux concernant les consommateurs. Concernant le critère d internationalité, une question peut être posée : à savoir si, lorsque les deux parties à la transaction (donneur d ordre et bénéficiaire) ayant leur établissement sur le territoire d un même Etat, la loi-type trouve-t-elle application. Selon l article premier de la loi-type, un virement est international «lorsqu une banque expéditrice et sa banque réceptrice sont situées dans des Etats différents». Par conséquent, la loi s appliquera dès lors que dans la chaîne des banques intervenantes, il y a une banque expéditrice ou réceptrice qui a son siège à l étranger. 10 Plusieurs textes ont donné des définitions plus ou moins précises du terme «virement». A ce propos, voir Glossaire. 11 Ces mêmes termes ont été utilisés par la Cour de cassation dans son arrêt du 22 juillet 1986 (Dalloz, 1987, sommaires commentés, p.299). 12 Selon la position française, l utilisation de la carte de crédit donne lieu à un virement. Au contraire, pour les auteurs américains il était clair que la loi-type n était pas adaptée à cet instrument de paiement (l article 4A U.C.C. ne s applique pas aux transferts électroniques de fonds par carte, lesquels sont régis par l Electronic Funds Transfert Act de 1978). 7

8 Cette loi-type a beaucoup été influencée par l article 4A de l Uniform Commercial Code américain. Cet article régit tous les transferts, notamment les transferts de faible valeur exécutés en grand nombre. Selon lui, la banque ne doit pas être responsable que du retard d exécution, pour lequel elle sera tenue de payer des intérêts ; en aucune manière elle ne peut être tenue comme responsable de tout autre préjudice. Concernant la loi applicable, la conception américaine consacre la segmentation de l opération de virement, dont l exécution résulte d opérations bilatérales successives : relations entre le donneur d ordre et sa banque, cette dernière avec la banque correspondante et ainsi de la banque réceptrice au destinataire de l ordre. Par conséquent, à défaut de loi applicable prévue par les parties, la loi de chaque banque «correspondante» se trouve de ce fait applicable 13. Tous ces points ont été repris par la loi-type. En plus, l article 4 de la loi-type consacre la liberté contractuelle des parties à un virement : «sauf disposition contraire de la présente loi, les parties à un virement peuvent convenir de modifier leurs droits et obligations». On entend par «parties à un virement» le donneur d ordre et son destinataire. La loi traite des incidents de paiement insuffisant, de non-achèvement ou d achèvement retardé. Enfin, il n y a aucune obligation pour les Etats de l adopter, même si la majorité des Etats ont procédé à son adoption. En conséquence de tous les éléments présentés ci-dessus, la loi-type trouve une application limitée dans le cadre des paiements par Internet. En effet, elle se limite surtout aux paiements off-line (notamment le virement). Cependant, le paiement par chèque (qui est également un instrument de paiement off-line) n entre pas dans le champ d application de la loi-type, parce qu il s agit d un instrument de prélèvement appartenant au bénéficiaire. En ce qui concerne le paiement on-line, les instruments de paiement utilisés (cartes bancaires, porte-monnaies et monnaie électroniques) constituent des moyens de prélèvement, et par conséquent, ils sont exclus de son champ d application. Par conséquent, il paraît nécessaire de procéder à la réalisation d un cadre réglementaire adapté aux moyens de paiements électroniques, l instrument essentiel utilisé dans le cadre des paiements internationaux ayant une portée très limitée. 3- Les paiements transfrontières au sein de l Union européenne La création d un marché unique ne peut se réaliser sans la liberté de circulation des capitaux et des paiements. La liberté de circulation des capitaux a été consacrée par l article 68 du traité CEE. Mais celle de circulation des paiements n y est pas rattachée, les paiements transfrontières pouvant être assimilés à des paiements courants ou à des transferts de fonds, qui constituent une contre-prestation dans le cadre d une transaction sous-jacente 14. En effet, selon la Cour de justice des communautés européennes 15 «les paiements à des fins de tourisme, de voyages d affaires ou d études et de soins médicaux ne sauraient être qualifiés de mouvements de capitaux, même lorsqu ils sont effectués par le transfert matériel de billets de 13 Cette conception est distinguée de la conception unitaire du virement qui donne préférence à la recherche d un loi applicable unique (par exemple la loi du lieu du donneur d ordre ou celle du destinataire). 14 X. Favre-Bulle, «Les paiements transfrontières dans un espace financier européen», Bruylant, p CJCE 31 janvier 1984, Luisi et Carbone. 8

9 banque». Cependant, l accord de libre échange entre la Communauté européenne et la Confédération suisse prévoit dans son article 19 1 que : «les paiements afférents aux échanges de marchandises, ainsi que le transfert de ces paiements vers l Etat membre de la Communauté dans lequel réside le créancier ou vers la Suisse, ne sont soumis à aucune restriction». Le traité de Maastricht et les protocoles annexes ont opéré une évolution en la matière, en reconnaissance la nécessité de promouvoir et de faciliter les paiements au sein de l Union. C est ainsi qu un rôle de promotion des systèmes de compensation et de paiements au sein de la communauté a été affecté à la BCE 16. En effet, la création de l Union économique et monétaire ne pouvait pas ignorer le domaine des paiements transfrontières. En plus, un certain nombre de textes de droit dérivé s y sont ajoutés, et notamment : - la recommandation 87/598/CEE du 8 décembre 1987, portant sur un code européen de bonne conduite en matière de paiement électronique, qui s applique aussi bien aux relations entre institutions financières qu à celles entre commerçants/prestataires de services et consommateurs. L objectif du Code est de promouvoir la sécurité dans les transactions et de faciliter l utilisation pour les consommateurs. La recommandation prévoit une série de principes généraux. - la recommandation 88/590/CEE du 17 novembre 1988, concernant les systèmes de paiement et en particulier les relations entre titulaires et émetteurs de cartes 17. Elle stipule que la relation entre le titulaire d une carte bancaire et l établissement émetteur relève de la réglementation sur la protection des consommateurs. Enfin, elle prévoit les droits et obligations des consommateurs et précise que ceux-ci sont mieux protégés par un contrat écrit. - la recommandation 90/109/CEE du 14 février 1990, concernant la transparence des conditions de banque applicables aux transactions financières transfrontalières. N ayant pas porté des fruits, elle a été remplacée par la directive 97/5/CE. - la directive 97/5/CE du 27 janvier 1997, concernant les virements transfrontaliers. L objectif de la directive est de permettre aux particuliers et aux petites et moyennes entreprises d effectuer des virements rapides, fiables et peu coûteux la recommandation 97/489/CE du 30 juillet 1997, concernant les opérations effectuées au moyen d instruments de paiement électronique, en particulier la relation entre émetteur et titulaire. Son objectif est d»assurer un degré élevé de protection des consommateurs dans l utilisation des instruments de paiement électronique» 19. Enfin, il faut noter la décision cadre du Conseil européen du 28 mai En effet, le Conseil de l Union, dans le cadre de sa politique de coopération dans les domaines de la Justice et des Affaire intérieures (JAI), a arrêté une décision-cadre dans le domaine de la lutte contre la fraude et les contrefaçons des moyens de paiement autres que les espèces. Le Conseil note que le travail des différentes organisations internationales doit être complété par une action de l Union européenne, et que la décision cadre devrait aider à lutter contre la fraude et la 16 Article 22 du protocole sur les statuts du Système européen de banques centrales et de la Banque centrale européenne. 17 Malgré le fait qu une recommandation communautaire n a pas de caractère contraignant, un juge national peut s y référer afin de rendre une décision conforme aux objectifs communautaires (CJCE 13 déc. 1989, Grimaldi). Ainsi, le T.I. de Juvisy sur Orge en (France) s est référé à la recommandation 88/590 pour condamner une banque à payer F de dommages-intérêts à l un de ses clients, qui de manière forcé lui a vendu une carte de crédit. 18 Voir infra. 19 Considérant 8. 9

10 contrefaçon. Il rappèle que les agissements liés à la fraude de ce type doivent être érigés en infraction pénale dans tous les Etats membres de l Union La multiplication des moyens de paiement par Internet En droit français, l expression «instrument de paiement» 21 désigne les mécanismes qui permettent au solvens (débiteur) de faire parvenir à l accipiens (créancier) une somme d argent. En effet, un mandat est donné à l accipiens (mandat de se faire virer une somme) ou à la banque du solvens (mandat de payer la somme réclamée par l accipiens). Les jouent un rôle primordial dans la mise en œuvre des moyens de paiement, comme le montre le schéma suivant : Tableau 1 : Le rôle des banques dans l utilisation des instruments de paiement (Source : G. Sabatier «Le porte-monnaie électronique et le porte monnaie virtuel», que sais-je? PUF, p.37.) (PME : porte-monnaie électronique ; PMV : porte-monnaie virtuel) En effet, malgré l apparition de nouveaux instruments de paiement, le rôle des banques reste inchangé. Lors d une transaction par Internet, il n y a pas d échange de monnaie fiduciaire entre le client et le marchand. Il y a un ordre qui permettra de débiter le compte de l acheteur et de créditer le compte du vendeur. Même dans le cas de la monnaie virtuelle ou de portemonnaies électroniques, l émetteur doit apporter la garantie que les unités qu il a émises ont une contrepartie en monnaie fiduciaire ou scripturale. En effet, l utilisation de la monnaie électronique ne doit pas aboutit à la création de monnaie fiduciaire ou scripturale, parce que cela porterait atteinte aux pouvoirs régaliens de l Etat. La recommandation 97/489/CE Commission européenne du 30 juillet 1997 concernant les opérations effectuées au moyen d instruments de paiement électronique, distingue entre les 20 Voir Annexe VI : Textes. 21 Chapitre 5 du Titre 3 du Livre 3 du code civil (article 1234 et s.). Aussi, selon l art.4 de la loi bancaire 1984 : «Sont considérés comme moyens de paiement tous les instruments qui, quel que soit le support ou le procédé technique utilisé, permettent à toute personne de transférer des fonds». 10

11 instruments permettant l accès à distance au compte d un titulaire (carte de paiement, banque à domicile) et ceux prépayés rechargeables (ex. porte-monnaie électronique). 1- Porte-monnaie électronique et porte-monnaie virtuel Les porte-monnaie électroniques fonctionnent selon le principe de la connexion de l utilisateur à la base des données centrale par l intermédiaire de deux clés cryptographiques, l une détenue par l utilisateur-titulaire de la carte, l autre par l ordinateur de la banque. Mondex, Proton ou VisaCash en sont exemple de cet instrument de paiement. L un des avantages du système consiste à la protection qu il bénéficie par des moyens cryptographiques, empêchant ainsi des utilisations frauduleuses par des tierces personnes. D autre part, le système présente l avantage de l efficacité pour le marchand, car l identification du titulaire n est pas nécessaire. Le porte-monnaie peut avoir un support physique (carte ; c est le cas du porte-monnaie électronique) ou immatériel (logiciel à télécharger sur le disque dur de l ordinateur ; c est le cas du porte-monnaie virtuel). Il existe un programme européen de recherche sur ce type d instrument de paiement, le projet CAFE (Conditionnal Access For Europe) auquel plusieurs sociétés européennes participent 22. Le porte-monnaie de type CAFE permet de sauvegarder l anonymat de l acheteur et il se caractérise par un très haut degré de sécurité. En plus, il donne la possibilité aux commerçants de s échanger des unités électroniques sans passer par une banque. C est un porte-monnaie multidevises. Un nouveau système de porte-monnaie électronique a fait récemment son apparition 23 : le P2P (person-to-person). Celui-ci permet aux particuliers d envoyer de l argent par courrier électronique ou par chèque électronique. Le débiteur et le créancier doivent ouvrir un compte auprès d un établissement proposant cet instrument de paiement 24. L inconvénient majeur est que l encaissement de l ordre de paiement n est pas immédiat. a) le porte monnaie électronique Il est conçu pour des paiements de petit montant pour des achats de consommation courante. L exemple le plus connu de carte porte-monnaie c est les cartes téléphoniques. Il permet une identification et authentification de l acheteur (le certificat de transaction utilise la clé émetteur) et du vendeur (le vendeur est identifié par son numéro). Il certifie la transaction, et ainsi empêche la répudiation. Les parties lors d une transaction au moyen d un porte-monnaie électronique, sont au nombre de cinq 25 : - le porteur ; - l opérateur de chargement. C est une banque qui transfère la valeur électronique dans le porte-monnaie et qui collecte l équivalent de cette valeur ; 22 Notamment Digicash, France Telecom et Siemens. 23 Voir article M. Rynn, «Smart Money. New options for e-payments», Newsweek, 26 mars Par exemple, Billpoint ou Paypal. 25 Selon le Comité européen de normalisation bancaire. Référence CENB/TC1/WG2. 11

12 - la banque émettrice 26 ; - la banque acquéreur, qui présente les créances à la banque émetteur et crédite les acquéreurs (commerçants) ; - l acquéreur. Les porte-monnaie électroniques présentent un certain nombre d avantages : - ils préservent l anonymat de l acheteur ; et - permettent une gestion facile du budget (limitant les achats d impulsion). Mais ils présentent, également, un certain nombre d inconvénients : - la multiplication des porte-monnaie électroniques de type différent ; - les risques de perte ou de vol ; - le risque de duplication du porte-monnaie. Dans le domaine du commerce électronique, ce système présente un autre inconvénient, qui est majeur : il nécessite d acquisition d un boîtier de lecture de carte, solution qui est considérée comme onéreuse. En d autres termes, si le niveau de sécurité est bon et les coûts de transaction peu élevés, le coût de l infrastructure est très élevé. b) le porte-monnaie virtuel Le paiement par porte-monnaie virtuel d un bien ou service se déroule de la manière suivante : Tableau 2 : L utilisation d un porte-monnaie virtuel 26 Elle accepte, notamment et assume la responsabilité de la valeur électronique qu elle émet, et elle contrôle la création de la valeur. 12

13 (Source : G. Sabatier «Le porte-monnaie électronique et le porte monnaie virtuel», que sais-je? PUF, p.96.) Le client passe sa commande et choisit de payer par porte-monnaie électronique (1 et 2). Il saisit le numéro du porte-monnaie ainsi que son code (3). Ces données seront transmises à la base des données de l émetteur du porte-monnaie qui les vérifiera et qui donnera son accord de paiement (4). Cependant, comme il n a pas de support matériel, des problèmes de preuve, d identification et d authentification surgissent. Le recours à un tiers de confiance semble alors nécessaire. 2- Cartes bancaires La carte bancaire est l instrument de paiement le plus utilisé. Elle est née aux Etats-Unis dans les années 1920, mais elle n a connu de véritable essor qu à partir des années 50. Si les pionniers dans ce domaine étaient les américains 27, les initiatives françaises sont à la hauteur 28. Le système de la carte bancaire met en relation quatre intervenants : l émetteur (établissement de crédit qui émet la carte à la demande de son client), le porteur, l accepteur (commerçant qui «accepte» la carte de l acheteur) et l acquéreur (établissement financier du commerçant). La carte bancaire a bénéficié des innovations technologiques, en vue de diminuer les fraudes. Elle a été dotée de pistes magnétiques 29, et depuis 1992, d un microprocesseur. Actuellement, 90% des transactions sur Internet sont réglées par carte bancaire. En effet, elle est considérée comme le moyen de paiement le plus sûr, le plus commode 30 et le plus rapide. Cependant, elle est vulnérable contre les manipulations frauduleuses. L interception du numéro de la carte par un tiers en vue d une utilisation frauduleuse ultérieure, constitue non seulement le risque le plus important, mais également une barrière importante au commerce. Ainsi, des techniques diverses se sont développées en vue d y remédier au risque en question. Le microprocesseur s est avéré être un argument fort contre les fraudes, notamment avec la création du système C-SET 31 qui est considéré comme le système de paiement le plus sûr. Mais ce système s est également avéré très onéreux car l acheteur devrait s équiper d un boîtier. Ainsi, le Groupement des Cartes Bancaires s est penché vers un autre système, qui sera mis en œuvre à partir de Il s agit d un «cryptogramme visuel», appelé également «demi code PIN» qui comporte trois nouveaux chiffres sur la zone blanche réservée à la signature au dos de la carte. Ce code sera systématiquement demandé aux acheteurs lors de leurs transactions en ligne. Mais ce système ne résout ni le problème de 27 Diner s Club et American Express. 28 En effet, en 1967 cinq banques françaises (le Crédit Lyonnais, la Société Générale, le Crédit Commercial de France, la Banque Nationale de Paris et le Crédit Industriel et Commercial) ont créé la Carte Bleue et elles ont adhéré au réseau Visa. En 1976, le Crédit Agricole a introduit en France la carte Eurocard, carte de paiement affiliée au réseau mondial Mastercard. 29 En En effet, la devise du pays où le commerçant dispose son établissement n a aucune incidence sur la transaction. 31 Système qui permet l utilisation du microcircuit (puce) des cartes bancaires et le contrôle du code secret lors d un paiement à distance. Il repose sur la réception croisée de preuves d identités électroniques délivrées par les établissements bancaires

14 l utilisation frauduleuse par un tiers, ni le problème de la répudiation. Concernant l utilisation frauduleuse, en France, la loi du 30 déc a crée une sanction pénale spécifique applicable à l auteur d une contrefaçon ou d une falsification de carte de paiement : 1 à 7 ans d emprisonnement, à F d amende, et confiscation du matériel ayant servi à la réalisation matérielle de l infraction. Mastercard et Visa ont développé le système SET 33, qui présente les caractéristiques suivantes : - l ordre de paiement envoyé à l établissement bancaire est signé électroniquement ; - l ordre de paiement est confidentiel, car il est crypté ; - il est authentifié, parce que le système utilise le certificat X.509 ; - le système est basé sur une identification croisée (il identifie non seulement le titulaire de la carte, mais également le commerçant qui accepte le paiement). Mais la carte bancaire présente d autres inconvénients : - Le consommateur doit avoir confiance au commerçant, que celui-ci ne profitera pas de l ordre de paiement pour débiter une somme supérieure à celle initialement prévue. Cet inconvénient peut être éliminé par l intermédiation bancaire. Dans cette hypothèse, le consommateur donne l ordre de paiement à l établissement financier et non pas au commerçant Le commerçant ne dispose d aucune garantie sur la solvabilité de l acheteur. Ce risque peut également être éliminé par l intermédiation bancaire. - Le risque de répudiation de l achat. En effet, l acheteur dispose d un délai pour révoquer le paiement et récupérer les sommes initialement versées. Ce délai est de 90 jours en France et de 180 jours aux Etats Unis. - La question des micro-paiements. A ce jour, la carte bancaire ne permet pas les transactions inférieures à un certain montant, ou du moins elle est très onéreuse. 33 Secure Electronic Transactions. 34 En pratique, cette situation se réalise par l ouverture d une fenêtre distincte du site du commerçant. En effet, par l intermédiaire d un lien hyper-texte, le consommateur donne le numéro de sa carte ou ses coordonnées bancaires à l établissement financier gestionnaire. Le commerçant ne reçoit qu une confirmation de la part de cet établissement du paiement ou du refus de paiement. 14

15 Tableau 3 : Evolution des systèmes de paiement : de SET à la carte à puce (Selon Visa International) Sécurité Paiement par carte à puce chez commerçant Paiement par carte à puce sur PC (standard BO ) Paiement par carte à puce sur PC (standard EMV) Paiement par carte avec bande magnétique Paiement sur PC avec protocole SET Paiement par carte en utilisant le n et date d expiration. Paiement sans carte Paiement sur PC non sécurisé Temps Ce tableau représente l évolution des systèmes de paiement chez le commerçant et sur Internet, par carte bancaire. La plupart des pays utilisent la carte bancaire avec la bande magnétique. En France, la carte bancaire avec une puce (standard BO ) a été généralisée sur l initiative du GIE Carte Bancaire. Il faut noter que la norme SET n exclut pas le standard BO. La norme EMV (Eurocard, Visa, Mastercard) définit les spécifications de la future carte à puce internationale. Afin de lutter contre l utilisation frauduleuses de carte bancaire, le ministère des Finances tend à sensibiliser les cyberconsommateurs en leur donnant quelques conseils de base, et notamment 35 : - de ne donner le de carte bancaire qu à un commerçant facilement identifiable ; - de ne passer des commandes que dans le cadre d une procédure sécurisée, qui est signifiée par le commerçant 36 ; - de ne jamais donner le code confidentiel à 4 chiffres de la carte bancaire. 3- Monnaie électronique La monnaie électronique comporte trois catégories différentes : - La monnaie «anonyme» (appelée ainsi parce que l utilisateur n est pas obligé de donner son identification). Seul DigiCash d Amsterdam propose un tel service. En effet, dans tous les autres systèmes proposés, la transaction est enregistrée soit par l établissement financier gestionnaire, soit par le commerçant, soit par les deux. - Les micro-paiements. Ils constituent l objet même de la monnaie électronique, parce que l utilisation de la carte bancaire est onéreuse. Les micro-paiements constituant les transactions les plus fréquentes sur Internet 37, la plupart des établissements financiers proposent des services adéquats. L intérêt pour le consommateur se trouve dans les frais de gestion peu importants La reconnaissance d une telle procédure se fait par deux moyens : un petit cadenas fermé ou une clef au bas de l écran, et le " http " de l adresse deviendra " https ". 37 Par exemple, un internaute au lieu de s abonner à l Encyclopédie Brittanica pour un montant de $150, il peut commander l article qui l intéresse pour $

16 - Les cartes prépayées 38. L utilisateur achète le support avec des unités prépayées et il a la possibilité de recharger la carte. Le système fonctionne de la manière suivante : la banque (ou l établissement émetteur) donne à l utilisateur un certain nombre d unités numérotées en série et cryptées avec la clé privée 39 de la banque. Lorsque l utilisateur procède au paiement de ses achats par l intermédiaire de ces unités, l établissement émetteur vérifie leur validité et accorde ou refuse l ordre de paiement. La monnaie électronique scripturale 40 est née en France avec l intervention de la loi du 13 mars 2000 sur la preuve électronique. En effet, cette loi en donnant la même valeur juridique à un message électronique qu un écrit sur papier, à par la même donné la même valeur à la monnaie électronique qu à la monnaie scripturale. Il s agit d une monnaie scripturale parce qu aucune monnaie fiduciaire ne circule actuellement sur le réseau. Ce sont les ordres de paiement qui conduisent au transfert de cette monnaie par inscription sur les comptes bancaires. Cependant des tentatives ont eu lieu pour établir une sorte de monnaie virtuelle (ecash en anglais) 41. Mais, les systèmes de paiement par monnaie virtuelle n a pas rencontré un grand succès jusqu à maintenant, parce qu ils sont heurtés non seulement à la méfiance des consommateurs, mais des marchands également. En effet, étant créée par des organismes de droit privé, qui ne sont à l abri ni d une liquidation judiciaire 42 ni de comportements frauduleux des dirigeants, la monnaie virtuelle peut perdre sa valeur à tout moment. C est dans ce cadre qu est intervenu la directive du Parlement et du Conseil européen du 18 sept concernant l accès à l activité des institutions de monnaie électronique et son exercice, ainsi que la surveillance prudentielle de ces institutions. Cette directive privilégie l émission et la distribution de la monnaie électronique par le système bancaire ou au moins par des opérateurs respectant des règles prudentielles. En réalité, le Parlement et le Conseil ont suivi les recommandations de la BCE, dans son rapport sur la monnaie électronique, publié en En effet, selon la BCE, les conditions suivantes doivent être respectées : - les émetteurs de monnaie électronique doivent être soumis à un contrôle prudentiel; - l émission doit être effectuée dans le cadre d accords juridiques solides et transparents et d être assurée par une sécurité technique appropriée et d une protection contre la fraude. Elle doit être soumise à la restitution d informations statistiques sur les flux monétaires ; - les émetteurs doivent être légalement contraints de rembourser la monnaie électronique émise, à la simple demande de son porteur, à la valeur nominale, en monnaie de banque centrale ; - la BCE doit avoir la possibilité d assujettir tous les émetteurs à la constitution de réserves obligatoires. 38 Voir «porte-monnaie électroniques». 39 Pour toutes les notions ce cryptage, voir infra «Cryptologie» et glossaire. 40 Les économistes font la distinction entre la monnaie fiduciaire (les billets et les pièces) et la monnaie scripturale (monnaie qui circule par un jeu d écritures sur les comptes des intermédiaires agréés). 41 Nous pouvons citer l exemple de Beenz (voir Annexe III : Moyens de paiement sur Internet et assurances). Cependant, il ne s agit pas d une véritable monnaie, mais plutôt d un système d échange d unités de valeur qui sont préalablement achetées par l intermédiaire d instruments de paiement traditionnels (par exemple achat par carte bancaire). 42 C est notamment le cas de Digicash. La cause de l échec du système se trouvait notamment dans le fait que les banques qui acceptaient ce système, imposaient des commissions totalement dissuasives pour toute opération de conversion entre la monnaie «e-cash» et la monnaie fiduciaire. 16

17 Enfin, la monnaie électronique présente d autres inconvénients, notamment fiscaux et concernant la lutte contre le blanchiment d argent, à cause de l absence de traçabilité des opérations. 4- Monnaie universelle : l or. Pour créer une devise électronique crédible, certaines banques 43 se sont retournées vers la vieille recette, mais qui reste la plus stable : la convertibilité en or. Il s agit simplement d une monnaie électronique, mais qui peut être crédible et universelle. L or présente deux avantages majeurs, par rapport aux autres instruments de paiement électronique : d une part, il bénéficie de la confiance automatique des partenaires aux transactions ; d autre part, il n y a pas besoin d établir de taux de conversion, parce qu il en existe déjà. Le Conseil mondial de l or a fait une série de recommandations en vue de promouvoir l or comme monnaie électronique 44, parmi lesquelles : - la monnaie virtuelle en or doit être totalement couverte par des réserves d or, d une qualité incontestable ; - les réserves en or doit être contrôlées fréquemment par un organisme de réputation internationale ; et - le système doit être facile d utilisation, sécurisé et contrôlé par une autorité indépendante. L utilisation de l or comme moyen de paiement par Internet, même si elle présente un certain nombre d avantages, elle n est pas très répandue. En effet, peu de fournisseurs acceptent les paiements en or. 5- Les chèques électroniques L avantage de l utilisation des chèques électroniques réside dans la réduction des frais de gestion 45. La transaction peut être conclue par l échange de messages électroniques cryptés. Le système FSTC est créé par la collaboration de diverses banques et établissements financiers en vue de créer un chèque électronique. Le chèque FSTC permet à l utilisateur d «apposer» se signature électronique. 6- Les standards de paiements électroniques. Il y a tellement d instruments de paiement électroniques que des systèmes de connexion entre eux s avèrent nécessaires. Malheureusement, actuellement il y a une pénurie de telles systèmes/standards. Cependant, deux systèmes sont importants : 43 Par exemple, E-Gold permet de créer un compte en or, en argent, en platine ou en palladium. Source : 44 Voir rapport n 24, p Debra Cameron prétend que si tous les chèques utilisés aux Etats Unis étaient électroniques, $230 millions pourraient être économisés par an. «Electronic Commerce. The New Business Platform for the Internet», Computer Technology Research Corp, 1997, p

18 - Le système SET 46 ; - Le système JEPI (Joint Electronic Payments Initiative, développé par CommerceNet et World Wide Web Consortium. Ce système tend de réaliser des modèles d instruments de paiements (de cartes bancaires, de cartes prépayées, de monnaie électronique et de chèques électroniques) et de protocoles de paiement 47. Le système JEPI fonctionne comme suit : Tableau 4 : Le système JEPI Client Fournisseur JEPI paiement Traitement du paiement Instrument de paiement Protocole de paiement. SET1, SET2, etc. Protocole de paiement. SET1, SET2, etc. Envoi par HTTP, SSL, HTTPS, HTTP SSL HTTPS JEPI Internet 7- Implications du développement des instruments de paiement électroniques sur les Banques centrales Comme déjà expliqué, les porte-monnaie électroniques et la monnaie virtuelle émis doivent avoir une contre-partie en monnaie fiduciaire ou scripturale. Mais la multiplication de ces instruments de paiement électroniques peuvent avoir des conséquences monétaristes importantes, et notamment sur le rôle des Banques centrales. Le Conseil mondial de l or, dans son étude n 24 48, fait état de ces implications. Selon ce rapport, plus la demande de la monnaie électronique émise par des organismes privés augmentera, plus la demande pour la monnaie nationale diminuera. Pire encore, si les personnes préfèrent garder des liquidités en monnaie électronique, la quantité des comptes bancaires à vue diminuera, ce qui conduira à la diminution de la provision de monnaie métallique de la part des Banques centrales. 46 Voir supra. 47 Notamment les protocoles STT et SEPP. 48 R.W.Rahn, B.R.Mac Queen, M.L. Rogers, «Digital Money & its impact on gold : technical, legal & economic issues, p.14 à

19 Le développement de la monnaie électronique (et de tout type d instrument de paiement électronique) pourrait à long terme avoir des incidences sur la balance des paiements. Dans la majorité des économies nationales, l argent liquide est l élément le plus important des engagements financiers pris par les banques centrales. L utilisation extensive de monnaie électronique pourrait affecter leurs bilans ainsi que leur capacité d intervenir sur les marchés de change. Concernant les possibilités des nouvelles technologies de procéder à des transactions en temps réel (instantanées), le rapport prétend que le risque de non-paiement et de fraude diminue et par conséquent le rôle de régulateur et de moniteur des opérations sur les marchés de change des banques centrales déclinera 49. Cependant une telle position démontre une confiance «aveugle» aux nouvelles technologies et ignore le phénomène de cybercriminalité. Or, tout un arsenal de moyens juridiques, politiques, répressifs et techniques a été mis en œuvre afin de sécuriser les transactions par Internet 50. Par conséquent, la possibilité d un simple changement dans le rôle des banques centrales avec nécessité d adaptation aux nouvelles données, paraît être une hypothèse probable. 3- Internet face à la souveraineté étatique Un débat doctrinal s est développé autour de la notion de compétence juridictionnelle et législative de l Etat dans ce que l on a appelé «cyberespace», et plus spécifiquement dans le domaine des contrats électroniques. La question qui a tourmenté les esprits des juristes consistait à savoir s il faut créer un nouvel droit adapté au monde cybernétique, et notamment au commerce électronique, ou si les règles déjà existantes étaient suffisantes. Certains auteurs, surtout les auteurs anglo-saxons, ont considéré que les notions traditionnelles de compétence juridictionnelle et législative de l Etat ne sont pas adaptées à la réalité de l Internet et que par conséquent, la création d un nouvel droit est nécessaire 51. D autres auteurs refusent catégoriquement cette thèse, même s ils admettent l existence d un phénomène nouveau. Ils estiment que les moyens et instruments techniques utilisés pour les échanges des données sont situés dans un espace territorial déterminable suivant les règles de rattachement classiques, même si la localisation peut s avérer plus ou moins difficile 52. Enfin, une troisième catégorie d auteurs avance la thèse de la nécessaire adaptation des règles déjà existantes. Selon cette thèse, si Internet constitue un mode de commercialisation de produits et de services, une adaptation des règles existantes est nécessaire, à cause de la diversité du milieu et des modes de communication utilisés 53. Cette thèse constate la création de règles nouvelles, selon le modèle de la lex mercatoria, et qu elle appèle lex electronica (ou encore cyberdroit). C est les différents opérateurs, intervenants dans le cyberespace (hébergeurs, commerçants, utilisateurs, etc.) qui créent eux-mêmes des règles de conduite. Mais ces usages ne pourront s imposer qu aux personnes qui les ont acceptés et dans la mesure où des règles impératives ne sont pas applicables. 49 Page 16 du rapport. 50 Tous ces moyens (ex. cryptologie, authentification, etc.) seront examinés tout au long de cette étude. 51 Par exemple M.R. Burnstein considère que «le cyberespace défie les règles traditionnelles de juridiction territoriale et de frontières nationales. Dans le cyberespace, il importe peu de savoir si un site est soumis à la juridiction de tel ou tel Etat, parce que le monde cybernétique n est pas organisé de telle façon». «Conflicts on the Net : Choice of Law in Transnational Cyberspace», Vanderbilt Journal of Transnational Law, 1996, p Notamment S. Bariatti, «Internet: aspects relatifs aux conflits de lois», Rivista di diritto internazionale privato e processuale, 1997, p.549 et s. 53 Notamment A. Zanobetti «Contract law in International Electronic Commerce», RDAI/IBLJ, n 5, 2000, p

20 Les premiers concepts juridiques en la matière se sont forgés dans le cadre du groupe de travail sur la facilitation des procédures du commerce international (WP4) de la Commission économique pour l Europe des Nations Unies. Ses travaux ont donné naissance à des règles qui constituent, pour certains auteurs 54, des normes de «soft law». Dans le même état d esprit des organisations inter-gouvernementales ont adopté des recommandations, notamment : - la recommandation n R(81)20 du Conseil de l Europe du 11 décembre 1981, relative à l harmonisation des législations en matière d exigence d un écrit, d admissibilité des reproductions de documents et enregistrements informatiques ; - la recommandation de la CNUDCI lors de la 18 e session en 1985, reprise dans une résolution de l Assemblée générale du 11 novembre 1985, concernant l utilisation des traitements automatiques de l information 55 ; - la recommandation du groupe de travail WP.4 n 26, adoptée lors de la 41 e session, en mars 1995 à Genève 56 ; - la décision n 87/499/CEE du Conseil des Communautés européennes du 5 octobre 1987 instaurant le programme TEDIS 57. D autre part, la CCI (Chambre de Commerce International) a développé deux projets, sous l appellation de E-100. Le premier projet traite des termes commerciaux électroniques, les E- Terms. Le second projet a pour but d élaborer des règles uniformes sur les pratiques en matière d authentification et de certification électroniques : les règles UNCID. 1- L autonomie de la volonté. Les Conventions de La Haye du 15 juin 1955 relative aux ventes à caractère international d objets mobiliers corporels et de Rome du 19 juin 1980 sur la loi applicable aux obligations contractuelles posent le principe de l autonomie de la volonté 58. En effet, les parties peuvent choisir la loi applicable pour la totalité ou une partie seulement du contrat, voire elles peuvent changer de loi en cours d exécution du contrat 59. Force est de constater que dans le cadre du commerce électronique, le problème de la validité du choix des parties peut se révéler délicat. En effet, la dématérialisation du contrat peut rendre difficile la preuve d une éventuelle négociation entre les parties en vue de choisir la loi applicable. Cette preuve devient encore plus difficile dans le cadre du commerce B to C, où le plus souvent le consommateur ne se sent pas concerné par des questions d ordre juridique. 54 Voir E. A. Caprioli, R. Sorieul, «Le commerce international électronique : vers l émergence de règles juridiques transnationales», J.D.I. 1997, p.331 et s. 55 Annuaire CNUDCI, vol.xvi, 1985, p.45 et s., n Doc. TRADE/WP.4/R.1133/Rev.1, 23 juin Voir Glossaire. 58 Art. 2 Convention de La Haye du 15 juin 1955 : «La vente est régie par la loi du pays désigné par les parties contractantes. Cette désignation doit faire l objet d une clause expresse ou résulter indubitablement des dispositions du contrat». Art.3 al.1 Convention de Rome du19 juin 1980 : «Le contrat est régi par la loi choisie par les parties. Ce choix doit être exprès ou résulter de façon certaine des dispositions du contrat ou des circonstances de la cause. Par ce choix, les parties peuvent désigner la loi applicable à la totalité ou à une partie seulement de leur contrat». 59 Art. 3 al.2 Convention de Rome du19 juin 1980 : «Les parties peuvent convenir, à tout moment, de faire régir le contrat par une loi autre que celle qui le régissait auparavant soit en vertu d un choix antérieur selon le présent article, soit en vertu d autres dispositions de la présente convention». 20

21 Lorsque le choix des parties n est pas exprès, divers indices peuvent indiquer la volonté des parties. La langue choisie peut constituer un indice, malgré le fait que dans le monde cybernétique l anglais est considéré comme la «langue universelle». La monnaie de paiement peut se révéler être un élément important 60. Cependant, lors de l adoption du règlement n 44/2001 du Conseil des ministres du 22 décembre 2000, le Conseil a rendu publique une déclaration selon laquelle : «que le simple fait qu un site Internet soit accessible ne suffit pas à rendre applicable l article 15 [de la Convention de Bruxelles de 1968], encore faut-il que ce site Internet invite à la conclusion de contrats à distance et qu un contrat ait effectivement été conclu à distance, par tout moyen. A cet égard, la langue ou la monnaie utilisée par un site Internet ne constitue pas un élément pertinent». Enfin, le fait pour un contrat de contenir des parties de lois en vigueur constitue un indice très important. 2- Les conflits de lois. La Convention de Vienne du 11 avril 1980 sur les contrats de vente internationale de marchandises est applicable en matière de commerce électronique. En effet, selon les termes de l article 4, la Convention de Vienne régit «exclusivement» la formation du contrat, ainsi que les droits et obligations respectives du vendeur et de l acheteur. Sont exclus de son champ d application les questions relatives à la validité du contrat, la capacité des parties, à certaines catégories de ventes 61, ainsi que celles relatives aux effets du contrat sur la propriété des biens vendus. Parmi les catégories de ventes exclues du champ d application de la Convention, figurent celles à usage personnel, familial ou domestique. Par conséquent, le domaine du commerce électronique B to C se trouve exclu du champ d application de la convention de Vienne. Lorsque la Convention de Vienne ne s applique, certaines convention conclues par la Conférence trouvent application. Il s agit notamment de la Convention de La Haye du 15 juin 1955 sur la loi applicable aux ventes internationales d objets mobiliers corporels. L article 3 de la Convention stipule qu «à défaut de loi déclarée applicable par les parties, [ ] la vente est régie par la loi interne du pays où le vendeur a sa résidence habituelle au moment où il reçoit la commande». Il faut néanmoins constater la réticence des Etats d adopter de règles de conflit de lois uniformes, par l intermédiaire de traités internationaux Ce critère peut s avérer réducteur en raison de la législation de certains Etats qui imposent que les paiements effectués sur leur territoire doivent être libellés à la devise nationale. A titre d exemple, nous pouvons citer la décision du tribunal de première instance d Athènes (Grèce) n 6521/1995 (ETAchrD 1997, 82-87) selon laquelle la drachme constitue la monnaie de compte et de paiement en cas d obligation contractuelle, de caractère pécuniaire et payable en Grèce. Certes, cette décision perdra de sa valeur avec l introduction de l euro à partir du 1 er janvier 2002, mais elle peut constituer un exemple des différentes barrières qui peuvent se lever au commerce électronique. 61 Art.2 de la Convention de Vienne: «La présente Convention ne régit pas les ventes : a) de marchandises achetées pour un usage personnel, familial ou domestique, à moins que le vendeur, à un moment quelconque avant la conclusion ou lors de la conclusion du contrat, n ait pas su et n ait pas été censé savoir que ces marchandises étaient achetées pour un tel usage ; b) aux enchères ; c) sur saisie ou de quelque autre manière par autorité de justice ; d) de valeurs mobilières, effets de commerce et monnaies ; e) de navires, bateaux, aéroglisseurs et aéronefs ; f) d électricité.» 62 Cependant, les industriels essaient d inciter leurs gouvernements vers l adoption de tels traités. Une telle nécessité est apparue comme incontournable lors des diverses attaques par des virus informatiques rendant visibles les «failles du système». Ainsi, le 21 août 2000 lors de sa rencontre avec le Premier Ministre indien, Atal Behari Vajpayee à New Delhi, Dewang Mehta, président de la National Association of Software and 21

22 Dans l espace communautaire, la Convention de Rome du 19 juin 1980 sur la loi applicable aux obligations contractuelles est applicable. En cas de conflit entre celle-ci et la Convention de La Haye de 1955, c est cette dernière qui doit être appliquée en raison du caractère flexible de la Convention de Rome. Contrairement à la Convention de La Haye, la Convention de Rome stipule qu en l absence de choix exprès de la part des parties, la loi applicable est celle du pays qui présente le lien le plus étroit avec le contrat Enfin, l application de la loi étrangère selon les termes de la Convention se heurte à certaines limites : - les limites relatives à la protection du consommateur ; - selon l article 16, la loi déterminée par la Convention peut être écartée lorsque les effets de son application sont manifestement contraires à l ordre public ; - aux termes de l article 7, la loi étrangère sera écartée au profit des lois de police nationales, si celles-ci sont considérées comme impératives compte tenu de leur nature, de leur objet et de leurs conséquences. Le Conseil d Etat dans son rapport du 2 juillet incite à la mise en place d un cadre juridique international adapté aux transactions électroniques et à la protection du consommateur, après avoir constaté une «insuffisance du cadre juridique international actuel». Selon lui, au sein de l Union européenne «dès que l harmonisation du droit de la consommation sera suffisante et effective, il y aura lieu de retenir l application de la loi d émission (celle du vendeur) Appliquer dans tous les cas la loi du pays de réception est trop contraignant pour les professionnels qui devraient moduler les contrats en fonction de chaque législation nationale». Actuellement, un comité d experts rédige, suite à la demande de la Commission européenne 66 et dans le cadre d une consultation des groupes de consommateurs et d industriels, un projet de convention, connu sous le nom de Rome II. Le but de cette initiative est d examiner l opportunité d une application de la loi du pays d origine du produit dans le cadre du commerce électronique, et non plus celle du pays de destination. Cette initiative trouve son origine dans les difficultés d application de l ordonnance rendue par le tribunal de grande instance de Paris dans l affaire Yahoo! 67. Service Companies, a déclaré : «Until every country which has the Internet adopts a cyber law a uniform cyber law for these issues, it would become impossible de control cybercrimes» Il s agit d une disposition plus large introduisant un élément subjectif. L alinéa 2 de l article 4 donne certaines indications quant à la portée de la disposition : «Sous réserve du paragraphe 5, il est présumé que le contrat présente les liens les plus étroits avec le pays où la partie qui doit fournir la prestation caractéristique a, au moment de la conclusion du contrat, sa résidence habituelle [ ] ou, si la prestation doit être fournie par un établissement autre que l établissement principal, celui où est situé cet autre établissement». 64 La cour d appel de Thessalonique (Grèce) dans son arrêt n 1092/1997 (Harmenopoulos 1997, ) estime qu en cas d absence de choix des parties, les circonstances décisives pour la détermination du droit applicable, d après le second alinéa de l article25 du code civil grec, sont, entre autres, le lieu de la formation du contrat, le lieu où le demandeur doit accomplir ses obligations, la nationalité du défendeur, ainsi que le pays devant les tribunaux duquel est porté le différend. 65 «Internet et les réseaux numériques», p.71à Voir Annexe II. 22

23 3- Les conflits de juridiction Dans l espace communautaire et européen, les Conventions de Bruxelles et de Lugano trouvent application. Ces règles s appliquent dès que le défendeur est domicilié dans l un des Etats contractants, quelle que soit sa nationalité. En matière contractuelle, les deux conventions donnent le choix entre l application de la loi du domicile du défendeur et celle du lieu de l exécution de la prestation caractéristique 68. La possibilité pour les parties de choisir le tribunal compétent est admise. Cependant, en matière de contrats conclu par les consommateurs, la clause d attribution territoriale ne sera valable que si elle est postérieure à la naissance du différend, ou si elle est rédigée de manière à laisser une liberté de choix au consommateur, si celui-ci est le demandeur 69. En ce qui concerne les règles de compétence de droit commun, l article 46 NCPC prévoit qu en matière contractuelle 70, le demandeur peut choisir d assigner son cocontractant devant la juridiction du lieu de la livraison effective de la chose ou du lieu d exécution de la prestation de service 71. Les privilèges de juridiction, des articles 14 et 15 C.C. sont également applicables 72. Concernant les clauses attributives de juridiction, l article 48 NCPC stipule que toute clause attributive est réputée non écrite si elle déroge aux règles de compétence territoriale. Cependant, il admet la validité de la clause si celle-ci a été conclue par des parties ayant la qualité de commerçant. Les règles applicables étant énoncées, il est force de constater qu en matière de commerce électronique, des difficultés spécifiques peuvent surgirent. En ce qui concerne la détermination du lieu de livraison effective de la chose ou le lieu d exécution de la prestation caractéristique un problème important se pose en cas de prestation de service immatérielle, par exemple le téléchargement d un logiciel. Le client disposerait d un choix entre deux fors : le for du domicile de son cocontractant et le for du lieu dans le ressort duquel est situé le serveur depuis lequel il a téléchargé le logiciel. En ce qui concerne le lieu d établissement du défendeur, la directive 2000/31/CE du 8 juin 2000, relative à certains aspects juridiques des services de la société de l information, a tranché la question. Selon l art.2,c) de la directive, le lieu d établissement du prestataire sera le lieu où celui-ci exerce de manière effective son activité économique au moyen d une installation stable pour une durée indéterminée. Par conséquent, l emplacement des moyens techniques utilisés n est pas pris en compte. En 68 Art.5 Convention de Bruxelles : «Le défendeur domicilié sur le territoire d un Etat contractant peut être attrait, dans un autre Etat contractant : 1. en matière contractuelle, devant le tribunal du lieu où l obligation qui sert de base à la demande a été ou doit être exécutée». 69 Art.14 Convention de Bruxelles : «L action intentée par un consommateur contre l autre partie au contrat peut être portée soit devant les tribunaux de l Etat contractant sur le territoire duquel est domiciliée cette partie, soit devant les tribunaux de l Etat contractant sur le territoire duquel est domicilié le consommateur. L action intentée contre le consommateur par l autre partie au contrat ne peut être portée que devant les tribunaux de l Etat contractant sur le territoire duquel est domicilié le consommateur». 70 Ce qui est le cas dans le domaine examiné. En effet, les différentes parties entre elles sont liées par des contrats : le client et le commerçant, le client et sa banque, le commerçant et sa banque. Les recours du client contre la banque du commerçant ne sont pas frequents. 71 Selon la Cour de cassation (Ch. comm. 3/11/1988, Bull. civ. IV n 291), le lieu de livraison effective de la chose est celui où la livraison est matériellement intervenue, et non celui où elle aurait dû intervenir. 72 Cass. 1 re civ. 21 mars 1966, «Compagnie La Métropole» : la Cour a reconnu la compétence du juge français, fondée sur l article 14 C.C..L assureur de l une des parties était français, alors que les parties étaient de nationalité britannique et aucun lien n existait avec la France. La Cour justifiait sa décision par le fait que la compétence internationale des tribunaux français est fondée en vertu de l article 14, non pas sur les droits nés des faits litigieux, mais sur la nationalité des parties. 23

24 d autres termes, le client ne dispose pas de choix et doit assigner le défendeur selon les règles d attribution juridictionnelle de droit commun ou celles convenues contractuellement. Un deuxième problème se pose lorsque les parties ont choisi le for. La preuve du consentement n est pas facile à apporter. Si le droit français exige la qualité de commerçant en vue d admettre la validité de la clause attributive de juridiction, tel n est pas le cas notamment de la convention de Bruxelles et de Lugano. En d autres termes, l exigence de l article 48 NCPC n est pas applicable en matière international et communautaire. Il suffit simplement d apporter la preuve du consentement des parties. Cette exigence juridique se heurte alors à la pratique. Lors d une transaction par Internet, il est fréquent que les parties ne signent pas de contrat (surtout s il s agit d achats de petits montants). Et lorsque le site marchand propose un contrat en ligne, le client ne le lit pas toujours. Théoriquement, le cocontractant est invité de manifester son consentement en cliquant sur les icônes «OK» ou «j accepte». Le plus souvent, le client clique sur les icônes sans avoir lu le document. A priori il s agira d une présomption de consentement, mais qui ne peut pas être irrévocable. 24

25 Chapitre 1 : LE REGIME DES PAIEMENTS PAR INTERNET Les paiements entrent dans le cadre plus général des transactions par Internet. En effet, on peut décrire les relations contractuelles entre l internaute (professionnel ou particulier) et l emarchand de la manière suivante : Internaute Tableau 5 : L achat sur Internet Sortie (1) (2) (3) Page d accueil du marchand Catalogue général Sortie Descriptif du produit (4) Placement du produit dans le panier électronique Vue du Récapi Montant (5) panier (6) tulatif (7) total des (8) électroni achats que Saisine du numéro de carte bancaire (9) Ordre de paiement accepté Ordre de paiement refusé (10) Fin de la transaction L internaute visite le site du fournisseur (1) et consulte son catalogue de produits et/ou de services (2). Il choisit le(s) produit(s) qui l intéresse(nt) et consulte leur descriptif (3). S il décide de l acheter, il le place dans le panier virtuel (4). Il peut vérifier les produits que son panier virtuel contient (5,6) ainsi que le montant total des achats (7). Ensuite, il choisira le mode de paiement. Qu il paie par carte bancaire ou par un autre instrument de paiement (par exemple par un porte-monnaie électronique), il devra saisir les données nécessaires (8). L établissement émetteur vérifiera les données et acceptera ou refusera l ordre de paiement (9). Il communiquera sa décision au fournisseur (10), lequel, en cas d acceptation de l ordre de paiement, accusera réception de la commande. La transaction électronique est assimilée à un contrat de vente à distance classique. Pour qu une transaction soit sûre elle doit remplir les conditions de confidentialité, d intégrité des messages, d authentification des partenaires, d autorisation et de capacité de conclure, de confiance au cocontractant et de non-répudiation. 25

26 1- Les intervenants lors de la transaction «La liberté du commerce n'est pas une faculté accordée aux négociants de faire ce qu'ils veulent; ce serait bien plutôt sa servitude. Ce qui gêne le commerçant ne gêne pas pour cela le commerce». Montesquieu, De l esprit des lois, 1748 Si la majorité d auteurs penche vers l adaptation de règles juridiques déjà existantes au commerce électronique, d autres (surtout les auteurs américains) proposent le développement des règles de conduite des utilisateurs sur Internet 73. A titre d exemple, nous pouvons citer les règles suivantes 74 : - Les utilisateurs sont personnellement responsables de comprendre et de respecter les politiques de sécurité des systèmes qu ils utilisent. Les utilisateurs sont personnellement responsables de leur propre comportement. - Les utilisateurs ont la responsabilité d utiliser les procédures et les mécanismes de sécurité disponibles pour protéger leurs propres informations. - Les utilisateurs de communications sortantes ne doivent pas être agressifs, harcelants, diffamatoires, perturbateurs pour les actions des autres, ou faire toute chose qui donnerait une mauvaise image ou ternirait la réputation de l entreprise. - Les avertissements clarifiant les responsabilités engagées doivent être utilisés en fin de tous les messages sauf si le message représente officiellement la société. L avertissement normal est : «Tout commentaire ou position décrits ne sont pas nécessairement ceux de la société, de ses services, ou filiales». - Un fichier de signature doit être derrière tout message ou article USENET. Elle doit comprendre le nom, nom de l entreprise et l adresse électronique de l utilisateur. Il ne faut pas utiliser de slogan, de logo, de dessin ou une autre signature sophistiquée. - L utilisation du chiffrement est permise si elle respecte des normes de chiffrement de l entreprise. Elle doit également respecter également les lois nationales, internationales, ou spécifiques à certains pays. En examinant soigneusement ces «règles», une similitude importante avec les règles juridiques nationales et internationales apparaît 75. La question si ce sont les codes de conduite qui sont inspirés des règles juridiques ou l inverse repose sur la même problématique que celle de l œuf et de la poule. En d autres termes, il y a une réelle synergie entre les autorités publiques nationales et internationales et les acteurs sur Internet. 73 Même si reconnaisse la nécessité des codes de conduite des utilisateurs, on ne peut qu acclamer le rôle primordial que les règles juridiques nationales et internationale jouent dans le domaine du commerce électronique. 74 T. Bernstein et al. «Sécurité Internet pour l Entreprise», International Thomson, 1997, p.110 à Le but de cette étude est exactement de démontrer cette «réglementation» très large et variée, relative au droit du commerce électronique. 26

27 Quelles sont alors les relations qui s établissent par Internet? Nous en distinguons quatre types : - Le A to B: Administration to Business. Il s agit des relations établies entre l administration et les entreprises ou les professionnels en général. En France, la plupart des administrations ont mis en place un système de déclaration par Internet. Par exemple, la CNIL propose l enregistrement de fichiers en ligne. Un professionnel, par exemple un avocat, peut demander au greffe du tribunal de commerce les comptes déposés par une entreprise. - Le A to C : Administration du Consumer. Il s agit des relations entre l administration et les citoyens. Progressivement, tous les pays occidentaux étudient, par exemple, la possibilité de vote par Internet. En France, il existe un projet qui étudie la possibilité pour un citoyen de demander son acte de naissance par Internet. Sur ce point, deux observations doivent être faite. Premièrement, nous constatons l absence de ce que l on pourrait appeler A to A (Administration to Administration). En effet, les relations entre Etats, entre Etats et Organisations Internationales, et entre administrations ont aboutit à la création de réseaux spécifiques, sécurisés, et fermés et par conséquent l utilisation de l Internet n est pas envisagée actuellement 76. D autre part, les relations des administrations avec les entreprises et les particuliers sont sécurisées par des protocoles, tels que SSL. Par conséquent, les relations qui posent des réels problèmes juridiques sont de deux ordres : - le B to B : Business to Business. Il s agit des relations commerciales entre entreprises; - le B to C : Business to Consumer. Ce sont les relations commerciales entre entreprises et consommateurs. A- Le fournisseur/marchand «L art du marchand consiste à prendre une chose là où elle abonde et à l amener là où elle est rare». R.W. Emerson Le développement de l Internet a permis aux e-marchands de chercher des moyens ingénieux pour attirer une clientèle de plus en plus large Il faut néanmoins noter qu Internet a été né par un projet que l on pourrait qualifier de «A to A». En effet, l ancêtre d Internet c est ARPANet, né en 1969 dans le cadre de recherches militaires développées par le département américain de l ARPA (Advanced Reaserch Project Agency). Le but poursuivi par le gouvernement était de mettre en place un réseau à vocation militaire pouvant survivre même en cas de destruction partielle de ses éléments. Si finalement, on est revenu à des système informatiques fermés c est à causes des limites démontrés par Internet : la sécurité, qui est primordiale dans ce domaine, est limitée. 77 Par exemple, en 1991 le site Dell.com a enregistré un chiffre d affaires journalier de 35 millions de dollars, soit 12 milliard par an, ce qui représentait 43% du chiffre d affaires total de Dell. Ce succès est dû au modèle build-to-order («construit à la demande») qui permettait aux client, aussi bien consommateurs que professionnels, de commander l ordinateur le mieux adapté à leurs besoins et environ 10 à 15% moins cher que chez les concurrents de Dell. 27

28 1- Les obligations du fournisseur La directive 2000/31/CE du 8 juin 2000, relative à certains aspects juridiques des services de la société de l information, est le texte communautaire de référence actuellement en transposition dans tous les Etats membres 78. Son objectif est d assurer un niveau élevé d intégration juridique communautaire. Elle couvre aussi bien les services B to B que les services B to C. Ses dispositions ne s appliquent qu aux fournisseurs établis à l intérieur de l Union Européenne. Elle définit le lieu d établissement comme étant le lieu où un opérateur exerce d une manière effective une activité économique au moyen d une installation stable pour une durée indéterminée, indépendamment de la localisation de son site web ou du serveur ou de l opérateur de courrier électronique. La directive comporte des dispositions essentielles à la bonne conclusion d une transaction. Ainsi, selon l art.5.1, tout prestataire de services est tenu de permettre aux utilisateurs d accéder à certaines informations le concernant (notamment : nom, lieu d établissement, ses coordonnées permettant de le contacter rapidement et de communiquer directement et effectivement avec lui, y compris son adresse de courrier électronique). Ces informations sont très importantes pour instaurer un lien de confiance entre le marchand et le client. Enfin, l accès à ces informations doit être facile, direct et permanent 79. L art.10 précise l obligation d information à la charge du prestataire. Ces informations doivent être formulées de manière claire et non équivoque, et doivent être fournies au client avant qu il passe sa commande. Ces informations sont : - les différentes étapes à suivre pour conclure le contrat ; - l archivage ou non du contrat par le fournisseur et son accessibilité par le client ; - les moyens d identification et de correction des erreurs, ainsi que les langues proposées ; - les codes des conduites appliquées par le fournisseur et leur mode de consultation par voie électronique ; - les conditions générales du contrat. L art.11.1 concerne le moment de la conclusion du contrat, en admettant tous les moyens technologiques (comme cliquer sur une icône). Le prestataire devra accuser réception de la commande sans délai injustifié et par voie électronique. La commande et l accusé de réception sont considérés comme étant reçus lorsque les parties y ont accès. Cependant, lorsque le contrat est conclu entre professionnels, les parties sont libres de choisir un mode de conclusion du contrat différent, en maintenant notamment la pratique du «clic deal» (acceptation ou refus de l offre par un simple clic). Enfin, l art.11.3 prévoit que l obligation 78 L art.9.1 de la directive prévoit que les Etats doivent adapter leur législation pour rendre possible la conclusion des contrats par voie électronique. 79 Au mois de juin, l Administration de l Inspection économique du Ministère des Affaires Economiques belge a publié les résultats d une enquête sur les informations précontractuelles fournies par les sites commerciaux belges. Sur 1083 sites contrôlés, 403 dossiers ont été ouverts pour diverses infractions. Selon ces résultats : - 13% des sites ne mentionnent pas d adresse géographique ; % des sites ne mentionnent pas d adresse ; % des sites ne mentionnent pas de numéro de téléphone ; % des sites ne donnent pas de calcul du prix total de la transaction ; % n appliquent pas de politique de retour, de remplacement ou de remboursement ; % n appliquent pas convenablement la législation en matière de la protection de la vie privée. Concernant l étude sur les sites français réalisée par la CNIL, voir annexe I : Statistiques, tableau 4. 28

29 pour le prestataire d accuser réception de la commande et de mettre à la disposition de son cocontractant les moyens pour corriger les erreurs ne sera pas nécessaire dans le cadre des contrats conclu exclusivement par l intermédiaire de l échange de courrier électronique. 2- Gestion des risques. Le commerce électronique est exposé à un certain nombre de risques, notamment le piratage des informations, la fraude, l intrusion sur le réseau interne à partir d Internet, la perte de confiance des clients et les coûts liés aux incertitudes. Certains de ces risques sont liés à la nature de l Internet (ex. les fraudes réalisées à l aide du réseau cybercriminalité), d autres sont communs à tous les types de transaction déjà existants (comme le risque de la répudiation de la transaction). Certaines solutions consisteraient au cloisonnement des réseaux 80, à l utilisation de la cryptographie, au développement des systèmes de paiement sécurisé et à la mise en place de dispositifs d administration et de surveillance permanents du site 81 a) La révocabilité de l ordre de paiement Il s agit du risque de répudiation de l ordre de paiement, lors de la simple communication du numéro à 16 chiffres de la carte bancaire. Pour éviter ce risque, les parties peuvent prévoir une clause dans le contrat interdisant la révocabilité du mandat de paiement. Mais selon la jurisprudence 82 française, cette clause n a pas pour conséquence l interdiction de la révocation de l ordre de paiement, mais seulement d engager la responsabilité de celui qui procédera à la révocation. Par conséquent, le mandat est revêtu d un caractère précaire, ce qui a conduit le législateur français à décider que «l ordre ou l engagement de payer donné au moyen d une carte est irrévocable» 83. La recommandation 97/439/CE prévoit également cette irrévocabilité : «[le titulaire] ne peut révoquer une instruction qu il a donné au moyen de son instrument de paiement électronique» 84. Mais cette irrévocabilité ne peut s appliquer que dans l hypothèse de la simple production du numéro de carte bancaire à cause de deux éléments essentiels lors d une transaction : l authentification du titulaire et la signature attestant de son consentement. Les clauses, insérées dans les contrats de fourniture de carte bancaire, qui prévoient l irrévocabilité en toutes circonstances sont considérées comme abusives aussi bien par les droits nationaux Solution qui consiste en la mise en place d un système de firewall. Mais ce système comporte des failles, car il est possible qu un «hacker professionnel» puisse contourner le dispositif. 81 Cette solution est onéreuse pour les petites et moyennes structures. 82 Notamment Cass. 3 e civ. 10 mai 1968, Bull. civ. III, n Loi du 11 juillet 1985 modifiée par la loi du 30 décembre 1991 insérée à l article 57-2 du décret loi de 1935, selon lequel : «L ordre ou l engagement de payer donné au moyen d une carte de paiement est irrévocable. Il ne peut être fait opposition au paiement qu en cas de perte ou de vol de la carte, de redressement ou de liquidation judiciaire du bénéficiaire». 84 Considérant En France, la Commission des clauses abusive, dans sa recommandation relative aux contrats porteurs des cartes de paiement assorties ou non de crédit, a exigé que soient éliminées de ces contrats les clauses ayant pour objet ou pour effet de conférer un caractère irrévocable à un ordre de paiement donné sans signature manuscrite du titulaire de la carte et sans usage du numéro d identification personnel. 29

30 que par le droit communautaire. En effet, l art.6 3 de la recommandation 97/489 relative aux paiements électroniques prévoit que «la responsabilité du titulaire n est pas engagée si l instrument de paiement a été utilisé sans présentation physique ou sans identification électronique (de l instrument même)». La révocabilité est envisageable soit antérieurement soit postérieurement à l exécution du mandat. Dans les hypothèses, la fraude peut en être le fondement (il s agit soit du comportement frauduleux du titulaire de la carte bancaire, soit d un tiers qui après avoir intercepté le numéro de la carte, il en a fait usage) 86. Par conséquent, la tâche pour le commerçant consiste à apporter la preuve de l existence du mandat. Il convient d affirmer que la seule révélation du numéro facial d une carte ne suffit pas à établir qu elle a été le fait du titulaire de la carte. En effet, c est avec la loi du 2 mars 2000 que le législateur a introduit la signature électronique comme moyen de preuve dans toute transaction effectuée sur l Internet, dès lors que l on identifie l auteur, complant ainsi le vide de l article b) Les autres risques Les risques auxquels un commerçant doit faire face dans le cadre du commerce électronique, ne sont pas différents de ceux dans le cadre du commerce en magasin ou du commerce international. En effet, dans toutes les hypothèses, le risque de la fraude de carte bancaire est toujours présent mais il est amplifié par l étendue du réseau Internet. Les moyens cryptographiques ont l objectif de limiter ce type de fraudes. En plus, le marchand est exposé aux risques «classiques» du commerce international : le risque politique, le risque de change, le risque d impayé. Ces risques peuvent être couverts par la souscription d une assurance spécifique (en France, la COFACE est l organisme compétent pour la couverture de tels risques). B- Le client Le client peut être un professionnel ou un client. Mais, en pratique, la distinction n est pas évidente à faire. En effet, il y a certains sites qui sont plutôt destinés aux professionnels (ex. les fournisseurs de matériel informatique, comme Dell) ou d autres qui sont plutôt destinés aux consommateurs (ex. les librairies électroniques, dont l exemple le plus connu est Amazon.com). Dans certains sites, lors de son premier passage, le client doit remplir un formulaire dans lequel il déclare sa qualité. Dans d autres sites, le marchand n a pas mis en place un tel formulaire. Par conséquent, une confusion importante peut se produire quant à l application ou non des règles protectrices des consommateurs. La réponse à la question n étant pas claire actuellement, la solution la plus commode serait de procéder par le moyen de la présomption. Le client d un site professionnel serait alors considéré comme un professionnel, tandis que le client d un site destiné à un public large, serait considéré comme un consommateur. 86 Pour certains auteurs, le numéro d identification de la carte n est pas une information confidentielle. Voir notamment l article de C. Lucas de Leyssac et de X. Lacaze, «Le paiement en ligne», JCP E, n 12, 22 mars 2001 p.506. Cependant, selon la définition des données personnelles, le numéro de la carte peut être considéré comme une donné personnelle et par conséquent être protégé en tant que telle. 30

31 1- Le Business to Business «Un homme d affaires est un croisement entre un danseur et une machine à calculer» P. Valéry Depuis plus de vingt ans, un grand nombre d entreprises communiquaient entre elles par le système EDI (Electronic Data Interchange). L EDI, à l origine, est défini comme «un système destiné aux grands groupes qui permet de rationaliser les échanges avec leurs fournisseurs grâce à des procédures automatiques de réapprovisionnement des stocks, à l émission de factures, de bons de commandes, de bons de livraison et de nombreux autres documents» 87. Mais ce système était extrêmement coûteux 88. Mais le développement d Internet a permis une diminution importante de ces coûts, facilitant considérablement le B to B. Progressivement, apparaissent des places de marché virtuelles qui sont plus souples que les places de marché traditionnelles, et qui permettent la participation d un plus grand nombre d intervenants. L efficacité théorique de ce système a été prouvée par la loi Metcalfe, selon laquelle la valeur d un réseau est égale au carré du nombre de participants 89. Le régime juridique applicable est plus souple et libéral que celui dans le cadre du commerce Business to Consumer, quant au choix de la loi applicable et quant à liberté de la preuve. La loi-type CNUDCI sur le commerce électronique de 1996, apporte les précisions intéressantes quant à la réglementation du commerce B to B. Il s agit d un ensemble inachevé de 17 articles. La CNUDCI a expressément prévu que des dispositions supplémentaires peuvent s y rattacher. Son champ d application ne se limite pas aux relations commerciales internationales, mais il s étend aussi aux activités commerciales de droit interne. Cependant, la loi-type rencontre deux types de limites : - le droit de la consommation est exclu de son champ d application. Cette exclusion est due aux disparités entre les niveaux de développement atteintes par les Etats membres de la CNUCDI, qui empêche qu un consensus sur la notion de «consommateur» soit trouvé. Par conséquent, la loi-type vise exclusivement le commerce B to B. - Toutes les situations qui ne concernent pas le droit commercial, son exclues de son champ d application. La loi-type laisse aux parties une grande liberté pour organiser elles-mêmes leurs relations contractuelles dans le cadre du commerce électronique, à condition que les méthodes employées pour assurer la sécurité des messages soient suffisamment fiables. Elle comporte des dispositions impératives et supplétives. Les dispositions impératives, incluses dans le chapitre intitulé «application des exigences légales aux messages de données», peuvent se résumer comme suit : - l article 5 affirme le principe de non-discrimination ; - l art.6 prévoit la notion d «équivalent fonctionnel de l écrit et de la signature». 87 N. Macarez, F. Leslé, «Le commerce électronique», coll. Que sais-je?, PUF, p En effet, les coûts très élevés ont été un obstacle pour la chaîne de distribution britannique Tesco d imposer son système EDI à ses fournisseurs. 89 Selon Robert Metcalfe, fondateur de la théorie, si une personne rejoint un groupe de 3 participants, les intérêts du groupe n augmentent pas de 1, mais de 7 ( soit 4 2 =16 contre 3 2 =9 avant sont entrée). 31

32 - l article 9 relatif à la preuve, laisse au juge national toute la liberté pour déterminer la valeur probante des messages de données ; - l article 10 énonce des règles relatives à l adaptation des exigences de stockage de l information aux besoins du commerce électronique. Les dispositions supplétives sont les suivantes : - articles 11 et 12 prévoient un formalisme électronique en vertu duquel peut être établie la validité des contrats entre les parties ; - les articles 14 et 15 établissement un régime des accusés de réception ainsi qu une règle permettant de déterminer le moment et le lieu de l expédition et de la réception des messages. 2- Le Business to Consumer Si le commerce électronique B to B était assez bien développé depuis le début des années 90, le commerce électronique B to C n a véritablement commencé à se développer qu à partir de Diverses études ont tenté de donner un profil type au cyberconsommateur, mais finalement ont conclu à la grande diversité de profils 90. Mais dans tous les cas, la sécurisation des paiements est l une des préoccupations les plus importantes des consommateurs 91 a) Les règles communautaires Dans l espace communautaire, la Convention de Rome du 19 juin 1980 sur la loi applicable aux obligations contractuelles est applicable en matière de commerce électronique entre un commerçant et un consommateur 92. En effet, l article 5 de la Convention pose comme condition à son application, la proposition faite spécialement ou par le moyen d une publicité 90 Selon une étude d Ernst & Young : - les cyberconsommateurs sont surtout masculins en France (76%), en Italie (85%) et en Grande- Bretagne (69%) ; - le consommateur anglais a le niveau de revenu le plus élevé ( euros) et l Italien le plus bas ( euros) ; - les français sont les cyberconsommateurs les plus jeunes (35.3 ans) ; - 66% des cyberconsommateurs en France ont fait des études supérieures ; - En France, Italie et Grande-Bretagne, la moitié des cyberconsommateurs ont davantage accès Internet sur le lieu du travail. 91 Voir Annexe I : Statistiques, Tableau 5 : Les atteintes des consommateurs. 92 Selon l article 5, intitulé «Contrats conclu par les consommateurs» : «1. Le présent article s applique aux contrats ayant pour objet la fourniture d objets mobiliers corporels ou de services à une personne, le consommateur, pour un usage pouvant être considéré comme étranger à son activité professionnelle, ainsi qu aux contrats destinés au financement d une telle fourniture. 2. [ ] le choix par les parties de la loi applicable ne peut avoir pour résultat de priver le consommateur de la protection que lui assurent les dispositions impératives de la loi du pays dans lequel il a sa résidence habituelle : - si la conclusion du contrat a été précédée dans ce pays d une proposition spécialement faire ou d une publicité, et si le consommateur a accompli dans ce pays les actes nécessaires à la conclusion du contrat, ou - si le cocontractant du consommateur ou son représentant a reçu la commande du consommateur dans ce pays, ou - si le contrat est une vente de marchandises et que le consommateur se soit rendu de ce pays dans un pays étranger et y ait passé la commande, à la condition que le voyage ait été organisé par le vendeur dans le but d inciter le consommateur à conclure une vente». 32

33 au consommateur d un pays membre de l Union européenne différent de celui où le commerçant dispose son établissement. En matière de commerce électronique, le site marchand constitue un moyen de publicité de biens et de services, sans considération territoriale. Par conséquent, la condition posée par l article 5 se trouve remplie. Il faut également noter que l article 5 de la Convention rend inapplicable le principe de la liberté de choix de la loi par les parties contractantes, dans un souci de protection du consommateur. En plus, au niveau communautaire, la directive n 97/7 du 20 mai 1997 relative à la protection des consommateurs en matière de contrats à distance est applicable. Elle prévoit une liste d informations à communiquer au consommateur avant la conclusion de tout contrat à distance (par ex. l identité du fournisseur, caractéristiques essentielles du bien à livrer, prix du bien). Mais cette obligation n est prévue que dans le cadre de relations contractuelles, contrairement à la directive sur le commerce électronique qui prévoit que ces informations doivent être produites même en l absence de conclusion d un contrat. Enfin, elle oblige à une confirmation par écrit des informations ou sur tout support durable accessible au consommateur. En d autres termes, le support écrit conserve sa prééminence. Il faut noter que la Directive 2000/31/CE du 8 juin 2000, relative à certains aspects juridiques des services de la société de l information, est intimement liée avec un certain nombre de directives concernant la protection des consommateurs 93 b) Les règles nationales En France, les règles relatives à la vente à distance 94 (pull) prévues par le code de la consommation, sont applicables. En effet, le code de la consommation impose au fournisseur d indiquer dans son offre, certaines informations sur son identité ainsi que sur les conditions générales de vente et de garantie. D autre part, l acheteur dispose d un délai légal de rétractation de 7 jours francs à compter de la livraison de sa commande pour retourner le produit contre échange ou remboursement. En plus, la loi 6 janv relative aux opérations de télépromotion avec offre de vente concernant la vente à distance, instaure trois types d infraction visant à sanctionner les violations des règles ci-dessus : 1- le non-respect, par le vendeur, du délai de rétractation (7 jours) est une contravention de 5 e classe. 93 Notamment : - la Directive 93/13/CEE du 5 avril 1993 concernant les clauses abusives dans les contrats conclu avec les consommateurs ; - la Directive 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance en matière contractuelle ; - la Directive 84/450/CEE du 10 septembre 1984 relative au rapprochement des dispositions législatives, réglementaires et administratives des Etats membres en matière de publicité trompeuse et comparative ; - la Directive 98/6/CE du 16 février 1998 relative à la protection des consommateurs en matière d indication des prix des produits offerts aux consommateurs ; - la Directive 85/374/CEE du Conseil du 25 juillet 1985 relative à la responsabilité du fait des produits défectueux ; - la Directive 1999/44/CE du Parlement européen relative à certains aspects de la vente et des garanties des biens de consommation ; - la proposition modifiée de directive du Parlement européen et du Conseil concernant la commercialisation à distance de services financiers auprès du consommateur et modifiant les Directives 97/7/CE et 98/27/CE. 94 La vente à distance est définie comme «toute technique permettant au consommateur, hors des lieux habituels de réception de la clientèle, de commander un produit ou de demander la réalisation d un service». 33

34 2- l inobservation de la réglementation d ordre public relative aux opérations de télépromotion 95 est sanctionnée par une amende de F ( F en cas de récidive). 3- L information insuffisante du client potentiel 96 constitue une contravention de 5 e classe. Aux Etats Unis, le Federal Electronic Signatures in Global and National Commerce Act du 30 juin 2000, prévoit une certaine protection du consommateur, non prévue par les lois des Etats fédérés. Elle exige le consentement du consommateur avant la conclusion de la transaction. L entreprise doit avertir le consommateur de son droit de conclure via Internet ou en dehors de la toile. 3- La responsabilité et protection du client face à l ordre de paiement La responsabilité du client peut être engagée envers son cocontractant, marchand sur Internet, et envers l établissement financier 97 avec lequel il est lié. La première situation vise le risque de répudiation des paiements, qui a été déjà examinée. Dans la deuxième situation, la Recommandation 97/489/CE de la Commission du 30 juillet 1997 relative aux instruments de paiement électronique joue un rôle important. En effet, la recommandation établit une obligation d information relative aux termes, conditions et utilisation des instruments de paiement électroniques. Elle vise également la responsabilité des parties concernées par la transaction 98, en limitant le montant des dommages et intérêts à 150 euros, sauf cas où la partie responsable a agit de manière frauduleuse ou avec une extrême négligence. Une fois que l utilisateur aura procédé à la notification de la perte ou vol de l instrument de paiement, il ne peut plus être tenu comme responsable d une utilisation frauduleuse éventuelle. Mais, la recommandation pose un certain nombre de problèmes terminologiques, notamment en ce qui concerne la notion d «extrême négligence». Au niveau communautaire, il faut également noter deux autres recommandations. La première vise le Code de Conduite Européen relatif aux paiements électroniques (Recommandation 87/598/CEE de la Commission du 8 décembre 1987). L objectif du Code est de promouvoir la sécurité dans les transactions et de faciliter l utilisation pour les consommateurs. La recommandation prévoit une série de principes généraux applicables dans les relations entre les établissements financiers et leurs clients. La deuxième recommandation (recommandation 88/590/CEE de la Commission du 17 novembre 1988 relative aux systèmes de paiement), stipule que la relation entre le titulaire d une carte bancaire et l établissement émetteur relève de la réglementation sur la protection des consommateurs. Elle prévoit les droits et obligations des consommateurs et précise que ceux-ci sont mieux protégés par un contrat écrit. Avec la directive européenne sur la signature électronique, et la loi du 8 mars 2000 (en France) un contrat électronique a la même valeur qu un contrat écrit sur papier. 95 Art.L et L C. cons. 96 Art.L C. cons. 97 Il convient de rappeler que par établissement financier est visé tout établissement public ou privé émetteur de l instrument de paiement (y compris dans l hypothèse de l émission de la monnaie électronique par un établissement dont son activité principale n est pas financière). 98 En effet, elle définit les obligations et responsabilités du titulaire (articles 5 et 6) et de l émetteur (articles 7, 8 et 9). 34

35 Enfin, l article 8 de la directive 97/7/CE concernant la protection des consommateurs en matière de contrats à distance, prévoit en matière de paiement par carte bancaire que : «Les Etats membres veillent à ce que des mesures appropriées existent pour que le consommateur : - puisse demander l annulation d un paiement en cas d utilisation frauduleuse de sa carte de paiement dans le cadre de contrats à distance couverts par la présente directive, - en cas d utilisation frauduleuse, soit recrédité des sommes versées en paiement ou se les voit resituer». C- Intermédiation financière En France, les personnes morales habilitées à rendre des services de paiement sont définies par l article premier de la loi bancaire de 1984 : «Les établissements de crédit sont des personnes morales qui effectuent à titre de profession habituelle des opérations de banque. Les opérations de banque comprennent : ainsi que la mise à la disposition de la clientèle ou la gestion de moyens de paiement». Les émetteurs de moyens de paiement électroniques (monnaie virtuelle, porte-monnaies électroniques, etc.) doivent être agréés. Il peut s agir notamment (outre les banques) : - des établissements de crédit spécialisés dans les crédits à très court terme ; - des grandes entreprises admises à émettre des CMC (Certificats monétaires commerciaux) ; - des SICAV, qui consentent des crédits de trésorerie à leurs déposants ; - des établissements de crédit et des caisses d épargne. 1- l intermédiation bancaire : moyens mis en œuvre ; responsabilité. Les banques face aux nouvelles technologies, elles ont dû relever trois défis, afin d offrir des services bancaires de qualité par Internet : offrir un accès sécurisé et personnalisé à chaque client 99. Le deuxième enjeu réside dans la distribution d offres et de produits diversifiés. A ce propos, beaucoup de banques n hésitent pas à se lancer dans des partenariats avec d autres établissements (ex. établissements de crédit, assurances, etc.). Le troisième défi tient à la possibilité de mettre en place rapidement et de manière économique, l ensemble des solutions. A ce propos les banques collaborent avec des sociétés spécialisées des solutions électroniques dans le domaine des finances (ex. Cyber-comm). Concernant leur rôle d intermédiaire, les banques participent activement dans le développement du commerce électronique (aussi bien dans le cadre du B to B que du B to C). Elles peuvent apporter des solutions de financement aux acheteurs et aux fournisseurs, des 99 Beaucoup de clients restent toujours réticents quant à l utilisation du e-banking à cause des aléas dans le domaine de la sécurité des transactions par Internet. On peut définir le e-banking comme le moyen pour le client d accéder au front-office par l intermédiaire de l Internet. Internet, en tant que média, présente des caractéristiques nouvelles : la richesse de son interface graphique (par rapport par exemple du minitel), le courrier électronique, les documents multimédias, et bientôt la visioconférence. On distingue habituellement trois types de services sur Internet : les vitrines (ou portails), les services interactifs, et les services transactionnels. Les banques essaient d exploiter les trois types. Le succès d un service e-banking peut dépendre de la mise en place d une stratégie efficace de la part des banques. 35

36 moyens de paiement sécurisés, des plates-formes de facturation, des services de cashmanagement et un rôle de tiers de confiance. En réalité, les banques ont simplement adapté les services traditionnels qu elles offraient, aux nouveaux besoins du commerce international (c est-à-dire, le commerce électronique). En effet, elles ont toujours eu un rôle important dans le financement de la production 100 et dans le financement de la commercialisation. Sur le plan international, le financement des transactions passe par le moyen du crédit documentaire. Cette technique, profondément synallagmatique 101, repose sur l idée que «les opérations effectuées sur les documents réalisent les mêmes transferts de droits que si elles étaient faites directement sur les marchandises ; le lien entre les documents et les marchandises reste juridiquement formel» 102. Le crédit documentaire obéit aux «Règles et Usages uniformes relatives aux crédits documentaires» de la CCI. Plusieurs documents sont nécessaires pour la réalisation de cette opération : - la facture, qui décrit la marchandise et qui engage la responsabilité du vendeur ; - le connaissement, qui est à la fois un titre de transport et une description des marchandises. Du point de vue juridique, le connaissement est un titre «à ordre» transmissible par endossement. - les autres documents de transport (ex. lettre de voiture ferroviaire) ; - les documents d assurance ; - les documents douaniers ; - les documents établis par des tiers (ex. certificats d agréage). Mais, cet instrument de paiement traditionnel dans le commerce international, rencontre des difficultés sérieuses d application dans le domaine du commerce électronique. En effet, le risque que le client change d avis et ne paie plus sa commande (en s y désistant du même fait) est très important. Par conséquent et pour des raisons pratiques, les banques ont dû adapter les moyens traditionnels de financement des importations/exportations, en privilégiant le paiement en ligne. Cependant, il peut être utilisé comme moyen de paiement off-line. Il devient alors incontestables que le rôle le plus intéressant des banques dans le cadre du commerce électronique, est celui de l intermédiation des paiements. Les banques doivent proposer l ensemble des prestations déjà existantes sur le marché 103. Toutes ces évolutions technologiques ont renforcé la concurrence entre les banques. En effet, les banques doivent s adapter aux nouvelles exigences le plus rapidement, en offrant une grande gamme de services, à un moindre coût. Les parties à la transaction électronique sont libres de choisir le mode de paiement : le paiement off-line ou on-line. Si le rôle de la banque est différent selon qu il s agisse d un paiement off-line ou on-line, les problèmes de sécurité sont les mêmes et par conséquent les moyens de sécurisation sont similaires (cryptographie, certification ). 100 Par l intermédiaire du financement des investissements et du financement de l exploitation (par exemple la mise à disposition du client des liquidités, par l octroi de crédits de caisse ou par signature). 101 Par exemple l importateur donne mandat à son banquier d ouvrir un crédit documentaire au profit du vendeur étranger, qu il ne payera les marchandises avant que celles-ci soient effectivement envoyées. 102 J.M. Jacquet et P. Delebecque, «Droit du commerce international», 2 e édition, Dalloz, p Concernant les paiements domestiques : ordre de virement immédiat, tirage sur un crédit revolving, déblocage de fonds sur un prêt personnel, chèque, paiement de facture en ligne. Dans le cadre de l Euroland» : virement transfrontalier, prélèvement transfrontalier. Un système appelé «Transregio» est déjà mis en place entre une banque allemande et une banque française. Ce système, dont les avantages sont les coûts de transaction faibles et la rapidité, est mis en place à titre expérimental. 36

37 a) Les paiements off-line: le cas des virements bancaires Il s agit du rôle traditionnel et le plus commun des banques dans le cadre du commerce international. Les transferts internationaux de fonds 104 résultant de virements font l objet d une réglementation nationale et internationale très stricte. Par exemple, selon les «Principes directeurs pour le transfert interbancaire de fonds et pour indemnisation» de la CCI, aucune banque ne peut être injustement enrichie ou pénalisée par suite d une erreur d une autre banque. Le virement bancaire est fait de deux écritures comptables : la première débite le compte du donneur d ordre, la seconde crédite le compte du bénéficiaire. Il s agit d un transfert de monnaie scripturale. Il peut être réalisé par tout moyen : lettre, télex, fax, téléphone, Internet, TIP (titre interbancaire de paiement) ou virement automatique. Même si le virement est en principe irrévocable, la loi-type CNUDCI a prévu et encadré l hypothèse de révocabilité. Ainsi, le décès, l insolvabilité, la faillite ou l incapacité du donneur d ordre n emporte par révocation de l ordre de paiement (article 12 11). L article 13 4, exige que tout ordre de révocation doit être authentifié. La loi définit l authentification comme «une procédure établie conventionnellement pour déterminer si un ordre de paiement, une modification ou la révocation d un ordre de paiement émane bien de la personne indiquée comme étant l expéditeur» 105. La directive 97/5/CE ne vise que les virements transfrontières seuls, tandis qu initialement la Commission avait prévu d étendre les dispositions relatives à la transparence à d autres modes de paiement à distance, notamment les cartes de crédit 106. Elle distingue la phase préalable au paiement à celle postérieure. Quant à la première phase, la directive prévoit qu un certain nombre d informations doivent être fournies par l établissement financier au client. Si ces informations ne sont pas exclusives aux paiements électroniques, elles sont néanmoins intéressantes à noter : - les délais nécessaires pour la réalisation du virement ; - les modalités de calcul de toutes les commissions et frais à l occasion du virement ; - l indication des cours de change de référence utilisés ; - la date de valeur appliquée par l établissement, s il en existe une ; et - l indication des procédures de réclamation et de recours. Quatre grands réseaux de transfert peuvent être distingués : i- Le réseau SWIFT Dés les années 1950, les banques ont mis en place un système d échange des données informatiques, appelé SWIFT 107. Ce système, qui a une durée de vie supérieure à 10 ans, 104 Ce terme peut s entendre aussi bien pour les gros que pour les petits montants. 105 Article 2, i). 106 Cette lacune a été comblée par la recommandation 97/489 pour les instruments de paiement électroniques. 107 Society for Worldwide Interbank Financial Telecommunication. 37

38 réuni plus de banques dans le monde entier. En dehors de SWIFT, diverses banques ont créé d autres systèmes d échange des données 108. SWIFT est une société coopérative à but non lucratif, ayant plus de membres. C est le système EDI le plus utilisé dans le domaine bancaire. Tous les messages sont transférés par un système de messagerie aux «centres de commutation» situés en Belgique et aux Etats Unis. La société a dans chaque pays membre, des concentrateurs nationaux qui sont reliés aux centres de commutation. Le système SWIFT fournit un relevé du nombre de messages échangés et archive sur une période de 14 jours tous les messages transmis. Les messages sont classés dans huit catégories 109. Le système fonctionne de la manière suivante : Tableau 6 : Le système SWIFT Source : D.W.Davies, W.L.Price, «Sécurité dans les réseaux informatiques», 2 e édition, AFNOR, p.316. Selon le schéma ci-dessus, la banque du donneur d ordre transmet les fonds à la banque expéditrice «concentrateur national», qui va les transmettre à la banque du destinataire par l intermédiaire de la banque «concentrateur national» destinataire. L argent transite de compte à compte. En d autres termes, SWIFT n est qu un transporteur. Ce schéma représente le circuit normal des paiements internationaux et n est pas exclusif au commerce électronique. Il présente plusieurs avantages : - la disponibilité, parce que le réseau est accessible 24h sur 24 et 7 jours sur 7 ; - la rapidité de la transmission du message ; - la normalisation. Les messages SWIFT sont fortement structurés ; 108 Nous pouvons citer notamment le système BACS (Bankers Automated Clearing Service, qui est considéré comme le service de transfert de capitaux le plus important en Grande Bretagne), le système LIMNET (London Insurance Market Network) et RINET transferts clientèle. 2- transferts entre banques ; 3. échanges avec l étranger, crédits/dépôts ; 4. remise documentaire ; 5. valeurs mobilières ; 6. réservé pour usage futur ; 7. crédits documentaires ; 8. mécanismes de paiement spéciaux (ex. autorisation carte bancaire) ; 9. messages spéciaux. 38

39 - la fiabilité et la sécurité, parce que chaque message contient un code qui identifie l émetteur et récepteur et qui garantit la non-modification du texte pendant la transmission ; - l archivage des messages ; - la confidentialité, vu que les utilisateurs peuvent chiffrer préalablement les messages ; - le coût de transmission réduit ; - Swift assume la responsabilité civile liée à la transmission et à la délivrance des messages. La transaction telle que représentée ci-dessus est sécurisée totalement. ii- Fedwire et Chips Fedwire (Federal Reserve Wire Network) réunit douze banques fédérales américaines. Il remplit le rôle de «correspondent banking» 110. Les transferts par Fedwire sont régis par la sous-partie B de la réglementation J du Federal Reserve System, qui a valeur fédérale. Chips 111 est géré par la New York Clearing House Association 112. C est un système de paiement privé, régi par l article 4A de l Uniform Commercial Code. iii- Chaps 113 Chaps comporte quatorze banques participantes, dont la Banque d Angleterre. Il est conçu pour crypter, émettre, authentifier tout message de transfert de fond entre deux banques participantes. iv- Sagittaire 114 Système interbancaire français, permettant aux banques établies en France et adhérentes d effectuer d opérations liées à des transferts internationaux empruntant le réseau SWIFT, il est géré par la Banque de France. b) La réglementation juridique Cette réglementation nationale, communautaire et internationale vise les différentes étapes du paiement électronique, les instruments de paiement, ainsi que la responsabilité des établissements financiers. 110 Fidwire réunit les Reserve Bank, permettant ainsi le transfert de la Reserve Bank où la banque du donneur d ordre a un compte à celle où la banque du destinataire a un compte. 111 Clearing House Interbank Payment System. Voir également, Glossaire. 112 Association de la Chambre de compensation de New York. 113 Clearing House Automated Payment System. 114 Système automatique de gestion intégrée par télétransmission de transactions avec imputation de règlements internationaux. 39

40 La recommandation 97/489/CE Commission européenne du 30 juillet 1997 concernant les opérations effectuées au moyen d instruments de paiement électronique, pour l ensemble de des instruments de paiement, les articles 3 et 4 créent à la charge de l organisme émetteur une obligation de fournir des informations minimales relatives aux conditions d émission et d utilisation. Un régime plus souple est prévu pour les instruments de monnaie électronique. Le commerce électronique a facilité le phénomène de blanchiment d argent. Le rôle des banques dans la lutte contre ce blanchiment. Mais l approche américaine est différente de l approche européenne. En effet, les Etats Unis imposent une obligation systématique de déclaration des transferts au-delà d un certain montant. Certes, le commerce Business to Consumer se trouve de fait, épargné de cette réglementation 115. Mais la directive 91/308/CEE du 10 juin 1991 sur la prévention de l utilisation du système financier aux fins de blanchiment des capitaux ne crée pas une telle obligation 116. Concernant la responsabilité civile du banquier, elle peut être engagée dès que celui-ci commet une faute. La faute contractuelle du banquier peut consister dans la mauvaise exécution des ordres reçus. Des clauses d exonération de responsabilité peuvent être inclues dans le contrat avec le client à condition qu elles ne visent que les fautes légères 117. Si la faute consiste dans la méconnaissance de disposition législatives, le banquier peut voir sa responsabilité pénale être engagée. En cas de contestation du client face à un ordre de paiement exécuté, il appartient au banquier d apporter la preuve, que le client est bien l auteur de cet ordre. A propos, l arrêt de la Chambre commerciale de la Cour de cassation du 8 octobre 1991 est considéré comme un arrêt de référence 118. Dans cet arrêt, la Cour a donné raison à un client dans sa demande de remboursement des fonds débités sur son compte, à la suite de retraits dans un distributeur automatique de billets à l aide de la carte qui lui a été volée. Il appartenait à la banque de démontrer que son client a commis l imprudence de ne pas avoir gardé son code secret. L application du principe dégagé par cet arrêt pourrait trouver sa place dans le cadre des paiements électroniques. En effet, il appartiendra au banquier de prouver que le client est l auteur de l ordre de paiement et non pas à ce dernier de prouver que son numéro de carte a été intercepté par un tiers. Il s agit d une présomption au profit du consommateur. Il faut noter qu en matière de preuve, la recommandation 88/590 et la recommandation 97/489 restent insuffisantes pour qu une règle générale en découle. Il est seulement précisé que les émetteurs des instruments de paiement doivent conserver des relevés ou toute autre pièce justificative interne «pendant une période suffisante» afin de retracer les opérations et procéder à des rectifications en cas d erreurs 119. En plus, «la seule utilisation d un code confidentiel ou de tout élément d identification similaire n est pas suffisante pour engager la responsabilité du titulaire» 120. En matière de commerce électronique, l authentification des 115 Il est rare que des produits de luxe, qui sont largement visés par le blanchiment d argent, soient disponibles sur des sites commerçants. En plus, les malfrats préféreront de passer un grand nombre de commandes, séparées l une de l autre, afin d éviter de tomber sous le coup de la réglementation. 116 Tel est également le cas de la loi française du 12 juillet 1990, modifiée en La directive et la loi n imposent de déclaration que pour les opérations et les transferts suspects, qui paraissent liés au trafic des drogues ou à l exercice de l activité d une organisation criminelle. 117 Le retard dans la présentation au paiement d un effet de commerce est une faute lourde et par conséquent, le banquier ne peut s exonérer contractuellement. 118 D.1991, jurisprudence, p.581 ; JCP 1992, II, n Art.6.1 de la recommandation 88/590 et art.7 2 c) de la recommandation 97/ Art.6 de la recommandation 97/

41 parties et du message envoyé, apporterait la preuve nécessaire pour engager la responsabilité du titulaire de l instrument de paiement. Le développement des nouvelles technologies a incontestablement modifié le rôle des banques dans le cadre des paiements transfrontaliers. Pour certains auteurs, ces technologies diminueront l importance de l intermédiation bancaire. Selon Marcel Aucoin 121 : «Sur le plan de la base technologique, nous faisons l hypothèse que, d ici vingt ans, sans doute bien avant, l axiome majeur sur lequel repose la monnaie scripturale aura beaucoup perdu de sa force. Les paiements et transferts pourront être effectués à tout moment, en temps réel, entre deux agents économiques (banques ou non banques) de (et vers) n importe où, dans des conditions de coûts et de risques minimes, et dans n importe quelle monnaie». Il se montre méfiant quant à la capacité d adaptation des banques face aux exigences du commerce électronique : «Le talon d Achille des banques est le système de paiement. Ses défauts de constitution, en particulier l absence de temps réel et la difficulté de lier règlement et livraison ou prestation, vint devenir de plus en plus intolérables pour les clients. A mesure que vont se faire jour des moyens de paiement sur Internet, meilleurs que les existants minés par les Fraudes, la confiance va aller à l argent électronique». Si l avenir reste à découvrir, actuellement les banques gardent le rôle primordial dans les paiements transfrontières, et montrent une certaine capacité d adaptation aux nouvelles technologies et aux exigences du commerce électronique Autres intermédiaires : les assurances Les assurances peuvent intervenir selon le schéma suivant : Tableau 7 : L intervention des assurances dans les paiements par Internet Client (1) (2) Fournisseur (3) (4) (8) (5) (6) (7) Banque (9) Compagnie d assurance Toutes les étapes sont à priori instantanées. Le client passe sa commande par le réseau auprès du fournisseur (1). Ce dernier, lui envoi la facture (2). Le client choisit le mode de paiement. S il paie par carte bancaire et si le commerçant à passé une convention avec l un des réseaux 121 Voir son livre intitulé «Vers l argent électronique. Banque d hier, d aujourd hui et de demain», coll. Banque & Stratégie, éd. Séfi, 1996, p Il est intéressant de noter le mouvement de rachat des start-up et des e-brookers par les établissements bancaires, qui illustre l intention des banques d exploiter le potentiel des nouvelles technologies. Cependant, l exemple inverse est aussi à noter : lors de la fusion Paribas-BNP, le service KleeLine (système de portemonnaie électronique le plus utilisé en France) a été suprimé. 41

42 bancaires internationaux (ex. Visa ou Mastercard), une fenêtre sécurisée (c est-à-dire cryptée) s ouvre. Le client donne ses références bancaires en toute confidentialité 123 (3). L établissement financier accorde ou refuse l ordre de paiement, après vérification et communique sa décision au client et au fournisseur en même temps (4, 5). Si l établissement bancaire accepte le paiement, le fournisseur lui adressera l ordre de paiement 124 (8) pour encaissement. Par la suite, le fournisseur peut souscrire un contrat d assurance auprès d une compagnie spécialisée (6,7). L établissement bancaire devra alors communiquer l état de solvabilité du client à l assureur (9). Le commerce transfrontière a toujours comporté des risques autant pour l acheteur que pour le vendeur. Mais, le développement du commerce électronique a amplifié ses risques 125. Deux situations sont à distinguer : le commerce B to B et le commerce B to C. Concernant la protection du consommateur contre les fraudes éventuelles, les différents établissements financiers proposent un service d assurance, lié ou non à l obtention d une carte de crédit adapté au marché de l Internet. Contrairement au système mis en place depuis longtemps pour les professionnels qui est bien rodé, celui proposé aux consommateurs présente plusieurs inconvénients, notamment des plafonds de garantie assez bas 126. En plus, l assurance n est pas obligatoire. Par contre, dans le cadre du commerce international B to B, l assurance est systématique, voire obligatoire dans certains cas. En France, elle est de la compétence exclusive de la COFACE 127. D- Les tiers à la transaction : le cas de la fraude «Celui qui ne perd jamais de vue l ennemi se trouve prémuni contre la nécessité de découvrir les faiblesses et les défaillances qui se manifestent dans son propre camp». M. Sperber Les grands problèmes en matière de lutte contre la cybercriminalité sont l identification de l auteur de l infraction, la preuve de l élément intentionnel de celle-ci, ainsi que l évaluation 123 En effet, les données bancaires ne sont pas communiqués au fournisseur. 124 Appelé PAYORD. 125 En effet, Fia-Net, assureur du commerce électronique, dans son livre blanc sur le cybervol, a recensé 491 cas de fraudes d un montant global de F et constate que les escroqueries progressent au même rythme que l ensemble du commerce électronique. Source : Par exemple, chez Banque Directe le plafond annuel est de euros ( F) et les sinistres d un montant inférieur à 15 euros (98.39 F) ne sont pas couverts. Cependant ce son les sinistres de petits montants qui sont les plus fréquents sur le réseau. Voir article D. Aggoun-Berenger, «S assurer contre les risques du Web», Investir magazine, février 2001, p La Compagnie française d assurance pour le commerce extérieur a été créée par le décret du 1 er juin Elle a deux missions : - assurer le service de l assurance-crédit pour le compte de l Etat ; - assurer les risques commerciaux ordinaires : risque de fabrication, risque politique, risques d insolvabilité, risque de change. 42

43 de sa portée et impact. Un autre problème est lié à la volatilité des données électroniques, qui peuvent être modifiées, déplacées ou effacées avec une grande facilité. La cybercriminalité présente les caractéristiques suivantes : - La virtualité des frontières permet au délinquant de s éloigner du lieu de l infraction. Par exemple, une personne résidant au Japon, par l intermédiaire d un fournisseur d accès français, peut s introduire dans les fichiers d une société américaine ayant son siège à New York. Ensuite, elle vole les numéros de carte bancaire des clients et utilise la carte d une personne résidant en Australie pour ces achats auprès d un fournisseur de l Afrique du Sud. - La vitesse de transmission des informations transitant par le réseau, permet une divulgation instantanée et une utilisation exponentielle de la méthode utilisée par le délinquant. En effet, dès qu un hacker trouve le moyen de l introduire dans les fichiers d un site plus ou moins connu, il communique ce moyen par Internet à toute personne intéressée. Le risque est alors majeur pour l entreprise attaquée. - La dématérialisation du réseau offre des possibilités d anonymat que les personnes malveillantes peuvent exploiter. Les banques étant particulièrement visées par les cybercriminels 128 ont essayé de mettre en place des systèmes de protection sûrs. En France, la réaction des professionnels de la banque se matérialise notamment par le Livre blanc de la Commission bancaire sur la sécurité des systèmes d information et la Réglementation bancaire relative à la sécurité des opérations, aux procédures de secours et à la conservation des fichiers. Les banques doivent déterminer le risque maximum tolérable (RMT) qui peut être supporté, lequel fondera la politique de sécurité de la banque et les moyens humains, organisationnels, techniques et juridiques adéquats. L identification du délinquant est possible dans la majorité des cas, parce que d une part, chaque ordinateur est relié au réseau, identifié et localisé par l adresse IP et le nom de domaine. D autre part, il existe des logiciels de traçabilité qui permettent de retracer le cheminement des paquets d information. Cependant cette identification n est pas toujours possible, pour plusieurs raisons : - la personne peut passer par un fournisseur d accès étranger. Malheureusement, les fichiers des connexions sont détruits dans un délai très rapide (de l ordre de quelques jours), par rapport aux besoins d une enquête policière ; - il existe des moyens rendant les connexions anonymes ; - la personne peut utiliser l IP d un tiers, lequel ne sera même pas au cours de cette manœuvre ; - l utilisation d un ordinateur dans un lieu public (par exemple, dans un cybercafé) rende l identification impossible. 1- Répression pénale du hacking. La lutte contre la fraude à l aide de matériel informatique préoccupe aussi bien les instances internationales que les autorités nationales. Ainsi, le 19 février dernier, la Commission européenne a lancé un plan sur trois ans visant à combattre la fraude dans les transactions 128 Voir Annexe V. 43

44 transfrontalières. Ce plan concerne les fraudes et contrefaçons sur les cartes et les divers moyens de paiement autres que les espèces. Le but est d échanger des informations au niveau européen et d ouvrir un site pour prévenir la fraude. En France, le Conseil d Etat a fait une série de propositions 129 dans le cadre de la lutte contre les contenus et comportements illicites sur Internet : - clarifier les responsabilités entre les différents acteurs sur Internet ; - renforcer l identification de ces acteurs 130 ; - adapter la procédure judiciaire aux nouvelles données ; - créer un pôle interministériel pour la criminalité de haute technologie ; - renforcer et simplifier la coopération internationale en matière judiciaire, et - développer l autorégulation. a) Des organes policiers spécialisés En France, le décret du 16 mai 2000 a instauré l Office central de lutte contre la criminalité liée aux réseaux. Il s agit d une structure à vocation pluridisciplinaire et à compétence territoriale nationale. D autres organes de la police judiciaire ont compétence à agir en matière de cybercriminalité. Ainsi, la BCRCI (Brigade centrale de répression de la criminalité informatique) 131 assure une triple mission : - elle assure le soutien des services régionaux de police dans le domaine de la cybercriminalité ; - elle est en collaboration avec des organismes de lutte à caractère international, et notamment Interpol ; - elle mène ses propres enquêtes, souvent à caractère transfrontalier. Il convient de noter, également, le SEFTI (Service des enquêtes sur les fraudes aux technologies de l information), la DST (Direction de la surveillance du territoire), le Département informatique et électronique de l Institut de recherche criminelle, et les services des douanes qui jouent un rôle important dans la lutte contre la criminalité informatique 132. b) Un arsenal juridique national et international La loi n du 5 janvier 1988, dite loi Godfrain, a introduit à la fraude informatique en droit français. Selon cette loi sont passibles de sanctions pénales pouvant atteindre francs et/ou 5 ans d emprisonnement, les auteurs des faits suivants : - l accès frauduleux à un système de traitement automatisé de données, qu il en résulte ou non une suppression, modification des données ou une altération du fonctionnement, - l introduction de données au système, - l entrave au fonctionnement d un système, la falsification ou usage de documents informatisés. 129 Conseil d Etat, «Internet et les réseaux numériques», La Documentation française, 2 juillet Notamment en imposant aux fournisseurs d accès l obligation de conserver les données de connexion pendant un an. En pratique, très souvent la durée de sauvegarde de ces données est très courte (de l ordre de quelques jours) ce qui peut être une réelle barrière en cas d enquête policière. 131 Elle dépend directement de la Direction centrale de la police judiciaire et elle est opérationnelle depuis septembre Pour une liste complète des organes de lutte contre la cybercriminalité voir l annexe V. 44

45 Le nouveau code pénal a repris les prescriptions de la loi Godfrain 133 en les adaptant aux nouveaux besoin résultant de l expansion de l utilisation d Internet. Ainsi, l atteinte au secret des correspondances 134 est punie d un an d emprisonnement et de francs d amende 135. D autre part, l intrusion 136 dans un système informatique est prévue par l article al.1 C.P., selon lequel : «Le fait d accéder ou de se maintenir, frauduleusement, dans tout ou partie d un système de traitement automatisé de données est puni d un an d emprisonnement et de F d amende». Si l intrusion a occasionné par le même fait des altérations aux données, elle est sanctionnée par l article al Il faut noter que l intention de nuire n est pas requise pour l application de l article C.P. L association de malfaiteurs en matière informatique est prévue par l article C.P Cette incrimination vise toutes les associations de malfaiteurs, notamment celles opérant dans le domaine des fausses cartes bancaires. L article C.P. prévoit des peines complémentaires, comme : - l interdiction des droits civiques, civils et de familles pour une durée maximale de 5 ans, - l interdiction d exercer une fonction publique ou d exercer l activité professionnel dans l exercice de laquelle ou à l occasion de laquelle l infraction a été commise 139, pour une durée maximale de 5 ans ; - la confiscation de la chose ayant servi pour commettre l infraction ; - l interdiction, pour une durée maximale de 5 ans, d émettre des chèques. Il faut noter que la loi française 140 prévoit la responsabilité de personnes morales 141. D autres lois prévoient des sanctions spécifiques pour la falsification des cartes bancaires, et la violation du secret des correspondances et à la non-observation des prescriptions de la loi de 1978 sur les libertés informatiques 142. Enfin, il est intéressant de noter que le nouveau code pénal dans son article a prévu que l escroquerie 143 est applicable en matière 133 Livre Troisième Titre II - -Chap. III : Des atteintes aux systèmes de traitement automatisé de données : prise en compte de la loi Godfrain. L art punit d un an d emprisonnement et de F d amende l intrusion ou le maintien frauduleux dans un système de traitement automatisé de données (STAD). 134 Comme démontré infra, les messages électroniques par lesquels les cocontractants concluent une transaction par Internet, sont protégés sous la loi française par le régime de la correspondance privée. 135 Article code pénal : «Le fait, commis de mauvaise foi, d ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d en prendre frauduleusement connaissance, est puni d un an d emprisonnement et de francs d amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d intercepter, de détourner, d utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l installation d appareils conçus pour réaliser de telles interceptions». 136 «L intrusion est le simple fait d accéder de manière non autorisée, de pénétrer dans le système, mais également le maintien dans le système suite à cet accès. Une personne qui se serait immiscée par erreur dans un système mais s y serait maintenue de manière consciente rentre ainsi dans le cadre de l incrimination». V.Sédallian, «Droit de l Internet», collection AUI, p Deux ans d emprisonnement et F d amende. 138 «La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d une ou de plusieurs des infractions prévues par les articles à est punie des peines prévues pour l infraction elle-même ou pour l infraction la plus sévèrement réprimée». 139 Ici, l activité professionnelle peut s entendre de manière large. Il peut s agir d un salarié qui s introduit par les réseaux internes de l entreprise aux fichiers clients et vole les numéros de carte bancaire ou tout simplement, celui qui utilise le matériel informatique mis à sa disposition pour remplir ses fonctions professionnelles pour «casser» et pirater des sites. 140 Comme la plupart des droits étrangers occidentaux. 141 Selon l article C.P., les personnes morales peuvent se voir imposer une peine d amende dont le taux maximal est égal au quintuple de celui pour les personnes physiques. 142 Voir infra. 143 Art C.P. : «L escroquerie est le fait, soit par l usage d un faux nom ou d une fausse qualité, soit par l abus d une qualité vraie, soit par l emploi de manœuvres frauduleuses, de tromper une personne physique ou 45

46 informatique. En effet, l utilisation d un numéro de carte bancaire volé pour payer sur Internet constitue un délit d escroquerie. Aux Etats Unis, plusieurs règles visent les fraudes réalisées à l aide de l informatique. Le Electronic Communications Privacy Act 144, prévoit que la simple lecture des messages sans autorisation correcte ou leur altération est illégale. Le Computer Fraud ans Abuse Act 1986 sanctionne l utilisation des moyens électroniques de communication pour commettre des escroqueries, ainsi que la surveillance électronique non autorisée. Ainsi, le vol des données financières confidentielles se trouve sanctionné. Cette loi a été incorporée dans l United States Code sous les sections 1029 et Plusieurs affaires ont été déjà jugées dans le cadre de ces deux sections, et plus particulièrement sous le coup de la section Plusieurs d entre elles visent l infraction de vol de numéros de carte bancaire, et notamment l affaire U.S. v/ivanov 146. Enfin, le California Penal Code prévoit des sanctions spécifiques liées à la cybercriminalité 147 En Belgique, la loi du 28 novembre 2000 sur la criminalité informatique, comporte deux grands volets : - la première partie introduit de nouvelles incriminations pour sanctionner les comportements illicites : le faux en informatique, la fraude informatique, l accès non autorisé à un système informatique et le sabotage de données ; - la seconde partie introduit dans la procédure de nouveaux moyens au profit du juge d instruction et du procureur du Roi, notamment : la saisie de données, la recherche sur les réseaux, l obligation d information et de collaboration, les écoutes téléphoniques et de télécommunications et l obligation de conservation des données. En Grèce le code pénal punit la fraude par l intermédiaire 148 et en utilisant 149 un ordinateur. Les articles 370 B et 370 Γ: sanctionnent la fraude informatique de hacking. 2- Coopération policière internationale. En matière de cybercriminalité, la coopération policière est indispensable en raison du caractère international et décentralisé des infractions. Cependant, cette coopération n est pas morale et de la déterminer ainsi, à son préjudice ou au préjudice d un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L escroquerie est punie de cinq ans d emprisonnement et de F d amende» U.S.C (a) (1). 145 Voir Annexe V : Piratage informatique. 146 Le hacker russe est accusé de s être introduit dans des sites de compagnies d assurance, d avoir volé les numéros de carte bancaire des clients et d avoir essayé d extorquer des fonds de ces compagnies. L affaire est pendante devant la Cour fédérale de Santa Ana. Si l inculpé est trouvé coupable de 15 chefs d inculpation il pourra être condamné jusqu à 90 ans d emprisonnement. 147 Selon, le 502 (c) (7), est condamné d emprisonnement celui qui a «sciemment et sans permission accédé ou permis l accès à un ordinateur, un système informatique, ou un réseau d ordinateurs [ ]. Aucune preuve de dommages ou de malveillance n est nécessaire, bien que dans ce cas, les peines soient plus sévères. Le 502 (e) (1) prévoit des dommages et intérêts, lesquels comportent également «toute dépense raisonnablement et nécessairement faite par le propriétaire ou l utilisateur pour vérifier qu un système informatique, un réseau d ordinateur, un programme d ordinateur ou des données étaient ou n étaient pas modifiés, endommagés ou effacés à la suite de cet accès». 148 Art.386 C.P. 149 Art. 386 A C.P. 46

47 toujours évidente 150. Le Conseil d Etat, dans son rapport du 2 juillet 1998 intitulé «Internet et les réseaux numériques», fait état de la nécessité de renforcer la coopération : «Dès à présent, la transmission de commissions rogatoires directement de juge à juge devrait être la règle au sein des Etats membres du Conseil de l Europe. Il apparaît cependant que les progrès des discussions internationales sont lents et que les réticences des Etats demeurent grandes face à tout ce qu ils identifient comme des abandons de souveraineté» (p.20). Au niveau communautaire, la Convention du 29 mai 2000 concernant l entraide en matière répressive, contient des dispositions sur les interceptions de télécommunications transfrontières. Mais le principal obstacle à l entraide policière réside dans la rapidité de mise en œuvre des investigations entre les Etats membres, qui est due à la différence des systèmes juridiques et judiciaires nationaux. Dans ce cadre, et pour limiter l étendue de ce problème, une extension du mandat d action d Europol à la cybercriminalité a été proposée par la France. Actuellement, la compétence d Europol est limitée aux infractions commises à l aide des nouvelles technologies et non pas à leur encontre. Au niveau européen, la Convention du Conseil de l Europe sur la cybercriminalité est très attendue, car elle définit les infractions qui devraient être reconnues par tous les Etats membres et propose des modalités de coopération sous la forme de points de contact nationaux. En effet, les rédacteurs du projet de convention sont partis du postulat que «les infractions commises dans le cyberespace le sont contre l intégrité et la confidentialité des systèmes informatiques et des réseaux de télécommunication, à moins qu elles ne consistent en l utilisation de ces réseaux ou de leurs services dans le but de commettre des infractions classiques. Le caractère international des infractions en question commises au moyen de l Internet se heurte à la territorialité des institutions nationales de répression». Le projet de convention vise pour l essentiel «à harmoniser les éléments des infractions ayant trait au droit pénal matériel national et des dispositions de ce droit connexe en matière de cybercriminalité, à fournir au droit pénal procédural national les pouvoirs nécessaires à l instruction et à la poursuite d infractions de ce type ainsi que d autres infractions commises au moyen d un système informatique ou dans le cadre desquelles des preuves existent sous forme électronique, et enfin à mettre en place un régime rapide et efficace de coopération internationale». L art.15 prévoit que les Etats signataires doivent s assurer que leur législation nationale respecte les dispositions du Conseil de l Europe en matière de défense de la vie privée, ainsi que celles des Nations Unies et d autres organismes internationaux de défense des droits de l homme. Ce texte préparé par le Comité PC-CY a été adopté par le Comité européen pour les Problèmes Criminels (CDPC) lors de sa 50e session plénière (18-22 juin 2001). Le texte sera alors présenté au Comité des Ministre pour adoption. 150 En 1995 la BCRCI (Brigade centrale de répression du crime informatique de Nanterre) a demandé à la police américaine d identifier l internaute qui se cachait derrière un numéro IP précis et qu il était soupçonné d avoir piraté le serveur de l Inria (Institut national de recherche en informatique et en automatique). Le 15 mars 1999, Interpol Etats Unis envoie à la BCRCI un fax leur opposant une fin de non-recevoir. 47

48 2- Les moyens mis en œuvre pour sécuriser les transactions La sécurisation des transactions consiste essentiellement à s assurer de l authentification de l émetteur ainsi que du destinataire du message, de l intégrité de l information et de la préservation du message des interceptions frauduleuses. A- La cryptographie «L Etat doit assurer le maintien des intérêts de la sécurité nationale, en ne faisant pas obstacle à l application de la loi de 1991 sur le secret des correspondances. Toute réglementation de la cryptologie est donc nécessairement un compromis politique entre les besoins de protection, notamment demandés par les acteurs économiques, et les nécessités de la sécurité publique». Rapport Lorentz Les données sensibles transitant par le réseau, peuvent être interceptées facilement. La cryptographie permet de chiffrer ces données afin de les rendre illisibles par toute personne autre que le destinataire de l information. La science de la cryptographie est très ancienne. Les premiers systèmes de cryptage étaient le bâton grec 151 et le chiffrement de César 152. La cryptographie trouve des applications très variées dans le domaine du commerce électronique : identification et authentification, en matière de preuve, pour la protection de la confidentialité, ou contre la fraude informatique. Pour la CNIL, «la sécurité des données est donc, pour la protection de la vie privée et des libertés, la première des exigences. Les techniques de certification et d authentification, de contrôle de l intégrité et de cryptage des informations issues de la voix et de l image primitives doivent être développées». En effet, la cryptographie à clé publique permet également l authentification certaine de l émetteur et du destinataire du message. L importance de l utilisation de la cryptographie dans les transactions par Internet a été reconnue par les auteurs et par institutions juridiques. En particulier, la commission parlementaire européenne chargée d enquêter sur le système d écoute téléphonique Echelon recommande aux particuliers qui veulent éviter d être espionnés de crypter leurs messages électroniques, en disant qu «un courrier non crypté s assimile à une lettre sans enveloppe» Système utilisé vers 500 av.j.c. Un long ruban était enroulé autour d un bâton, jusqu à le recouvrir complètement. Ensuite, un texte était écrit sur ce ruban. Seul le ruban était transmis au destinataire du message. Le destinataire disposait d un bâton semblable et pouvait ainsi déchiffrer le message et enroulant le ruban sur son bâton. 152 En effet, Jules César avait pour habitude de chiffrer les messages les plus importants. Il utilisait la méthode suivante : chaque lettre se substituait par la lettre se trouvant trois positions plus loin dans l alphabet. 153 Source : du 1 er juin

49 Actuellement la plupart des pays dans le monde n imposent aucune restriction dans l utilisation de la cryptographie (3). En effet, les moyens cryptographiques peuvent être fabriqués, utilisés et vendus librement sans restriction. Cela s applique aussi bien aux pays industrialisés qu aux pays en développement. Cependant, le contrôle de l exportation des moyens cryptographiques reste l obstacle principal au développement de ceux-ci (2). L arrangement de Wassenaar, révisé en décembre 1998, pourrait freiner la libéralisation de la cryptographie prévue par les lignes directrices de l OCDE, surtout en ce qu il restreint la longueur des clés cryptographiques qui peuvent être exportés sans licence. Dans le domaine du paiement électronique, la cryptographie trouve une parfaite application. Le besoin primordial dans ce domaine consiste en l authentification non seulement de l identité exacte de l acheteur, mais également de sa solvabilité. L intégrité du message prouvera, en plus, son consentement dans la transaction. Ces besoins sont satisfaits par la signature électronique. Le deuxième besoins, aussi important que le premier, consiste à sécuriser la transaction de telle manière que des tierces personnes ne pourront pas avoir connaissance des informations «sensibles». 1- Eléments techniques La technique de cryptage peut reposer uniquement sur un logiciel («sécurité logicielle»), ou elle peut exploiter un élément matériel comme un microprocesseur en plus du logiciel («sécurité hardware»). Le cryptage consiste à transformer des informations lisibles en un message incompréhensible aux tierces personnes. Nous distinguons deux types de cryptage : le cryptage à clé publique ou deux clés sont nécessaires (une clé privée et une clé publique). Du cryptage à clé privée 154. SET (Secure Electronic Transaction) est une norme internationale destinée à garantir un niveau de sécurité minimal et une compatibilité des systèmes de paiement. Elle fixe le cahier des charges des systèmes de paiement en vue de proposer des conditions de sécurité considérées comme satisfaisantes. Tableau 8: La cryptographie asymétrique 154 Le clé est envoyée avec le message au destinataire de celui-ci. 49

50 2- Le refus de libéraliser basé sur des considérations d ordre public La lutte contre le crime organisé était pendant longtemps l argument majeur justifiant les restrictions imposées en matière d utilisation de la cryptographie. En effet, les autorités publiques soutenaient que les terroristes et trafiquants d armes ou de drogues utilisent la cryptographie comme moyen pour sécuriser leurs communications, et que par conséquent sa libéralisation faciliterait le crime organisé 155. Mais pour beaucoup d auteurs 156, ces restrictions n ont aucune efficacité dans la lutte contre les malfrats. Même pour la CCI, «la limitation de l utilisation du chiffrement pour cette raison est sujette à caution, car les auteurs délictueux ne se sentiront pas obligés de se plier aux règlements applicables à la communauté économique». Par conséquent, les seuls «victimes» de ses restrictions étaient les auteurs économiques. Mais la raison la plus importante consistait en la protection de la sécurité nationale et à l importance des services d espionnage nationaux 157. En France, comme ailleurs, il a fallu beaucoup de temps au gouvernement pour libéraliser enfin l utilisation des moyens cryptographiques. Face au développement du commerce international, et notamment du commerce électronique, les Etats ont dû finalement libéraliser le régime de la cryptographie. Néanmoins, ils ont trouvé un autre moyen pour garder un certain contrôle en la matière : restreindre l exportation des moyens cryptographiques. L arrangement Wassenaar 158 est un accord singé par 33 pays industrialises dans un but de restreindre l exportation d armes conventionnelles et l «utilisation double» de la 155 L exemple de Ben Laden pourrait illustrer cette position. Oussama Ben Laden serait actuellement le terroriste le plus riche et le plus recherché du monde (il serait responsable notamment de l attentat du World Trade Center à New York en 1993 et de celui à la station Saint-Michel du RER à Paris en 1995). Réfugié en Afghanistan, il communique et dirige ses «troupes» par Internet. En effet, la communication passe par des messages protégés par le moyen de la stéganographie (messages cachés dans des images, le plus souvent à caractère pornographique). Les autorités estiment que Ben Laden a même créé des camps d entraînement à la cryptologie. 156 Voir notamment, V.Sédallian Droit de l Internet, collection AUI, p.182. Aussi, voir l Annexe : interview avec Thierry Autret. Aussi, selon Ross Anderson, les criminels utilisent plutôt la stéganographie pour camoufler les messages ( 157 En 1987, le programme Echelon est rendu public. En 1966, la NSA a installé au nord de l Angleterre de paraboles satellitaires. Progressivement, elle a développé un système d écoute basé sur des satellites et des capteurs terrestres installés sur tous les continents. Dans les années 1990, le programme Echelon, abandonnant son rôle d espion du bloc de l Est, s oriente vers la lutte contre le trafic de stupéfiants et la lutte contre le terrorisme. En réalité, la NSA interceptait des millions de conversations par jour et les traitait par mots clés. Mais en 1999, un sénateur américain dépose un amendement contre la NSA, pour violation de la vie privée. L affaire choque encore plus lorsqu il est rendu public que le programme Echelon se livrait également à l espionnage industriel, Thomson ayant perdu ainsi deux contrats importants. C est alors, qu en France le gouvernement décide de procéder à la libéralisation des moyens cryptographiques. 158 L arrangement Wassenaar remplace le Commité de Coordination des Contrôles Multilatéraux d Exportation de la Guerre Froide (Cold War-era Coordinating Committee on Multilateral Export Controls COCOM). Il s agissait d un groupe de 17 pays ayant imposé des restrictions à l exportation de certains produits technologiques à l égard des pays members du Pacte de Warsovie et autres pays communistes. Après la chute du Pacte de Warsovie et de l Union Soviétique, le COCOM a perdu son objet, et le 16 novembre 1993 à La Haye, les pays membres ont décidé de le dissoudre et créer un autre groupe appelé «Nouveau Forum». Le «Nouveau Forum» s est réuni à Wassenaar, aux Pays Bas, le 31 mars Il a décide, alors, de continuer d utiliser les listes de contrôle des munitions de COCOM comme une base de données au contrôle d exportation des produits visés, jusqu à ce qu une nouvelle liste soit établie. 50

51 technologie 159 à un certain nombre d Etats du tiers monde, ou dans certains cas, à ces Etats qui sont en état de guerre. Tout Etat remplissant les conditions d exportation, peut adhérer à l Arrangement. Ces conditions sont : 1)l Etat doit être producteur et/ou exportateur d armes ou d équipement industriel à «double usage»; 2) il doit respecter les règles de non-prolifération d armes, et adhérer aux traits et conventions internationales en la matière; et 3) garder un contrôle total et effectif des exportations. L Arrangement Wassenaar a été révisé en 1998 sur deux points essentiels : - les produits cryptographiques au-dessous de 56 bits sont désormais libres à l exportation ; - l exportation de produits qui utilisent le chiffrement pour protéger la propriété intellectuelle est libéralisée. Malgré le fait que l Arrangement ne prévoit pas de statut d observateur, un régime intermédiaire est mis en place pour informer les Etats non-membres de l Arrangement des objectifs et activités de celle-ci, afin de les encourager d adopter des règles nationales conformes à ses objectifs. Il est intéressant de noter que l Arrangement Wassenaar n est pas un traité international, et par conséquent ne lie pas les Etats. 3- Un régime juridique différend selon les pays. Il y a une extrême variété des régimes liés à la commercialisation, l utilisation, et l importation et exportation des moyens cryptographiques. On peut passer par une liberté totale (ou en tout cas une liberté en apparence 160 ) à un régime plus ou moins strictement réglementé. Par exemple, si au Japon aucune restriction à l importation et l utilisation de moyens cryptographiques n existe, l exportation quant à elle, est strictement réglementée 161. L autorité compétente pour l exportation de tells produits est la Security Export Control Division of the Ministry of International Trade and Industry (MITI). Ce n est qu au 19 décembre 1995 que l Arrangement Wassenaar fût signé. Les Etats participant à la Conférence ont décidé d établir le Secrétariat de l Arrangement Wassenaar à Vienne, en Autriche. L Arrangement Wassenaar est l un des quatre accords internationaux à l exportation en la matière. Les trois autres sont : le Groupe des Fournisseurs de produits nucléaires, le Groupe d Australie, et le Règlement de Contôle de la Technologie des Missiles. 159 Certains produits cryptographiques, avec d autres produits technologiques comme les super-ordinateurs, sont considérés comme ayant un «double usage», c est-à-dire un usage commercial et militaire. 160 C est le cas par exemple de la Grèce qui déclare n avoir aucun régime de contrôle d utilisation domestique et d importation de moyens cryptographiques et qui n a aucun projet de loi réglementant la cryptographie. Il faut cependant noter qu en décembre 1998, la Grèce a adhéré à l Arrangement Wassenaar. 161 Les lois applicables sont: - Foreign Exchange and Foreign Trade Law (Loi No. 228, 1949); - Foreign Exchange Order (Ordre du Cabinet Ministériel No. 260, 1980) ; - Export Trade Control Order (Ordre du Cabinet Ministériel No. 63, 1949); - International Trade Administration Bureau Notification (No. 492, 1992). 51

52 Aux Etats-Unis, l utilisation des moyens cryptographiques est libre sur le territoire national. Cependant, ils sont classés dans la catégorie des munitions et par conséquent, leur exportation nécessite l autorisation du département d Etat (State Department) et de la National Security Agency, selon les règles prévues par l ITAR 162. Ces restrictions ont, pendant longtemps, désavantagé les entreprises américaines. Ainsi, des groupements d entreprises, comme le Computer Systems Policy Project, ont tenté d influencé le gouvernement américain en vue d assouplir ce régime. En France, la législation sur la cryptographie a connu une évolution plus ou moins rapide. Le premier texte abordant la question était le décret n du 18 février 1986, qui définissait les moyens de cryptologie comme étant les matériels ou logiciels conçus pour transformer à l aide de conventions secrètes, des informations claires ou des signaux, en informations ou signaux inintelligibles. Cette définition reste toujours valable. La loi du 29 déc a distingué deux dispositifs : ceux qui permettent d authentifier une communication ou d assurer l intégrité du message transmis d une part 164, et ceux qui ont pour objet d assurer la confidentialité des informations transmises et qui sont soumis à autorisation du Premier Ministre. Une série d arrêtés et de décrets a été publiée en vue de préciser le régime applicable à ces deux catégories 165. La loi du 26 juillet 1996 affranchit une étape, car elle a assoupli les règles applicables à la cryptologie. En effet, elle prévoyait d une part, la liberté totale pour l utilisation de moyens de cryptologie ne permettant pas d assurer des fonctions de confidentialité (c est-à-dire notamment pour authentifier des communications et garantir l intégrité du message). D autre part, elle stipulaire que seule l utilisation d un système de cryptologie dont les clés ne sont pas gérées par un tiers de confiance et qui assure la confidentialité des messages, nécessite une autorisation préalable du Premier Ministre. Enfin, d autres décrets et arrêtés ont précisé 162 International Traffic In Arm Regulation. 163 Loi n Selon l article 28 de la loi, il s agit de la fourniture, exportation, importation ou utilisation de moyens de cryptologie se limitant à authentifier ou à assurer l intégrité du message transmis sont soumis à une déclaration préalable. 165 Le décret 28 déc a définit les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie. Le 28 déc. 1992, deux arrêtés ont été publiés concernant les déclarations et les demandes d autorisations relatives aux moyens et prestations de cryptologie et définissant les dispositions particulières relatives aux prestations de cryptologie. L arrêté 15 févr fixait les modalités d établissement de la demande de licence d exportation des moyens de cryptologie et d utilisation de cette licence. Le 5 mai 1995, deux arrêtés furent publiés concernant d une part au contrôle à l exportation vers les pays tiers et au transfert vers les Etats membres de la Communauté européenne des outils cryptologiques à double usage, et d autre part à la licence G.502 d exportation des moyens de cryptologie. 52

53 l étendu de cet assouplissement de régime 166. Le régime applicable actuellement en France, pourrait se résumer comme suit 167 : Tableau 9 : Le régime de la cryptographie en France Finalités Fonctions offertes Authentification, Confidentialité signature, intégrité et nonrépudiation <=128 bits >128 bits Avec séquestre Sans séquestre Utilisation Libre Libre Libre Soumise à autorisation Fourniture Soumise à Soumise à Soumise à Soumise à déclaration déclaration autorisation autorisation Importation Libre Libre Soumise à Soumise à autorisation autorisation Exportation Libre Soumise à Soumise à Soumise à autorisation autorisation autorisation Les notions d utilisation, de fourniture, d importation, d exportation ainsi que d authentification et de confidentialité, peuvent être précisées de la manière suivante : Tableau 10 : La distinction entre les finalités et les fonctions offertes par le régime de la cryptologie Finalité Fonctions offertes Utilisation Personnelle Authentification Signature Collective électronique Générale Intégrité du message Fourniture Vente Location Fourniture gratuite Importation U.E. et AELE Hors AELE 53 Confidentialité Non-répudiation 166 En effet, le décret du 16 janvier 1998 a indiqué: - les conditions de déclaration préalable pour la fourniture ou l importation de certains moyens cryptographiques ; - a stipulé la libéralisation des techniques de chiffrement pour l authentification des parties et le contrôle du contenu du message. Ce chiffrement est limité à certaines parties du message qui permettent d assurer l authentification de l émetteur et du récepteur ainsi que son intégrité ; - il a mis en place une procédure de chiffrement des messages à partir de clés secrètes à la condition expresse que ces clés soient déposées chez un tiers de confiance. Le décret n du 24 février 1998 a prévu les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations sur les moyens et prestations de cryptologie, tandis que le décret n du17 mars 1999 a donné une liste de série de matériels et équipements et définit par finalités s il y a lieu de procéder à des formalités. L usage de matériels ou logiciels utilisant des clés inférieures à 128 bits est devenu libre. 167 Source : T. Piette-Coudol, «Echanges électroniques. Certification et sécurité». éd. Litec, p.32.

54 Exportation Hors AELE Hors U.E. La violation des règles sur la cryptographie sont punies d emprisonnement de 6 mois à 3 ans, et d une peine d amende. Sont notamment punies, les infractions suivantes : - la fourniture et importation d un pays n appartenant pas à l Union européenne, ainsi que l exportation sans autorisation préalable ou en dehors des conditions de l autorisation délivrée 168 ; - la gestion pour le compte d autrui, des conventions secrètes de moyens cryptologiques assurant des fonctions de confidentialité, sans avoir obtenu l agrément 169 ; - la fourniture, importation ou exportation de tout moyen cryptographique en vue de faciliter la préparation ou la commission d un crime ou délit 170 ; - faire obstacle au déroulement des enquêtes des officiers et agents de police ou agents de douane 171 ; - l importation et fourniture en provenance d un Etat hors U.E. et AELE, ainsi que l exportation en l absence de la déclaration préalable La naissance hésitante d un régime international et communautaire. Du 6 au 8 juillet 1997 s est tenu à Bonn, la Conférence ministérielle européenne (UE, AELE, PECO) sur les réseaux globaux de l information 173. Parmi les sujets discutés, certains portaient sur la cryptographie. Les Etats participants ont reconnu l importance de la disponibilité des technologies de cryptologie fortes pour le commerce électronique. Selon eux, les mesures restrictives d accès doivent être proportionnées et efficaces, et doivent prendre en compte les lignes directrices de l OCDE. Ils ont également le besoin de renforcer la coopération internationale, notamment dans le cadre du Conseil de l Europe, de l OCDE et de l OMC. a) Les lignes directrices de l OCDE En 1996, le gouvernement américain a proposé à l OCDE la création d un groupe de travail en vue de préparer des lignes directrices en matière de cryptographie. Il a fait pression, en outre, pour l adoption d une norme internationale de clé publique. Les débats au sein de l OCDE ont suscité des oppositions importantes. D une part, la proposition américaine était appuyée par la France et la Grande Bretagne. D autre part, le Ministre du commerce et de l industrie du Japon était fortement opposé. Les pays scandinaves ont également montré leur opposition aux propositions américaines, en prétendant que ce système pourrait entamer la confiance des parties. Le représentant du Danemark a dit que la norme ne pouvait pas être 168 Selon l article III a) de la loi du 29 décembre 1990, modifiée par la loi du 26 juillet 1996, cette infraction est punie de 6 mois d emprisonnement et de francs. 169 Selon l article III a) de la loi du 29 décembre 1990, modifiée par la loi du 26 juillet 1996, cette infraction est punie de 2 ans d emprisonnement et de francs d amende. 170 Selon l article III a) de la loi du 29 décembre 1990, modifiée par la loi du 26 juillet 1996, cette infraction est punie de 3 ans d emprisonnement et de francs d amende. 171 Selon l article III a) de la loi du 29 décembre 1990, modifiée par la loi du 26 juillet 1996, cette infraction est punie de 6 mois d emprisonnement et de F d amende. 172 Selon article 29 du décret du 24 février 1998, cette infraction est punie d une amende prévue pour les contraventions de 5 e classe. 173 Source : Actualité Internationale, n 17, 1 er sept. 1997, p. 632 et s. 54

55 introduite dans un système national facilement. Enfin, les industriels demandaient l assurance qu ils auraient le droit de choisir eux-mêmes le système cryptographique qu ils appliqueraient. En mars 1997, l OCDE a adopté les lignes directrices en matière de cryptographie. Il s agit d un accord ne liant pas les Etats membres, qui définit les règles de base que les Etats devraient insérer dans leur droit national. Leur but est de promouvoir l utilisation de la cryptographie, de développer le commerce électronique, de renforcer la confiance dans le réseau et de protéger la vie privée. Les lignes directrices mettent en place huit principes pour l utilisation de la cryptographie: 1- les méthodes cryptographiques utilisées doivent sûres afin de promouvoir la confiance dans l utilisation des moyens communicationnels ; 2- Les utilisateurs doivent avoir le droit de choisir la méthode cryptographique de leurs choix, dans la limite des prescriptions légales nationales ; 3- Les méthodes cryptographiques doivent être développées selon les besoins des utilisateurs (particuliers, entreprises ou des gouvernements) 174 ; 4- Les standards techniques, les critères et protocoles des méthodes cryptographiques doivent être développées et promulgués au niveau national et international ; 5- Les droits fondamentaux des individus à la vie privée, y compris le secret des correspondances et la protection des données personnelles, doivent être respectés par la législation nationale relative à la cryptographie ; 6- Les législations nationales sur la cryptographie doivent permettre l accès aux recours juridictionnels ; 7- La responsabilité des personnes ou organismes offrant des services de cryptographie ou de gestion de clé cryptographiques, doit être expressément prévue soit par la législation nationale soit par contrat ; 8- Les gouvernements doivent coopérer et coordonner les régimes cryptographiques. Ils doivent lever ou éviter de créer des règles constituant des obstacles au commerce 175. b) L Union Européenne L Union Européenne a joué un rôle important dans la levée des restrictions en matière de cryptographie. Déjà en 1994, le Conseil des ministres a essayé de réglementer le domaine de la cryptographie par le moyen de deux textes : - le règlement CE 3381/94 du Conseil du 19 décembre 1994 instituant un régime communautaire de contrôle des exportations de biens à double usage. Il instaure un régime communautaire de limitation des exportations des biens susceptibles d un usage civil et d un usage militaire, et notamment les équipements, ensembles et composants de cryptologie. 174 Ne s agirait-il pas de la reconnaissance des besoins du commerce électronique? 175 On pourrait faire le rapprochement avec les règles du GATT 94 (pour l exportation de produits cryptographiques) et du GATS (concernant les prestataires de service de cryptographie). 55

56 - la décision du Conseil du 19 décembre 1994 relative à l action commune, adoptée par le Conseil sur la base de l article J3 du traité de l U.E., concernant le contrôle des exportations de biens à double usage ; modifiée par les décisions 95/127/PESC et 95/128/PESC du 10 avril La Commission exige que les Etats membres fassent état de toutes modifications, voire même des propositions modifiant le régime applicable à la commercialisation, l utilisation ou l importation de moyens cryptographiques. Elle demande, également, le démantèlement des contrôles intra-communautaire portant sur les produits cryptographiques. En octobre1997, la Direction générale XIII, responsable des télécommunications, a publié un rapport encourageant l utilisation de clés cryptographiques dans les communications par Internet. Selon le rapport, «la restriction de l utilisation de la cryptographie pourrait empêcher des entreprises et des citoyens respectueux du droit, de se protéger des attaques frauduleuses et elle n empêchera pas les criminels d utiliser ces méthodes». c) Le Conseil de l Europe Le 8 septembre 1995, le Conseil de l Europe a approuvé une recommandation qui limitait la cryptographie «forte» 177. La recommandation relative aux problèmes de procédure pénale liées aux techniques de l information, stipule que: «Sujets de privilèges légaux et de protection, les autorités d investigation doivent avoir le pouvoir d ordonner aux personnes qui sont en possession de documents dans leur ordinateur sous leur contrôle, de fournir toute information nécessaire et de permettre l accès à le système informatique de ces derniers». En d autres termes, la recommandation marque les limites de la liberté d utilisation de la cryptographie 178. B- La certification. Sed quis custodiet ipsos custodes? (Mais qui surveillera les gardes eux-mêmes?) Satires, VI, ligne 347. Juvenal, 1 er siècle av. J.C. La certification contribue indéniablement à l établissement de la confiance entre les parties à la transaction. La procédure de la certification peut être représentée comme suit : 176 Il est intéressant de noter que le domaine de la cryptographie, et surtout son exportation, entre dans le champ d application de la PESC. 177 Recommandation n R(95)13 relative aux problèmes de procédure pénale liés à la technologie de l information. 178 En effet, selon le chapitre V «Utilisation du chiffrement» : «Des mesures devraient être examinées afin de minimiser les effets négatifs de l utilisation du chiffrement sur les enquêtes des infraction pénales, sans toutefois avoir des conséquences plus que strictement nécessaires sur son utilisation légale» «168. En ce qui concerne la communication de données, le chiffrement est utilisé afin de maintenir la confidentialité et l intégrité d une communication, et de permettre son authentification». «169. [ ]Cependant, la production d informations sensibles propres au monde des affaires, telles que le transfert de fonds électronique ou données relatives à la production, est beaucoup plus importante». 56

57 Tableau 10 : La procédure de la certification Autorité horodatage Service d annuaire (3) Autorité d enregistre ment PC, DPC Requête Autorité de certification Archivage Liste de certificats révoqués (2) (5) (4) (7) Clé (1) Titulaire des clés (6) Organisme destinataire Le titulaire des clés procédera, lui-même ou par contrat avec un prestataire de services, à la génération des clés publiques et privées (1). Ensuite, il déposera les clés auprès d une autorité d enregistrement en vue d obtenir un certificat (2). L autorité d enregistrement, après vérification des clés et de l identité du demandeur, validera les justificatifs (3) et adressera une requête de délivrance de certificat auprès d une autorité de certification. Celle-ci émettra un certificat qu elle adressera au titulaire des clés (4). Le fournisseur devra, alors, notifier à l autorité d enregistrement l acceptation du certificat (5). En même temps l autorité de certification procédera à l horodatage et l archivage des clés. Le titulaire des clés utilisera les clés pour crypter et signer ses messages adressées à ses cocontractants, lesquels pourront confirmer la validité des clés en vérifiant que le certificat n est pas révoqué (7). En plus, l autorité de certification peut, sur demande du titulaire du certificat, adressé ce document à l autorité d horodatation. L intérêt est de donner aux messages visés par le certificat une date et heure précise et incontestable. La certification consiste pour un organisme spécifique d examiner deux ou plusieurs données et de vérifier leur correspondance. Le tiers certificateur établit un certificat électronique de type X dans lequel il garantit la correspondance de ces données. Selon le projet de communication COM503 de la Commission 180, un certificat doit contenir des éléments comme le nom du signataire, le nom de l autorité de certification, la clé publique de signature, l algorithme, le type de clé, les autorisations officielles et la date d expiration du certificat. D un point de vue technique, trois types de certificats sont à distinguer (par ordre croissant de sécurité) : le certificat d attribut, le certificat d identité et le certificat de clé publique 181. Pour des raisons de sécurité, chaque certificat a une durée de vie limitée. 179 Norme définit par ISO. Voir Glossaire. 180 COM(97)503 «assurer la sécurité et la confiance dans la communication électronique vers un cadre européen pour les signatures électroniques». 181 Pour définitions, voir glossaire. 57

58 Plusieurs autorités interviennent dans le cycle de vie d un certificat (voir schéma ci-dessus), mais ne sont pas toutes qui certifient. En effet, le tiers de séquestre 182 et le tiers archiveur ne font qu archiver et conserver les documents. Ils ne doivent intervenir d aucune manière. Il est très important de noter que la certification électronique concerne la cryptographie. Elle est gérée par le droit spécial des télécommunications, branche du droit administratif. Par conséquent, elle ne concerne pas la formation des actes juridiques. Au niveau communautaire, le projet TEDIC 183 tendait au développement d un référentiel de certification à vocation normalisatrice. En d autres termes, il visait à la mise en œuvre de fonctions et mécanismes de sécurité et de certification dans les transactions par Internet. 1- le tiers certificateur, le tiers de confiance et leur rôle dans les transactions. Il est indispensable de distinguer les deux types d intervention. D une part, le tiers certificateur est un organisme chargé d intervenir dans les échanges afin de certifier la date et la bonne réception du message. Il est nommé par les parties. Sa fonction est double : il est à la fois le dépositaire des clés de cryptologie et le certificateur des transactions électroniques. D autre part, le tiers de confiance est un organisme agréé, chargé de gérer les clés de chiffrement des procédés de cryptologie. Ils jouent un rôle est très important dans la production de la preuve de la transaction et de ses termes précis, notamment lors d un litige. Il faut noter que leur rôle est plus important dans le cadre du commerce B to B, que dans le cadre du commerce B to C, en raison du poids important des commandes. Par conséquent, les cocontractants prennent le soin de suivre une procédure, simple certes, qui leur permet de sécuriser la transaction. Plusieurs étapes doivent être distinguées : Les différents messages, éléments constitutifs de la transaction, sont sécurisés à l aide d un système cryptographique. Ce système calcule un sceau significatif du contenu du message. Si un élément des messages est changé par l une des parties, ou par un tiers, le système donnera un sceau différent ; L ensemble des messages ainsi sécurisés est conservés soit par les deux cocontractants, soit par un accord d interchange, sont déposés auprès d un tiers de confiance (notamment un notaire électronique) ; Ce dernier conserve l ensemble des messages dans son intégralité ; En cas de litige, le tiers de confiance mettre à disposition les messages sécurisés et conservés, après avoir appliqué l algorithme (ou la clé publique ou privée) en vue de les rendre lisibles. a) Le tiers de confiance. La France a été le premier pays mettant en place un système de tiers de confiance. D autres pays ont tenté d imposer un tel système, par la suite 184. Mais ce système présente certains 182 Le tiers de séquestre conserve la clé privée pour garantir la confidentialité de la transaction. Il est également appelé «organisme agréé». 183 voir infra. 184 Par exemple aux Etats Unis, le gouvernement a tenté d imposé un système de tiers de confiance, sous le nom de «Clipper Chip», mais il a été abandonné. 58

59 inconvénients. En effet, toute la sécurité des procédés de cryptographie modernes repose sur la clé secrète. Or, le dépôt des clés chez un tiers, peut poser des problèmes de confidentialité (même si les tiers de confiance sont tenus au secret professionnel, le risque d abus ne disparaît pas pour autant). La différence avec le tiers certificateur réside dans le rôle «passif» du tiers de confiance dans la transaction. En effet, si le tiers certificateur doit certifier que tel ou tel message provient effectivement de la personne qui se réclame titulaire du certificat, le tiers de confiance ne fait qu archiver les documents et les sécuriser contre toute attaque extérieure (qu il s agisse de la détérioration, de la modification ou de la destruction des données). Ainsi, sa responsabilité sera engagée s il n a pas pris les mesures de sécurité adéquates pour la protection des données. En effet, l article 13 de la directive 2000/31/CE du 8 juin 2000 prévoit que la responsabilité de l intermédiaire exerçant une activité exclusivement de stockage ne pourra s engager à condition qu il : - ne modifie pas l information ; - se conforme aux conditions d accès à l information ; - se conforme aux règles concernant la mise à jour de l information ; - n interfère pas dans la technologie utilisée dans le but d obtenir des données sur l utilisation de l information ; - agisse rapidement pour retirer l information, ou pour rendre l accès à celle-ci impossible, dès qu il a effectivement connaissance que l information a été retirée du réseau. b) Le tiers certificateur Il s agit d un organisme public ou privé, qui émet des certificats électroniques. Le certificat électronique est un registre informatique revêtu d une signature électronique qui identifie l émetteur du certificat, le souscripteur et la clé publique. Son rôle consiste à administrer et publier les clés publiques. Il vérifie qu une clé publique correspond effectivement à son propriétaire. Il se porte garant de l identité et de la capacité d une personne en vue de valider une transaction électronique. Sa fonction se rapproche à celle du notaire. Il faut noter que les règles d attribution des certificats délivrés par l organisme de certification et le niveau de garantie des utilisateurs est définit par une autorité certifiante (AC). Les tiers certificateurs doivent être agréés 185 par l Etat. La directive 1999/93/CE du Parlement européen et du Conseil renvoie aux Etats pour prévoir la procédure d accréditation. En France l autorité compétente pour délivrer l accréditation c est la COFRAC (Comité français d accréditation 186. Au niveau international, des systèmes d audit croisés entre les différents pays permettent une reconnaissance mutuelle des autorités de certification. Il s agit notamment d EA (European cooperation for accreditation) et le MLA (accord multilatéral 185 La procédure d accréditation est définie par ISO comme celle «par laquelle un organisme faisant autorité reconnaît formellement qu un organisme ou un individu est compétent pour effectuer des tâches spécifiques». 186 Association loi 1901 créé en

60 européen d accréditation). L intérêt de telles procédures consiste à rendre plus faciles les transactions internationales. Le tiers certificateur doit respecter un certain nombre d obligations, notamment assurer le fonctionnement d un service d annuaire de révocation, utiliser des systèmes de protection fiables, prendre des mesures contre la contrefaçon des certificats et enregistrer toutes les informations pertinentes concernant un certificat donné dans un délai raisonnable (c est-àdire, dans un délai rapide pour pouvoir faire face aux exigences du monde des affaires). En d autres termes, le rôle du tiers certificateur ressemble beaucoup au rôle d un notaire 187. En ce qui concerne leur responsabilité, la directive communautaire prévoit qu elle ne porte que sur les certificats agréés. Par conséquent, elle ne couvre que l exactitude et la pertinence des informations contenues dans un certificat. Il appartiendra au tiers certificateur d apporter la preuve qu il n a commis aucune faute ou négligence. Outre leur surface financière, ils doivent posséder une assurance professionnelle. Les relations avec leurs clients doivent faire l objet d un contrat transmis par un «moyen de communication durable». Ce contrat doit contenir notamment les conditions d utilisation des certificats, les limites de la responsabilité du prestataire, et les procédures de réclamation et de règlement des litiges. Enfin, la directive fixe certains points de la gestion technique des certificats. 2- Vers une normalisation des relations en matière de certification : les ICP. Le service de sécurité des télécommunications du gouvernement fédéral du Québec définit l ICP 188 comme «un système de gestion de clés de chiffrement et de délivrance de certificats qui permet les transactions financières électroniques et l échange d information de nature délicate entre deux étrangers et ce, en toute sécurité». Elle offre de services de protection de la vie privée, de contrôle d accès, d intégrité, d authentification et de non répudiation. En effet, elle est utilisée notamment dans le cadre des communications par Internet, du paiement sécurisé, de l EDI et de la messagerie sécurisée. Elle ne vise que l organisation du contexte d utilisation de la cryptographie. 187 En effet, parfois le terme de tiers certificateur est remplacé par celui de notaire électronique. 188 Infrastructure à clé publique. 60

61 L infrastructure à clé publique, peut se présenter comme suit : Tableau 11 : L ICP ICP 1 er niveau Autorité centrale 2 e niveau TC TC TC 3 e niveau TC TC 4 e niveau Autorité Autorité Autorité Autorité d enregistrement d enregistrement d enregistrement d enregistrement L autorité centrale accrédite les tiers certificateurs principaux (il peut y avoir un troisième niveau constitué de tiers certificateurs secondaires ou subsidiaires). Les tiers certificateurs délivrent les certificats après transmission de la requête par les autorités d enregistrement. Il existe peu d ICP, actuellement. Un projet vise à la création d une ICP au niveau communautaire 189. Mais l état de droit communautaire en est loin pour le moment. En effet, la directive de 1999 sur la signature électronique, n en fait pas allusion. D autre part, la Commission ne s estime pas compétente pour promouvoir une telle action, et renvoie aux organisations spécialisées 190 Tous les intervenants et acteurs lors d une transaction électronique jouent un rôle important dans la sécurisation des paiements. Les parties au contrat doivent remplir leurs obligations respectives. Les intermédiaires financiers transmettent les fonds en vue du paiement et assurent celui-ci contre les comportements frauduleux non seulement des parties mais également des tierces personnes. Enfin, l Etat encadre ces relations commerciales, en punissant les fraudeurs, en réglementant le régime de la cryptologie et en instaurant des ICP. Mais la sécurité des paiements passe également par des moyens techniques et par un cadre juridique très strict. 189 Il s agit du projet FAST (First attempt to secure trade), du programme TEDIS Elle renvoie surtout à l UIT, ISO, CEN-CENELEC (Centre européen de normalisation) et l ETSI (organisme de normalisation des télécommunications). 61

62 Chapitre 2- LA SECURITE JURIDIQUE DES TRANSACTIONS «Quand à propos d une idée, on dit qu on est d accord sur le principe, cela signifie que l on n a pas la moindre intention de la mettre à exécution» Bismarck La sécurité juridique des transactions passe, d une part, par le respect des engagements pris et par l exécution de bonne foi, et d autre part par le respect des droits du cocontractant. Le caractère dématérialisé et délocalisé d Internet a donné l occasion aux cocontractants malhonnêtes de réaliser leurs méfaits : fraudes, abus de confiance, malversations, espionnage industriel, blanchiment d argent et infractions de tout type qui entrent dans la catégorie de la cybercriminalité 191. Ce même caractère a permis à certains cocontractants qui a priori respectaient leurs engagements, de lâcher leur garder et de se permettre de «petits oublis». L idée qu Internet est un lieu de non-droit avait gagné les esprits aussi bien des marchands que des internautes acheteurs. Depuis quelques années, leur réveil fut difficile lorsqu ils se sont trouvés face à un arsenal de règles juridiques et à une série d autorités publiques spécialisées en la matière, répressives ou non. Les sanctions économiques ont été, également, brutales L authentification et la signature électronique : un bouleversement du régime de la preuve? En droit français, l article 1341 C.C. pose deux types de règles : d une part, l obligation de préconstituer une preuve écrite sous la forme d un acte authentique ou d un acte sous seing privé pour des actes supérieurs à un certain montant prévu par décret (actuellement le seuil est de F) ; d autre part, l interdiction de prouver par témoignage contre ces actes. Or, la dématérialisation de la facture électronique posait plusieurs problèmes quant à la preuve. L identification permet de définir de manière non équivoque l expéditeur et le destinataire d une information. Elle est assurée par l utilisation de la signature électronique (B). D autre part, l authentification permet de vérifier la véritable identité de l expéditeur. En effet, les signatures électroniques utilisées à des fins d authentification sont déposées auprès d un organisme centralisé (A). 191 Comme il a été exposé dans le paragraphe 1 er du premier chapitre. 192 L exemple le plus fameux est celui de Boo.com, qui se voulait une galerie marchande virtuelle mais qui a fait faillite avant même son «ouverture» officielle sur le Net. Cet exemple a constitué la mèche qui a fait explosé la bulle spéculative qui était créée autour des start-up, qui visaient gros et qui croyaient tout se permettre. Depuis 1998, le domaine des start-up a dû mal à se redressé, ces valeurs étant les plus touchées par la chute des marchés financiers. 62

63 A- Nécessité d authentification dans les transactions 1- L authentification des parties en vue de la sécurité de la transaction. La sécurité juridique des transactions passe avant tout par la vérification de l identité des cocontractants, ce qui évite le risque de fraude, de répudiation ainsi que les risques liés à la personne des cocontractants (ex. solvabilité, capacité). a) Techniques d identification des parties «Que veut dire parle, ami, et entre?» demanda Merry, «C est assez claire», dit Gimli. «Si voue êtes un ami, dites le mot de passe, et les portes s ouvriront, et vous pourrez entrer». [ ] «Mais ne connaissez-vous pas le mot, Gandalf?» demanda surpris Boromir. «Non!» dit le magicien. «Je ne connais pas encore le mot. Mais nous verrons bientôt» Le Seigneur des anneaux J.R.R. Tolkien La vérification de l identité des parties peut se faire par l intermédiaire de plusieurs techniques : i- La vérification par l utilisation de mots de passe Dans beaucoup de sites marchands, le client lors de son premier passage rempli un formulaire avec ses coordonnées complètes (nom, prénom, adresse, adresse électronique ) et certaines autres informations le concernant, notamment sur ses goûts, hobbies, etc. Une fois l enregistrement de ses données terminé, le marchand lui accorde un numéro d identifiant et éventuellement un code secret. Ces deux numéros (qui peuvent être alphanumériques) d identification sont réputés personnels, et par conséquent le client est censé les garder secrets. Il existe quatre types de mots de passe : - Les mots de passe de groupe, qui sont communs à tous les utilisateurs du site. Ils sont appelés log-on, et permettent d accéder à un service depuis un terminal. - Les mots de passe individuels. L utilisateur ou client peut choisir un code secret qui lui convient. - Les mots de passe non individuels, qui servent à vérifier une identité déclarée. C est le fournisseur qui attribue à son client, en plus du log-on, un code secret précis. L exemple le plus connu c est le code secret de la carte bancaire (le numéro à 11 chiffres de la carte correspondant au log-on). Ce code est personnel, et son titulaire est réputé ne pas le divulguer. En effet, ce code identifie de manière non équivoque la personne titulaire de la carte bancaire. L article 57-2 du décret loi de 1935 prévoit 63

64 l irrévocabilité de la transaction en cas d utilisation de ces deux identifiants. La jurisprudence de la Cour de cassation a réitéré cette position 193. A titre de précaution, tous les contrats des établissements financiers avec leurs clients contiennent des clauses précisant le niveau de responsabilité du client face au code secret Les mots de passe qui changent à chaque fois que l on accède au système. Le fournisseur doit établir une liste de mots de passe et d en donner une copie au client. A chaque accès, on utilise un mot de passe qui devient de ce fait caduque pour toute utilisation ultérieure. Ce système est utilisé notamment dans le réseau SWIFT. L utilisation de mots de passe empêche une utilisation frauduleuse des instruments de paiement 195. En cas de perte ou d oubli du code, certains fournisseurs mettent en place un système d aide à l utilisateur. En effet, lorsque le client remplit le formulaire d inscription, une question peut jouer le rôle de «pense bête» pour l utilisateur. Si l utilisateur ne sait plus son code secret d accès au service, il doit répondre correctement à cette question 196 pour que le fournisseur l identifie et lui envoie par courrier électronique son code secret. Il est intéressant de noter qu aux Etats Unis, le Computer Fraud ans Abuse Act 1986 sanctionne le trafic de mots de passe volés. Cependant, la loi contient des réserves, qui peuvent paraître surprenantes, parce que le fait de voler un mot de passe n entraîne pas forcément des poursuites pénales. ii- La vérification de l identité par la possession d un jeton Le système d identification par jeton le plus connu est celui des cartes à pistes magnétiques. Son utilisation est devenu si populaire et facile, qu une réglementation a paru nécessaire. En effet, ISO spécifie de manière stricte les dimensions et qualités de la carte et des pistes, comme suit : 193 Cass. 1 re ch. Civ. 1989, CREDICAS: l emploi d une carte à puce, comportant l identification du porteur et la fourniture d un code secret, équivaut à une signature électronique. La transaction devient, alors, irrévocable. 194 Voir Annexe IV. 195 La société Bell a réalisé une étude concernant le temps nécessaire à la recherche d un mot de passe. Selon cette étude pour une suite de quatre caractères choisis parmi les 95 caractères imprimables, le temps pour trouver le code était de 28 heures. Pour une suite de cinq caractère pris dans l ensemble des 62 caractères alphanumériques, le temps de recherche était de 318 heures. 196 Il peut s agir d une question du type : «Quelle est le prénom de votre mère?» ou «Quelle est votre couleur préférée?». 64

65 Source : D.W.Davies, W.L.Price, «Sécurité dans les réseaux informatiques», 2 e édition, AFNOR, p.195. Malgré les précautions prises par les organismes publiques, la duplication des cartes à piste magnétique est une réalité. Les cartes à puce ont été la solution au problème. La carte à puce (smart card en anglais) est une invention française 197. La norme ISO 7816 définit ses caractéristiques techniques 198 Il est intéressant de noter la décision de Conseil d Etat finlandais de février 1998, qui annonçait l introduction d une carte d identité électronique servant de moyen d identification et de signature électronique. L obtention de cette carte d identité est prévue moyennant le paiement d un timbre fiscal spécifique. Le Väesttörekisterikeskus (Centre d enregistrement de la population) a été désigné comme autorité d authentification. Dans ce même état d esprit, la Commission des finances, face à l inquiétude des français à l égard du paiement en ligne, elle a fait une série de propositions devant l Assemblée Nationale le 11 juillet La première proposition consiste en la mise au point d un carte d identité à puce, suivant ainsi l exemple finlandais. La seconde consiste en la création d un label 200. iii- Autres moyens d identification des parties Le moyen d authentification traditionnel c est la signature manuscrite. Dans le domaine du commerce électronique, la signature électronique a remplacé la signature manuscrite 201. D autres méthodes d identification et d authentification d une personne existent, mais ils ne sont pas adaptés au commerce électronique, du moins pour le moment et dans l avenir proche. Il s agit des caractéristiques biométriques, c est-à-dire de la vérification de l empreinte 197 Le père de la carte à puce est Roland Moreno, qui a déposé son premier brevet sur la carte en Pour les caractéristiques techniques, voir Glossaire. 199 Voir et Voir infra. 201 Voir infra. 65

66 digitale, qui est utilisée par la police scientifique, la vérification de la voix et la reconnaissance des dessins rétiniens. iv- Le choix de la méthode Aux Etats Unis, le NBS (National Bureau of Standards) a publié un rapport, intitulé «Guidelines on Evaluation of Techniques for Automated Personal Identification», selon lequel douze points sont à prendre en considération lors du choix d une méthode de vérification de l identité : - la résistance à la fraude ; - la facilité d effectuer une contrefaçon ; - la possibilité de contournement ; - la durée nécessaire à la reconnaissance ; - l ergonomie ; - le coût du dispositif de reconnaissance et de son utilisation ; - l interface du dispositif ; - le temps et l effort requis pour la mise à jour ; - le traitement requis dans le système informatique pour mettre en œuvre le procédé d identification ; - la fiabilité et la maintenabilité ; - le coût de la protection du dispositif ; - le coût de la distribution et du support logistique. Actuellement l instrument de paiement le plus sûr dans le cadre du commerce électronique est indéniablement la carte à puce qui nécessite un équipement précis, un boîtier de lecture 202. Mais, le système est tellement onéreux, que les banques ont choisi de développer des services d assurance que de fournir à leurs clients les lecteurs requis. L authentification du message. i) l objectif de garantir l intégrité du message ii) le rôle de l intermédiaire à la transaction : force probante. B- La valeur juridique de la signature électronique : vers une reconnaissance juridique. La signature électronique a été progressivement admise comme un moyen de preuve par la plupart des pays occidentaux. En effet, la nécessité de sécuriser les transactions réalisées par Internet a été le fondement principal de cette évolution. Elle est définie comme le processus technique qui permet qui d identifier de manière certaine l expéditeur du message. Le fonctionnement de la signature électronique, même s il est très technique, il est simple dans sa logique : 202 Par exemple Cyber-Comm. 66

67 Tableau 12 : Le fonctionnement de la signature électronique (Source : T. Piette-Coudol, «Echanges électroniques. Certification et sécurité», éd. Litec, p.128). La signature est générée par un dispositif de création de signature (logiciel dont la fonction est le «hachage» des informations), qui aboutit à la création d un résumé du message. La clé privée chiffre ce résumé. Le résultat de cette opération c est la signature électronique. L expéditeur du message peut alors l envoyer à son cocontractant, en y joignant le certificat délivré par le tiers certificateur. Le destinataire procédera à l opération inverse. La signature électronique apporte la garantie : - de l intégrité des informations contenues dans le message ; - de l identité du signataire (authentification) ; - de la non-répudiation de l émission. La Conférence ministérielle européenne (UE, AELE, PECO) sur les réseaux globaux de l information, tenue du 6 au 8 juillet 1997 à Bonn, s est penchée sur la question de la reconnaissance de la reconnaissance de la signature électronique. Les Etats participants ont reconnu la nécessité de disposer d un cadre juridique et technique au niveau européen et international qui assure la compatibilité et qui crée la confiance dans les signatures électroniques. Ils ont également reconnu la nécessité de développer des normes minimales techniques et d infrastructure afin d assurer l utilisation sûre et fiable des réseaux. Enfin ils ont décidé de prendre des mesures pour éliminer les entraves à l utilisation des signatures électroniques en matière juridique, commerciale et administrative. 1- La loi-type CNUDCI. Déjà par sa recommandation lors de la 18 e session en 1985, reprise dans une résolution de l Assemblée générale du 11 novembre 1985, concernant l utilisation des traitements 67

68 automatiques de l information, la CNUDCI s était penchée sur la question de la valeur juridique de la signature électronique. Le texte, s adressant aux gouvernements et aux organisations internationales, recommandait le réexamen les règles juridiques faisant obstacle à l utilisation de l informatique dans les transactions commerciales, en vue de faciliter l enregistrement informatique des éléments constitutifs de la transaction, ainsi que la transmission des documents par un message électronique. Les articles 6 à 8 de la loi-type CNUDCI reconnaissent la signature électronique comme «équivalent à l écrit et la signature» 203. D après les termes de l alinéa 2 de l article 8, «une information présentée sous la forme d un message de données se voit accorder la force probante voulue. Lors de l évaluation de la force probante d un message de données, il est tenu compte de la fiabilité du mode de création, de conservation ou de communication du message de données, de la fiabilité du mode de préservation, de l intégrité de l information, de la manière dont l utilisateur a été identifié et de tout autre facteur pertinent». 2- Le régime communautaire. La directive 1999/ /CE du Parlement européen et du Conseil a précisé au niveau communautaire la valeur juridique de la signature électronique. En effet, l article 5 de la directive prévoit que : «1. Les Etats-membres veillent à ce que les signatures électroniques avancées basées sur un certificat qualifié et créés par un dispositif sécurisé de création de signature : b- répondent aux exigences légales d une signature à l égard de données électroniques de la même manière qu une signature manuscrite répond à ces exigences à l égard des données manuscrites ou imprimées sur papier et, c- soient recevables comme preuves en justice. 2. Les Etats membres veillent à ce que l efficacité juridique et la recevabilité comme preuve en justice ne soient pas refusées à une signature électronique au seul motif : - que la signature se présente sou s forme électronique, - ou qu elle ne repose pas sur un certificat qualifié, - ou qu elle ne repose pas sur un certificat qualifié délivré par un prestataire accrédité de service de certification, - ou qu elle n est pas créée par un dispositif sécurisé de création de signature». En effet, l Union européenne reconnaît que la sécurité et la rapidité des transactions électroniques ne peuvent pas être satisfaites par les moyens d authentification traditionnels, en passant par une signature manuscrite. Plusieurs pays industrialisés, membres ou non de l Union européenne, avaient déjà admis la validité juridique de la signature électronique. Et dans les pays, comme la France, où le législateur ne l avait pas reconnu, la jurisprudence avait rempli «le vide» 204. En d autres termes, la directive n a fait que confirmer la pratique. 203 Lors de la préparation de l article 7, un débat fut porté sur la notion de signature et les fonctions que celle-ci doit remplir. On en trouve trace dans le 53 du Guide pour l incorporation de la loi-type de la CNUDCI sur le commerce électronique dans le droit interne : «[la signature électronique sert à] identifier une personne ; apporter la certitude de la participation personnelle de cette personne à l acte de signer ; associer cette personne à la teneur d un document. On a noter que la signature pouvait en outre remplir diverses autres fonctions, selon la nature du document». 204 En France, nous pouvons citer le fameux arrêt Crédicas, où la Cour de cassation avait admis que le fait de composer son code secret lors d un paiement par carte bancaire équivalait à l apposition d une signature. 68

69 3- Des régimes nationaux variés et parfois révolutionnaires. La consécration juridique de la valeur juridique de la signature électronique est très récente. En effet, c est seulement la loi du 20 octobre 2000 qui a introduit la signature électronique en droit belge. Cette loi définit la signature électronique comme «un ensemble de données électroniques pouvant être imputé à une personne déterminée et établissant le maintien de l intégrité de l acte». Par cette loi la notification faite par courrier électronique est assimilée à une notification par écrit. Cependant, en Grande Bretagne, l admission de la signature juridique comme moyen de preuve date du Civil Evidence Act de 1995, selon lequel un document informatique est admissible à titre de preuve mais il devra être authentifié selon une procédure fiable. En Italie, même si la signature électronique est introduite dans le droit italien depuis 1997 avec la loi du 15 mars sur la signature électronique, il a fallu attendre le décret législatif n 123 du 13 février 2001 pour déterminer les conditions de création, de notification et de traitement par voie électronique des documents des procédures judiciaires civiles, administratives et comptables. Le décret entrera en vigueur au 1 er janvier Des décrets d application du Ministère de la Justice et du Premier Ministre doivent intervenir avant le 30 octobre Le code civil canadien reconnaît, également, de manière expresse la valeur probatoire des documents informatisés. Le document informatique reproduisant les données d un acte juridique est admis à titre de preuve «s il est intelligible et s il présente des garanties suffisamment sérieuses pour qu on puisse s y fier» 205. Comme on peut le constater, l écrit électronique aura la même valeur juridique d un écrit sur support papier à condition que l authentification des parties contractantes soit certaine et non équivoque. C est dans le même état d esprit que se sont développés les régimes juridiques français (a) et américain (b) en la matière. a) La législation française Depuis la loi du 13 mars 2000, signature électronique fait office de preuve dans toute transaction effectuée sur l Internet, dès lors que l on identifie l auteur. La loi introduit au 205 La réforme du code civil en 1994 s est manifesté par l introduction des articles suivants : - Art.2837 C.C. québécois : «Lorsque les données d un acte juridique sont inscrites sur support informatique, le document reproduisant ces données fait preuve du contenu de l acte, s il est intelligible et s il représente des garantes suffisamment sérieuses pour qu on puisse s y fier. Pour la qualité du document, le tribunal doit tenir compte des circonstances dans lesquelles les données ont été inscrites et le document reproduit». - Art.2838 C.C. québécois : «L inscription des données d un acte juridique sur support informatique est présumée présenter des garanties suffisamment sérieuses pour qu on puisse s y fier lorsqu elle est effectuée de façon systématique et sans lacunes, et que les données inscrites sont protégées contre les altérations. Une telle présomption existe en faveur des tiers du seul fait que l inscription a été effectuée par une entreprise». - Article 2839 C.C. québécois : «Le document reproduisant les données d un acte juridique inscrites sur support informatique peut être contredit par tous moyens». 69

70 Code civil les articles nouveaux 1316 à L art.1316 donne une définition plus immatérielle de la preuve littérale : désormais, la preuve littérale doit être entendue comme la preuve résultant «d une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d une signification intelligible, quels que soient leur support et leurs modalités de transmission». Ainsi, l écrit sous forme ou sur support électronique est admis comme preuve (art ) ayant la même force probante que l écrit sur support papier (art ). Mais pour que l écrit électronique soit admis, la personne dont il émane doit pouvoir être «dûment identifiée» et l écrit doit être fiable. Lorsque ces conditions sont réunies, l art établit une présomption de fiabilité à l égard de la signature créée afin d assurer une certaine sécurité juridique des actes électroniques. Un an après l adoption de la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique, le décret d application fut adopté à son tour. Concernant les points importants du décret, il faut noter qu à l instar de la directive communautaire 1999/93/CE, le décret opère une distinction entre deux types de signatures, (ce qui n était pas prévu par la loi) : - d une part, la «signature électronique» qui est définie comme une donnée résultant de l usage d un procédé répondant aux conditions définies à l article , et - d autre part, la «signature électronique sécurisée» qui est définie comme étant une signature électronique qui satisfait en plus aux conditions suivantes : elle est propre au signataire ; elle est créée par des moyens que le signataire garde sous son contrôle exclusif ; elle permet de détecter toute modification ultérieure de l acte qu elle accompagne. La différence la plus importante du décret face à la loi consiste dans son article 2. Tandis que la loi estimait que la signature était présumée sous réserve de respecter les termes du décret, l article 2 de celui-ci prévoit que «la fiabilité d un procédé de signature électronique est présumée jusqu à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l utilisation d un certificat électronique qualifié». En d autres termes, le régime prévu par le décret d application est considérablement plus strict que celui prévu par la loi elle-même. Le dispositif de création de signature électronique doit être évalué et certifié conforme : - soit par les services du Premier Ministre chargés de la sécurité des systèmes d information 207 ; - soit par des organismes qui seront agrées par ces services ; 206 Art : «L écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu il soit établi et conservé dans des conditions de nature à en garantir l intégrité». - Art : «Lorsque la loi n a pas fixé d autres principes, et à défaut de convention valable entre les parties, le juge règle des conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable que qu en soit le support». - Art : «La signature nécessaire à la perfection d un acte juridique identifie celui qui l appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quant elle est apposée par un officier public, elle confère l authenticité à l acte. Lorsqu elle est électronique, elle consiste en l usage d un procédé fiable d identification garantissant son lien avec l acte auquel elle s attache. La fiabilité de ce procédé est présumée, jusqu à preuve contraire, lorsque la signature électronique est créée, l identité du signataire assurée et l intégrité de l acte garantie, dans des conditions fixées par décret en Conseil d Etat». 207 Les modalités seront prévues ultérieurement par arrêté. 70

71 - soit par un organisme européen assimilé. Le dispositif de création de signature électronique, une fois évalué, fera l objet d un certificat de conformité. Pour certains juristes 208, le décret n est pas aussi clair que l on pourrait attendre et il laisse un certain nombre d incertitudes. b) La législation américaine Aux Etats Unis, la première législation consacrée exclusivement à la signature électronique c est l Utah Digital Signature Act. Selon cette loi, un document signé de façon électronique est valide (article ). Seule la cryptographie à clé publique est autorisée afin de signer comme tel un document. Pour être légalement valable, une signature électronique doit : - être authentifiée comme provenant de la personne qui l a émise ; - être délibérée (son auteur a donné son consentement) ; - être utilisée dans un document unique (elle n est pas réutilisable) ; - rendre le document définitif ; - être valable au moment de son émission (problème de certificat révoqué). La loi limite la responsabilité contractuelle et délictuelle des tiers certificateurs qui respectent ses dispositions. Mais elle a été critiquée d être si restrictive qu aucune organisation de certification ne pouvait remplir toutes les conditions. Une loi fédérale est intervenue récemment afin d uniformiser les législations des Etats fédérés en matière de signature électronique. C est le Federal Electronic Signatures in Global and National Commerce Act, du 30 juin La loi, appelé aussi «E-sign», est fondée sur la loi Uniform Electronic Transactions Act. Elle encadre l utilisation de la signature électronique dans le commerce entre Etats fédérés. Elle ne privilégie ni un type précis de signature électronique, ni une technologie donnée. En effet, elle autorise l usage de la signature électronique en lui donnant valeur légale sans la définir, ni requérir un minimum de confidentialité et d irréfutabilité. Un certain nombre de documents sont exclus du champ d application de la loi, notamment les testaments, adoptions, divorces ou tout autre document relatif à la vie familiale. 4- Le problème de la répudiation des signatures Une signature électronique doit être enregistrée auprès d un organisme central. Mais, n étant pas à l abri des fraudes, elle peut elle-même être répudiée. En réalité, il s agit d un problème commun à tout type de transactions, et par conséquent la création de règles juridiques spécifiques ne paraît pas nécessaire. La situation la plus fréquente se rencontre lorsque, suite au vol d une signature électronique, le titulaire du certificat retire par mesure de précaution toutes les signatures faites avec la même clé secrète. La répudiation doit prendre la forme d une notification auprès de 208 Voir notamment l article de Me Murielle Cahen, «Signature électronique : retour sur une naissance mouvementée», 71

72 l organisme certificateur, accompagnée d une note publique pour en informer toutes les personnes intéressées. Mais la répudiation peut également résulter du comportement frauduleux du titulaire du certificat, qui veut se soustraire à ses obligations contractuelles. Certains ont proposé la solution des signatures horodatées, notariées par une autorité de confiance, pour éviter ce problème 209. Ainsi, les signatures mises en place avant la déclaration de perte ou de vol de la clé secrète seront déclarées valides. Cependant, le titulaire du certificat ne pourra pas toujours détecter l infraction immédiatement. Dans cette hypothèse, la solution appliquée depuis longtemps en matière de vol ou perte de carte bancaire pourrait également s appliquer en la matière : pour les transactions passées entre le vol et la déclaration de vol, le titulaire serait responsable. A ce jour, la loi ne donne pas de réponse au problème. 2- La communication des données bancaires sous le régime de la protection juridique des données personnelles. La protection des données personnelles entre dans une catégorie juridique plus large : la protection de la vie privée 210. Mais le terme de «vie privée» pose un sérieux problème terminologique, ce qui justifie la grande diversité des régimes juridiques. Selon François Rigaux 211 «le concept de vie privée est l émanation du rapport que la culture d une société détermine, institue entre la zone d intimité, méritant protection et la nature des relations sociales, publiques et privées». La question qui se pose est de savoir si les données bancaires communiquées lors d une transaction par Internet, constitue une donnée personnelle. Une donnée personnelle est celle qui identifie directement ou indirectement son titulaire. Les données financière ou bancaire identifient incontestablement leur titulaire. Lors d une transaction par Internet, le client envoie ses données bancaires. L article 2 a) de la loi-type CNUDCI définit le terme «message de données» comme «l information créée, envoyée, reçue ou conservée par des moyens électroniques ou optiques ou des moyens analogues, notamment, mais non exclusivement, l échange de données informatisées (EDI), la messagerie électronique, le télégraphe, le télex et la télécopie». L utilisation de l EDI présent un certain nombre d avantages pour le fournisseur/marchand, notamment : - la diminution des frais d envoi des documents relatifs à la transaction (ex. contrat, facture) ; - rend plus rapides les transactions ; - permet de personnaliser le contact avec le client. L application la plus connue d EDI est le SWIFT 212. L EDI est fortement recommandé pour l envoi des ordres de paiement. 209 Voir notamment, D.W. Davies, W.L.Price, «Sécurité dans les réseaux informatiques», 2 e édition, AFNOR, p Le Conseil constitutionnel a reconnu au principe du respect de la vie privée, une valeur constitutionnelle par son rattachement au principe de la liberté individuelle, qui est une liberté constitutionnellement garantie (DC ). 211 Voir François Rigaux, «La protection de la vie privée et des autres biens de la personnalité», Bibliothèque de la faculté de droit de l université catholique de Louvain, Bruxelles, Bruylant, Voir supra. 72

73 D une manière générale, la transaction commerciale par l intermédiaire du réseau (notamment, la communication des données bancaires) peut être considérée à première vue, comme violant le principe de l anonymat et de la protection de la vie privée. En effet, la majorité des sites marchands, utilisent un système de pré-inscription. Le client lors de sa première commande (qu il s agisse d un professionnel ou d un consommateur), doit remplir un formulaire. Lors des prochaines visites sur le site, le client n a plus besoin de s identifier, grâce aux programmes appelés cookies 213. En outre, la CNIL, dans son 15 e rapport publié en 1994, a estimé, a propos du paiement de spectacles télévisés à la séance sur les réseaux câblés : «Le paiement à la séance marque la fin de l anonymat puisque sont enregistrés l identité du téléspectateur et le programme choisi» (p.62). A- Les sources européennes et internationales Déjà l article 14 GATT, concernant les échanges mondiaux de services, avait admis la possibilité de dérogation au principe d ouverture des marchés pour des motifs relavant du respect de la vie privée. Mais les deux programmes les plus importantes, et les plus ambitieux en la matière sont le programme européen TEDIS et le programme de la CCI, l UNCID. 1- Les normes TEDIS et UNCID L EDI (Echange de données informatisées est défini par les Nations Unies comme «la transmission d ordinateur à ordinateur de données commerciales selon un mode de présentation informatisé». Dans le cadre de cette transmission, les parties peuvent passer un accord ou contrat-cadre par lequel elles établissent «les conditions juridiques et techniques d utilisation de l échange de données informatisées dans le cadre de leurs relations commerciales et administratives» 214. Ces contrats contiennent des dispositions de nature juridique (visant les conditions de validité et de formation des contrats par EDI, la preuve, la responsabilité, la loi applicable et le tribunal compétent), des dispositions de nature technique ainsi que des dispositions ayant comme objet la sécurité de l échange. Le 22 septembre 1987, le Comité directeur de la Chambre de commerce internationale CCI a adopté un certain nombre de règles dans le domaine de l EDI 215. Ces règles de nature contractuelle, appelées UNCID 216, ont plusieurs objectifs : - faciliter l utilisation de l EDI ; - elles sont applicables à l échange et non au contenu des messages transmis ; - introduire les normes internationalement acceptées comme celles de l ISO ; - traiter les questions de sécurité, vérification, authentification et de stockage des données ; - établir une interprétation uniforme du code. Ce texte est composé de 11 articles et d une importante note introductive Voir glossaire. 214 E. A. Caprioli, «Echange de données informatisées (EDI)», J.-Cl. Droit de l entreprise, n Ces règles furent approuvées par la Commission économique pour l Europe des Nations Unies. 216 Voir Annexe :Textes, 1). 73

74 a) La défaillance du système d échange des données. En cas de dysfonctionnement du système d échange des données, le texte UNCID prévoit que le risque pèse sur l émetteur du message et non sur son destinataire. Il convient alors de s interroger sur la possibilité d application de ces règles en matière de commerce B to C. Si tel était le cas, le risque pèserait alors au consommateur qui envoie ses coordonnées bancaires par l intermédiaire du réseau. Le texte ne donne pas d indications précises quant aux personnes qu il vise, mais il laisse entendre qu il s agit des professionnels, dans leurs relations d importation/exportation de biens et services. De son côté le modèle TEDIS vise cette hypothèse d une manière différente. En effet, l article 11 du modèle TEDIS exclue la responsabilité pour les dommages indirects, secondaires ou spéciaux. Une telle clause d exclusion de responsabilité est généralement incluse dans les accords EDI. b) La sécurité des échanges des données Concernant la question de sécurité de l échange des messages, selon les termes du modèle TEDIS, l accord lui-même doit contenir des dispositions relatives à son organisation. Ces dispositions doivent viser les hypothèses d accès non-autorisés, des altérations, des retards, des destructions et des pertes (art.6.1 TEDIS). Le modèle du WP.4 stipule que les parties devront prendre en considération la nature des messages échangés afin d adapter les règles de sécurité à leurs besoins commerciaux. c) La confidentialité et la protection des données à caractère personnel Selon l art du modèle TEDIS, les accords cadre doivent préciser que la confidentialité et la sécurité des transmissions d informations confidentielles sont garanties. Tout en affirmant une présomption de non-confidentialité pour les informations appartenant au domaine public, le modèle TEDIS énonce à la charge des parties l obligation d assurer la confidentialité et la non divulgation des informations. Quant au modèle du WP.4, son article 5.1 énonce que le contenu d un message ne sera pas considéré comme confidentiel en l absence d une telle mention. Il se présente, par conséquent, comme un modèle plus souple que TEDIS. 217 Les articles du texte précisent les points suivants : les définitions ; l application des normes d échange ; les précautions à prendre en matière de communication ; l identification et authentification des messages ; la confirmation du contenu des messages ; les accusés de réception des transmissions ; la protection des données ; et, les conditions et durée de stockage des données. 218 «Les parties peuvent convenir d utiliser une protection spécifique à certains messages, telle qu une méthode de chiffrement dans la mesure où la loi de leur pays respectif les y autorise». 74

75 d) L enregistrement et la conservation des messages EDI. Selon le modèle TEDIS, un enregistrement complet et chronologique de tous les messages échangés par chaque partie doit être conservé, inaltéré et sécurisé, selon les prescriptions légales nationales en matière de délai de conservation. Cette disposition est très utile dans le cadre de la production de la preuve lors d un litige. Le modèle WP.4 prévoit que les modalités de l enregistrement et de la conservation des données doivent être précisées dans l annexe technique de l accord cadre. e) Autres dispositions Concernant l obligation d accuser réception des messages EDI, il est intéressant de noter que ni le modèle TEDIS, ni celui du WP.4 ne prévoient une telle obligation. 2- Le cadre communautaire La protection des données personnelles au niveau communautaire est strictement encadrée par un arsenal de textes 219, dont les plus importants sont la directive n 95/46/CE sur la protection des données personnelles du 24 oct (dite «directive-mère») et la directive sectorielle du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications (dite «directive-fille»). La protection des données personnelles est également prévue par l article 8 de la Charte des droits fondamentaux de l Union européenne 220, signée lors de la Conférence Nice. Il faut néanmoins noter, que ce texte n a pas valeur obligatoire ; il ne s agit que d une déclaration. a) La directive n 95/46/CE du 24 octobre La directive phare en la matière c est la directive n 95/46/CE du 24 oct Cette directive considère les données personnelles comme des biens informationnels, ayant une valeur marchande. Par conséquent elles doivent circuler librement sur le territoire communautaire, tout en faisant l objet d une protection sous le régime de la vie privée. Selon son article 1 er, les Etats doivent assurer la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée. L article 2 définit de manière large les notions de données personnelles et de traitement à caractère personnel qui peuvent être automatisés ou manuels. L article 4 de la directive énonce le principe de la territorialité de la loi applicable. En effet, c est le lieu du traitement des données qui est pris en compte pour trouver la loi applicable (et non pas le lieu de l établissement). En d autres termes, si le traitement est réparti entre différents établissements se trouvant sur le territoire de deux ou plusieurs Etats membres, le responsable du traitement doit veiller au respect, par chacun des établissements, des 219 Notamment la directive n 97/7 du 20 mai 1997 sur la protection des consommateurs en matière de contrat à distance (article 10), et la directive n 2000/31 du 8 juin 2000, dite directive sur le commerce électronique, qui traite des communications commerciales non sollicitées et des options entre «l opt-in» et «l opt-out». 220 «1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d un autre fondement légitime prévu par la loi. Toute personne a le droit aux données collectées la concernant et d en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d une autorité indépendante». 75

76 obligations prévues par la loi locale. A ce propos, il faut noter que si la directive tend à une harmonisation des législations nationales, elle laisse les Etats libres de choisir un niveau de protection supérieur à celui qu elle établit. En plus, la directive oppose une procédure de notification à l autorité compétente nationale. En effet, il est demandé à chaque Etat de créer une autorité de contrôle. Au niveau communautaire est institué un «Groupe de protection des personnes à l égard du traitement des données à caractère personnel» composé de représentants des autorités nationales. Elle établit, également, les règles communes que doivent respecter ceux qui collectent, détiennent, divulguent ou transmettent des données personnelles par des moyens automatisés. Elle énonce six fondements juridiques d un traitement : le consentement de la personne, l obligation contractuelle ou légale, la sauvegarde de l intérêt vital de la personne, l intérêt public ou l intérêt légitime du détenteur du traitement mis en balance avec celui de la personne concernée. Son chapitre V est consacré aux codes de bonne conduite, consacrant ainsi la pratique de la corrégulation 221. En effet, l art. 27 précise que les Etats membres et la Commission encouragent l élaboration de codes de bonne conduite destinés à contribuer à la bonne application des dispositions nationales prises en application de la directive. Dans le cadre de la corrégulation, le 31 mai dernier a été créé en France un Forum des droits sur l Internet, association loi 1901, présidée par Isabelle Falque-Pierrotin 222 Enfin, elle interdit les transferts de données vers les pays tiers qui ne peuvent pas assurer «un niveau de protection adéquat», sauf consentement «indubitable» de la personne concernée ou nécessité contractuelle 223. Le caractère adéquat du niveau de protection offert par un pays tiers s apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transfert de données. En particulier est pris en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans les pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées. En d autres termes, si un pays ne dispose par d un «niveau de protection adéquat», le transfert de données européennes vers ce pays est interdit. Certains Etats très importants pour le commerce extérieur de l Union Européenne ont été considérés par la Commission comme ne remplissant pas la condition de «protection adéquate». Sur la base de l article 26 de la même directive, se sont alors engagées des négociations avec ces pays, et surtout avec les Etats Unis. Ces négociations ont donné naissance à l accord Safe Harbor On appèle corrégulation, la rencontre entre l autorégulation par les auteurs concernés et la régulation étatique et communautaire. 222 Selon Isabelle Falque-Pierrotain «il s agit d un travail de recommandation émanant d une entité qui ne formule que des avis consultatifs à la différence des autorités administratives indépendantes». Source : et du 1 juin Art.25 : «le transfert vers un pays tiers de données à caractère personnel faisant l objet d un traitement, ou destinées à faire l objet d un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat». 224 Voir infra. 76

77 En effet, l article 26 instaure des dérogations au principe de l interdiction du transfert des données vers les pays ne disposant pas d un niveau de «protection adéquat». Ainsi, le transfert de données vers un tel pays est possible si : - la personne concernée a indubitablement donné son consentement au transfert envisagé ; - le transfert est nécessaire à l exécution d un contrat entre la personne concernée et le responsable du traitement ; - le transfert est nécessaire à la conclusion ou à l exécution d un contrat ; - le transfert est nécessaire ou obligatoire pour la sauvegarde d un intérêt public important ou pour la constatation, l exercice ou la défense d un droit en justice ; - le transfert est nécessaire à la sauvegarde de l intérêt vital de la personne concernée ; - le transfert intervient au départ d un registre public ; - le responsable du traitement offre des garanties suffisantes de protection des données. Cette directive a été critiquée comme ayant d exporter le modèle de protection communautaire. Mais il ne s agit pas du seul texte qui est aussi restrictif. En effet, la Suisse a adopté une loi fédérale sur la protection des données (LPD) le 19 juin Selon cette loi : «Aucune donnée personnelle ne peut être communiquée à l étranger si la personnalité des personnes concernées devait s en trouver gravement menacée, notamment du fait de l absence d une protection des données équivalente à celle qui est garantie en Suisse». b) La directive 97/66/CE Cette directive est relative au traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications et elle complète la directive 65/46/CE. Elle consiste à contrôler la nature et l utilisation des données en rapport avec la facturation de communications téléphoniques, l identification de l appelant et le contrôle des appels. c) Le Livre vert du 3 déc Il s agit du Livre vert sur la convergence des secteurs des télécommunications ; des médias et des technologies de l informatique. Il avait pour objectif d initier la discussion sur le phénomène de la convergence et les éventuels besoins de nouvelles règles. 3- Le Conseil de l Europe Le rôle du Conseil de l Europe en matière de protection des données personnelles n est pas des moindres. Déjà, le chapitre III de la Convention n 108 du 28 janvier 1981 prévoit que les parties ne peuvent pas, afin de protéger la vie privée, interdire ou soumettre à une autorisation spéciale les flux transfrontières de données à caractère personnel à destination du territoire d un autre Etat partie (art. 12). Cependant des dérogations sont prévues. D autre part, la recommandation du Comité des Ministres du 23 février 1999, sur la vie privée sur Internet, établit des instructions pour la protection des particuliers en ce qui concerne la collecte et le traitement des données personnelles sur les autoroutes de l information. Les 77

78 Etats membres sont invités à assurer la large diffusion des instructions auprès des utilisateurs et des prestataires de services sur Internet. Dans sa déclaration sur une politique européenne pour les nouvelles technologies de l information, le Comité des Ministres suggère aux Etats membres des mesures pour les nouvelles technologies, en ce qui concerne l accès et la participation, la compétence et l habilitation, la créativité des individus et des industries culturelles, la diversité du contenu et des langues et la protection des droits et des libertés. Enfin, le Conseil de l Europe a préparé un protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE n 108) concernant les autorités de contrôle et les flux transfrontières de données. Ce texte renforcera la protection des données personnelles et de la vie privée, en complétant la "convention-mère" de 1981 sur deux points : il prévoit l'établissement d'autorités de contrôle chargées d'assurer le respect des lois ou règlements introduits par les Etats en application de la Convention concernant la protection des données personnelles et les flux transfrontières de données. Le deuxième point concerne les flux transfrontières de données vers des pays tiers, qui ne pourront être transférées que si elles bénéficient dans l'etat ou l'organisation internationale destinataire, d'un niveau de protection adéquat. Le Protocole sera ouvert à la signature à Strasbourg le 8 novembre 2001, à l'occasion de la 109e Session du Comité des Ministres du Conseil de l'europe. 4- Les lignes directrices de l OCDE et des Nations Unies Le 23 septembre 1980, l OCDE a adopté une recommandation en matière de protection des données personnelles. Des lignes directrices y sont annexées. Par ce texte, l OCDE recommande aux Etats membres de s efforcer «de supprimer ou d éviter de créer, au nom de la protection de la vie privée, des obstacles injustifiés aux flux transfrontières de données à caractère personnel» (point 2). Il énonce un certain nombre de principes généraux : la limitation en matière de collecte, le principe de la qualité des données, de la spécification des finalités, de la limitation de l utilisation, des garanties de sécurité, de transparence, de participation individuelle et de responsabilité. Ce texte a servi de source d inspiration à la directive n 95/46/CE du 24 octobre Il faut noter qu à la suite de la conférence d Ottawa d octobre 1998, l OCDE a adopté une recommandation relative aux lignes directrices régissant la protection des consommateurs dans le contexte de commerce électronique 225. Certains aspects de la recommandation touchent à la protection de la vie privée. Dans le domaine de l échange des données personnelles (EDI), la norme la plus connue est la norme EDIFACT des Nations Unies. Cette norme contient un ensemble de règles, qui sont notamment relatives à la structure des messages d échange des données. Elle donne des exemples de messages. 225 Signée le 9 décembre

79 B- L obligation de déclaration aux autorités compétentes : l exemple de la CNIL En Allemagne, la loi fédérale du 21 janvier 1977 a créé une «Autorité de supervision», une procédure d enregistrement et un Commissaire fédéral à la protection 226. Au Danemark, l article 10 du Payment Card Act 1984 prévoit que «si l Ombudsman n est pas satisfait avec les mesures de sécurité [prises par le responsable], il oblige celui-ci de les changer et de négocier avec l autorité compétente. En cas d échec, l Ombudsman peut prononcer des sanctions». En Grèce, la loi n 2472/1997 sur la protection des données personnelles, transposant la directive communautaire, crée une autorité compétente. La loi prévoit également les conditions de notification à l Autorité des données et les pouvoirs de celle-ci (y compris le pouvoir de sanctionner ceux qui violent la loi). Au Royaume Uni, la Data Protection Act 1998 (section 1, sous section 4), définit le «contrôleur des données» comme toute personne qui détermine les objectifs et les méthodes selon lesquels les informations personnelles sont ou doivent être traitées 227. En France, la loi 6 janvier 1978, relative à l informatique a créé une autorité administrative indépendante : la CNIL. Tout traitement nominatif doit être déclaré à la CNIL, qu il s agisse d un traitement directement nominatif 228 ou d un traitement indirectement nominatif. Ce dernier est défini comme le traitement permettant d identifier une personne physique sans que son nom apparaisse en clair. Les données bancaires (par exemple, le numéro de carte bancaire) constituent une donnée indirectement nominative. Dans toutes les hypothèses, le marchand doit procéder à une déclaration au CNIL 229. A l occasion du conseil des ministres du 18 juillet dernier, la ministre de la Justice a présenté un projet de loi renforçant le contrôle des fichiers informatiques 230. Destiné à transposer la directive européenne du 24 octobre 1995 sur le traitement des données à caractère personnel, ce texte accroît considérablement les pouvoirs de la Commission nationale informatique et libertés. En effet, la CNIL se voit conférer de nouvelles prérogatives de contrôle. Les fichiers commerciaux contenant des données personnelles seront désormais soumis à un contrôle préalable, et non plus à une simple déclaration préalable. Ce contrôle pourra, également, être pratiqué a posteriori et sera étendu à tous les fichiers, alors que seuls les dossiers publics étaient concernés jusqu ici. De plus, la CNIL aura désormais un pouvoir de sanction et pourra infliger des amendes d un montant maximal de (soit ,50 FF). Ce plafond pourra être doublé en cas de récidive. 226 La loi a été modifiée par la loi fédérale sur les activités en ligne du 1 er juillet 1997, et l accord entre Länder sur les médias électroniques. 227 A propos du traitement des informations personnelles dans des documents publiés à des fins journalistiques, littéraires ou artistiques. la loi donne le pouvoir au contrôleur des données de demander une exemption des parties spécifiques du texte «s il croit qu une publication serait d intérêt public» (section 32). 228 Il s agit de tout traitement utilisant les noms des personnes physiques. 229 Seuls sont exonérés de déclaration, sous certaines conditions, les traitements : - de la comptabilité générale (délibération n de la CNIL) ; - des registres des membres ou des correspondants des églises ou des regroupements à caractère religieux, philosophique, politique ou syndical (art.31 de la loi du 6 janvier 1978). 230 Voir Annexe : Textes, 3- PROJET DE LOI relatif à la protection des personnes physiques à l égard des traitements de données à caractère personnel et modifiant la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés (extraits). Le projet sera présenté aux Chambres avant la fin de l année. 79

80 C- Une grande diversité des régimes nationaux En matière de protection des données personnelles, une grande diversité des régimes nationaux apparaît. Actuellement, le régime le plus complète, et le plus strict, est le régime communautaire. Il en est autrement aux Etats Unis, où le système de l autorégulation est la règle (1). Au contraire, le système de la régulation législative est prédominant dans les Etats européens (2). 1- L autorégulation : l exemple des Etats Unis. Aux Etats Unis, la politique du «laissez-faire» prévaut. L intervention de l Etat fédéral et des Etats fédérés ne se manifeste qu au second plan. La priorité est donnée à l autorégulation par les acteurs eux-mêmes ; ce n est que lorsque cette autorégulation se révèle insuffisante, que les autorités publiques interviennent. Cependant, quelques tentatives de normalisation dans le domaine de la protection de la vie privée (et par extension des données personnelles), ont eu lieu. Il s agit des lois fédérales suivantes : la Privacy Act de 1974, la Computer Matching and Privacy Protection Act de 1988 et la US Computer Security Act de Cette dernière donne à l Institut National des Normes et de la Technologie (National Institute of Standards and Technology, NIST) l autorité de développer des normes, des lignes de conduite et des procédures dans le cadre des systèmes informatiques. L autorégulation prend deux formes distinctes : - la première prend la forme de pages spéciales contenant des clauses précises ou exposant la «Privacy policy», qui sont accessibles en cliquant sur une rubrique spéciale en bas de la page d accueil du site. Il faut néanmoins noter que, si ces «Privacy policies» sont dépourvues d obligations proprement juridiques, elles engagent une véritable responsabilité de marché, dont la sanction est plutôt économique la seconde consiste en la création d organismes privés délivrant un label aux portails ou sites d entreprises qui se sont engagés à respecter une charte contenant notamment des règles de protection des données personnelles. Cette pratique s est généralisée et trouve des manifestations en France également 232. En effet, la Commission des finances a proposé la création d un organisme lié à la Banque de France, l Observatoire de la sécurité des cartes de paiement, qui apposerait un label de qualité sur les sites marchands les mieux sécurisés Il est intéressant de signaler l affaire «Double-Click». En janvier 2000, la société américaine Double-Click- DBC a été poursuivie devant une Cour de Californie par un consommateur pour violation des engagements inclus dans sa propre «privacy policy». La Fondation APIC (fondation pour la défense de la vie privée) a porté plainte auprès de la Federal Trade Commission. L affaire débute lorsque DBC a acquis la firme Abacus, un important opérateur de marketing direct qui collecte des données comportant des identités. La société elle même enregistre sur son site les consultations de ses clients, leurs achats, par le moyen de cookies, sauf si les clients les ont refusés. Elle ne nie pas son intention de croiser ses banques de données avec celles de la société qu elle a acquis. La FTC a décidé de créer un comité spécial pour étudier et apprécier les politiques privées des entreprises, et en faire un rapport public. 232 Concernant les initiatives privées, nous pouvons citer notamment le label Ernst & Young. Voir Annexe VI : Interview avec Thierry Autret. 233 Rapport d information sur la sécurité des cartes bancaires, présenté le 11 juillet Le rapporteur, M. Brard, a souligné, en outre, qu «il conviendrait, en outre, d inciter les compagnies d assurance à diminuer les primes demandées aux entreprises investissant dans les dispositifs de sécurisation». Source : 80

81 La pratique des «Privacy policy» a été critiquée, notamment par des auteurs français. Selon Philippe Lemoine 234, «les enjeux soulevés par le commerce électronique sont bien des enjeux de libertés, publiques ou privées, et ne se résument pas à des questions de privacy». La politique de la privacy est ambiguë et peut facilement être ignorée devant les intérêts financiers des auteurs concernés. Cette pratique de l autorégulation a été estimé comme insuffisante par la Commission européenne, et selon la directive communautaire 95/46/CE, le transfert des données vers les Etats Unis serait interdit. Cette interdiction serait catastrophique pour le commerce entre l Union Européenne et les Etats Unis. Ayant pris conscience du sérieux du problème, ils ont engagé des négociations en vue d établir un système dérogatoire, mais qui protégerait suffisamment la vie privée et les données personnelles. Les négociations, qui ont duré de mars à juillet 2000, ont aboutit à l Accord «Safe Harbor» 235. La Section 5 de l Accord prévoit que pour que la violation de la vie privée entre dans le domaine de l accord Safe Harbour, elle doit correspondre à l une des deux hypothèses suivantes: - la pratique frauduleuse est une présentation, une omission ou une pratique susceptible d induire en erreur les consommateurs ; - la pratique déloyale cause, ou elle est susceptible de causer, aux consommateurs un préjudice grave qui ne peut être raisonnablement évité et qui n est pas compensé par des avantages pour les consommateurs ou la concurrence. L organe compétent est la Federal Trade Commission. Ne relèvent pas de la compétence de la FTC les banques, les entreprises financières d épargne et de prêt et les coopératives de crédit. Ceci pose problème quant à la protection des données bancaires des clients. L Accord Safe Harbor reprend les exigences d information de la directive communautaire et énonce huit principes : - le principe de l information : les entreprises soumises à l Accord doivent notifier aux internautes la raison pour laquelle elles collectent les informations. Elles doivent prévoir également une procédure d examen des réclamations ; - le principe de la liberté de choix 236 ; - le principe du respect des règles de l Accord par les tierces personnes. A priori en matière de données bancaires, un transfert n est pas possible, sinon l entreprise commettrait une infraction pénale. Mais, cela consisterait à nier la réalité des affaires. En effet, la seule hypothèse envisageable de transfert de ces données à une tierce personne serait lors d un rachat ou de fusion d entreprises. Dans cette hypothèse, les clients de l entreprise A absorbée par l entreprise B, deviennent les clients de cette dernière. - le principe du droit d accès et de rectification; - le principe de l intégrité des données ; - le principe de la sécurité des données ; - la mise en place de procédures de recours et de règlement des litiges. Une entreprise, qui veut s inscrire sur la liste de Safe Harbor, doit notifier au Department of Commerce son intention d adhérer aux principes de l Accord. Cette procédure est volontariste 234 Voir son article «Commerce électronique, marketing et liberté», in «La protection de la vie privée dans la société d information» tome 2, cahier des sciences morales et politiques, p.9 et s. 235 Décision de la Commission du 27 juillet 2000 et texte américain du 21 juillet Voir notamment le site du Ministère du Commerce américain : Les internautes doivent pouvoir choisir si les informations les concernant peuvent être communiquées ou non à des tierces personnes. Les données bancaires ou relatives en général au paiement ne sont pas visées par ce choix. 81

82 et pas obligatoire. De la même manière, l entreprise qui veut quitter la liste doit simplement notifier sa décision au même service. La liste sera réactualisée tous les ans. L entreprise qui viole de manière constante les règles de l Accord, ne pourra plus bénéficier des avantages que celui-ci procure. En plus, si elle ne notifie pas à la FTC son intention de ne plus appliquer ces règles, l entreprise sera condamnée en application du False Statements Act (18 U.S.C. 1001). 2- La régulation étatique Les Etats européens ont choisi la voie de la régulation étatique en vue d établir un régime de protection des données personnelles. Ainsi, en Belgique, la loi du 11 décembre 1998 qui vise à la transposition de la directive européenne 95/46/CE, contient également des exceptions relatives à la collecte d informations et à la gestion de l information. En Grèce, la loi n 2472/1997 sur la protection des données personnelles, reprend tous les éléments de la directive communautaire, mais pas sa structure. Enfin, en Suède, la PuL (personuppgiftslagen) SFS 1998 :204 vise le traitement des données, qu il soit partiellement ou totalement automatisé. La loi ne doit pas entrer en conflit avec les dispositions relatives aux libertés énoncées dans la loi sur la liberté de la presse et la loi fondamentale sur la liberté d expression et elle prévoit le consentement de la personne faisant l objet de l enregistrement. En France le régime est l un des plus stricts. La protection des données bancaires lors de la transaction par Internet peut se réaliser par l intermédiaire de deux systèmes : soit par l intermédiaire de la protection des données personnelles soit par le régime de la protection de la correspondance privée. a) La protection des données personnelles En France, la loi 6 janvier 1978, relative à l informatique, aux fichiers et aux libertés pose un certain nombre d obligations et limite la collecte et l utilisation des informations nominatives. Selon l art.4 : «Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l identification des personnes physiques auxquelles elles s appliquent, que le traitement soit effectué par une personne physique ou par une personne morale». Les données bancaires (par exemple le numéro de carte bancaire) peuvent identifier indirectement leur titulaire. Par conséquent, selon cette définition, les données bancaires sont des données personnelles. L art.5, quant à lui, définit le traitement automatisé : «Est dénommé traitement automatisé d informations nominatives au sens de la présente loi tout ensemble d opérations réalisées par des moyens automatiques, relatif à la collecte, l enregistrement, l élaboration, la modification, la conservation et la destruction d informations nominatives ainsi que tout ensemble d opérations de même nature se rapportant à l exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d informations nominatives». Le marchand, lors de la transaction, procède à la collecte d un certain nombre d informations relatives à son client en vue de protéger ses intérêts. Parmi ses informations, il collecte notamment les données bancaires du client. Une fois ces données enregistrées, le marchand établit des fichiers dans lesquels figurent également toutes les transactions qu il a réalisées avec un client donné. Ainsi, il peut savoir à n importe quel 82

83 moment, si ce client est solvable, s il tarde les paiements de manière répétitive ou s il a des factures impayées. De ce fait, ces fichiers entrent dans le cadre de la loi du 6 janvier La loi prévoit les droits des personnes fichées : droit d opposition 237, droit à l information, droit d accès et de rectification 238. La France n a toujours pas transposé la directive communautaire 95/46/CE. Un projet de loi est actuellement en discussion 239. b) Le régime de la correspondance privée. Les transactions par Internet peuvent se conclure en partie ou en totalité par le moyen de courrier électronique. Le client peut envoyer ses coordonnées bancaires par un message crypté. D autre part, le marchand ou l établissement financier (ou émetteur de l instrument de paiement) peut demander confirmation de l ordre de paiement par courrier électronique. La confirmation elle-même se fait par courrier électronique. La question qui se pose alors, est de savoir si ses messages sont protégés par le régime de la correspondance privée. La loi du 10 juillet 1991, relative au secret des correspondances émises par la voie des télécommunications, prévoit que «le secret des correspondances émises par la voie des télécommunications est garanti par la loi. Il ne peut être porté atteinte à ce secret que par l autorité publique, dans les seuls cas de nécessité d intérêt public prévus par la loi et dans les limites fixées par celle-ci» 240. La loi du 10 juillet 1991 prévoit deux cas où la protection de la correspondance privée peut être écartée : - sur prescription du juge d instruction, dans le cadre de son pouvoir d instruction portant sur des faits dont la peine encourue est supérieure à 2 ans d emprisonnement. Dans le domaine des paiements par Internet, cette hypothèse peut viser particulièrement l infraction de blanchiment d argent Le cas des écoutes administratives. Ces interceptions sont réalisées sur autorisation du Premier ministre, lorsqu elles ont pour objet de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, la prévention du terrorisme ou de la criminalité organisée. En matière des paiements par Internet, c est notamment dans le cadre du trafic de stupéfiants ou d armes qu une interception peut être ordonnée. C est la CNCIS (Commission nationale de contrôle des interceptions de sécurité) qui veille au respect de la légalité des interceptions de sécurité Selon l article 26 de la loi, «toute personne physique a le droit de s opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l objet d un traitement». 238 Prévu par les articles 34, 35 et 36 de la loi. 239 Voir Annexe : Textes. 240 Il faut noter que le champ d application de la loi n est pas limité aux seules correspondances téléphoniques, mais s étend à toutes les correspondances transitant par les réseaux de télécommunications. 241 Selon l article C.P. : «Le blanchiment est le fait de faciliter, par tout moyen, la justification mensongère de l origine des biens ou des revenus de l auteur d un crime ou d un délit ayant procuré à celui-ci un profit direct ou indirect. Constitue également un blanchiment le fait d apporter un concours à une opération de placement, de dissimulation ou de conversion du produit direct ou indirect d un crime ou d un délit. La blanchiment est puni de cinq ans d emprisonnement et de francs d amende». 242 La CNCIS a établi trois lignes directrices des interceptions administratives : - l urgence absolue : il s agit de la nécessité de répondre très vite à une situation imprévue ; 83

84 Cette loi est complétée par l art al.2 C.P. qui punit d un an d emprisonnement et de F d amende «le fait, commis de mauvaise foi, d intercepter, de détourner, d utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie de télécommunication ou de procéder à l installation d appareils conçus pour réaliser de telles interceptions». D autre part, une circulaire du 17 février précise qu il y a correspondance privée lorsque le «message est exclusivement destiné à une personne, physique ou morale, déterminée ou individualisée». Par conséquent, les courriers électroniques entrent dans le champ d application du régime de la protection de la correspondance privée. Cependant, cette protection paraît limitée et peu adaptée au phénomène de la cybercriminalité. En effet, ne sont soumises à l obligation au secret que les opérateurs de réseaux public, les fournisseurs d accès et les salariés ou agents exploitant des réseaux et fournisseurs de service des télécommunications 244. Il faut enfin noter que le secret des correspondances est prévue par les lois d autres pays européens. Ainsi, en Espagne, le secret des correspondances est protégé par la Constitution de 1978 et par l article 197 C.P., qui sanctionne sa violation d une peine de 1 à 4 ans d emprisonnement et d une amende 245. Au Luxembourg, le principe du droit au respect de la vie privée est posé par l article 1 er de la loi du 11 août Aux Pays-Bas, l inviolabilité du secret des correspondances téléphoniques et télégraphiques est affirmée par l article 13 de la Constitution. Enfin, la Turquie garantit le secret des correspondances dans l article 22 de la Constitution les écoutes trop anciennes doivent être supprimées et réappréciées en fonction des circonstances prévalant au moment de la demande de renouvellement ; - quant à la ligne de partage entre les interceptions administratives et les interceptions judiciaires : l interception administrative a pour objectif le recueil des renseignements nécessaires à la prévention. L interception judiciaire a pour objectif le recueil d éléments d information permettant soit l identification ou la localisation de coupables présumés, soit la réunion d éléments de preuve d une ou plusieurs infractions. 243 JO du 9 mais Selon l article du code pénal, lorsque ces catégories de personnes «agissant dans l exercice de leurs fonctions, ordonnent, commettent ou facilitent, hors des cas prévus par la loi, l interception ou le détournement des correspondances émises, transmises ou reçues par la voie des télécommunication, l utilisation ou la divulgation de leur contenu», sont passibles d une peine de 3 ans d emprisonnement et de francs d amende. 245 Il faut encore noter que l article 18-3 du texte fondamental n admet comme exception à la protection du secret des correspondances que les interceptions judiciaires. 246 Cependant des aménagements au principe sont prévus. En effet, en l absence de dispositions plus spécifiques, les juges se sont appuyés sur l article 91 du code de la procédure pénale, qui permet l interception des courriers, communications télégraphiques et envois postaux adressés aux inculpés. En plus, la loi du 29 juillet 1999 relative à la lutte contre la criminalité organisée, prévoit une série de mesures de surveillance des communications par téléphone, fax, ordinateur ou messagerie unilatérale, ou par tout système électromagnétique, qu il s agisse de signaux écrits, graphiques, vocaux ou visuels. 84

85 D- La sanction du non respect de la protection des données personnelles En France, le code pénal prévoit un certain nombre d infractions, qu il définit comme des «atteintes au droit de la personne résultant des fichiers ou des traitements informatiques». Il s agit notamment de: - de l omission de la déclaration préalable, qui constitue le délit de création de fichier clandestin 247. L élément matériel constitutif de l infraction 248 se trouve dans le manquement aux formalités déclaratives préalables auprès de la CNIL. C est notamment, le cas des fichiers clandestins. - le manquement à la sécurité 249 ; - la collecte frauduleuse, déloyale ou illicite de données 250 ; - délit de détournement de finalité d informations nominatives 251. Nous pouvons supposer que l utilisation des données bancaires du client par le marchand en dehors de la transaction réalisée ou en vue de débiter un montant plus important que celui convenu, entre dans le champ d application de cette incrimination. - le délit de divulgation illicite d informations nominatives 252 ; - enfin, la non-information des personnes interrogées, l entrave au droit d accès et de communication, l entrave au droit de rectification sont punies des peines prévues pour les contraventions de 5 e classe 253. L Islande punit l atteinte aux données personnelles dans sa loi n 82 de En effet, l article 228 de la loi prévoit que toute personne qui prend connaissance de lettres, journaux intimes et autres documents de ce type [y compris sous forme de support numérique], contenant des informations privées sur autrui, sera passible d amendes ou de peines d emprisonnement pouvant aller jusqu à un an. 247 Article C.P. : «Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d informations nominatives sans qu aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de trois ans d emprisonnement et de F d amende». 248 La doctrine et la jurisprudence se sont posé la question s il s agit d un délit continu ou instantané. Le Tribunal correctionnel de Paris a estimé qu il s agissait d un délit instantané, à propos de la non-déclaration d un traitement automatisé visant à dresser un profil des consommations extra-professionnelles des employés de l entreprise (T.corr. Paris 17 e ch. 6 juill. 1988, cahiers Lamy, avril 1989 (B), p.23). Cependant, la Cour de Cassation a retenu la qualification de délit continu (Cass. Crim. 23 mai 1991, Bull. crim. n)218). 249 Art C.P. : «Le fait de procéder ou de faire procéder à un traitement automatisé d informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d emprisonnement et de F d amende». 250 Art al.1 C.P. : «Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un traitement d informations nominatives concernant une personne physique malgré l opposition de cette personne, lorsque cette opposition est fondée sur des raisons légitimes, est puni de cinq ans d emprisonnement et de F d amende». 251 Art C.P. : «Le fait, pour toute personne détentrice d informations nominatives à l occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité [ ], est puni de cinq ans d emprisonnement et de F d amende». 252 Art C.P. : «Le fait, par toute personne qui a recueilli, à l occasion de leur enregistrement, de leur classement, de leur transmission ou d une autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteint à la considération de l intéressé ou à l intimité de sa vie privée, de porter, sans autorisation de l intéressé, ces informations à la connaissance d un tiers qui n a pas qualité pour les recevoir est puni d un an d emprisonnement et de F d amende» F d amende. 85

86 En Grèce l article 22 4 de la loi 2472/1997 punit d un an d emprisonnement et d une amende de à drachmes celui qui s introduit de manière frauduleuse dans des fichiers comportant des données personnelles. Enfin, aux Etats Unis le Computer Fraud ans Abuse Act 1986 sanctionne cinq types d accès frauduleux aux systèmes informatiques en fonction de la finalité de l opération d intrusion réalisée, et notamment le vol des données financières confidentielles (détournement de numéros de carte de crédit). 86

87 Annexe I : Données statistiques Tableau 1 : Classement mondial selon la part d internautes achetant en ligne (source Nielsen/NetRating) 254 Pays Part des internautes cherchant des produits en ligne (en %) Part des internautes achetant des produits en ligne (en %) Suède Suisse Danemark Norvège Autriche Nouvelle Zélande Finlande Allemagne Pays-Bas Corée du Sud Grande-Bretagne Australie Irlande 17 8 Singapour 19 7 France 12 6 Belgique/Luxembourg 12 5 Honk Kong 13 4 Taiwan 13 4 Espagne 8 3 Italie 10 3 Tableau 2 : Les ventes en ligne B to C en France (en millions de francs) 255 Année Valeur Evolution (prévisions) Source : Source Benchmark Group. Aussi: 87

88 Tableau 3 : Le paiement par carte bancaire comme barrière au commerce électronique. Selon une étude réalisée par Ernst & Young 256, la crainte des consommateurs d une utilisation frauduleuse de leur numéro de carte bancaire, les empêche de passer des commandes sur des sites marchands Série1 Australie Canada France Italie Grande-Bretagne Etats-Unis Tableau 4 : La protection des données personnelles et e-commerce. (Selon le communiqué de presse du 10 avril 2000 de la CNIL, suite à l évaluation de 100 sites français de commerce électronique) % des sites étudiés sécurisent la transmission des coordonnées bancaires et 70% donnent aux internautes une information complémentaire sur le procédé de sécurisation utilisé ; 97% des sites qui indiquent céder les informations collectées à des tiers (partenaires commerciaux ou filiales) informent les internautes de leur droit de s y opposer ; dans Mais : un cas sur deux, ce droit peut s exercer en ligne grâce à une cas à cocher ; 69% des sites comportent une information spécifique sur la loi «informatique et libertés» qui figure soit sur le formulaire de collecte soit dans une rubrique spécifique consacrée à la protection des données personnelles ; 40% des sites étudiés n indiquent pas clairement l adresse physique du responsable du site ; 81% des sites ne donnent aucune information sur l usage qui peut être fait des cookies ; 55% des sites étudiés n ont pas été déclarés à la CNIL. 256 «Global Online Retailing. An Ernst & Young Special Report», janvier Source : 88

89 Tableau 5 : Les attentes des consommateurs 258 Etats Unis Canada Australie Grande Bretagne 1 Réduire les frais d expédition (62%) 2 Prix plus bas (60%) 3 Plus de choix (21%) 4 Sites plus faciles à trouver (21%) 5 Garantie de la sécurité pour la carte de crédit (20%) Réduire frais d expédition (55%) les Prix plus bas (52%) Garantie de la sécurité pour la carte de crédit (24%) Sites plus faciles à trouver (20%) Expédition plus rapide (20%) Garantie de la sécurité pour la carte de crédit (31%) Expédition plus rapide (17%) Achats plus rapides (16%) Réduire les frais d expédition (14%) Prix plus bas (11%) Prix plus bas (53%) Réduire les frais d expédition (42%) Garantie de la sécurité pour la carte de crédit (30%) Plus de choix (26%) Protection des données personnelles (21%) Italie Prix plus bas (56%) Réduire les frais d expédition (46%) Garantie de la sécurité pour la carte de crédit (39%) Plus de choix (27%) Sites plus faciles à trouver (17%) France Prix plus bas (56%) Réduire les frais d expédition (54%) Garantie de la sécurité pour la carte de crédit (33%) Plus de choix (23%) Expédition plus rapide (19%) 258 Source : Ernst & Young. 89

90 Annexe II : L affaire Yahoo! Yahoo Inc. hébergeait sur son site (yahoo.com) une vente aux enchères d objets militaires de la deuxième guerre mondiale, dont une grande quantité d objets du IIIe Reich. En plus, il hébergeait «Géocities», site reproduisant l ouvrage de Hitler «Mein Kampf» ainsi que le pamphlet antisémite «Le protocole des sages de Sion». De son côté, Yahoo France propose sur son site un lien direct avec le site Yahoo.com. C est ainsi que plusieurs internautes français ont pu accéder aux pages «incriminées» dans cette affaire. En effet, trois associations antiracistes, la LICRA (Ligue Internationale contre le Racisme et l Antisémitisme), l UEJF (Union des Etudiants Juifs de France) et le MRAP (Mouvement contre le racisme et pour l amitié des peuples) ont saisi le juge des référés, en vue de faire cesser le trouble. Selon la LICRA, «cette exhibition d objets proposés à la vente constituait non seulement une infraction aux dispositions de l article R C.P 259. Mais en encore la plus grande entreprise de banalisation du nazisme» 260. De son côté, l UEJF reprochait à Yahoo Inc. et Yahoo France de favoriser la propagation de l antisémitisme. Les deux affaires présentant des liens de connexité, ont été jugées ensemble. ordonnance du 22 mai 2000 Le président du TGI de Paris, M. Jean-Jacques Gomez, par son ordonnance du 22 mai 2000, a ordonné Yahoo Inc. de prendre toutes les mesures nécessaires afin de dissuader et à rendre impossible toute consultation des pages «incriminées» sur le territoire français. Il a aussi ordonné à Yahoo France de prévenir tout internaute français 261 consultant son site, du contenu illicite de certaines pages web. Il a adjoint à cette décision des mesures conservatoires. l ordonnance du 11 août 2000 Devant le refus des deux sociétés concernées d exécuter l ordonnance du 11 août 2000, les associations LICRA et UEJF ont saisi une deuxième fois le Président du TGI de Paris. A cette action s est jointe le MRAP (Mouvement contre le Racisme et pour l Amitié des Peuples). Yahoo France, a prétendu que la LICRA et l UEJF ne justifient pas de circonstances nouvelles pour formuler des nouvelles demandes 262 et contestait la qualité d agir de l association MRAP 263. De son côté, Yahoo Inc. a soulevé pour la deuxième fois l exception d incompétence du juge français. Dans son ordonnance du 11 août 2000, le Président du TGI Art. R C.P. «Est puni de l amende prévue pour les contraventions de la 5 e classe le fait, sauf pour les besoins d un film, d un spectacle ou d une exposition comportant une évocation historique, de porter ou d exhiber en public un uniforme, un insigne ou un emblème rappelant les uniformes, les insignes ou les emblèmes qui ont été portés ou exhibés soit par les membres d une organisation déclarée criminelle en application de l article 9 du statut militaire international annexé à l accord de Londres du 8 août 1945, soit par une personne reconnue coupable par une juridiction française ou internationale d un ou plusieurs crimes contre l humanité prévus par les articles 211 à ou mentionnés par la loi n du 26 décembre 1964» Voir ordonnance de référé du 22 mai Par internaute français on entend tout internaute navigant à partir du territoire français. Il ne s agit pas d un critère de nationalité Voir art.488 N.C.P.C Aux termes de l article 329 et 330 N.C.P.C. 90

91 de Paris a rejeté les arguments de Yahoo France et de Yahoo Inc. et a déclaré les demandes de la LICRA et de l UEJF irrecevables. Mais le point le plus important de l ordonnance consiste à la nomination d un collège de trois experts, ayant comme objet de vérifier la faisabilité technique des mesures ordonnées le 22 mai Le rapport d experts Le 6 novembre dernier, le collège d experts (composé d un expert français, un expert américain et expert anglais), a rendu son rapport. La solution proposée selon ce rapport, consiste à deux types de filtrage : le filtrage fondée sur l identification par IP (adresse informatique que le fournisseur d accès attribue à l internaute) et le filtrage combinant une obligation de déclaration géographique de l internaute avec une surveillance des mots clés utilisés pour l accès. Mais selon les experts, c est méthodes ne sont efficaces que pour 70% des utilisateurs d Internet. Environ 20% des utilisateurs ont choisi un fournisseur d accès multinational, utilisent les services d un ISP international ou enfin, un réseau privé de communication. Ordonnance du 20 novembre 2000 Le président du TGI de Paris a suivi les conclusions des experts, voire il est allé plus loin encore. En effet, il a proposé d autres méthodes de filtrage à la société américaine : faire souscrire aux internautes dont l adresse IP est ambiguë une déclaration de nationalité, et de refuser systématiquement ceux qui ne veulent pas s identifier ; optimiser le filtrage lors d une recherche par mots associés ; s interdire d expédier les objets nazis achetés en ligne vers des adresses françaises. Le juge a alors ordonné les deux sociétés de prendre les mesures nécessaires dans un délai de 3 mois (jusqu à février 2001), délai au-delà duquel elles se verront imposer des contraintes d ordre pécuniaire : astreinte de francs par jour. Il faut noter que malgré le fait que les deux sociétés concernées avaient un délai de deux semaines à partir de la date de l ordonnance pour faire appel...elles n ont pas saisi cette opportunité. Au contraire l attitude de la société américaine a surpris plus qu un. Au 21 décembre dernier et sur conseil du cabinet Cooley & Godward, Yahoo! Inc. a demandé au juge californien de se prononcer sur la validité exécutoire 264 de la décision du TGI de Paris. L affaire est pendante devant le juge américain. 264 Il s agit de la procédure d exequatur, selon laquelle le juge national ne «révise» pas la décision étrangère, mais au contraire il constate sa régularité par rapport à l ordre public national. 91

92 ANNEXE III : MOYENS DE PAIEMENT SUR INTERNET ET ASSURANCES Listes non exhaustives. Ces listes n ont qu un but informatif : avoir un aperçu du large éventail des choix offerts aux parties contractantes lors d une transaction par Internet. 1/ Moyens de paiement NOM TYPE OBSERVATIONS Barclaycard Système carte Système proposé par Barclays. Moyen de paiement comprenant bancaire une assurance. Beenz Monnaie virtuelle Système permettant à son détenteur de disposer d un compte en ligne et d y puiser à volonté pour effectuer ses achats, auprès les cybermarchands qui acceptent ce mode de paiement. Favorise la sécurité des paiements car il ne correspond pas à une monnaie réelle lors des transactions. BIBIT Porte-monnaie Système de paiement multidevise et multipays. électronique Blue Line Intermédiation Succède à KleLine. Il s agit d une plate-forme internationale de Cafe Cari Certplus CheckFree Clip Consortium E-COMM Credit-online / c@rte du Net Porte-monnaie électronique Intermédiation avec le système bancaire Tiers certificateur Intermédiation avec le système bancaire Porte-monnaie électronique Système bancaire Système bancaire carte carte paiements dont l un des services proposés est Odysseo. Projet européen de smartcard sécurisée à vocation de portemonnaie. Sécurisé par système alliant une clé publique et une clé privée. La carte est prévue pour les paiements off-line. Collect All Relevant Information. Système permettant d effectuer des transactions sécurisées sur Internet aux Etats Unis. L utilisateur doit se déclarer auprès du serveur Cari, afin d y déposer ses coordonnées bancaires. Le fichier comportant les données personnelles est isolé du réseau Internet. Partenaires : France Telecom, Gemplus, CIBP, VeriSign et Aérospatiale Matra. Certplus assure l authentification des parties, l intégrité du message, la non répudiation de la transaction ainsi que sa confidentialité. La société émet des certificats numériques. L utilisateur télécharge un logiciel spécial. CheckFree propose les solutions suivantes : - CheckFree Manager et CheckFree Wallet, qui sont des solutions de paiement sur Internet ; - CheckFree Easy pour les paiements par téléphone. Porte-monnaie multidevises incorporé dans une carte à puce. Rechargeable en ligne à partir du terminal d un point de vente ainsi que de n importe quel autre appareil compatible (ex. ordinateur). Consortium français entre la BNP, la Société Générale, Visa, Gemplus et France Telecom, dans le but de développer le commerce électronique par carte à puce. Moyen de paiement qui comprend notamment une assurance protégeant contre les fraudes et les défauts de livraison. Partenaires : AXA, SPB. 92

93 CyberCash Cyber- Comm Intermédiation avec le système bancaire Système de lecteur de carte DIGICASH Porte-monnaie électronique Directe Card EarthPort FIRST DATA / NETSCAP E Système bancaire Porte-monnaie électronique Système bancaire carte carte First Virtual Intermédiation avec le système bancaire Le client envoie une requête cryptée au centre du serveur CyberCash. Celui-ci se connecte à la banque comme un «Terminal Point de Vente» TPV classique pour validation du paiement. Cyber-Comm regroupe les neuf principales banques françaises (notamment la BNP, le CCF et la Société Générale) des organismes financiers français et internationaux (Carte Bleue, Visa, etc.), des fournisseurs de carte à puce (ex. Gemplus) et France Telecom. Le système proposé s appuie sur un lecteur de carte sécurisé connecté à l ordinateur de l utilisateur. Après identification du titulaire de la carte à puce, cette dernière signera la transaction et transmettra les données au lecteur sécurisé, qui les chiffrera et les signera. Le client est crédité d une somme d argent (cyberbucks), stockée sur le disque dur de son ordinateur. Pour le paiement d une somme sur Internet, le client prélève sur son crédit. Juridiction compétente : Tribunal de l Etat du Missouri et à défaut de précision, tribunal de Saint-Louis. Loi applicable : Lois du Federal Reserve System, lois fédérales et lois internes du Missouri. Remarques : il faut d abord essayer de résoudre les conflits par voie d arbitrage. Modification des conditions générales : possibilité de modification unilatérale, mais qui ne sera effective que 10 jours minimum après leur notification au client. Clause limitative de responsabilité : sauf fraude ou mauvaise foi de la banque, DigiCash ne pourra jamais être déclarée responsable des préjudices, frais, perte ou dommages de toute sorte dus aux services de la banque ou à son personnel. Système proposé par Banque Directe, comprenant une assurance. Interview Yvon Moysan, chef produit Banque Direct à InfoPC, mars 2001, n 179: «En cas de contestation d une opération réalisée sur le Réseau, le porteur est remboursé du montant de la fraude, des frais de mise en opposition de la carte et des agios éventuels En cas de livraison non conforme ou de non-livraison, le porteur de la carte est remboursé». Système de paiement anglais. Les transactions bancaires se limitent à l alimentation du compte. Le système autorise des achats classiques et des micro-paiements. La mise en place du système chez le commerçant est gratuite ; EarthPort se rémunère en prélevant une commission sur les transactions. Le site web du vendeur reçoit la transaction de paiement authentifiée par la carte bancaire de l acheteur. La transaction est préalablement cryptée par Netscape. Le vendeur adresse un message électronique au serveur First Virtual. Celui-ci interroge le client par courrier électronique s il accepte ou refuse la transaction. Si le paiement est accepté, le paiement est transmis à First Virtual par le circuit bancaire traditionnel. Juridiction compétente : Tribunal de Cheyenne dans l Etat du 93

94 GlobeID GOL (Global On Line) Intermédiation avec le système bancaire Porte-monnaie électronique et carte bancaire Imagine Porte-monnaie Card électronique Jeton Porte-monnaie sécurisé de électronique SEJS Kleline Mastercard Cash Mondex Netbill Odysseo Porte-monnaie électronique Porte-monnaie électronique Porte-monnaie électronique Intermédiation avec le système bancaire Porte-monnaie électronique Wyoming. Loi applicable : lois du Wyoming. Modifications des conditions générales : F.V. fait connaître les changements par e- mail. F.V. peut modifier les conditions générales à tout moment. Clauses limitatives de responsabilité : le client assume les risques de tout sinistre résultant d un événement politique ou naturel ou en cas de force majeur. En cas de perte due à une faute du personnel, du logiciel ou du matériel de F.V., celui-ci se déclare responsable uniquement dans le sens où il s engage à tout faire pour corriger les données perdues ou endommagées. Validité et répudiation des paiements : F.V. paie le vendeur uniquement si le client a répondu «YES». Si la compagnie de carte bancaire fait savoir à F.V. que le client a donné un ordre de non paiement, F.V. peur faire supporter les frais au vendeur. GOL propose deux types de paiement, selon la somme à payer. Pour les petites sommes d argent, le système de porte-monnaie électronique est utilisé. Les sommes plus importantes sont payés par un système bancaire ; les messages de paiement de l acheteur sont alors cryptés et ne comportent pas d identifiant bancaire, mais l identifiant GOL. Alliance entre Informix, Gemplus et Hewlette Packard. Système de sécurisation d accès en ligne, se présentant sous forme de jeton, qui par simple pression émet un signal sonore crypté, unique et aléatoire. Sécurisation du jeton par code personnel à trois chiffres. Utilisé par téléphone. Logiciel de Cybermonnaie. Juridiction compétente : Tribunal de commerce de Paris. Loi applicable : droit français pour les contrats conclu et exécutés en France. Validité et répudiation des paiements : dès que le client confirme le «ticket de caisse» par entrée de son code confidentiel, il donne tous pouvoirs à Kleline pour ordonner le débit de ses cartes. Ce système n existe plus ; il a été sacrifié lors de la fusion BNP PARIBAS. Système incorporé aux cartes Mastercard classiques. Porte-monnaie électronique sur carte à puce. Conçu pour pouvoir accepter cinq devises différentes. Peut être sécurisé par code secret de seize chiffres. Part l intermédiaire de terminaux ou de certains téléphones British Telecom, il est possible d effectuer des transferts d argent. Système reposant sur un ordinateur central gérant les portemonnaie virtuels des utilisateurs Portefeuille électronique téléchargeable gratuitement pour les consommateurs depuis les sites des cybermarchands. Système qui grâce au déploiement d une infrastructure de clés privées 94

95 Open Market Paybox Système bancaire Intermédiation avec le système bancaire Payline Système carte bancaire (PKI), rend les transactions irrévocables (pas de risque de répudiation des transactions). carte Boutique virtuelle avec paiement crypté. Partenaires : Hewlett Packard, Digital Equipment Corporation, CSC, Cybercash. Paybox est une solution interbancaire. Elle informe l acheteur de son achat. Lorsque ce dernier confirme l achat, Paybox émet une demande d autorisation vers le centre de la banque à laquelle est affilié le commerçant. Si le paiement est accepté, Paybox effectue le paiement sans que le numéro de carte bancaire soit communiqué au commerçant. Solution française de paiement par carte bancaire, développé par la SG2 et Intrinsec (société spécialisée en matière de sécurisation des données). Ce dernier gère intégralement l acte de paiement sur son propre serveur sécurisé. Probatio Intermédiation Probation se positionne comme tiers de confiance. Le règlement peut s effectuer sous n importe quelle forme : carte bancaire, hors ligne, téléphone, fax, courrier postal, etc. Il peut être libellé dans n importe quelle devise européenne de la zone euro. Proton SIPS Payment SP Plus VISA, MasterCard -EuroCard VisaCash Porte-monnaie électronique Intermédiation Intermédiation bancaire Système bancaire Porte-monnaie électronique carte Système de porte-monnaie belge, qui utilise une carte à puce pour stocker des unités monétaires afin d effectuer des paiements de proximité. La sécurité du paiement repose sur l authentification du commerçant et sur la confidentialité et l intégrité des données. SIPS s appuie sur les techniques de cryptologie (SSL, SET ). Système proposé par la Caisse d épargne. Les données relatives au numéro de carte bancaire restent confidentielles vis-à-vis du commerçant. Le système ne permet pas les paiements qu en francs et en euros, mais il propose divers moyens de règlement : carte bancaire, chèque, paiement via un téléphone GSM, etc. Pour l internaute, la validation de l achat se traduit par l ouverture d une fenêtre menu gérée par la Caisse d épargne, la transaction étant sécurisée par SSL. Système de carte à puce utilisé avec la norme SET (Secure Electronic Transaction). Système utilisant comme support une carte à puce. Il est proposé dans deux versions : - une carte rechargeable à volonté à l aide d un terminal prévu à cet effet ; - une carte précréditée. 95

96 2/ Assurances ORGANISME TYPE DE OBSERVATIONS COMMERCE ELECTRONIQUE COFACE Business to Business La Coface propose le Il s agit d un système de notation des entreprises offrant des services de commerce électronique B to B. Le contrôle du rating s effectue en temps réel. SecuriClic Business to Consumer Il propose une assurance aux internautes contre les risques du paiement en ligne. Il fournit des conseils juridiques et rembourse les frais d opposition et de renouvellement de carte bancaire en cas de fraude. En cas de litige, prise en charge des frais de procédure. Fia-Net Assure les commerçants (B to B et B to C) Ifebo Assure les commerçants (B to B et B to C) Trusted Shops France Assure les commerçants (B to B et B to C) Fondé par Fia et par Axa. Il assure environ 50% des sites marchands. Il offre une assurance contre la répudiation du paiement, le remboursement en cas de fraude et une assistance juridique en cas de litige. Couvre le territoire français, belge ainsi que l Italie et l Espagne (ponctuellement). En plus, il offre un service de label, qui certifie les procédures de protection du site marchand. Il offre une assurance contre la répudiation du paiement, le remboursement en cas de fraude et une assistance juridique en cas de litige. Il ne couvre que la France. Il offre une assurance contre la répudiation du paiement, le remboursement en cas de fraude et une assistance juridique en cas de litige. Il couvre l Allemagne, la Suisse, l Autriche, la Grande- Bretagne, la France, La Belgique, les Pays-Bas et la Scandinavie. P@iement CIC B to C L assurance ne couvre pas les sites d enchères, les sites boursiers et les sites qui commercialisent des services. L assurance couvre le risque de répudiation des paiements, l utilisation frauduleuses du numéro de carte bancaire (service offert aux internautes clients CIC). L assurance ne couvre que le territoire français, à l exception de la garantie de livraison qui s applique aux pays de la Communauté européenne, la Suisse, Andorre et Monaco. 96

97 3/ Le produit COFACE : Liste des pays ouverts à la 265 ZONE GEOGRAPHIQUE : ASIE COREE HONG KONG SINGAPOUR TAIWAN JAPON PHILIPPINES (pour les transactions internationales libellées en devise étrangère) ZONE GEOGRAPHIQUE : EUROPE ALLEMAGNE AUTRICHE BELGIQUE DANEMARK ESPAGNE FINLANDE FRANCE GRANDE-BRETAGNE IRLANDE ITALIE NORVEGE PAYS-BAS PORTUGAL REPUBLIQUE TCHEQUE SUEDE SUISSE ZONE GEOGRAPHIQUE : MOYEN ORIENT ISRAEL ZONE GEOGRAPHIQUE : AMERIQUE DU NORD ETATS UNIS ZONE GEOGRAPHIQUE : AMERIQUE LATINE ARGENTINE COLOMBIE (pour les transactions internationales libellées en devise étrangère) EQUATEUR (pour les transactions internationales libellées en devise étrangère) MEXIQUE (pour les transactions internationales libellées en devise étrangère) 265 Source : 97

98 Annexe IV : L ATTITUDE DES AGENTS FINANCIERS EN FRANCE FACE AUX TRANSACTIONS PAR INTERNET 1 La sécurité des transactions CPR E*TRADE Art. 36 Code confidentiel : Afin de garantir la confidentialité des informations accessibles, CPR-E*TRADE attribue au CLIENT un code d accès personnel et confidentiel qui lui est adressé à son domicile par lettre recommandée avec accusé de réception. Conçu de manière à ce qu aucune consultation ni opération ne puisse être effectuée sans sa mise en œuvre préalable, ce code d accès devra être tenu secret par le CLIENT qui en assure la garde sous sa seule responsabilité. ( ) Par ailleurs, afin d ajouter un niveau de sécurité à la réalisation des opérations, le CLIENT dispose d un «Trading password» sous la forme de mot de passe, choisi par lui seul et dont le caractère confidentiel reste sous sa seule responsabilité. Il lui est demandé de renseigner ce «Trading password» lors de chaque passage d ordre. FIMATEX Art. 8 Transmission des ordres : 8.2 FIMATEXpeut, à tout moment, et pour tout ordre, exiger un écrit signé de la main du Titulaire. ( ) 8.3 En cas d utilisation de ses services télématiques, FIMATEX attribue, personnellement au Titulaire, un mot de passe et un code d accès garantissant la confidentialité des informations. Le Titulaire s engage à les maintenir secrets. ( ) Le Titulaire est entièrement responsable de la conservation et de l utilisation de son mot de passe et son code d accès et, le cas échéant, de leur divulgation. Le service FIMATEX faisant appel à des moyens téléinformatiques pour la transmission et l enregistrement des informations, les enregistrements des appareils utilisés par FIMATEX pour la réception des instructions du Titulaire ou leur reproduction sur un support informatique ou papier, constitueront pour FIMATEX la preuve desdites instructions et la justification de l imputation aux comptes concernés des opérations correspondantes. Le Titulaire reconnaît que son mot de passe et son code d accès ont la même valeur que sa signature manuscrite. FIMATEX ne peut être tenue responsable de toute utilisation frauduleuse du mot de passe et/ou du code d accès. Wargny.com Art. 6 Garantie des investisseurs : FINANCIERE WARGNY, prestataire de services d investissement adhère aux systèmes de garantie des déposant et des investisseurs institués par la loi du 25 juin 1999 et de ses règlements subséquents, qui garantissent les dépôts des titulaires à hauteur de euros pour les titres et euros pour les espèces liées. ( ) Art. 17 : Transmission : b/ Code d accès Mot de passe Connexion Obligation de confidentialité : Pour chaque compte, l accès à ce service nécessite un code d accès intangible, ainsi qu un mot de passe. Ces deux identifiants sont communiqués par FINANCIERE WARGNY au TITULAIRE par voie postale. Le TITULAIRE fait son affaire personnelle de la modification du mot de passe, fortement conseillé dès la première utilisation. Le code d accès et le mot de passe ayant un caractère personnel, le TITULAIRE s engage à conserver à ceux-ci leur confidentialité. La responsabilité de FINANCIERE WARGNY ne pourra pas être engagée quant aux conséquences pouvant découler de leur divulgation. De convention expresse, FINANCIERE WARGNY considérera que toute interrogation ou opération intéressant le TITULAIRE, précédée du code d accès et du mot de passe confidentiel(s) de celui-ci, sera réputée émaner, qu elle qu en soit l origine, du TITULAIRE lui-même. En outre, FINANCIERE WARGNY ne pourra en aucune façon voir sa responsabilité 98

99 LineBourse recherchée en cas d utilisation irrégulière ou frauduleuse du mot de passe confidentiel utilisé. Trois essais de mot de passe infructueux sous un code d accès correct entraînent la clôture de l accès. Le TITULAIRE doit alors contacter FINANCIERE WARGNY pour initialiser une nouvelle procédure. ( ) Art codes confidentiels : Afin de lui permettre d utiliser les services proposés sur son site, LineBourse, dès réception des documents visés au paragraphe «Eléments d identification», adresse au Client, par lettre recommandée avec accusé de réception, un courrier lui notifiant son identifiant et un premier mot de passe provisoire. Ce mot de passe devra obligatoirement être modifié par le Client, lors de sa première connexion sur le site. Le Client est également invité à renseigner sur le site, lors de sa première connexion, un second mot de passe de son choix. Ce second mot de passe devra être communiqué oralement par le client lors de la passation d ordres par téléphone au centre d appels de LineBourse. Ces deux mots de passe sont modifiables à tout moment par le Client qui est entièrement responsable de leur usage et de leur diffusion, sous peine d engager sa responsabilité pleine et entière. ( ) Art Transmission par Internet et par téléphone : ( ) Tout ordre saisi sur Internet grâce à l identifiant et au mot de passe du Client, sera réputé avoir été saisi par ce dernier. ( ) Le Client décharge la Banque Populaire et LineBourse de toute responsabilité en cas d utilisation abusive ou frauduleuse par un tiers des éléments d identification. 2 Responsabilité de l agent financier CPR E*TRADE Art. 41 Responsabilité de CPR-E*TRADE : CPR E*TRADE s engage à faire ses meilleurs efforts en vue de permettre au CLIENT une utilisation optimale des services proposés. CPR E*TRADE n est en conséquence tenue qu à une obligation de moyens, et en aucun cas à une obligation de résultat. Ainsi, CPR E*TRADE ne saurait, en aucun cas, être tenue pour responsable d une rupture dans la fourniture des services du fait d événements qui lui sont étrangers tels le cas de force majeure, l interruption dans les services téléphoniques ou le mauvais fonctionnement de son outil informatique. Elle ne saurait par ailleurs voir sa responsabilité engagée à raison d un usage abusif ou frauduleux du code d accès remis au CLIENT ni à raison d un défaut de fonctionnement ou d une utilisation inadéquate du matériel. FIMATEX Art. 16 Responsabilité de FIMATEX : 16.1 A aucun moment, FIMATEX ne peut se porter garant de la fiabilité et/ou du fonctionnement des moyens de communication, télécommunication utilisés. Le Titulaire décharge FIMATEX de toutes les conséquences pouvant résulter de l utilisation de ces moyens de communication. Wargny.com Article 17 Transmission c/ Responsabilités : FINANCIERE WARGNY ne peut être tenue responsable de dysfonctionnement techniques. FINANCIERE WARGNYest soumise à une obligation de moyens et non de résultat. ( ) FINANCIERE WARGNY conserve la faculté d exiger, à tout moment, la transmission d ordres par écrit.( ) Il est expressément convenu que le TITULAIRE ne peut en aucun cas invoque l absence de confirmation écrite pour contester la validité d un ordre enregistré et exécuté conformément à ses instructions ( ). LineBourse Art. 6.1 Responsabilité de la Banque Populaire et de LineBourse : La Banque Populaire et LineBourse ne sont tenues qu à une obligation de moyen, notamment ils ne pourront être tenus pour responsables des conséquences des manquements à leurs obligations au titre du présent contrat qui résulteraient de circonstances indépendantes de leur volonté telles que les grèves, les défaillances des systèmes informatiques ou des moyens de communication, le dysfonctionnement des systèmes de compensation ( ). 99

100 ANNEXE V: PIRATAGE INFORMATIQUE et CYBERCRIMINALITE Si les pirates d antan, portaient un bandeau noir et attaquaient les riches navires, les pirates contemporains utilisent les failles des systèmes informatiques et peuvent attaquer n importe quel ordinateur, indépendamment des qualités patrimoniales de son utilisateur. Avec le développement de l Internet, la sécurité informatique est devenue la principale préoccupation de tout le monde. A l origine, c est-à-dire au milieu des années 70, les hackers (pirates informatiques) étaient des programmateurs de talent, des bidouilleurs qui pouvaient tirer le meilleur d un système ou programme informatique. Mais, hacher (to hack en anglais) un ordinateur, est très vite devenu un challenge pour les hackers. Les avertis distinguent entre les programmateurs surdoués (hackers), ceux qui utilisent leurs connaissances pour s introduire illégalement dans les systèmes informatiques (crackers), les voleurs de numéros de cartes bancaires (carders) et enfin les concepteurs de virus (coders). Mais pour le grand public, le terme hacker désigne toutes ces personnes. Tableau 1 : Etapes pour pénétrer un système : - Première étape : trouver le mot de passe. - Deuxième étape : trouver et exploiter les failles du système d exploitation. - Troisième étape : le pirate utilise une base de données qui teste électroniquement une liste de mots de passe courants (qui fait des conjectures jusqu à ce qu il pénètre le système). - Quatrième étape : visite du système. - Cinquième étape : voler ou détériorer les données. Tableau 2 : Quelques techniques de piratage Traficotage du La personne peut introduire un petit dispositif dans le clavier de l ordinateur visé, clavier lequel enverra des ondes radio chaque fois que l utilisateur normal appuiera sur une d ordinateur touche. A l aide d un scanner, cette personne pourra récupérer les codes que Capter les ondes émises par l écran. Piratage de la couche réseau (IP) Méthode «Hack-hack» Méthode du «tir rapide» Le cheval de Troie l utilisateur tapera (ex. mot de passe, numéros de carte bancaire, etc.) Un écran traditionnel (par opposition aux écrans à cristaux liquides) comporte un tube cathodique, qui émet des ondes relativement puissantes. A l aide d un scanner relativement performant, quelqu un peut obtenir sur l écran d un autre ordinateur, l image exacte de l écran suivi. (Qui a dit que cela n arrive que dans les films d espionnage?) Dans cette hypothèse de piratage, le simple utilisateur ne peut rien faire (ou presque) pour se protéger d une attaque. On distingue plusieurs types : - le snooping (ou sniffing) : un ordinateur connecté su le réseau analyse tout le trafic, et collecte les informations qui circulent. Seule la solution du cryptage des données transmise peut s avérer efficace. - Le masquerading : un ordinateur se fait passer pour un autre en utilisant un numéro d IP emprunté. - Le Denial of Services : création volontaire d un dysfonctionnement d un ou plusieurs ordinateurs. Technique adopté le plus souvent par le «néophyte». Consiste à essayer de deviner le mot de passe. Appelé aussi «attaque par dictionnaire». Il faut connaître le fonctionnement des systèmes d exploitation afin d exploiter leurs failles. C est un programme caché dans un autre (par exemple une photo) envoyé par le pirate à l ordinateur cible. Lorsque l utilisateur de l ordinateur cible consulte le programme apparent, le programme caché s exécute. Bombe logique Programme de falsification, de destruction ou de détournement d informations qui, inséré dans un programme normal, va s exécuter lors de l apparition d une information particulière (par exemple, date de déclenchement). Le risque des Les cookies sont des petits fichiers envoyés par le site visité par l internaute, et 100

101 cookies Vol de fichiers stockés sur le disque dur de celui-ci. Ils permettent son identification immédiate lors de sa prochaine visite sur le site. Risque des cookies consiste aux informations qu ils contiennent. En effet, ceux ci peuvent contenir absolument toutes les informations communiqués au cybermarchand (notamment le numéro de carte bleu). A priori, chaque site ne peut accéder qu aux cookies qu il a créés. Le hacker, une fois introduit dans le site souffrant d une vulnérabilité connue, lance le script approprié et prend le contrôle du serveur. Ensuite il récupère le fichier contenant les noms, adresses et numéros de cartes de crédit des clients. Tableau 3 : Quelques exemples célèbres de piratage 1986 Trois hackers, Koch, Karl et Brzezinski appartenant au CCC (Chaos Computer Club), ont pris contact avec la mission commerciale soviétique à Berlin Est, afin de lui vendre des informations de pointe collectées auprès des entreprises commerciales occidentales. Le KGB étant très intéressé, a investi une somme conséquente. Les forces de polices allemandes de la RFA ont intervenu. Mais l histoire s arrête là, car trois ans plus tard, les deux des trois hackers sont morts de manière subite Pendant cette période, deux groupes de hackers (les Lod et les Mod) se lancent dans une véritable guerre informatique, en s amusant à s introduire dans leurs ordinateurs respectifs. En 1991, les Mod s introduisent dans le réseau de la firme de sécurité informatique Comsec. Les Lod (Legion of Doom) gardent la trace de cette intrusion et la communiquent à la police. Cinq membres des Mod sont condamnés pour piratage informatique, sur la base du Computer Fraud and Abuse Act de Vladimir Levin, mathématicien de Saint-Pétersbourg, s est introduit illégalement dans le réseau de la banque internationale Citibank afin de détourner dollars. Il a été condamné à 3 ans d emprisonnement Microsoft espionne le disque dur des ordinateurs où Windows est installé (!). En 1997, des hackers, étudiant le fonctionnement de Windows, découvrent que Windows 95 établit un rapport de tous les programmes contenus dans le disque dur d un ordinateur, et l envoie via Internet à Microsoft. Celle-ci avance le motif de la lutte contre le piratage des programmes. En 1998, elle recommence avec Windows Des rebelles mexicains de la guérilla zapatiste ont attaqué le site du Pentagone Le 24 mars 2000 deux pirates informatiques de 18 ans ont été arrêtés au Pays de Galles pour avoir piraté des sites commerciaux sur Internet se cinq pays différends dans le but de voler des informations sur cartes de crédit. Selon les estimations des enquêteurs du FBI, les dommages s estiment à plus de trois millions de dollars. Tableau 4 : Les motivations des hackers Se faire embaucher par les entreprises, le site desquelles a été piraté par le hacker. Rupture avec l Etat. Certains hackers, détestant la bureaucratie, estiment que si on les empêche d accéder à certains fichier c est parce qu on a quelque chose à cacher. Ainsi, CCC réclame sur son site Internet : «We demand unlimited freedom and flow of information without censorship». La célébrité. Selon Spanska, auteur du virus informatique Happy 99, «faire la une de CNN est la seule chose qui compte». On peut distinguer plusieurs types de pirates : 1. le novice : très jeune (entre 12 et 14 ans), il considère le piratage comme un jeu amusant et «interdit» ; 2. l étudiant : s ennuyant en cours, il trouve un intérêt intellectuel au piratage ; 3. le touriste : il considère le piratage comme un puzzle. C est qui l intéresse c est pénétrer le système. Généralement, il aime signer son exploit. 101

102 4. le hacker à chapeau blanc : il est comme le touriste, mais en plus animé par un esprit chevaleresque, il dénonce les activités criminelles classiques. 5. le hacktiviste : il agit dans le but de dénoncer une violation de droits individuels ou collectifs ou pour soutenir une cause. 6. le vandale : il a l envie de détruire pour se rendre célèbre. 7. le voleur : il vole les données des sites qu il pénètre. 8. le corsaire : hacker qui choisit de rejoindre les forces de l ordre ou de les aider dans la lutte contre la cybercriminalité. Tableau 5 : Critères pour vérifier si un système est facile à pénétrer : l accès de l intérieur (par exemple : est-ce que les terminaux sont-ils accessibles à un large public?) le nombre d utilisateurs. le système considéré comme séduisant par les pirates : systèmes ayant beaucoup d utilisateurs ; entreprises très connues ; ordinateurs de service (par ex. pour obtenir les cotations de la Bourse) ; les systèmes trop accueillants Tableau 6 : Les affaires de cybercriminalité poursuivies sous le titre 18 U.S.C. 1030, aux Etats- Unis 266 Affaires Attaque contre Intérêt Délinquant Localisati U.S. v/ivanov II juin 2001 U.S.v/McKen na (D.N.H.) juin 2001 U.S.v/Oquend o (S.D.NY) juin 2001 U.S.v.Ivanov (D.Conn.) mai 2001 U.S.v.Diekma n II (C.D.CA) avril 2001 U.S.v.Sullivan (W.D.NC) avril 2001 U.S.v.Osowsk i (N.D.CA) avril 2001 U.S.v.Morch (N.D.CA) mars 2001 U.S.v.Ventimi glia (M.D.FL) mars 2001 U.S.v.Dennis (AK)janv.2001 U.S.v.»HV2 K (Valocal) (déc.2000) U.S.v.Torricel li (S.D.NY) Confi denti alité Inté grit é Dispon ibilité Perte estim ée en $ Menace à l ordre et/ou à la santé publique Pub lic visé Privé Min eur Adult e Gro upe orga nisé on Inter natio nal $13K + $60K Nat ion al 194K $2.3 million 5K $ , Source : 102

103 (déc.2000) U.S.v.Diekma n I (C.D.CA) nov.2000 U.S.v. comra de (S.D.FL) sept.2000 U.S.v.Gregory (N.D.TX) sept.2000 U.S.v.Zezov at al.(s.d.ny) août 2000 U.S.v.Toricell i (S.D.NY) juill.2000 U.S.v.Lloyd (D.N.J.) mai 2000 U.S.v.Davis (E.D.WI) mars 2000 U.S.v.Iffih (D.Mass) févr.2000 U.S.v.Mifflato n (N.D.Tex) déc.1999 U.S.v.Smith (D.N.J) déc.1999 U.S.v.Alibris (D.Mass) nov.1999 U.S.v.Burns (E.D.VA) nov.1999 U.S.v.Lindsly (N.D.Tex) sept.1999 U.S.v.Mitrick (C.D.CA) août 1999 U.S.v.Kashpu reff (E.D.NY) mars 1998 U.S.v.Teneba um (Israel) Mars 1998 U.S.v mineur anonyme (D.Mass) mars 1998 $23K Tableau 7 : Les organes de lutte contre la cybercriminalité français Liste non exhaustive (elle ne comporte pas les organismes ayant comme but la défense nationale ou la protection des intérêts publics et gouvernementaux). Organisme Observations SEFTI Service d'enquête des Fraudes aux Technologies de l'information. Service spécialisé à la lutte contre la criminalité informatique dépendant de la Police judiciaire de la Préfecture de Police de Paris. Sa compétence territoriale s'étend à Paris et aux trois départements des Hauts-de-Seine, la Seine-Saint-Denis et le Val-de-Marne. 103

104 BCRCI IRCGN SCSSI DSSI SGDN DGCCRF DGXIII DSN CNCIS SCTIP CLUSIF RECIF Police Technique et scientifique OCLCTI OSSIR Brigade Centrale de Répression de la Criminalité Informatique. Elle est rattachée à la Direction Centrale de la Police Judiciaire. L'Institut de Recherches Criminelles de la Gendarmerie Nationale (IRCGN) est chargé d'établir la preuve scientifique lors de l'enquête criminelle. Service Central de la Sécurité des Systèmes d'information. Il est chargé d'apprécier le niveau de protection des systèmes d'information. Il a aussi une fonction d'homologation des procédés cryptographiques. Le Directoire de la Sécurité des Systèmes d'information est chargé de proposer au premier ministre la politique à suivre en matière de sécurité des systèmes d'informations et d'en contrôler l'application. Le Secrétariat Général de la Défense Nationale assiste le Premier ministre dans l'exercice de ses responsabilités en matière de direction générale de la défense (coordination des études sur les données de la politique de défense, suivi des crises et des conflits internationaux, coordination des mesures de défense, d organisation des moyens de commandement et de liaison nécessaires au Gouvernement). Il dépend du Ministère de l économie Direction Générale chargée des télécoms et de la sécurité informatique corps de police à échelle européenne. Elle est sous la responsabilité de la Commission européenne. Direction de la Sûreté Nationale. Par rapport à la BCRCI, ce service du Ministère de l'intérieur n'a pas vocation de faire de la procédure judiciaire mais plutôt de la prévention et du conseil en cas d'incident. C'est un service spécialisé dans l'étude et le conseil en matière de risque informatique. Commission Nationale de Contrôle des Interceptions de Sécurité (Autorité Administrative Indépendante). La CNCIS est chargée depuis 1991 d'autoriser ou de refuser les écoutes de lignes téléphoniques demandées par la police hors de tout cadre judiciaire pour lutter contre le terrorisme, le crime organisé, défendre la "sécurité nationale" ou combattre l'espionnage. Les missions et l'organisation du service de coopération technique internationale de police (S.C.T.I.P.) sont fixées par le décret n du 14 décembre 1961, par l'arrêté du 1er septembre 1994, par l'instruction du ministre des affaires étrangères relative aux attachés de police du 9 mai 1995 et par l'instruction technique du directeur général de la police nationale du 30 avril 1996 relative à l'organisation et au fonctionnement de la présence de la police nationale à l'étranger. Club de la Sécurité informatique des systèmes d information français. Le Clusif est une association française ayant pour but de sensibiliser les entreprises françaises face au problème de la cybercriminalité en organisant notamment des séminaires. Recherches et Etudes sur la Criminalité Informatique Française. Elle intervient à titre d expert pour l exploitation des preuves, traces et indices recueillis par les enquêteurs. Office Central de Lutte contre la Criminalité liée aux Technologies de l'information et de la communication. Observatoire de la Sécurité des Systèmes d'information & des Réseaux. L OSSIR est une association du type loi Il regroupe un ensemble d'utilisateurs travaillant sur la sécurité des systèmes. Il comprend actuellement deux principaux groupes de travail : Le groupe SUR (Sécurité Unix et Réseaux), Le groupe SWNT (Sécurité WindowsNT). CyberCrimInstitut Association à but non lucratif, elle rassemble des universitaires, diplomates, chefs d'entreprises, juristes, fonctionnaires, etc. Les moyens d'action de l'institut sont fondés sur un réseau international et interdisciplinaire d'experts de grande compétence exerçant ou ayant exercé des responsabilités dans ce domaine. 104

105 Pour en savoir plus : - Bernard Fabrot «Protégez-vous sur Internet. Anonymat et sécurité», référence informatique, Marabout David Dufresne, Florent Latrive «Pirates et flics du Net. Contre-enquête» ; Seuil, Bill Landreth «Le Cracker», «Le pirate de l informatique. Guide de la sécurité informatique», Microsoft Press, Cedic/Nathan, I.F.A.C.I., «Les principes de la sécurité informatique. Guide d audit», CLET, «Hacking, virus, chevaux de Troie, collecte d informations personnelles Protégez vos données», dossier spécial InfoPC n 175 novembre 2000, p.54 et s. - «Anonyme sur Internet», dossier spécial InfoPC mars 2000 n 168, p.123 et s. - Daniel Martin, «La menace de la cybercriminalité» Rapport moral sur l argent dans le monde, Problèmes économiques n p S.M.Bellovin, W.R.Cheswick, «Firewalls et sécurité Internet», collection W. Kernighan, Addison- Wesley, Chaos Computer Club :

106 Annexe VI: TEXTES 1- Règles UNCID (texte en anglais) Introductory note I. The international trade transaction The UNCID rules are meant to provide a background for users of EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport) and other systems of Electronic Trade Data Interchange, hereafter for short EDI. Users will have detailed knowledge of the cumbersome procedures involved in an international trade transaction, and the decisive advantages of electronic interchange. For illustration please see figure 1 which shows data flows and message functions. II. The computer age - towards paperless trading It is widely expected that the impact of computerization will be as great as that of industrial revolution. Computers are already providing all sorts of services at rising speed and diminishing cost. International trade data communication, however, seems to be a missing link. Yet the need is great. Not only do paper documentation and procedures represent as much as 10 per cent of goods value; they are slow, insecure, complicated and growing. The possibilities of cost reduction are in the order of 50 per cent to the benefit of not only the main parties, but everyone involved, not least the authorities. This is why a major activity of the Working Party on Facilitation of International Trade Procedures of the United Nations Economic Commission for Europe (ECE), over the last decade and a half has been the creation of the tools that would make electronic interchange of data in international trade a secure, effective and cheap alternative. EDI is the direct transfer of structured business data between computers by electronic means, i.e. the paperless transfer of business "documentation". The past years have seen an explosion of interest in EDI between national and international trade participants. The technology is available and the momentum is growing. It is estimated that within five years EDI will be commonplace between majors in international trade transactions. But EDI cannot operate to any great extent without a common international standard, and progress has been made in drawing together different standards. Three building blocks are required: common data elements equivalent to the vocabulary; a syntax, which equates to the grammar in a normal language; and standard messages which combine data elements and syntax into a structured business message similar in concept to the paper document. These instruments are being created in the work coordinated by the ECE. Alongside these technical developments thought and attention has also been given to what may be described as the "legal" aspects of EDI. III. The legal background Because of its physical characteristics, the traditional paper document is accepted as evidence. It is durable, and changes or additions will normally be clearly visible. The electronic document is quite 106

107 different. It takes the form of a magnetic medium whose data content can be changed at any time. Changes or additions will not appear as such. The paper and the data communication links are only media for carrying information, however, and it is possible to establish techniques which give electronic data interchange characteristics that make it equal or superior to paper not only as carrier of information, but also as regards the evidential functions. Firstly EDI in itself presupposes procedures that make this form of communication more secure. In addition to identification this technique can also provide for error detection and correction. Authentication in the sense that the data content is correct can also be established, and privacy can be secured by several means built into the system. Finally, authentication, in the sense that the correct authorized person has issued the message, can also be secured. That is why the ECE, the United Nations Commission on International Trade Law (UNCITRAL) and the Customs Co-operation Council (CCC) have recommended to governments and organizations responsible for determining documentary requirements, that they undertake an update and overhaul of these requirements to allow for EDI. This will, however, take time. It is also dependent upon a general acceptance of a high level of security in data interchange. That is why it has been felt desirable to develop a set of internationally accepted rules - UNCID. The first draft was based on the idea of creating a standard for communication agreements. It was found, however, that due to the differing requirements of various user groups this was impracticable. There was on the other hand general agreement on proposals for uniform rules as a code of conduct. IV. UNCID The International Chamber of Commerce (ICC) agreed to establish a Joint Special Committee with participation from other interested organizations and user groups to evaluate and formulate such a set of rules. UNCITRAL, ECE, CCC, the UNCTAD Special Programme on Trade Facilitation (FALPRO), the Organization for Economic Co-operation and Development (OECD), the International Organization for Standardization (ISO), the Commission of the European Communities, the European Insurance Committee and the Organization for Data Exchange by Teletransmission in Europe (ODETTE) were all represented in this committee in addition to various commissions of the ICC. In developing the rules the Committee based its work on certain vital concepts, inter alia, that the rules should: a) aim at facilitating the use of EDI through the establishment of an agreed code of conduct between parties engaged in such electronic interchange; b) apply only to the interchange of data and not to the substance of trade data messages transmitted; c) incorporate the use of ISO and other internationally accepted standards - to avoid confusion; d) deal with questions of security, verification and confirmation, authentication of the communicating parties, logging and storage of data; e) establish a focal point for interpretation that might enhance a harmonized international understanding and therefore use of the code. Acknowledgement and confirmation illustrate some of the problems found in developing useful rules. In some systems acknowledgement is a mandatory requirement. In others it is taken as good conduct. In others again the sender has to ask for it. UNCID opts for this last solution. In certain cases the sender will also want to know that the content of the transfer has been received in apparent good order and has been understood. The sender may then ask for confirmation. This of course touches on the material content - but only marginally. It should not be confused with the concept of legal acceptance - that is another (third) layer which is wholly outside the UNCID rules. 107

108 It was also foreseen that the rules could form part of or be referred to, in any Trade Data Interchange Application Protocol (TDI-AP) or other specific communication agreement. V. Need for specific communication agreements User groups may be organized in several ways. But they all need some form of communication agreement, although requirements differ according to the groups in question and to what has been included in their "users manual" or "application level protocol" which is an agreement, but of a more technical nature. Apparently there is a strong need for communication agreements where EDI is used between defined organizations. It is suggested that this need may be even more important in direct open communication. Several user groups have stressed that the UNCID rules make a useful basis for their communication agreements. UNCID, agreed rules of conduct, give more than a mere starting point. Defining an accepted level of professional behaviour they also secure a common approach. The details and form of communication agreements differ according to the size and type of the user groups. The agreement may be included in a protocol or form a separate document. It may contain additional rules, e.g., bearing on the substantive elements of the data exchanged, on the underlying agreement and on the professional approach. It is therefore not practical to formulate a standard model. It may be useful, however, to outline certain elements that should be considered in addition to UNCID, when formulating an agreement. 1) There is always a risk that something may go wrong - who should carry that risk? Should each party carry its own or would it seem possible to link risk to insurance or to the network operator? 2) If damage is caused by a party failing to observe the rules, what should be the consequences? This is partly a question of limitation of liability. It also has a bearing on the situation of third parties. 3) Should the rules on risk and liability be covered by rules on insurance? 4) Should there be rules on timing, e.g. the time within which the receivers should process the data, etc? 5) Should there be rules on secrecy or other rules regarding the substance of the data exchanged? 6) Should there be rules of a professional nature - such as the banking rules contained in SWIFT? 7) Should there be rules on encryption or other security measures? 8) Should there be rules on "signature"? It would also seem important to have rules on applicable law and dispute resolution. Text of the Uniform Rules of Conduct Article 1: Objective These rules aim at facilitating the interchange of trade data effected by teletransmission, through the establishment of agreed rules of conduct between parties engaged in such transmission. Except as otherwise provided in these rules, they do not apply to the substance of trade data transfers. 108

109 Article 2: Definitions For the purposes of these rules the following expressions used therein shall have the meaning set out below: a) Trade transaction: A specific contract for the purchase and sale or supply of goods and/or services and/or other performances between the parties concerned, identified as the transaction to which a trade data message refers; b) Trade data message: Trade data exchanged between parties concerned with the conclusion or performance of a trade transaction; c) Trade data transfer (hereinafter referred to as "transfer"): One or more trade data messages sent together as one unit of dispatch which includes heading and terminating data; d) Trade data interchange application protocol (TDI-AP): An accepted method for interchange of trade data messages, based on international standards for the presentation and structuring of trade data transfers conveyed by teletransmission. e) Trade data log: A collection of trade data transfers that provides a complete historical record of trade data interchanged. Article 3: Application These rules are intended to apply to trade data interchange between parties using a TDI-AP. They may also, as appropriate, be applied when other methods of trade data interchange by teletransmission are used. Article 4: Interchange standards The trade data elements, message structure and similar rules and communication standards used in the interchange should be those specified in the TDI-AP concerned. Article 5: Care a) Parties applying a TDI-AP should ensure that their transfers are correct and complete in form, and secure, according to the TDI-AP concerned and should take care to ensure their capability to receive such transfers. b) Intermediaries in transfers should be instructed to ensure that there is no unauthorised change in transfers required to be retransmitted and that the data content of such transfers is not disclosed to any unauthorised person. Article 6: Messages and transfers a) A trade data message may relate to one or more trade transactions and should contain the appropriate identifier for each transaction and means of verifying that the message is complete and correct according to the TDI-AP concerned. b) A transfer should identify the sender and the recipient; it should include means of verifying, either through the technique used in the transfer itself or by some other manner provided by the TDI-AP concerned, the formal completeness and authenticity of the transfer. Article 7: Acknowledgement of a transfer a) The sender of a transfer may stipulate that the recipient should acknowledge receipt thereof. Acknowledgement may be made through the teletransmission technique used or by other means provided through the TDI-AP concerned. A recipient is not authorized to act on such transfer until he has complied with the request of the sender. b) If the sender has not received the stipulated acknowledgement within a reasonable or stipulated time, he should take action to obtain it. If, despite such action, an acknowledgement is not received within a further period of reasonable time, the sender should advise the recipient accordingly by using the same means as in the first transfer or other means if necessary and, if he does so, he is authorized to assume that the original transfer has not been received. c) If a transfer received appears not to be in good order, correct and complete in form, the recipient should inform the sender thereof as soon as possible. d) If the recipient of a transfer understands that it is not intended for him, he should take reasonable action as soon as possible to inform the sender and should delete the information contained in such 109

110 transfer from his system, apart from the trade data log. Article 8: Confirmation of content a) The sender of a transfer may request the recipient to advise him whether the content of one or more identified messages in the transfer appears to be correct in substance, without prejudice to any subsequent consideration or action that the content may warrant. A recipient is not authorized to act on such transfer until he has complied with the request of the sender. b) If the sender has not received the requested advice within a reasonable time, he should take action to obtain it. If, despite such action, an advice is not received within a further period of reasonable time, the sender should advise the recipient accordingly and, if he does do, he is authorized to assume that the transfer has not been accepted as correct in substance. Article 9: Protection of trade data a) The parties may agree to apply special protection, where permissible, by encryption or by other means, to some or all data exchanged between them. b) The recipient of a transfer so protected should assure that at least the same level of protection is applied for any further transfer. Article 10: Storage of data a) Each party should ensure that a complete trade data log is maintained of all transfers as they were sent and received, without any modification. b) Such trade data log may be maintained on computer media provided that, if so required, the data can be retrieved and presented in readable form. c) The trade data log referred to in paragraph (a) of this Article should be stored unchanged either for the period of time required by national law in the country of the party maintaining such trade data log or for such longer period as may be agreed between the parties or, in the absence of any requirement of national law or agreement between the parties, for three years. d) Each party shall be responsible for making such arrangements as may be necessary for the data referred to in paragraph (b) of this Article to be prepared as a correct record of the transfers as sent and received by that party in accordance with paragraph (a) of this Article. e) Each party must see to it that the person responsible for the data processing system of the party concerned, or such third party as may be agreed by the parties or required by law, shall, where so required, certify that the trade data log and any reproduction made from it is correct. Article 11: Interpretation Queries regarding the correct meaning of the rules should be referred to the International Chamber of Commerce, Paris The official ICC Brochure containing the text of the UNCID may be obtained from the ICC Secretariat, 38 Cours Albert Ier, F PARIS. 2- Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique» Journal officiel n L 178 du 17/07/2000 p LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE, vu le traité instituant la Communauté européenne, et notamment son article 47, paragraphe 2, son article 55 et son article 95, vu la proposition de la Commission(1), vu l'avis du Comité économique et social(2), statuant conformément à la procédure visée à l'article 251 du traité(3), considérant ce qui suit: 110

111 (1) L'Union européenne vise à établir des liens toujours plus étroits entre les États et les peuples européens et à assurer le progrès économique et social. Conformément à l'article 14, paragraphe 2, du traité, le marché intérieur comporte un espace sans frontières intérieures dans lequel la libre circulation des marchandises et des services ainsi que la liberté d'établissement sont assurées. Le développement des services de la société de l'information dans l'espace sans frontières intérieures est un moyen essentiel pour éliminer les barrières qui divisent les peuples européens. (2) Le développement du commerce électronique dans la société de l'information offre des opportunités importantes pour l'emploi dans la Communauté, en particulier dans les petites et moyennes entreprises. Il facilitera la croissance économique des entreprises européennes ainsi que leurs investissements dans l'innovation, et il peut également renforcer la compétitivité des entreprises européennes, pour autant que tout le monde puisse accéder à l'internet. (3) Le droit communautaire et les caractéristiques de l'ordre juridique communautaire constituent un atout essentiel pour que les citoyens et les opérateurs européens puissent bénéficier pleinement, sans considération de frontières, des possibilités offertes par le commerce électronique. La présente directive a ainsi pour objet d'assurer un niveau élevé d'intégration juridique communautaire afin d'établir un réel espace sans frontières intérieures pour les services de la société de l'information. (4) Il est important de veiller à ce que le commerce électronique puisse bénéficier dans sa globalité du marché intérieur et donc que au même titre que pour la directive 89/552/CEE du Conseil du 3 octobre 1989 visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à l'exercice d'activités de radiodiffusion télévisuelle(4), un niveau élevé d'intégration communautaire soit obtenu. (5) Le développement des services de la société de l'information dans la Communauté est limité par un certain nombre d'obstacles juridiques au bon fonctionnement du marché intérieur qui sont de nature à rendre moins attrayant l'exercice de la liberté d'établissement et de la libre prestation des services. Ces obstacles résident dans la divergence des législations ainsi que dans l'insécurité juridique des régimes nationaux applicables à ces services. En l'absence d'une coordination et d'un ajustement des législations dans les domaines concernés, des obstacles peuvent être justifiés au regard de la jurisprudence de la Cour de justice des Communautés européennes. Une insécurité juridique existe sur l'étendue du contrôle que les États membres peuvent opérer sur les services provenant d'un autre État membre. (6) Il convient, au regard des objectifs communautaires, des articles 43 et 49 du traité et du droit communautaire dérivé, de supprimer ces obstacles par une coordination de certaines législations nationales et par une clarification au niveau communautaire de certains concepts juridiques, dans la mesure nécessaire au bon fonctionnement du marché intérieur. La présente directive, en ne traitant que certaines questions spécifiques qui soulèvent des problèmes pour le marché intérieur, est pleinement cohérente avec la nécessité de respecter le principe de subsidiarité tel qu'énoncé à l'article 5 du traité. (7) Pour garantir la sécurité juridique et la confiance du consommateur, il y a lieu que la présente directive établisse un cadre général clair pour couvrir certains aspects juridiques du commerce électronique dans le marché intérieur. (8) L'objectif de la présente directive est de créer un cadre juridique pour assurer la libre circulation des services de la société de l'information entre les États membres et non d'harmoniser le domaine du droit pénal en tant que tel. (9) Dans bien des cas, la libre circulation des services de la société de l'information peut refléter spécifiquement, dans la législation communautaire, un principe plus général, à savoir la liberté d'expression, consacrée par l'article 10, paragraphe 1, de la convention de sauvegarde des droits de l'homme et des libertés fondamentales, qui a été ratifiée par tous les États membres. Pour cette raison, les directives couvrant la fourniture de services de la société de l'information doivent assurer que cette activité peut être exercée librement en vertu de l'article précité, sous réserve uniquement des restrictions prévues au paragraphe 2 du même article et à l'article 46, paragraphe 1, du traité. La 111

112 présente directive n'entend pas porter atteinte aux règles et principes fondamentaux nationaux en matière de liberté d'expression. (10) Conformément au principe de proportionnalité, les mesures prévues par la présente directive se limitent strictement au minimum requis pour atteindre l'objectif du bon fonctionnement du marché intérieur. Là où il est nécessaire d'intervenir au niveau communautaire, et afin de garantir un espace qui soit réellement sans frontières intérieures pour le commerce électronique, la directive doit assurer un haut niveau de protection des objectifs d'intérêt général, en particulier la protection des mineurs, de la dignité humaine, du consommateur et de la santé publique. Conformément à l'article 152 du traité, la protection de la santé publique est une composante essentielle des autres politiques de la Communauté. (11) La présente directive est sans préjudice du niveau de protection existant notamment en matière de protection de la santé publique et des intérêts des consommateurs, établi par les instruments communautaires. Entre autres, la directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs(5) et la directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance(6) constituent un élément fondamental pour la protection des consommateurs en matière contractuelle. Ces directives sont également applicables, dans leur intégralité, aux services de la société de l'information. Ce même acquis communautaire, qui est pleinement applicable aux services de la société de l'information, englobe aussi notamment la directive 84/450/CEE du Conseil du 10 septembre 1984 relative à la publicité trompeuse et comparative(7), la directive 87/102/CEE du Conseil du 22 décembre 1986 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de crédit à la consommation(8), la directive 93/22/CEE du Conseil du 10 mai 1993 concernant les services d'investissement dans le domaine des valeurs mobilières(9), la directive 90/314/CEE du Conseil du 13 juin 1990 concernant les voyages, vacances et circuits à forfait(10), la directive 98/6/CE du Parlement européen et du Conseil du 16 février 1998 relative à la protection des consommateurs en matière d'indication des prix des produits offerts aux consommateurs(11), la directive 92/59/CEE du Conseil du 29 juin 1992 relative à la sécurité générale des produits(12), la directive 94/47/CE du Parlement européen et du Conseil du 26 octobre 1994 concernant la protection des acquéreurs pour certains aspects des contrats portant sur l'acquisition d'un droit d'utilisation à temps partiel de biens immobiliers(13), la directive 98/27/CE du Parlement européen et du Conseil du 19 mai 1998 relative aux actions en cessation en matière de protection des intérêts des consommateurs(14), la directive 85/374/CEE du Conseil du 25 juillet 1985 relative à la responsabilité du fait des produits défectueux(15), la directive 1999/44/CE du Parlement européen et du Conseil du 25 mai 1999 relative à certains aspects de la vente et aux garanties des biens de consommation(16), la future directive du Parlement européen et du Conseil concernant la vente à distance de services financiers aux consommateurs et la directive 92/28/CEE du Conseil du 31 mars 1992 concernant la publicité faite à l'égard des médicaments(17). La présente directive doit être sans préjudice de la directive 98/43/CE du Parlement européen et du Conseil du 6 juillet 1998 concernant le rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de publicité et de parrainage en faveur des produits du tabac(18) adoptée dans le cadre du marché intérieur ou des directives relatives à la protection de la santé publique. La présente directive complète les exigences d'information établies par les directives précitées et en particulier la directive 97/7/CE. (12) Il est nécessaire d'exclure du champ d'application de la présente directive certaines activités compte tenu du fait que la libre prestation des services dans ces domaines ne peut être, à ce stade, garantie au regard du traité ou du droit communautaire dérivé existant. Cette exclusion doit être sans préjudice des éventuels instruments qui pourraient s'avérer nécessaires pour le bon fonctionnement du marché intérieur. La fiscalité, notamment la taxe sur la valeur ajoutée frappant un grand nombre des services visés par la présente directive, doit être exclue du champ d'application de la présente directive. 112

113 (13) La présente directive n'a pas pour but d'établir des règles en matière d'obligations fiscales ni ne préjuge de l'élaboration d'instruments communautaires relatifs aux aspects fiscaux du commerce électronique. (14) La protection des personnes physiques à l'égard du traitement des données à caractère personnel est uniquement régie par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(19) et par la directive 97/66/CE du Parlement et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications(20), qui sont pleinement applicables aux services de la société de l'information. Ces directives établissent d'ores et déjà un cadre juridique communautaire dans le domaine des données à caractère personnel et, par conséquent, il n'est pas nécessaire de traiter cette question dans la présente directive afin d'assurer le bon fonctionnement du marché intérieur, et notamment la libre circulation des données à caractère personnel entre les États membres. La mise en oeuvre et l'application de la présente directive devraient être conformes aux principes relatifs à la protection des données à caractère personnel, notamment pour ce qui est des communications commerciales non sollicitées et de la responsabilité des intermédiaires. La présente directive ne peut pas empêcher l'utilisation anonyme de réseaux ouverts tels qu'internet. (15) Le secret des communications est garanti par l'article 5 de la directive 97/66/CE. Conformément à cette directive, les États membres doivent interdire tout type d'interception illicite ou la surveillance de telles communications par d'autres que les expéditeurs et les récepteurs, sauf lorsque ces activités sont légalement autorisées. (16) L'exclusion des activités de jeux d'argent du champ d'application de la présente directive couvre uniquement les jeux de hasard, les loteries et les transactions portant sur des paris, qui supposent des enjeux en valeur monétaire. Elle ne couvre pas les concours ou jeux promotionnels qui ont pour but d'encourager la vente de biens ou de services et pour lesquels les paiements, s'ils ont lieu, ne servent qu'à acquérir les biens ou les services en promotion. (17) La définition des services de la société de l'information existe déjà en droit communautaire. Elle figure dans la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information(21) et dans la directive 98/84/CE du Parlement européen et du Conseil du 20 novembre 1998 concernant la protection juridique des services à accès conditionnel et des services d'accès conditionnel(22). Cette définition couvre tout service fourni, normalement contre rémunération, à distance au moyen d'équipement électronique de traitement (y compris la compression numérique) et de stockage des données, à la demande individuelle d'un destinataire de services. Les services visés dans la liste indicative figurant à l'annexe V de la directive 98/34/CE qui ne comportent pas de traitement et de stockage des données ne sont pas couverts par la présente définition. (18) Les services de la société de l'information englobent un large éventail d'activités économiques qui ont lieu en ligne. Ces activités peuvent consister, en particulier, à vendre des biens en ligne. Les activités telles que la livraison de biens en tant que telle ou la fourniture de services hors ligne ne sont pas couvertes. Les services de la société de l'information ne se limitent pas exclusivement aux services donnant lieu à la conclusion de contrats en ligne, mais, dans la mesure où ils représentent une activité économique, ils s'étendent à des services qui ne sont pas rémunérés par ceux qui les reçoivent, tels que les services qui fournissent des informations en ligne ou des communications commerciales, ou ceux qui fournissent des outils permettant la recherche, l'accès et la récupération des données. Les services de la société de l'information comportent également des services qui consistent à transmettre des informations par le biais d'un réseau de communication, à fournir un accès à un réseau de communication ou à héberger des informations fournies par un destinataire de services. Les services de télévision au sens de la directive 89/552/CEE et de radiodiffusion ne sont pas des services de la société de l'information car ils ne sont pas fournis sur demande individuelle. En revanche, les services 113

114 transmis de point à point, tels que les services de vidéo à la demande ou la fourniture de communications commerciales par courrier électronique constituent des services de la société de l'information. L'utilisation du courrier électronique ou d'autres moyens de communication individuels équivalents par des personnes physiques agissant à des fins qui n'entrent pas dans le cadre de leurs activités commerciales ou professionnelles, y compris leur utilisation pour la conclusion de contrats entre ces personnes, n'est pas un service de la société de l'information. La relation contractuelle entre un employé et son employeur n'est pas un service de la société de l'information. Les activités qui, par leur nature, ne peuvent pas être réalisées à distance ou par voie électronique, telles que le contrôle légal des comptes d'une société ou la consultation médicale requérant un examen physique du patient, ne sont pas des services de la société de l'information. (19) Le lieu d'établissement d'un prestataire devrait être déterminé conformément à la jurisprudence de la Cour de justice, selon laquelle le concept d'établissement implique l'exercice effectif d'une activité économique au moyen d'une installation stable et pour une durée indéterminée. Cette exigence est également remplie lorsqu'une société est constituée pour une période donnée. Le lieu d'établissement d'une société fournissant des services par le biais d'un site Internet n'est pas le lieu où se situe l'installation technologique servant de support au site ni le lieu où son site est accessible, mais le lieu où elle exerce son activité économique. Dans le cas où un prestataire a plusieurs lieux d'établissement, il est important de déterminer de quel lieu d'établissement le service concerné est presté. Dans les cas où il est difficile de déterminer, entre plusieurs lieux d'établissement, celui à partir duquel un service donné est fourni, le lieu d'établissement est celui dans lequel le prestataire a le centre de ses activités pour ce service spécifique. (20) La définition du "destinataire d'un service" couvre tous les types d'utilisation des services de la société de l'information, tant par les personnes qui fournissent l'information sur les réseaux ouverts tels que l'internet que par celles qui recherchent des informations sur l'internet pour des raisons privées ou professionnelles. (21) La portée du domaine coordonné est sans préjudice d'une future harmonisation communautaire concernant les services de la société de l'information et de futures législations adoptées au niveau national conformément au droit communautaire. Le domaine coordonné ne couvre que les exigences relatives aux activités en ligne, telles que l'information en ligne, la publicité en ligne, les achats en ligne, la conclusion de contrats en ligne et ne concerne pas les exigences juridiques des États membres relatives aux biens telles que les normes en matière de sécurité, les obligations en matière d'étiquetage ou la responsabilité du fait des produits, ni les exigences des États membres relatives à la livraison ou au transport de biens, y compris la distribution de médicaments. Le domaine coordonné ne couvre pas l'exercice du droit de préemption par les pouvoirs publics concernant certains biens tels que les oeuvres d'art. (22) Le contrôle des services de la société de l'information doit se faire à la source de l'activité pour assurer une protection efficace des objectifs d'intérêt général. Pour cela, il est nécessaire de garantir que l'autorité compétente assure cette protection non seulement pour les citoyens de son propre pays, mais aussi pour l'ensemble des citoyens de la Communauté. Pour améliorer la confiance mutuelle entre les États membres, il est indispensable de préciser clairement cette responsabilité de l'état membre d'origine des services. En outre, afin d'assurer efficacement la libre prestation des services et une sécurité juridique pour les prestataires et leurs destinataires, ces services de la société de l'information doivent être soumis en principe au régime juridique de l'état membre dans lequel le prestataire est établi. (23) La présente directive n'a pas pour objet d'établir des règles supplémentaires de droit international privé relatives aux conflits de loi ni de traiter de la compétence des tribunaux. Les dispositions du droit applicable désigné par les règles du droit international privé ne doivent pas restreindre la libre prestation des services de la société de l'information telle que prévue par la présente directive. (24) Dans le cadre de la présente directive et nonobstant le principe du contrôle à la source de services de la société de l'information, il apparaît légitime, dans les conditions prévues par la présente directive, 114

115 que les États membres prennent des mesures tendant à limiter la libre circulation des services de la société de l'information. (25) Les juridictions nationales, y compris les juridictions civiles, statuant sur les différends de droit privé peuvent déroger à la libre prestation des services de la société de l'information, conformément aux conditions définies dans la présente directive. (26) Les États membres peuvent, conformément aux conditions définies dans la présente directive, appliquer leurs règles nationales de droit pénal et de procédure pénale pour engager toutes les mesures d'enquêtes et autres nécessaires pour détecter et poursuivre les infractions en matière pénale, sans qu'il soit besoin de notifier ces mesures à la Commission. (27) La présente directive, en liaison avec la future directive du Parlement européen et du Conseil concernant la vente à distance de services financiers aux consommateurs, contribue à la création d'un cadre juridique pour la prestation en ligne de services financiers. La présente directive ne préjuge pas de futures initiatives dans le domaine des services financiers, notamment en ce qui concerne l'harmonisation des règles de conduite dans ce domaine. La possibilité pour les États membres, établie par la présente directive, de restreindre, dans certaines circonstances, la libre prestation des services de la société de l'information aux fins de protection des consommateurs couvre également les mesures dans le domaine des services financiers, notamment des mesures visant à protéger les investisseurs. (28) L'obligation faite aux États membres de ne pas soumettre l'accès à l'activité d'un prestataire de services de la société de l'information à une autorisation préalable ne concerne pas les services postaux couverts par la directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l'amélioration de la qualité du service(23), consistant dans la remise physique d'un message imprimé par courrier électronique et n'affecte pas les régimes d'accréditation volontaire, notamment pour les prestataires de services de signature électronique et de certification. (29) Les communications commerciales sont essentielles pour le financement des services de la société de l'information et le développement d'une large variété de nouveaux services gratuits. Dans l'intérêt de la protection des consommateurs et de la loyauté des transactions, les communications commerciales, y compris les rabais, les offres, concours et jeux promotionnels, doivent respecter un certain nombre d'obligations relatives à la transparence. Ces obligations sont sans préjudice de la directive 97/7/CE. La présente directive ne doit pas affecter les directives existantes concernant les communications commerciales, en particulier la directive 98/43/CE. (30) L'envoi par courrier électronique de communications commerciales non sollicitées peut être inopportun pour les consommateurs et pour les fournisseurs de services de la société de l'information et susceptible de perturber le bon fonctionnement des réseaux interactifs. La question du consentement du destinataire pour certaines formes de communication commerciale non sollicitée n'est pas traitée dans la présente directive, mais a déjà été traitée, en particulier, dans la directive 97/7/CE et dans la directive 97/66/CE. Dans les États membres qui autorisent l'envoi par courrier électronique de communications commerciales non sollicitées, la mise en place de dispositifs de filtrage approprié par les entreprises doit être encouragée et facilitée. Il faut en outre, en toute hypothèse, que les communications commerciales non sollicitées soient clairement identifiables en tant que telles afin d'améliorer la transparence et de faciliter le fonctionnement de tels dispositifs mis en place par les entreprises. L'envoi par courrier électronique de communications commerciales non sollicitées ne saurait entraîner de frais supplémentaires pour le destinataire. (31) Les États membres qui autorisent l'envoi par courrier électronique, par des prestataires établis sur leur territoire, de communications commerciales non sollicitées sans le consentement préalable du destinataire, doivent veiller à ce que les prestataires consultent régulièrement les registres "opt-out" où les personnes physiques qui ne souhaitent pas recevoir ce type de communications commerciales peuvent s'inscrire, et respectent le souhait de ces personnes. 115

116 (32) Pour supprimer les entraves au développement des services transfrontaliers dans la Communauté que les membres des professions réglementées pourraient proposer sur l'internet, il est nécessaire que le respect des règles professionnelles prévues pour protéger notamment le consommateur ou la santé publique soit garanti au niveau communautaire. Les codes de conduite au niveau communautaire constituent le meilleur instrument pour déterminer les règles déontologiques applicables à la communication commerciale. Il convient d'encourager leur élaboration ou, le cas échéant, leur adaptation, sans préjudice de l'autonomie des organismes et des associations professionnels. (33) La présente directive complète le droit communautaire et le droit national relatif aux professions réglementées en maintenant un ensemble cohérent de règles applicables dans ce domaine. (34) Chaque État membre doit ajuster sa législation qui contient des exigences, notamment de forme, susceptibles de gêner le recours à des contrats par voie électronique. Il convient que l'examen des législations nécessitant cet ajustement se fasse systématiquement et porte sur l'ensemble des étapes et des actes nécessaires au processus contractuel, y compris l'archivage du contrat. Il convient que le résultat de cet ajustement soit de rendre réalisables les contrats conclus par voie électronique. L'effet juridique des signatures électroniques fait l'objet de la directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques(24), l'accusé de réception par un prestataire peut être constitué par la fourniture en ligne d'un service payé. (35) La présente directive n'affecte pas la possibilité pour les États membres de maintenir ou d'établir pour les contrats des exigences juridiques générales ou spécifiques qui peuvent être satisfaites par des moyens électroniques, notamment des exigences en matière de sécurité des signatures électroniques. (36) Les États membres peuvent maintenir des restrictions à l'utilisation de contrats électroniques en ce qui concerne les contrats pour lesquels la loi requiert l'intervention de tribunaux, d'autorités publiques ou de professions exerçant une autorité publique. Cette possibilité couvre également les contrats requérant l'intervention de tribunaux, d'autorités publiques ou de professions exerçant une autorité publique afin de produire des effets à l'égard des tiers, aussi bien que les contrats requérant une certification juridique ou une attestation par un notaire. (37) L'obligation faite aux États membres d'éliminer les obstacles à l'utilisation des contrats électroniques ne concerne que les obstacles résultant d'exigences juridiques et non pas les obstacles d'ordre pratique résultant d'une impossibilité d'utiliser les moyens électroniques dans certains cas. (38) L'obligation faite aux États membres d'éliminer les obstacles à l'utilisation des contrats électroniques est mise en oeuvre dans le respect des exigences juridiques pour les contrats, consacrées par le droit communautaire. (39) Les exceptions aux dispositions relatives aux contrats passés exclusivement au moyen du courrier électronique ou au moyen de communications individuelles équivalentes prévues dans la présente directive, en ce qui concerne les informations à fournir et la passation d'une commande, ne sauraient avoir comme conséquence de permettre le contournement de ces dispositions par les prestataires de services de la société de l'information. (40) Les divergences existantes et émergentes entre les législations et les jurisprudences des États membres dans le domaine de la responsabilité des prestataires de services agissant en qualité d'intermédiaires empêchent le bon fonctionnement du marché intérieur, en particulier en gênant le développement des services transfrontaliers et en produisant des distorsions de concurrence. Les prestataires des services ont, dans certains cas, le devoir d'agir pour éviter les activités illégales ou pour y mettre fin. La présente directive doit constituer la base adéquate pour l'élaboration de mécanismes rapides et fiables permettant de retirer les informations illicites et de rendre l'accès à celles-ci impossible. Il conviendrait que de tels mécanismes soient élaborés sur la base d'accords volontaires négociés entre toutes les parties concernées et qu'ils soient encouragés par les États membres. Il est dans l'intérêt de toutes les parties qui participent à la fourniture de services de la société de l'information d'adopter et d'appliquer de tels mécanismes. Les dispositions de la présente directive sur la responsabilité ne doivent pas faire obstacle au développement et à la mise en oeuvre 116

117 effective, par les différentes parties concernées, de systèmes techniques de protection et d'identification ainsi que d'instruments techniques de surveillance rendus possibles par les techniques numériques, dans le respect des limites établies par les directives 95/46/CE et 97/66/CE. (41) La présente directive instaure un équilibre entre les différents intérêts en jeu et établit des principes qui peuvent servir de base aux normes et aux accords adoptés par les entreprises. (42) Les dérogations en matière de responsabilité prévues par la présente directive ne couvrent que les cas où l'activité du prestataire de services dans le cadre de la société de l'information est limitée au processus technique d'exploitation et de fourniture d'un accès à un réseau de communication sur lequel les informations fournies par des tiers sont transmises ou stockées temporairement, dans le seul but d'améliorer l'efficacité de la transmission. Cette activité revêt un caractère purement technique, automatique et passif, qui implique que le prestataire de services de la société de l'information n'a pas la connaissance ni le contrôle des informations transmises ou stockées. (43) Un prestataire de services peut bénéficier de dérogations pour le "simple transport" et pour la forme de stockage dite "caching" lorsqu'il n'est impliqué en aucune manière dans l'information transmise. Cela suppose, entre autres, qu'il ne modifie pas l'information qu'il transmet. Cette exigence ne couvre pas les manipulations à caractère technique qui ont lieu au cours de la transmission, car ces dernières n'altèrent pas l'intégrité de l'information contenue dans la transmission. (44) Un prestataire de services qui collabore délibérément avec l'un des destinataires de son service afin de se livrer à des activités illégales va au-delà des activités de "simple transport" ou de "caching" et, dès lors, il ne peut pas bénéficier des dérogations en matière de responsabilité prévues pour ce type d'activité. (45) Les limitations de responsabilité des prestataires de services intermédiaires prévues dans la présente directive sont sans préjudice de la possibilité d'actions en cessation de différents types. Ces actions en cessation peuvent notamment revêtir la forme de décisions de tribunaux ou d'autorités administratives exigeant qu'il soit mis un terme à toute violation ou que l'on prévienne toute violation, y compris en retirant les informations illicites ou en rendant l'accès à ces dernières impossible. (46) Afin de bénéficier d'une limitation de responsabilité, le prestataire d'un service de la société de l'information consistant dans le stockage d'informations doit, dès qu'il prend effectivement connaissance ou conscience du caractère illicite des activités, agir promptement pour retirer les informations concernées ou rendre l'accès à celles-ci impossible. Il y a lieu de procéder à leur retrait ou de rendre leur accès impossible dans le respect du principe de la liberté d'expression et des procédures établies à cet effet au niveau national. La présente directive n'affecte pas la possibilité qu'ont les États membres de définir des exigences spécifiques auxquelles il doit être satisfait promptement avant de retirer des informations ou d'en rendre l'accès impossible. (47) L'interdiction pour les États membres d'imposer aux prestataires de services une obligation de surveillance ne vaut que pour les obligations à caractère général. Elle ne concerne pas les obligations de surveillance applicables à un cas spécifique et, notamment, elle ne fait pas obstacle aux décisions des autorités nationales prises conformément à la législation nationale. (48) La présente directive n'affecte en rien la possibilité qu'ont les États membres d'exiger des prestataires de services qui stockent des informations fournies par des destinataires de leurs services qu'ils agissent avec les précautions que l'on peut raisonnablement attendre d'eux et qui sont définies dans la législation nationale, et ce afin de détecter et d'empêcher certains types d'activités illicites. (49) Les États membres et la Commission doivent encourager l'élaboration de codes de conduite. Cela ne porte pas atteinte au caractère volontaire de ces codes et à la possibilité, pour les parties intéressées, de décider librement si elles adhèrent ou non à ces codes. (50) Il est important que la proposition de directive sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information et la présente directive entrent en vigueur 117

118 au même moment afin d'établir un cadre réglementaire clair en ce qui concerne la responsabilité des intermédiaires en cas de violation du droit d'auteur et des droits voisins au niveau communautaire. (51) Il doit incomber à chaque État membre, le cas échéant, de modifier toute législation susceptible de gêner l'utilisation des mécanismes de règlement extrajudiciaire des litiges par les voies électroniques. Le résultat de cette modification doit être de rendre réellement et effectivement possible, en droit et dans la pratique, le fonctionnement de tels mécanismes, y compris dans des situations transfrontalières. (52) L'exercice effectif des libertés du marché intérieur nécessite de garantir aux victimes un accès efficace aux règlements des litiges. Les dommages qui peuvent se produire dans le cadre des services de la société de l'information se caractérisent à la fois par leur rapidité et leur étendue géographique. En raison de cette spécificité et de la nécessité de veiller à ce que les autorités nationales ne mettent pas en cause la confiance qu'elles doivent s'accorder mutuellement, la présente directive invite les États membres à faire en sorte que les recours juridictionnels appropriés soient disponibles. Les États membres doivent évaluer la nécessité de fournir un accès aux procédures juridictionnelles par les moyens électroniques appropriés. (53) La directive 98/27/CE, applicable aux services de la société de l'information, prévoit un mécanisme relatif aux actions en cessation visant à protéger les intérêts collectifs des consommateurs. Ce mécanisme contribuera à la libre circulation des services de la société de l'information en assurant un niveau élevé de protection des consommateurs. (54) Les sanctions prévues dans le cadre de la présente directive sont sans préjudice de toute autre sanction ou voie de droit prévue par le droit national. Les États membres ne sont pas tenus de prévoir des sanctions pénales pour la violation des dispositions nationales adoptées en application de la présente directive. (55) La présente directive ne porte pas atteinte au droit applicable aux obligations contractuelles relatives aux contrats conclus par les consommateurs. En conséquence, la présente directive ne saurait avoir pour effet de priver le consommateur de la protection que lui procurent les règles impératives relatives aux obligations contractuelles prévues par le droit de l'état membre dans lequel il a sa résidence habituelle. (56) En ce qui concerne la dérogation prévue par la présente directive pour les obligations contractuelles dans les contrats conclus par les consommateurs, celles-ci doivent être interprétées comme comprenant les informations sur les éléments essentiels du contenu du contrat, y compris les droits du consommateur, ayant une influence déterminante sur la décision de contracter. (57) Conformément à une jurisprudence constante de la Cour de justice, un État membre conserve le droit de prendre des mesures à l'encontre d'un prestataire établi dans un autre État membre, mais dont l'activité est entièrement ou principalement tournée vers le territoire du premier État membre, lorsque le choix de cet établissement a été fait en vue de se soustraire aux règles qui seraient applicables à ce prestataire s'il s'était établi sur le territoire du premier État membre. (58) La présente directive ne doit pas s'appliquer aux services fournis par des prestataires établis dans un pays tiers. Compte tenu de la dimension mondiale du service électronique, il convient toutefois d'assurer la cohérence des règles communautaires avec les règles internationales. La présente directive est sans préjudice des résultats des discussions en cours sur les aspects juridiques dans les organisations internationales (entre autres, OMC, OCDE, Cnudci). (59) En dépit de la nature planétaire des communications électroniques, la coordination au niveau de l'union européenne des mesures réglementaires nationales est nécessaire afin d'éviter la fragmentation du marché intérieur et d'établir un cadre réglementaire européen approprié. Cette coordination doit également contribuer à l'établissement d'une position de négociation commune et forte dans les enceintes internationales. 118

119 (60) Pour permettre un développement sans entrave du commerce électronique, le cadre juridique doit être clair et simple, prévisible et cohérent avec les règles applicables au niveau international, de sorte qu'il ne porte pas atteinte à la compétitivité de l'industrie européenne et qu'il ne fasse pas obstacle à l'innovation dans ce secteur. (61) Si le marché doit réellement fonctionner par des moyens électroniques dans un contexte mondialisé, l'union européenne et les grands ensembles non européens ont besoin de se concerter pour rendre leurs législations et leurs procédures compatibles. (62) La coopération avec les pays tiers doit être renforcée dans le domaine du commerce électronique, notamment avec les pays candidats, les pays en développement et les autres partenaires commerciaux de l'union européenne. (63) L'adoption de la présente directive ne saurait empêcher les États membres de prendre en compte les différentes implications sociales, sociétales et culturelles inhérentes à l'avènement de la société de l'information. En particulier, elle ne devrait pas porter atteinte aux mesures destinées à atteindre des objectifs sociaux, culturels et démocratiques que les États membres pourraient adopter, conformément au droit communautaire, en tenant compte de leur diversité linguistique, des spécificités nationales et régionales ainsi que de leurs patrimoines culturels, et à assurer et à maintenir l'accès du public à un éventail le plus large possible de services de la société de l'information. Le développement de la société de l'information doit assurer, en tout état de cause, l'accès des citoyens de la Communauté au patrimoine culturel européen fourni dans un environnement numérique. (64) La communication électronique constitue pour les États membres un excellent moyen de fournir un service public dans les domaines culturel, éducatif et linguistique. (65) Le Conseil, dans sa résolution du 19 janvier 1999 sur la dimension consumériste de la société de l'information(25), a souligné que la protection des consommateurs méritait une attention particulière dans le cadre de celle-ci. La Commission étudiera la mesure dans laquelle les règles de protection des consommateurs existantes fournissent une protection insuffisante au regard de la société de l'information et identifiera, le cas échéant, les lacunes de cette législation et les aspects pour lesquels des mesures additionnelles pourraient s'avérer nécessaires. En cas de besoin, la Commission devrait faire des propositions spécifiques additionnelles visant à combler les lacunes qu'elle aurait ainsi identifiées, A ARRÊTÉ LA PRÉSENTE DIRECTIVE: CHAPITRE I : DISPOSITIONS GÉNÉRALES Article premier : Objectif et champ d'application 1. La présente directive a pour objectif de contribuer au bon fonctionnement du marché intérieur en assurant la libre circulation des services de la société de l'information entre les États membres. 2. La présente directive rapproche, dans la mesure nécessaire à la réalisation de l'objectif visé au paragraphe 1, certaines dispositions nationales applicables aux services de la société de l'information et qui concernent le marché intérieur, l'établissement des prestataires, les communications commerciales, les contrats par voie électronique, la responsabilité des intermédiaires, les codes de conduite, le règlement extrajudiciaire des litiges, les recours juridictionnels et la coopération entre États membres. 3. La présente directive complète le droit communautaire applicable aux services de la société de l'information sans préjudice du niveau de protection, notamment en matière de santé publique et des intérêts des consommateurs, établi par les instruments communautaires et la législation nationale les mettant en oeuvre dans la mesure où cela ne restreint pas la libre prestation de services de la société de l'information. 4. La présente directive n'établit pas de règles additionnelles de droit international privé etne traite pas de la compétence des juridictions. 5. La présente directive n'est pas applicable: a) au domaine de la fiscalité; b) aux questions relatives aux services de la société de l'information couvertes par les directives 95/46/CE et 97/66/CE; 119

120 c) aux questions relatives aux accords ou pratiques régis par le droit sur les ententes; d) aux activités suivantes des services de la société de l'information: - les activités de notaire ou les professions équivalentes, dans la mesure où elles comportent une participation directe et spécifique à l'exercice de l'autorité publique, - la représentation d'un client et la défense de ses intérêts devant les tribunaux, - les activités de jeux d'argent impliquant des mises ayant une valeur monétaire dans des jeux de hasard, y compris les loteries et les transactions portant sur des paris. 6. La présente directive ne porte pas atteinte aux mesures prises au niveau communautaire ou au niveau national, dans le respect du droit communautaire, pour promouvoir la diversité culturelle et linguistique et assurer la défense du pluralisme. Article 2 : Définitions Aux fins de la présente directive, on entend par: a) "services de la société de l'information": les services au sens de l'article 1er, paragraphe 2, de la directive 98/34/CE, telle que modifiée par la directive 98/48/CE; b) "prestataire": toute personne physique ou morale qui fournit un service de la société de l'information; c) "prestataire établi": prestataire qui exerce d'une manière effective une activité économique au moyen d'une installation stable pour une durée indéterminée. La présence et l'utilisation des moyens techniques et des technologies requis pour fournir le service ne constituent pas en tant que telles un établissement du prestataire; d) "destinataire du service": toute personne physique ou morale qui, à des fins professionnelles ou non, utilise un service de la société de l'information, notamment pour rechercher une information ou la rendre accessible; e) "consommateur": toute personne physique agissant à des fins qui n'entrent pas dans le cadre de son activité professionnelle ou commerciale; f) "communication commerciale": toute forme de communication destinée à promouvoir, directement ou indirectement, des biens, des services, ou l'image d'une entreprise, d'une organisation ou d'une personne ayant une activité commerciale, industrielle, artisanale ou exerçant une profession réglementée. Ne constituent pas en tant que telles des communications commerciales: - les informations permettant l'accès direct à l'activité de l'entreprise, de l'organisation ou de la personne, notamment un nom de domaine ou une adresse de courrier électronique, - les communications relatives aux biens, aux services ou à l'image de l'entreprise, de l'organisation ou de la personne élaborées d'une manière indépendante, en particulier lorsqu'elles sont fournies sans contrepartie financière; g) "profession réglementée": toute profession au sens, soit de l'article 1er, point d), de la directive 89/49/CEE du Conseil du 21 décembre 1988 relative à un système général de reconnaissance des diplômes d'enseignement supérieur qui sanctionne des formations professionnelles d'une durée minimale de trois ans(26), soit au sens de l'article 1er, point f), de la directive 92/51/CEE du Conseil du 18 juin 1992 relative à un deuxième système général de reconnaissance des formations professionnelles, qui complète la directive 89/48/CEE(27); h) "domaine coordonné": les exigences prévues par les systèmes juridiques des États membres et applicables aux prestataires des services de la société de l'information ou aux services de la société de l'information, qu'elles revêtent un caractère général ou qu'elles aient été spécifiquement conçues pour eux. i) Le domaine coordonné a trait à des exigences que le prestataire doit satisfaire et qui concernent: - l'accès à l'activité d'un service de la société de l'information, telles que les exigences en matière de qualification, d'autorisation ou de notification, - l'exercice de l'activité d'un service de la société de l'information, telles que les exigences portant sur le comportement du prestataire, la qualité ou le contenu du service, y compris en matière de publicité et de contrat, ou sur la responsabilité du prestataire. ii) Le domaine coordonnée ne couvre pas les exigences telles que: - les exigences applicables aux biens en tant que tels, - les exigences applicables à la livraison de biens, - les exigences applicables aux services qui ne sont pas fournis par voie électronique. 120

121 Article 3 : Marché intérieur 1. Chaque État membre veille à ce que les services de la société de l'information fournis par un prestataire établi sur son territoire respectent les dispositions nationales applicables dans cet État membre relevant du domaine coordonné. 2. Les État membres ne peuvent, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l'information en provenance d'un autre État membre. 3. Les paragraphes 1 et 2 ne sont pas applicables aux domaines visés à l'annexe. 4. Les États membres peuvent prendre, à l'égard d'un service donné de la société de l'information, des mesures qui dérogent au paragraphe 2 si les conditions suivantes sont remplies: a) les mesures doivent être: i) nécessaires pour une des raisons suivantes: - l'ordre public, en particulier la prévention, les investigations, la détection et les poursuites en matière pénale, notamment la protection des mineurs et la lutte contre l'incitation à la haine pour des raisons de race, de sexe, de religion ou de nationalité et contre les atteintes à la dignité de la personne humaine, - la protection de la santé publique, - la sécurité publique, y compris la protection de la sécurité et de la défense nationales, - la protection des consommateurs, y compris des investisseurs; ii) prises à l'encontre d'un service de la société de l'information qui porte atteinte aux objectifs visés au point i) ou qui constitue un risque sérieux et grave d'atteinte à ces objectifs; iii) proportionnelles à ces objectifs; b) l'état membre a préalablement et sans préjudice de la procédure judiciaire, y compris la procédure préliminaire et les actes accomplis dans le cadre d'une enquête pénale: - demandé à l'état membre visé au paragraphe 1 de prendre des mesures et ce dernier n'en a pas pris ou elles n'ont pas été suffisantes, - notifié à la Commission et à l'état membre visé au paragraphe 1 son intention de prendre de telles mesures. 5. Les États membres peuvent, en cas d'urgence, déroger aux conditions prévues au paragraphe 4, point b). Dans ce cas, les mesures sont notifiées dans les plus brefs délais à la Commission et à l'état membre visé au paragraphe 1, en indiquant les raisons pour lesquelles l'état membre estime qu'il y a urgence. 6. Sans préjudice de la faculté pour l'état membre de prendre et d'appliquer les mesures en question, la Commission doit examiner dans les plus brefs délais la compatibilité des mesures notifiées avec le droit communautaire; lorsqu'elle parvient à la conclusion que la mesure est incompatible avec le droit communautaire, la Commission demande à l'état membre concerné de s'abstenir de prendre les mesures envisagées ou de mettre fin d'urgence aux mesures en question. CHAPITRE II : PRINCIPES Section 1: Exigences en matière d'établissement et d'information Article 4 : Principe de non-autorisation préalable 1. Les États membres veillent à ce que l'accès à l'activité d'un prestataire de services de la société de l'information et l'exercice de celle-ci ne puissent pas être soumis à un régime d'autorisation préalable ou à toute autre exigence ayant un effet équivalent. 2. Le paragraphe 1 est sans préjudice des régimes d'autorisation qui ne visent pas spécifiquement et exclusivement les services de la société de l'information ou qui sont couverts par la directive 97/13/CE du Parlement européen et du Conseil du 10 avril 1997 relative à un cadre commun pour les autorisations générales et les licences individuelles dans le secteur des services des télécommunications(28). Article 5 : Informations générales à fournir 1. Outre les autres exigences en matière d'information prévues par le droit communautaire, les États membres veillent à ce que le prestataire rende possible un accès facile, direct et permanent, pour les destinataires du service et pour les autorités compétentes, au moins aux informations suivantes: a) le nom du prestataire de services; b) l'adresse géographique à laquelle le prestataire de services est établi; 121

122 c) les coordonnées du prestataire, y compris son adresse de courrier électronique, permettant d'entrer en contact rapidement et de communiquer directement et efficacement avec lui; d) dans le cas où le prestataire est inscrit dans un registre de commerce ou dans un autre registre public similaire, le registre de commerce dans lequel il est inscrit et son numéro d'immatriculation, ou des moyens équivalents d'identification figurant dans ce registre; e) dans le cas où l'activité est soumise à un régime d'autorisation, les coordonnées de l'autorité de surveillance compétente; f) en ce qui concerne les professions réglementées: - tout ordre professionnel ou organisme similaire auprès duquel le prestataire est inscrit, - le titre professionnel et l'état membre dans lequel il a été octroyé, - une référence aux règles professionnelles applicables dans l'état membre d'établissement et aux moyens d'y avoir accès; g) dans le cas où le prestataire exerce une activité soumise à la TVA, le numéro d'identification visé à l'article 22, paragraphe 1, de la sixième directive 77/388/CEE du Conseil du 17 mai 1977 en matière d'harmonisation des législations des États membres relatives aux taxes sur le chiffre d'affaires - Système commun de taxe sur la valeur ajoutée: assiette uniforme(29). 2. Outre les autres exigences en matière d'information prévues par le droit communautaire, les États membres veillent au moins à ce que, lorsque les services de la société de l'information mentionnent des prix, ces derniers soient indiqués de manière claire et non ambiguë et précisent notamment si les taxes et les frais de livraison sont inclus. Section 2: Communications commerciales Article 6 : Informations à fournir Outre les autres exigences en matière d'information prévues par le droit communautaire, les États membres veillent à ce que les communications commerciales qui font partie d'un service de la société de l'information ou qui constituent un tel service répondent au moins aux conditions suivantes: a) la communication commerciale doit être clairement identifiable comme telle; b) la personne physique ou morale pour le compte de laquelle la communication commerciale est faite doit être clairement identifiable; c) lorsqu'elles sont autorisées dans l'état membre où le prestataire est établi, les offres promotionnelles, telles que les rabais, les primes et les cadeaux, doivent être clairement identifiables comme telles et les conditions pour en bénéficier doivent être aisément accessibles et présentées de manière précise et non équivoque; d) lorsqu'ils sont autorisés dans l'état membre où le prestataire est établi, les concours ou jeux promotionnels doivent être clairement identifiables comme tels et leurs conditions de participation doivent être aisément accessibles et présentées de manière précise et non équivoque. Article 7 : Communications commerciales non sollicitées 1. Outre les autres exigences prévues par le droit communautaire, les États membres qui autorisent les communications commerciales non sollicitées par courrier électronique veillent à ce que ces communications commerciales effectuées par un prestataire établi sur leur territoire puissent être identifiées de manière claire et non équivoque dès leur réception par le destinataire. 2. Sans préjudice de la directive 97/7/CE et de la directive 97/66/CE, les États membres prennent des mesures visant à garantir que les prestataires qui envoient par courrier électronique des communications commerciales non sollicitées consultent régulièrement les registres "opt-out" dans lesquels les personnes physiques qui ne souhaitent pas recevoir ce type de communications peuvent s'inscrire, et respectent le souhait de ces dernières. Article 8 : Professions réglementées 1. Les États membres veillent à ce que l'utilisation de communications commerciales qui font partie d'un service de la société de l'information fourni par un membre d'une profession réglementée, ou qui constituent un tel service, soit autorisée sous réserve du respect des règles professionnelles visant, notamment, l'indépendance, la dignité et l'honneur de la profession ainsi que le secret professionnel et la loyauté envers les clients et les autres membres de la profession. 122

123 2. Sans préjudice de l'autonomie des organismes et associations professionnels, les États membres et la Commission encouragent les associations et les organismes professionnels à élaborer des codes de conduite au niveau communautaire pour préciser les informations qui peuvent être données à des fins de communications commerciales dans le respect des règles visées au paragraphe Lors de l'élaboration de propositions relatives à des initiatives communautaires qui peuvent s'avérer nécessaires pour assurer le bon fonctionnement du marché intérieur au regard des informations visées au paragraphe 2, la Commission tient dûment compte des codes de conduite applicables au niveau communautaire et agit en étroite coopération avec les associations et organismes professionnels concernés. 4. La présente directive s'applique en sus des directives communautaires régissant l'accès aux activités des professions réglementées et l'exercice de celles-ci. Section 3: Contrats par voie électronique Article 9 : Traitement des contrats 1. Les États membres veillent à ce que leur système juridique rende possible la conclusion des contrats par voie électronique. Les États membres veillent notamment à ce que le régime juridique applicable au processus contractuel ne fasse pas obstacle à l'utilisation des contrats électroniques ni ne conduise à priver d'effet et de validité juridiques de tels contrats pour le motif qu'ils sont passés par voie électronique. 2. Les États membres peuvent prévoir que le paragraphe 1 ne s'appliquent pas à tous les contrats ou à certains d'entre eux qui relèvent des catégories suivantes: a) les contrats qui créent ou transfèrent des droits sur des biens immobiliers, à l'exception des droits de location; b) les contrats pour lesquels la loi requiert l'intervention des tribunaux, des autorités publiques ou de professions exerçant une autorité publique; c) les contrats de sûretés et garanties fournis par des personnes agissant à des fins qui n'entrent pas dans le cadre de leur activité professionnelle ou commerciale; d) les contrats relevant du droit de la famille ou du droit des successions. 3. Les États membres indiquent à la Commission les catégories visées au paragraphe 2 auxquelles ils n'appliquent pas le paragraphe 1. Ils soumettent tous les cinq ans à la Commission un rapport sur l'application du paragraphe 2 en expliquant les raisons pour lesquelles ils estiment nécessaire de maintenir les catégories visées au paragraphe 2, point b), auxquelles ils n'appliquent pas le paragraphe 1. Article 10 : Informations à fournir 1. Outre les autres exigences en matière d'information prévues par le droit communautaire, les États membres veillent à ce que, sauf si les parties qui ne sont pas des consommateurs en ont convenu autrement, le prestataire de services fournisse au moins les informations mentionnées ci-après, formulées de manière claire, compréhensible et non équivoque et avant que le destinataire du service ne passe sa commande: a) les différentes étapes techniques à suivre pour conclure le contrat; b) si le contrat une fois conclu est archivé ou non par le prestataire de services et s'il est accessible ou non; c) les moyens techniques pour identifier et corriger des erreurs commises dans la saisie des données avant que la commande ne soit passée; d) les langues proposées pour la conclusion du contrat. 2. Les États membres veillent à ce que, sauf si les parties qui ne sont pas des consommateurs en ont convenu autrement, le prestataire indique les éventuels codes de conduite pertinents auxquels il est soumis ainsi que les informations sur la façon dont ces codes peuvent être consultés par voie électronique. 3. Les clauses contractuelles et les conditions générales fournies au destinataire doivent l'être d'une manière qui lui permette de les conserver et de les reproduire. 4. Les paragraphes 1 et 2 ne sont pas applicables à des contrats conclus exclusivement par le biais d'un échange de courriers électroniques ou par des communications individuelles équivalentes. 123

124 Article 11 : Passation d'une commande 1. Les États membres veillent, sauf si les parties qui ne sont pas des consommateurs en ont convenu autrement, à ce que, dans les cas où un destinataire du service passe sa commande par des moyens technologiques, les principes suivants s'appliquent: - le prestataire doit accuser réception de la commande du destinataire sans délai injustifié et par voie électronique, - la commande et l'accusé de réception sont considérés comme étant reçus lorsque les parties auxquelles il sont adressés peuvent y avoir accès. 2. Les États membres veillent, sauf si les parties qui ne sont pas des consommateurs en ont convenu autrement, à ce que le prestataire mette à la disposition du destinataire du service des moyens techniques appropriés, efficaces et accessibles lui permettant d'identifier les erreurs commises dans la saisie des données et de les corriger, et ce avant la passation de la commande. 3. Le paragraphe 1, premier tiret, et le paragraphe 2 ne sont pas applicables à des contrats conclus exclusivement au moyen d'un échange de courriers électroniques ou au moyen de communications individuelles équivalentes. Section 4: Responsabilité des prestataires intermédiaires Article 12 : Simple transport ("Mère conduit") 1. Les États membres veillent à ce que, en cas de fourniture d'un service de la société de l'information consistant à transmettre, sur un réseau de communication, des informations fournies par le destinataire du service ou à fournir un accès au réseau de communication, le prestataire de services ne soit pas responsable des informations transmises, à condition que le prestataire: a) ne soit pas à l'origine de la transmission; b) ne sélectionne pas le destinataire de la transmission et c) ne sélectionne et ne modifie pas les informations faisant l'objet de la transmission. 2. Les activités de transmission et de fourniture d'accès visées au paragraphe 1 englobent le stockage automatique, intermédiaire et transitoire des informations transmises, pour autant que ce stockage serve exclusivement à l'exécution de la transmission sur le réseau de communication et que sa durée n'excède pas le temps raisonnablement nécessaire à la transmission. 3. Le présent article n'affecte pas la possibilité, pour une juridiction ou une autorité administrative, conformément aux systèmes juridiques des États membres, d'exiger du prestataire qu'il mette un terme à une violation ou qu'il prévienne une violation. Article 13 : Forme de stockage dite "caching" 1. Les États membre veillent à ce que, en cas de fourniture d'un service de la société de l'information consistant à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, le prestataire ne soit pas responsable au titre du stockage automatique, intermédiaire et temporaire de cette information fait dans le seul but de rendre plus efficace la transmission ultérieure de l'information à la demande d'autres destinataires du service, à condition que: a) le prestataire ne modifie pas l'information; b) le prestataire se conforme aux conditions d'accès à l'information; c) le prestataire se conforme aux règles concernant la mise à jour de l'information, indiquées d'une manière largement reconnue et utilisées par les entreprises; d) le prestataire n'entrave pas l'utilisation licite de la technologie, largement reconnue et utilisée par l'industrie, dans le but d'obtenir des données sur l'utilisation de l'information et e) le prestataire agisse promptement pour retirer l'information qu'il a stockée ou pour en rendre l'accès impossible dès qu'il a effectivement connaissance du fait que l'information à l'origine de la transmission a été retirée du réseau ou du fait que l'accès à l'information a été rendu impossible, ou du fait qu'un tribunal ou une autorité administrative a ordonné de retirer l'information ou d'en rendre l'accès impossible. 2. Le présent article n'affecte pas la possibilité, pour une juridiction ou une autorité administrative, conformément aux systèmes juridiques des États membres, d'exiger du prestataire qu'il mette fin à une violation ou qu'il prévienne une violation. 124

125 Article 14 : Hébergement 1. Les États membres veillent à ce que, en cas de fourniture d'un service de la société de l'information consistant à stocker des informations fournies par un destinataire du service, le prestataire ne soit pas responsable des informations stockées à la demande d'un destinataire du service à condition que: a) le prestataire n'ait pas effectivement connaissance de l'activité ou de l'information illicites et, en ce qui concerne une demande en dommages et intérêts, n'ait pas connaissance de faits ou de circonstances selon lesquels l'activité ou l'information illicite est apparente ou b) le prestataire, dès le moment où il a de telles connaissances, agisse promptement pour retirer les informations ou rendre l'accès à celles-ci impossible. 2. Le paragraphe 1 ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle du prestataire. 3. Le présent article n'affecte pas la possibilité, pour une juridiction ou une autorité administrative, conformément aux systèmes juridiques des États membres, d'exiger du prestataire qu'il mette un terme à une violation ou qu'il prévienne une violation et n'affecte pas non plus la possibilité, pour les États membres, d'instaurer des procédures régissant le retrait de ces informations ou les actions pour en rendre l'accès impossible. Article 15 : Absence d'obligation générale en matière de surveillance 1. Les États membres ne doivent pas imposer aux prestataires, pour la fourniture des services visée aux articles 12, 13 et 14, une obligation générale de surveiller les informations qu'ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites. 2. Les États membres peuvent instaurer, pour les prestataires de services de la société de l'information, l'obligation d'informer promptement les autorités publiques compétentes d'activités illicites alléguées qu'exerceraient les destinataires de leurs services ou d'informations illicites alléguées que ces derniers fourniraient ou de communiquer aux autorités compétentes, à leur demande, les informations permettant d'identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d'hébergement. CHAPITRE III : MISE EN OEUVRE Article 16 : Codes de conduite 1. Les États membres et la Commission encouragent: a) l'élaboration, par les associations ou organisations d'entreprises, professionnelles ou de consommateurs, de codes de conduite au niveau communautaire, destinés à contribuer à la bonne application des articles 5 à 15; b) la transmission volontaire à la Commission des projets de codes de conduite au niveau national ou communautaire; c) l'accessibilité par voie électronique des codes de conduite dans les langues communautaires; d) la communication aux États membres et à la Commission, par les associations ou organisations d'entreprises, professionnelles ou de consommateurs, de leurs évaluations de l'application de leurs codes de conduite et de leur impact sur les pratiques, les us ou les coutumes relatifs au commerce électronique; e) l'établissement de codes de conduite pour ce qui a trait à la protection des mineurs et de la dignité humaine. 2. Les États membres et la Commission encouragent les associations ou les organisations représentant les consommateurs à participer à l'élaboration et à l'application des codes de conduite ayant des incidences sur leurs intérêts et élaborés en conformité avec le paragraphe 1, point a). Le cas échéant, les associations représentant les personnes souffrant d'un handicap visuel et, de manière générale, les personnes handicapées devraient être consultées afin de tenir compte de leurs besoins spécifiques. Article 17 : Règlement extrajudiciaire des litiges 1. Les États membres veillent à ce que, en cas de désaccord entre un prestataire de services de la société de l'information et le destinataire du service, leur législation ne fasse pas obstacle à l'utilisation des mécanismes de règlement extrajudiciaire pour le règlement des différends, disponibles dans le droit national, y compris par des moyens électroniques appropriés. 125

126 2. Les États membres encouragent les organes de règlement extrajudiciaire, notamment en ce qui concerne les litiges en matière de consommation, à fonctionner de manière à assurer les garanties procédurales appropriées pour les parties concernées. 3. Les États membres encouragent les organes de règlement extrajudiciaire des litiges à communiquer à la Commission les décisions importantes qu'ils prennent en matière de services de la société de l'information ainsi que toute autre information sur les pratiques, les us ou les coutumes relatifs au commerce électronique. Article 18 : Recours juridictionnels 1. Les États membres veillent à ce que les recours juridictionnels disponibles dans le droit national portant sur les activités des services de la société de l'information permettent l'adoption rapide de mesures, y compris par voie de référé, visant à mettre un terme à toute violation alléguée et à prévenir toute nouvelle atteinte aux intérêts concernés. 2. L'annexe de la directive 98/27/CE est complétée par le texte suivant: "11. Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur ('directive sur le commerce électronique') (JO L 178 du , p. 1)." Article 19 : Coopération 1. Les États membres disposent de moyens suffisants de contrôle et d'investigation nécessaires à la mise en oeuvre efficace de la présente directive et veillent à ce que les prestataires leur fournissent les informations requises. 2. Les États membres coopèrent avec les autres États membres; à cette fin, ils désignent un ou plusieurs points de contact, dont ils communiquent les coordonnées aux autres États membres et à la Commission. 3. Les États membres fournissent dans les plus brefs délais et conformément au droit national l'assistance et les informations demandées par les autres États membres ou par la Commission, y compris par les voies électroniques appropriées. 4. Les États membres établissent des points de contact accessibles au moins par voie électronique auxquels les destinataires de services et les prestataires de services peuvent s'adresser pour: a) obtenir des informations générales sur leurs droits et obligations en matière contractuelle ainsi que sur les procédures de réclamation et de recours disponibles en cas de différends, y compris sur les aspects pratiques liés à l'utilisation de ces procédures; b) obtenir les coordonnées des autorités, associations ou organisations auprès desquelles ils peuvent obtenir d'autres informations ou une assistance pratique. 5. Les États membres encouragent la communication à la Commission des décisions administratives et judiciaires importantes prises sur leur territoire s'agissant des litiges relatifs aux services de la société de l'information ainsi que des pratiques, des us ou des coutumes relatifs au commerce électronique. La Commission communique ces décisions aux autres États membres. Article 20 : Sanctions Les États membres déterminent le régime des sanctions applicable aux violations des dispositions nationales adoptées en application de la présente directive et prennent toutes mesures nécessaires pour assurer leur mise en oeuvre. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives. CHAPITRE IV : DISPOSITIONS FINALES Article 21 : Réexamen 1. Avant le 17 juillet 2003 et ensuite tous les deux ans, la Commission présente au Parlement européen, au Conseil et au Comité économique et social un rapport relatif à l'application de la présente directive accompagné, le cas échéant, de propositions visant à l'adapter à l'évolution juridique, technique et économique dans le domaine des services de la société de l'information, notamment en ce qui concerne la prévention de la criminalité, la protection des mineurs, la protection des consommateurs et le bon fonctionnement du marché intérieur. 126

127 2. Ce rapport, en examinant la nécessité d'adapter la présente directive, analyse en particulier la nécessité de présenter des propositions relatives à la responsabilité des fournisseurs de liens d'hypertexte et de services de moteur de recherche, les procédures de notification et de retrait (notice and take down) et l'imputation de la responsabilité après le retrait du contenu. Le rapport analyse également la nécessité de prévoir des conditions supplémentaires pour l'exemption de responsabilité, prévue aux articles 12 et 13, compte tenu de l'évolution des techniques, et la possibilité d'appliquer les principes du marché intérieur à l'envoi par courrier électronique de communications commerciales non sollicitées. Article 22 : Transposition 1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive avant le 17 janvier Ils en informent immédiatement la Commission. 2. Lorsque les États membres adoptent les dispositions visées au paragraphe 1, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres. Article 23 : Entrée en vigueur Le présente directive entre en vigueur le jour de sa publication au Journal officiel des Communautés européennes. 3- PROJET DE LOI relatif à la protection des personnes physiques à l égard des traitements de données à caractère personnel et modifiant la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés (extraits) TITRE Ier : DISPOSITIONS MODIFIANT LA LOI DU 6 JANVIER 1978 RELATIVE A L INFORMATIQUE, AUX FICHIERS ET AUX LIBERTES Article 1er Les articles 2 à 5 du chapitre Ier de la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés sont remplacés par les dispositions suivantes : «Art La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l exception des traitements mis en œuvre pour l exercice d activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l article 5. «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. «Constitue un traitement de données à caractère personnel toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. «Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. «Est la personne concernée par un traitement de données à caractère personnel celle à laquelle se rapportent les données qui font l objet du traitement. «Art I. - Est responsable d un traitement de données à caractère personnel, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d autres, détermine ses finalités et ses moyens. 127

128 «II. - Est destinataire d un traitement de données à caractère personnel toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d une mission particulière ou de l exercice d un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires. «Art Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d autres destinataires du service le meilleur accès possible aux informations transmises. «Art I. - Sont soumis à la présente loi les traitements de données à caractère personnel : «1 Dont le responsable est établi sur le territoire français ; «2 Dont le responsable, sans être établi sur le territoire français ou sur celui d un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l exclusion des traitements qui ne sont utilisés qu à des fins de transit sur ce territoire ou sur celui d un autre Etat membre de la Communauté européenne. «Est considéré comme établi sur le territoire français le responsable d un traitement qui y exerce une activité effective dans le cadre d une installation stable, quelle que soit la forme juridique de celle-ci. «II. - Pour les traitements mentionnés au 2 du I, le responsable désigne à la Commission nationale de l informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.» Article 2 Le chapitre II de la même loi est remplacé par les dispositions suivantes : «CHAPITRE II : Conditions de licéité des traitements de données à caractère personnel «Section 1 : Dispositions générales «Art Un traitement ne peut porter que sur des données qui satisfont aux conditions suivantes, qu il incombe au responsable du traitement de faire respecter : «1 Les données sont collectées et traitées de manière loyale et licite ; «2 Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ; «3 Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ; «4 Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ; «5 Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. «Des données à caractère personnel ne doivent pas faire l objet d un traitement ultérieur incompatible avec les finalités pour lesquelles elles ont été collectées. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique n est pas considéré comme incompatible avec les finalités initiales de la collecte des données, s il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section I du chapitre V et s il n est pas utilisé pour prendre des décisions à l égard des personnes concernées. «Art Un traitement de données à caractère personnel doit, soit avoir reçu le consentement de la ou des personnes concernées, soit être nécessaire : «1 Au respect d'une obligation légale à laquelle le responsable du traitement est soumis ; «2 Ou à la sauvegarde de la vie de la ou des personnes concernées ; «3 Ou à l exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ; «4 Ou à l exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ; 128

129 «5 Ou à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, à condition de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée. Article 8 La même loi est complétée par un chapitre VIII ainsi rédigé : «CHAPITRE VIII : Dispositions pénales «Art Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles à du code pénal. «Art Est puni d un an d emprisonnement et de d amende le fait d entraver l action de la Commission nationale de l informatique et des libertés : «1 Soit en s opposant à l exercice des missions confiées à ses membres ou aux agents habilités en application du troisième alinéa de l article 19 et définies aux articles 45 et 49 ; «2 Soit en refusant de communiquer à ses membres ou aux agents habilités en application du troisième alinéa de l article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ; «3 Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible. «Art Le procureur de la République avise le président de la Commission nationale de l informatique et des libertés de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l informe de la date et de l objet de l audience de jugement par lettre recommandée adressée au moins dix jours avant cette date. «La juridiction d instruction ou de jugement peut appeler le président de la Commission nationale de l informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l audience.» Article 12 La même loi est complétée par un chapitre XII ainsi rédigé : «CHAPITRE XII Transferts de données à caractère personnel vers des Etats n appartenant pas à la Communauté européenne «Art Le responsable d un traitement ne peut transférer des données à caractère personnel vers un Etat n appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l objet ou peuvent faire l objet. «Le caractère suffisant du niveau de protection assuré par un Etat s apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l origine et de la destination des données traitées. «Art Toutefois, le responsable d un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues à l article 68 si la personne à laquelle se rapportent les données a consenti à leur transfert ou si le transfert est nécessaire : «1 A la sauvegarde de la vie de cette personne ; «2 Ou à la sauvegarde de l intérêt public ; «3 Ou au respect d obligations permettant d assurer la constatation, l'exercice ou la défense d'un droit en justice ; «4 Ou à la consultation, dans des conditions régulières, d un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d un intérêt légitime ; «5 Ou à l exécution d'un contrat entre le responsable du traitement et l intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ; «6 Ou à la conclusion ou à l exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers. «Il peut également être fait exception à l interdiction prévue à l article 68, par décision de la Commission nationale de l informatique et des libertés ou, s il s agit d un traitement mentionné au I 129

130 ou au II de l article 26, par décret en Conseil d Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles dont il fait l objet. «La Commission nationale de l informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d autorisation de transfert de données à caractère personnel qu elle prend au titre de l alinéa précédent. «Art Si la Commission des Communautés européennes a constaté qu un Etat n appartenant pas à la Communauté européenne n assure pas un niveau de protection suffisant à l égard d un transfert ou d une catégorie de transferts de données à caractère personnel, la Commission nationale de l informatique et des libertés, saisie d une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet Etat, délivre le récépissé avec mention de l interdiction de procéder au transfert des données. «Lorsqu elle estime qu un Etat n appartenant pas à la Communauté européenne n assure pas un niveau de protection suffisant à l égard d un transfert ou d une catégorie de transferts de données, la Commission nationale de l informatique et des libertés en informe sans délai la Commission des Communautés européennes. Lorsqu elle est saisie d une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet Etat, la Commission nationale de l informatique et des libertés délivre le récépissé et peut enjoindre au responsable du traitement de suspendre le transfert des données. Si la Commission des Communautés européennes constate que l Etat vers lequel le transfert est envisagé assure un niveau de protection suffisant, la Commission nationale de l informatique et des libertés notifie au responsable du traitement la cessation de la suspension du transfert. Si la Commission des Communautés européennes constate que l Etat vers lequel le transfert est envisagé n assure pas un niveau de protection suffisant, la Commission nationale de l informatique et des libertés notifie au responsable du traitement l interdiction de procéder au transfert de données à caractère personnel à destination de cet Etat.» 4- Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel - Strasbourg, 28.I.1981 (extraits) Préambule Les Etats membres du Conseil de l'europe, signataires de la présente Convention, Considérant que le but du Conseil de l'europe est de réaliser une union plus étroite entre ses membres, dans le respect notamment de la prééminence du droit ainsi que des droits de l'homme et des libertés fondamentales; Considérant qu'il est souhaitable d'étendre la protection des droits et des libertés fondamentales de chacun, notamment le droit au respect de la vie privée, eu égard à l'intensification de la circulation à travers les frontières des données à caractère personnel faisant l'objet de traitements automatisés; Réaffirmant en même temps leur engagement en faveur de la liberté d'information sans considération de frontières; Reconnaissant la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l'information entre les peuples, Sont convenus de ce qui suit: Chapitre I Dispositions générales Article 1er Objet et but Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»). Article 2 Définitions Aux fins de la présente Convention: a.«données à caractère personnel» signifie: toute information concernant une personne physique identifiée ou identifiable («personne concernée»); b.«fichier automatisé» signifie: tout ensemble d'informations faisant l'objet d'un traitement automatisé; 130

131 c.«traitement automatisé» s'entend des opérations suivantes effectuées en totalité ou en partie à l'aide de procédés automatisés: enregistrement des données, application à ces données d'opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion; d.«maître du fichier» signifie: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. Article 3 Champ d'application 1.Les Parties s'engagent à appliquer la présente Convention aux fichiers et aux traitements automatisés de données à caractère personnel dans les secteurs public et privé. 2.Tout Etat peut, lors de la signature ou du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, ou à tout moment ultérieur, faire connaître par déclaration adressée au Secrétaire Général du Conseil de l'europe: a. qu'il n'appliquera pas la présente Convention à certaines catégories de fichiers automatisés de données à caractère personnel dont une liste sera déposée. Il ne devra toutefois pas inclure dans cette liste des catégories de fichiers automatisés assujetties selon son droit interne à des dispositions de protection des données. En conséquence, il devra amender cette liste par une nouvelle déclaration lorsque des catégories supplémentaires de fichiers automatisés de données à caractère personnel seront assujetties à son régime de protection des données; b. qu'il appliquera la présente Convention également à des informations afférentes à des groupements, associations, fondations, sociétés, corporations ou à tout autre organisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalité juridique; c. qu'il appliquera la présente Convention également aux fichiers de données à caractère personnel ne faisant pas l'objet de traitements automatisés. 3.Tout Etat qui a étendu le champ d'application de la présente Convention par l'une des déclarations visées aux alinéas 2.b ou c ci-dessus peut, dans ladite déclaration, indiquer que les extensions ne s'appliqueront qu'à certaines catégories de fichiers à caractère personnel dont la liste sera déposée. 4.Toute Partie qui a exclu certaines catégories de fichiers automatisés de données à caractère personnel par la déclaration prévue à l'alinéa 2.a ci-dessus ne peut pas prétendre à l'application de la présente Convention à de telles catégories par une Partie qui ne les a pas exclues. 5.De même, une Partie qui n'a pas procédé à l'une ou à l'autre des extensions prévues aux paragraphes 2.b et c du présent article ne peut se prévaloir de l'application de la présente Convention sur ces points à l'égard d'une Partie qui a procédé à de telles extensions. 6.Les déclarations prévues au paragraphe 2 du présent article prendront effet au moment de l'entrée en vigueur de la Convention à l'égard de l'etat qui les a formulées, si cet Etat les a faites lors de la signature ou du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, ou trois mois après leur réception par le Secrétaire Général du Conseil de l'europe si elles ont été formulées à un moment ultérieur. Ces déclarations pourront être retirées en tout ou en partie par notification adressée au Secrétaire Général du Conseil de l'europe. Le retrait prendra effet trois mois après la date de réception d'une telle notification. Chapitre II Principes de base pour la protection des données Article 4 Engagements des Parties 1.Chaque Partie prend, dans son droit interne, les mesures nécessaires pour donner effet aux principes de base pour la protection des données énoncés dans le présent chapitre. 2.Ces mesures doivent être prises au plus tard au moment de l'entrée en vigueur de la présente Convention à son égard. Article 5 Qualité des données Les données à caractère personnel faisant l'objet d'un traitement automatisé sont: a. obtenues et traitées loyalement et licitement; b. enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités; 131

132 c. adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées; d. exactes et si nécessaire mises à jour; e. conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées. Article 6 Catégories particulières de données Les données à caractère personnel révélant l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées. Il en est de même des données à caractère personnel concernant des condamnations pénales. Article 7 Sécurité des données Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l'accès, la modification ou la diffusion non autorisés. Article 8 Garanties complémentaires pour la personne concernée Toute personne doit pouvoir: a. connaître l'existence d'un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l'identité et la résidence habituelle ou le principal établissement du maître du fichier; b. obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l'existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible; c. obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu'elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention; d. disposer d'un recours s'il n'est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d'effacement, visée aux paragraphes b et c du présent article. Article 9 Exceptions et restrictions 1.Aucune exception aux dispositions des articles 5, 6 et 8 de la présente Convention n'est admise, sauf dans les limites définies au présent article. 2.Il est possible de déroger aux dispositions des articles 5, 6 et 8 de la présente Convention lorsqu'une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique: a. à la protection de la sécurité de l'etat, à la sûreté publique, aux intérêts monétaires de l'etat ou à la répression des infractions pénales; b. à la protection de la personne concernée et des droits et libertés d'autrui. 3.Des restrictions à l'exercice des droits visés aux paragraphes b, c et d de l'article 8 peuvent être prévues par la loi pour les fichiers automatisés de données à caractère personnel utilisés à des fins de statistiques ou de recherches scientifiques, lorsqu'il n'existe manifestement pas de risques d'atteinte à la vie privée des personnes concernées. Article 10 Sanctions et recours Chaque Partie s'engage à établir des sanctions et recours appropriés visant les violations aux dispositions du droit interne donnant effet aux principes de base pour la protection des données énoncés dans le présent chapitre. 132

133 Article 11 Protection plus étendue Aucune des dispositions du présent chapitre ne sera interprétée comme limitant ou portant atteinte à la faculté pour chaque Partie d'accorder aux personnes concernées une protection plus étendue que celle prévue par la présente Convention. Chapitre III Flux transfrontières de données Article 12 Flux transfrontières de données à caractère personnel et droit interne 1.Les dispositions suivantes s'appliquent aux transferts à travers les frontières nationales, quel que soit le support utilisé, de données à caractère personnel faisant l'objet d'un traitement automatisé ou rassemblées dans le but de les soumettre à un tel traitement. 2.Une Partie ne peut pas, aux seules fins de la protection de la vie privée, interdire ou soumettre à une autorisation spéciale les flux transfrontières de données à caractère personnel à destination du territoire d'une autre Partie. 3.Toutefois, toute Partie a la faculté de déroger aux dispositions du paragraphe 2: a. dans la mesure où sa législation prévoit une réglementation spécifique pour certaines catégories de données à caractère personnel ou de fichiers automatisés de données à caractère personnel, en raison de la nature de ces données ou de ces fichiers, sauf si la réglementation de l'autre Partie apporte une protection équivalente; b. lorsque le transfert est effectué à partir de son territoire vers le territoire d'un Etat non contractant par l'intermédiaire du territoire d'une autre Partie, afin d'éviter que de tels transferts n'aboutissent à contourner la législation de la Partie visée au début du présent paragraphe. Chapitre IV Entraide Article 13 Coopération entre les Parties 1.Les Parties s'engagent à s'accorder mutuellement assistance pour la mise en œuvre de la présente Convention. 2.A cette fin, a. chaque Partie désigne une ou plusieurs autorités dont elle communique la dénomination et l'adresse au Secrétaire Général du Conseil de l'europe; b. chaque Partie qui a désigné plusieurs autorités indique dans la communication visée à l'alinéa précédent la compétence de chacune de ces autorités. 3.Une autorité désignée par une Partie, à la demande d'une autorité désignée par une autre Partie: a. fournira des informations sur son droit et sur sa pratique administrative en matière de protection des données; b. prendra, conformément à son droit interne et aux seules fins de la protection de la vie privée, toutes mesures appropriées pour fournir des informations de fait concernant un traitement automatisé déterminé effectué sur son territoire à l'exception toutefois des données à caractère personnel faisant l'objet de ce traitement. Article 14 Assistance aux personnes concernées ayant leur résidence à l'étranger 1.Chaque Partie prête assistance à toute personne ayant sa résidence à l'étranger pour l'exercice des droits prévus par son droit interne donnant effet aux principes énoncés à l'article 8 de la présente Convention. 2.Si une telle personne réside sur le territoire d'une autre Partie, elle doit avoir la faculté de présenter sa demande par l'intermédiaire de l'autorité désignée par cette Partie. 3.La demande d'assistance doit contenir toutes les indications nécessaires concernant notamment: a. le nom, l'adresse et tous autres éléments pertinents d'identification concernant le requérant; b. le fichier automatisé de données à caractère personnel auquel la demande se réfère ou le maître de ce fichier; c. le but de la demande. Article 15 Garanties concernant l'assistance fournie par les autorités désignées 1.Une autorité désignée par une Partie qui a reçu des informations d'une autorité désignée par une autre Partie, soit à l'appui d'une demande d'assistance, soit en réponse à une demande d'assistance 133

134 qu'elle a formulée elle-même, ne pourra faire usage de ces informations à des fins autres que celles spécifiées dans la demande d'assistance. 2.Chaque Partie veillera à ce que les personnes appartenant ou agissant au nom de l'autorité désignée soient liées par des obligations appropriées de secret ou de confidentialité à l'égard de ces informations. 3.En aucun cas, une autorité désignée ne sera autorisée à faire, aux termes de l'article 14, paragraphe 2, une demande d'assistance au nom d'une personne concernée résidant à l'étranger, de sa propre initiative et sans le consentement exprès de cette personne. Article 16 Refus des demandes d'assistance Une autorité désignée, saisie d'une demande d'assistance aux termes des articles 13 ou 14 de la présente Convention, ne peut refuser d'y donner suite que si: a. la demande est incompatible avec les compétences, dans le domaine de la protection des données, des autorités habilitées à répondre; b. la demande n'est pas conforme aux dispositions de la présente Convention; c. l'exécution de la demande serait incompatible avec la souveraineté, la sécurité ou l'ordre public de la Partie qui l'a désignée, ou avec les droits et libertés fondamentales des personnes relevant de la juridiction de cette Partie. Article 17 Frais et procédures de l'assistance 1.L'entraide que les Parties s'accordent aux termes de l'article 13, ainsi que l'assistance qu'elles prêtent aux personnes concernées résidant à l'étranger aux termes de l'article 14, ne donnera pas lieu au paiement des frais et droits autres que ceux afférents aux experts et aux interprètes. Ces frais et droits seront à la charge de la Partie qui a désigné l'autorité qui a fait la demande d'assistance. 2.La personne concernée ne peut être tenue de payer, en liaison avec les démarches entreprises pour son compte sur le territoire d'une autre Partie, des frais et droits autres que ceux exigibles des personnes résidant sur le territoire de cette Partie. 3.Les autres modalités relatives à l'assistance concernant notamment les formes et procédures ainsi que les langues à utiliser seront établies directement entre les Parties concernées. Chapitre V Comité consultatif Article 18 Composition du comité 1.Un comité consultatif est constitué après l'entrée en vigueur de la présente Convention. 2.Toute Partie désigne un représentant et un suppléant à ce comité. Tout Etat membre du Conseil de l'europe qui n'est pas Partie à la Convention a le droit de se faire représenter au comité par un observateur. 3.Le comité consultatif peut, par une décision prise à l'unanimité, inviter tout Etat non membre du Conseil de l'europe qui n'est pas Partie à la Convention à se faire représenter par un observateur à l'une de ses réunions. Article 19 Fonctions du comité Le comité consultatif: a. peut faire des propositions en vue de faciliter ou d'améliorer l'application de la Convention; b. peut faire des propositions d'amendement à la présente Convention conformément à l'article 21; c. formule un avis sur toute proposition d'amendement à la présente Convention qui lui est soumis conformément à l'article 21, paragraphe 3; d. peut, à la demande d'une Partie, exprimer un avis sur toute question relative à l'application de la présente Convention. Article 20 Procédure 1.Le comité consultatif est convoqué par le Secrétaire Général du Conseil de l'europe. Il tient sa première réunion dans les douze mois qui suivent l'entrée en vigueur de la présente Convention. Il se réunit par la suite au moins une fois tous les deux ans et, en tout cas, chaque fois qu'un tiers des représentants des Parties demande sa convocation. 134

135 2.La majorité des représentants des Parties constitue le quorum nécessaire pour tenir une réunion du comité consultatif. 3.A l'issue de chacune de ses réunions, le comité consultatif soumet au Comité des Ministres du Conseil de l'europe un rapport sur ses travaux et sur le fonctionnement de la Convention. 4.Sous réserve des dispositions de la présente Convention, le Comité consultatif établit son règlement intérieur. 5- Décision-cadre du Conseil du 28 mai 2001 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces Journal officiel n L 149 du 02/06/2001 p (2001/413/JAI) LE CONSEIL DE L'UNION EUROPÉENNE, vu le traité sur l'union européenne, et notamment son article 34, paragraphe 2, point b), vu l'initiative de la Commission(1), vu l'avis du Parlement européen(2), considérant ce qui suit: (1) Les auteurs de fraudes et de contrefaçons affectant les moyens de paiement autres que les espèces opèrent fréquemment à l'échelle internationale. (2) Le travail réalisé par diverses organisations internationales (Conseil de l'europe, Groupe des Huit, OCDE, Interpol et Nations unies) est important, mais doit être complété par une action de l'union européenne. (3) La gravité et l'importance croissante de certaines formes de fraude affectant les moyens de paiement autres que les espèces rendent nécessaire l'adoption de solutions globales. La recommandation n 18 du programme d'action relatif à la criminalité organisée(3) approuvé par le Conseil européen d'amsterdam des 16 et 17 juin 1997, et le point 46 du plan d'action du Conseil et de la Commission concernant les modalités optimales de mise en oeuvre des dispositions du traité d'amsterdam relatives à l'établissement d'un espace de liberté, de sécurité et de justice(4), approuvé par le Conseil européen de Vienne des 11 et 12 décembre 1998, demandent une action à cet égard. (4) Étant donné que les objectifs de la présente décision-cadre, consistant à assurer que la fraude et la contrefaçon des moyens de paiement autres que les espèces soient reconnues comme des infractions pénales et fassent l'objet de sanctions effectives, proportionnées et dissuasives dans tous les États membres, ne peuvent pas être réalisés de manière suffisante par les États membres compte tenu de la dimension internationale de ces infractions et peuvent donc être mieux réalisés au niveau de l'union, l'union peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité instituant la Communauté européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, la présente décision-cadre n'excède pas ce qui est nécessaire pour atteindre ces objectifs. (5) La présente décision-cadre devrait, avec les autres instruments déjà approuvés par le Conseil et cités ci-après, contribuer à lutter contre la fraude et la contrefaçon des moyens de paiement autres que les espèces: l'action commune 98/428/JAI concernant la création d'un Réseau judiciaire européen(5); l'action commune 98/733/JAI, relative à l'incrimination de la participation à une organisation criminelle dans les États membres de l'union européenne(6); l'action commune 98/699/JAI concernant l'identification, le dépistage, le gel ou la saisie et la confiscation des instruments et des produits du crime(7), ainsi que la décision du Conseil du 29 avril 1999 étendant le mandat d'europol à la lutte contre le faux monnayage et la falsification des moyens de paiement(8). (6) La Commission a présenté au Conseil le 1er juillet 1998 une communication intitulée "Un cadre d'action pour lutter contre la fraude et la contrefaçon des moyens de paiement autres que les espèces", qui préconise une politique de l'union couvrant à la fois les aspects préventifs et répressifs du problème. (7) La communication contient un projet d'action commune qui s'inscrit dans cette approche globale et qui constitue le point de départ de la présente décision-cadre. (8) Il est nécessaire qu'une description des différents agissements liés à la fraude et à la contrefaçon des moyens de paiement autres que les espèces devant être érigés en infractions pénales couvre tout l'éventail des activités sur lesquelles pèse la menace de la criminalité organisée dans ce domaine. 135

136 (9) Il y a lieu que ces agissements soient érigés en infractions pénales dans tous les États membres, que les personnes physiques et morales auteurs ou responsables de telles infractions s'exposent à des sanctions effectives, proportionnées et dissuasives. (10) Protéger par le droit pénal en priorité les instruments de paiement qui sont dotés d'une forme spéciale de protection contre l'imitation ou la fraude a pour but d'encourager les opérateurs à prévoir cette protection pour les instruments de paiement qu'ils émettent, et d'ajouter ainsi à l'instrument un élément de prévention. (11) Il est nécessaire que les États membres s'accordent mutuellement une assistance aussi étendue que possible et qu'ils se consultent mutuellement lorsqu'une même infraction relève de la compétence juridictionnelle de plusieurs d'entre eux, A ARRÊTÉ LA PRÉSENTE DÉCISION-CADRE: Article premier : Définitions Aux fins de la présente décision-cadre, on entend par: a) "instrument de paiement": tout instrument corporel autre que la monnaie légale (billets de banque et pièces) qui permet, de par sa nature particulière, à lui seul ou en association avec un autre instrument (de paiement), à son titulaire ou utilisateur d'effectuer un transfert d'argent ou de valeur monétaire, par exemple les cartes de crédit, les cartes eurochèque, les autres cartes émises par les établissements financiers, les chèques de voyage, les eurochèques, les autres chèques ou lettres de change, et qui est protégé contre les imitations ou les utilisations frauduleuses, par exemple de par sa conception, son codage ou une signature; b) "personne morale": toute entité ayant ce statut en vertu du droit national applicable, exception faite des États ou des autres entités publiques dans l'exercice de leurs prérogatives de puissance publique et des organisations internationales publiques. Article 2 : Infractions liées aux instruments de paiement Chaque État membre prend les mesures nécessaires pour que les agissements visés ci-après constituent une infraction pénale s'ils sont intentionnels, au moins pour ce qui concerne les cartes de crédit, les cartes eurochèques, les autres cartes émises par les établissements financiers, les chèques de voyage, les eurochèques, les autres chèques et lettres de change: a) voler ou obtenir illégalement un instrument de paiement; b) contrefaire ou falsifier un instrument de paiement en vue d'une utilisation frauduleuse; c) recevoir, obtenir, transporter, vendre ou céder à un tiers ou détenir un instrument de paiement volé ou obtenu illégalement, faux ou falsifié, en vue d'une utilisation frauduleuse; d) utiliser frauduleusement un instrument de paiement volé ou obtenu illégalement, faux ou falsifié. Article 3 : Infractions liées à l'utilisation de l'informatique Chaque État membre prend les mesures nécessaires pour que les agissements visés ci-après constituent une infraction pénale s'ils sont intentionnels: effectuer ou faire effectuer un transfert d'argent ou de valeur monétaire, causant ainsi de manière illicite une perte de propriété à un tiers dans le but de procurer un avantage économique illégal à la personne qui commet l'infraction ou à une tierce partie, en: - introduisant, altérant, effaçant ou supprimant des données informatiques, en particulier des données permettant l'identification, ou - perturbant le fonctionnement d'un logiciel ou d'un système informatique. Article 4 : Infractions liées aux équipements spécialement adaptés Chaque État membre prend les mesures nécessaires pour que les agissements visés ci-après constituent une infraction pénale s'ils sont intentionnels: fabriquer, recevoir, obtenir, vendre ou céder à un tiers ou détenir illégalement: - des instruments, articles, logiciels ou tout autre moyen spécialement adapté pour commettre les infractions visées à l'article 2, point b), - des logiciels ayant pour objet la commission des infractions visées à l'article

137 Article 5 : Participation, incitation et tentative Chaque État membre prend les mesures nécessaires pour que la participation ou l'incitation aux infractions visées aux articles 2, 3 et 4 et la tentative de commettre les agissements visés à l'article 2, points a), b) et d), ainsi qu'à l'article 3, soient punissables. Article 6 : Sanctions Chaque État membre prend les mesures nécessaires pour que les agissements visés aux articles 2 à 5 soient assortis de sanctions pénales effectives, proportionnées et dissuasives comprenant, au moins dans les cas graves, des peines privatives de liberté pouvant justifier une extradition. Article 7 : Responsabilité des personnes morales 1. Chaque État membre prend les mesures nécessaires pour que les personnes morales puissent être tenues pour responsables des agissements visés à l'article 2, points b), c) et d), ainsi qu'aux articles 3 et 4, commis pour leur compte par toute personne, agissant individuellement ou en qualité de membre d'un organe de la personne morale, qui exerce un pouvoir de direction en son sein, sur les bases suivantes: - un pouvoir de représentation de la personne morale, ou - une autorité pour prendre des décisions au nom de la personne morale, ou - une autorité pour exercer un contrôle au sein de la personne morale, ainsi que de la participation à la commission de cette infraction en qualité de complice ou d'instigateur. 2. Abstraction faite des cas prévus au paragraphe 1, chaque État membre prend les mesures nécessaires pour qu'une personne morale puisse être tenue pour responsable lorsque le défaut de surveillance ou de contrôle de la part d'une personne visée au paragraphe 1 a rendu possible la commission des agissements visés à l'article 2, points b), c) et d), ainsi qu'aux articles 3 et 4, pour le compte de ladite personne morale par une personne soumise à son autorité. 3. La responsabilité de la personne morale en vertu des paragraphes 1 et 2 n'exclut pas les poursuites pénales contre les personnes physiques auteurs, instigateurs ou complices des agissements visés à l'article 2, points b), c) et d), ainsi qu'aux articles 3 et 4. Article 8 : Sanctions à l'encontre des personnes morales 1. Chaque État membre prend les mesures nécessaires pour qu'une personne morale tenue pour responsable au sens de l'article 7, paragraphe 1, soit passible de sanctions effectives, proportionnées et dissuasives, qui incluent des amendes pénales ou non pénales et éventuellement d'autres sanctions, notamment: a) des mesures d'exclusion du bénéfice de tout avantage ou aide octroyé par les pouvoirs publics; b) des mesures d'interdiction temporaire ou permanente d'exercer une activité commerciale; c) un placement sous surveillance judiciaire; d) une mesure judiciaire de dissolution. 2. Chaque État membre prend les mesures nécessaires pour qu'une personne morale tenue pour responsable au sens de l'article 7, paragraphe 2, soit passible de sanctions ou de mesures effectives, proportionnées et dissuasives. Article 9 : Compétence juridictionnelle 1. Chaque État membre prend les mesures nécessaires pour établir sa compétence à l'égard des infractions visées aux articles 2, 3, 4 et 5, lorsque l'infraction a été commise: a) en tout ou en partie sur son territoire; ou b) par un de ses ressortissants, à condition que le droit dudit État membre puisse prévoir que les agissements en question sont punissables également dans le pays où ils ont eu lieu; ou c) au bénéfice d'une personne morale ayant son siège sur le territoire de cet État membre. 2. Sous réserve de l'article 10, tout État membre peut décider qu'il n'appliquera pas, ou qu'il n'appliquera que, dans des cas ou des conditions spécifiques, la règle de compétence énoncée: - au paragraphe 1, point b), - au paragraphe 1, point c). 137

138 3. Les États membres informent en conséquence le Secrétariat général du Conseil de leur décision d'appliquer ou non le paragraphe 2, en indiquant, le cas échéant, les cas ou les conditions spécifiques dans lesquels leur décision s'applique. Article 10 : Extradition et poursuites 1. a) Tout État membre qui, en application de son droit national, n'extrade pas ses ressortissants prend les mesures nécessaires pour établir sa compétence en ce qui concerne les infractions visées aux articles 2, 3, 4 et 5, lorsqu'elles sont commises par ses ressortissants en dehors de son territoire. b) Tout État membre dont l'un des ressortissants est présumé avoir commis dans un autre État membre une infraction supposant l'un des agissements décrits aux articles 2, 3, 4 et 5 et qui n'extrade pas cette personne vers cet autre État membre au seul motif de sa nationalité saisit ses propres autorités compétentes de l'affaire afin qu'elles engagent, le cas échéant, des poursuites. Afin de permettre l'exécution de ces poursuites, les dossiers, informations et pièces relatives à l'infraction commise sont communiquées conformément aux procédures prévues à l'article 6, paragraphe 2, de la Convention européenne d'extradition du 13 décembre L'État membre requérant est informé des poursuites engagées et de leur résultat. 2. Aux fins du présent article, la notion de "ressortissant" d'un État membre doit être interprétée conformément à toute déclaration faite par cet État membre conformément à l'article 6, paragraphe 1, points b) et c), de la Convention européenne d'extradition. Article 11 : Coopération entre États membres 1. Conformément aux conventions, accords bilatéraux ou multilatéraux ou autres arrangements applicables, les États membres se prêtent mutuellement l'assistance la plus large possible dans les procédures concernant les infractions visées par la présente décision-cadre. 2. Lorsque plusieurs États membres ont compétence à l'égard des infractions prévues par la présente décision-cadre, ils se consultent mutuellement en vue de coordonner leur action et d'assurer l'efficacité des poursuites. Article 12 : Échange d'informations 1. Les États membres désignent des points de contact opérationnels ou bien peuvent utiliser des structures opérationnelles existantes pour l'échange d'information et pour d'autres contacts entre les États membres aux fins de l'application de la présente décision-cadre. 2. Chaque État membre fait connaître au Secrétariat général du Conseil et à la Commission son ou ses service(s) faisant office de points de contact conformément au paragraphe 1. Le Secrétariat général notifie ces points de contact aux autres États membres. Article 13 : Application territoriale La présente décision-cadre s'applique à Gibraltar. Article 14 : Mise en oeuvre 1. Les États membres mettent en vigueur les mesures nécessaires pour se conformer à la présente décision-cadre au plus tard le 2 juin Au plus tard le 2 juin 2003, les États membres communiquent au Secrétariat général du Conseil et à la Commission, le texte des dispositions transposant dans leur droit national les obligations découlant de la présente décision-cadre. Sur la base d'un rapport établi à partir de ces informations et d'un rapport écrit de la Commission, le Conseil vérifie, au plus tard le 2 septembre 2003, dans quelle mesure les États membres ont pris les mesures nécessaires pour se conformer à la présente décisioncadre. Article 15 : Entrée en vigueur La présente décision-cadre entre en vigueur le jour de sa publication au Journal officiel des Communautés européennes. Fait à Bruxelles, le 28 mai

139 Annexe V : Interview de Monsieur Thierry Autret, Directeur de Mission, Audit et Sécurité des Systèmes d Information, Ernst & Young Audit, Paris 8 mars 2001 (retranscription intégrale) C.K.: Pour vous, quelle est la fonction d un cryptologue dans le processus de la certification et quelle est sa responsabilité en cas de défaillance du système? Thierry Autret : Il faut d abord replacer les choses dans leur contexte. Premièrement le terme «certification» est un mot qui en ce moment est extrêmement complexe pour différentes raisons. La légitimité de la certification est très vielle dans le temps, par exemple on a des offices publics, c est-àdire des greffiers, des huissiers, qui ont une fonction de certification des documents. Donc, quand vous allez chez un notaire pour un acte officiel, l officier public certifie le document. Nous en tant que commissaires aux comptes nous avons un rôle de certification des comptes. Donc, jusqu à présent c était des termes forts d un poids juridique et d attestation de l existence et de ce fait intimement lié à des métiers. Aujourd hui, on voit apparaître des «nouveaux certificateurs», dont le rôle est de faire de la certification publique, et on est à un croisement des chemins où les entités qui par le passé faisaient de la certification leur métier voient l apparition d opérateurs qui font de la certification publique. Ainsi, le mot «certification» devient extrêmement complexe, parce que les uns le considèrent comme leur métier traditionnel, les autres comme un nouveau métier. D une part il y a un certain conflit parce que ceux qui certifiaient les comptes ou les documents contestent le droit aux opérateurs techniques de faire ce métier de certification. D autre part, ces métiers doivent évoluer vers les nouvelles technologies, et donc il doit y avoir une mutation de ces métiers traditionnels. C est-à-dire que du moment où je fais de la certification de documents, c est normal que je fasse de la certification de clés publiques. Or, c est un métier vraiment complexe, qui n est pas tellement facile à appréhender. Si on reste dans le domaine de la certification de clés publiques, le rôle des cryptographes est de concevoir les systèmes les plus appropriés pour répondre aux exigences de sécurité demandées dans le processus complet de la certification de clés publiques. Le cryptographe en lui-même a un rôle relativement minime dans ce domaine, puisqu en fait, il va conseiller le choix de certains matériels de cryptographie, qui pour certains peuvent s acheter même dans le commerce. Donc, le cryptographe va préconiser l emploi de tel ou tel matériel. Mon rôle principalement est d être expert en cryptographie appliquée ; je ne suis pas mathématicien au sens de la conception des algorithmes. Notre rôle ici est d être consultants experts sur l utilisation de la cryptographie dans ses différents contextes. Le domaine de la certification de comptes publics est un domaine très complexe, c est-à-dire que la technique représente environ 20% de la part de l investissement et 80% correspond à l organisation. Cette organisation a des exigences très strictes sur les bonnes pratiques de la manipulation et de la sécurité des documents. Quant à la responsabilité, au sens fin du terme, le cryptographe a la responsabilité du choix des bons matériels pour être conforme à l attente du client. Par contre, l autorité de certification, c est-àdire l institution qui prendra en charge l émission des certificats pour les individus, a des très hautes responsabilités en particulier sur l attribution du certificat à des personnes. On peut considérer les certificats comme l équivalent des passeports et des cartes d identité, c est-à-dire qu ils permettent de vous présenter devant les tiers. Ces certificats doivent se reconnaître par des systèmes de vérification de la signature que vous êtes la personne que vous prétendez être. C est-à-dire qu il y a un lien entre effectif entre la clé qui va servir à vérifier et l identité qui est dedans. Le certificat c est une suite de données dans lesquelles on trouve l identité des personnes et sa clé publique qui sert à vérifier. Le certificat est incassable au sens de la cryptographie, par contre la problématique est l étape précédente, c est-à-dire l étape de l enregistrement. Le problème vient à partir du moment où un individu va se présenter en prétendant à une identité. La responsabilité de la personne derrière le guichet est très élevée parce qu une fois qu elle a accepté les preuves qui sont présentées devant elle, le certificat devient incassable. Le certificat ensuite vivra sa vie, il va être présenté pour des paiements, pour plusieurs transactions du commerce électronique, et il a force de sa valeur. Donc, c est au moment de l enregistrement que porte la plus haute responsabilité de l opérateur du service de certification. 139

140 C.K. : Est-ce que vous considérez que le métier de cryptologue, pas celui de certificateur, est un métier fermé, difficile d accès? Thierry Autret : Disons qu aujourd hui tous les métiers liés à la cryptographie commencent à être bien encadrés en termes de formation. Je dirais qu il y a une voie à trouver, c est-à-dire que soit les personnes qui font ce type d études vont s orienter vers la cryptographie pure, auquel cas ils vont travailler dans les universités, les laboratoires de cryptographie, dans les grandes sociétés et ils feront de la recherche sur les algorithmes (quelle est la sécurité des algorithmes, comment mettre des algorithmes très sophistiqués dans des petits environnements, comme les cartes à puce) il y a des grosses sociétés qui ont des cryptographes dans leurs études. Et puis il y a ceux qui vont faire de la cryptographie appliquée, comme moi ; on va considérer que les algorithmes sont bons, on ne les remettra pas en cause. On va regarder ce qui marche le mieux part rapport à un environnement donné d un besoin utilisateur. Ce besoin va s exprimer en termes de niveau de sécurité, de la force que l utilisateur veut mettre dans les outils qu il utilise, en termes d investissement financier et puis d une certaine protection, que l on appelle analyse des risques les outils très sophistiqués coûtent très cher par rapport aux risques que l on veut couvrir. Donc, notre rôle est d avertir nos clients sur la meilleure adéquation entre leurs besoins et les dispositifs à prendre. Je dirais qu il y a beaucoup de sociétés qui font du conseil dans le domaine de la cryptographie appliquée. Je ne pense pas que c est un métier réservé. C est un métier dans lequel il faut faire ses preuves par la conduite de projets. Il faut être à l écoute de ce qui se passe. Donc, je ne pense pas que c est un métier fermé mais il faut faire très attention parce qu il y a beaucoup de choses qui sont dans la presse, et on est en fait relativement peu reconnu sur ce domaine là. C est un métier qui est en train de s ouvrir et beaucoup pensent pouvoir le faire. C.K. : En plus, jusqu à récemment, la cryptologie était régie par le droit administratif spécial, le droit militaire, et qu on a l impression que c est encore très protégé par l Etat. Thierry Autret : Ce qui était protégé c était la fabrication et la commercialisation du dispositif. Le savoir lui était mathématique et donc connu des universitaires. Le savoir en matière de cryptographie n a jamais été limité. Ce qui été limité en France c était la commercialisation de ce dispositif vis à vis des non-militaires, qui restait régit par l Etat. Depuis le 13 janvier 1999, la loi a été considérablement allégée, à savoir que l utilisation de la cryptographie est libre ; en tout cas la nouvelle loi sur la société de l information dira que l utilisation de la cryptographie est libre. Ce qui reste régit par des règles étatiques strictes sont la fabrication, la commercialisation, l import et l export des moyens de cryptographie, qui est très allégée par rapport ce qui existait auparavant. C.K. : Si j ai bien compris, actuellement l utilisation de la cryptologie est libre jusqu à 128kbits. Thierry Autret : Selon la loi en vigueur, c est l utilisation des dispositifs de cryptographie jusqu à 128kbits qui est libre ; et dès avril prochain, normalement il n y aura plus de limitation. C.K. : Je lisais récemment un article sur le protocole PGP, que les Etats Unis l interdisent à l export et qu en France il est soumis à autorisation, parce qu il utilise des niveaux très hauts de chiffrement. Thierry Autret : Maintenant le PGP est autorisé en France ou, à priori sa version commerciale. Les lois américaines ont été libéralisées aussi. Je crois que maintenant plus personne ne s oppose à l utilisation de la cryptographie, parce que c est une guerre perdue ; avec Internet on peut s échanger des dispositifs et faire des systèmes très sophistiqués. Ce que l Etat cherche à faire c est simplement essayer de regarder ce qui est en diffusion en France pour l utilisation, et aux Etats Unis aussi. En fait, tout pays cherche à regarder comment se diffusent ce qu on appelle biens d usage il y a une loi sur les biens de l usage au niveau international et la cryptographie en fait partie. Mais je crois qu aujourd hui c est une guerre perdue de vouloir empêcher les gens de l utiliser. C.K. : Donc, une harmonisation de régimes serait souhaitable, pour le bien du commerce international. Thierry Autret : Oui, mais encore il faut différencier le niveau commercial de celui de l intelligence économique. C est pour cela que je disais que nous en tant que conseillers, nous allons commencer par évaluer quel est le niveau de risque que le client peut avoir, et ensuite essayer de trouver des moyens qui seront adaptés à ce niveau de risque. Par exemple pour tout ce qui est commerce, où en fait se sont des biens financiers qui transitent d un endroit à un autre, la notion de confidentialité n a pas un besoin très fort d être mise en œuvre. Peut être que c est important que l on sache que telle somme est partie de tel acteur - d un vendeur- mais à priori je pense qu il y a d autres moyens de contrôler, ne serait-ce que par la TVA. Je ne pense pas que ce soit un besoin de confidentialité. Par contre ce qui a besoin 140

141 d être confidentiel ce sont des informations qui en générale ont une durée de vie courte, mais qui contribuent à des choses ayant un impact sur des concurrents. Là effectivement, il faut employer la cryptographie pour protéger ce type d informations. Donc, le niveau de mise en œuvre de la cryptographie va être adaptée aux besoins. Aujourd hui la cryptographie est principalement utilisée pour faire de l authentification des personnes, plutôt que de faire de la confidentialité. Quand on regarde le commerce international, il n y a pas grand chose qui nécessite d être rendu confidentiel. Par contre ce qui doit être protégé c est les données bancaires, les données qui permettraient de commettre une fraude ; mais c est un autre problème. Actuellement la cryptographie est principalement utilisée pour faire de l authentification des personnes qui achètent et qui vendent. La confidentialité, mais si elle a été mise en avant pour parler du rôle de l Etat, c est quelque chose qui à mon avis est moins important que la problématique de l authentification. C.K. : En fait les Etats jusqu à maintenant, pour limiter l utilisation de la cryptographie, avançaient l argument de la lutte contre le blanchiment d argent, le trafic d armes, etc. Finalement allons-nous vers une création d un autre «organe de contrôle judiciaire»? Thierry Autret : C est à dire que ce n est pas parce que vous interdisez quelque chose que les «méchants» vont suivre votre interdiction. De toute façon cela ne sert à rien. Ce n est pas une finalité d empêcher les gens d agir, parce que de toute façon s ils veulent faire le mal, ils le feront. Il y en aura toujours des spécialistes qui travailleront pour des milieux mafieux, et qui trouveront la solution pour passer outre l interdiction. Donc, ce qu il faut regarder c est plutôt l application pour les gens qui veulent faire le bien, qui veulent faire développer le commerce, et de leur donner le droit de le faire. Partant de là, je crois qu aujourd hui les Etats qui veulent protéger leur ordre interne, ont les moyens de mettre en œuvre des algorithmes qui leur sont privés, qui sont privatifs. Pour tout ce qui est militaire, les Etats utilisent des algorithmes privatifs ; pour tout ce qui relève de la diplomatie, il y a de systèmes qui sont mis en œuvre qui ne sont pas dans les mains du commerce international. Le commerce international utilise des moyens qui font que casser ce type d algorithmes reviendrait plus cher que ce que cela protège. C.K. : Ce qu en tant que juriste, je comprends au nom de la souveraineté de l Etat mais qui ne correspond pas vraiment aux besoins du monde des affaires, c est qu on passe par des régimes différents entre Etats, par la libéralisation quasi-totale aux Etats-Unis la France pouvant être située au milieu à des régimes très protecteurs, comme par exemple le régime grec où la cryptologie est encore régie par le droit administratif spécial. D où ma question précédente sur la nécessité d une harmonisation des systèmes. Thierry Autret : Avec le principe de subsidiarité des Etats membres au sein de l Union Européenne, ces Etats ont le droit d édicter leurs propres règles. C est très difficile de dire ce qu il faut faire. En France on voit très bien que le gouvernement ait été obligé de «lâcher» parce qu il voyait que sa position de défendre l utilisation de la cryptographie c était se mettre en retard par rapport au reste du monde vis à vis de l utilisation de la cryptographie et du développement du commerce électronique. Or, le gouvernement de Lionel Jospin a voulu mettre un accélérateur sur l entrée de la France dans la société de l information. Donc, il a vu que garder ce rempart la limitation de la cryptographie empêchait la France de franchir ce pas. De là, je ne sais pas qu est-ce que va faire la Grèce. Aujourd hui, on peut considérer que c est un combat d arrière garde pour les raisons que je vous ai expliquées, c est-à-dire que l interdiction n empêche pas les contrevenants d utiliser les moyens trouvés sur Internet et de passer outre cette interdiction. A partir du moment où se sont des biens de l usage, on ne peut pas obliger les Etats à faire quelque chose. Le droit international ne peut pas s immiscer dans des choses qui relèvent du domaine interne. C.K. : Il y a une autre tendance que j ai constatée lors de mes recherches, qu il y a une telle multiplication des moyens de paiement qu on a l impression qu on n a plus besoin de la cryptographie pour sécuriser les paiements, parce qu on dispose par exemple de portefeuilles virtuels, de la monnaie virtuelle. Mais finalement, est-ce qu on peut affirmer qu il existe un moyen sécurisé en dehors du cadre de la cryptographie ou est-ce qu il s agit seulement d un argument pour «vendre le produit»? Thierry Autret : Il n y a pas de réponse unique, c est-à-dire qu il faut regarder chaque protocole qui est mis en œuvre. La plupart d entre eux font appel à un moment ou un autre à la cryptographie, c està-dire que presque tous les systèmes d authentification à l aide de la signature électronique qui utilise à plein la cryptographie. Pour le reste, les systèmes considèrent que, ou bien les données de 141

142 paiement sont préenregistrées sur une plate-forme de paiement, et donc les informations sur l outil de paiement n ont pas à circuler lors de la transaction par exemple le numéro de compte à débiter chez un serveur, et donc la transaction sur les réseaux bancaires traditionnels sera faite à partir du serveur ; ou bien on est dans un système complètement ouvert, où il faut que vous fassiez transiter votre numéro de carte bancaire sur le réseau, et là le problème apparaît. Dans ce cas on tombe dans un débat qui est complexe parce qu on est mal placé pour donner des conseils, sachant qu aujourd hui sur les réseaux traditionnels réseaux de type ouvert, par exemple le réseau téléphonique, les systèmes de retrait d argent ou de paiement chez un commerçant le numéro de carte bancaire figure au clair, et cela depuis 15 ans. On accuse Internet de créer de la fraude certes, parce que le moyen de l Internet et moins contrôler que les systèmes traditionnels mais il faut être conscient que jusqu à maintenant la seule donnée qui était chiffrée lorsqu on faisait du paiement était le code confidentiel, c est-à-dire les quatre chiffres que vous tapez. Tout le reste était en clair, y compris le numéro de la carte. Donc, il faut bien voir qu aujourd hui sur Internet on fait des systèmes qui, si on les crée bien, sont nettement plus sécurisés que les réseaux traditionnels. Sauf que, l Internet a la particularité que lorsque la transaction part, on ne maîtrise pas bien où elle circule jusqu au moment où elle arrive chez le destinataire. Donc, on ne sait pas si lors de cette circulation, quelqu un ne scannera la transaction. Si cela se passait ainsi avec les réseaux traditionnels, il y aurait des grosses fraudes. Or, aujourd hui cela se passe par des centres téléphoniques, comme France Telecom, et donc, à priori il y a moins de risque d interception du message. Ceci dit, à mon avis ce n est pas tellement plus sur. La cryptographie, sur des systèmes que l on dit non-surs comme Internet, est indispensable. On voit aujourd hui que le taux de fraude est en train de remonter ; les fraudes sur les numéros de cartes bancaires sont en train d augmenter parce qu il y a des gens qui arrivent à capturer les numéros de cartes bancaires lors des transactions par Internet. Le pire là dedans, justement dans le scénario que je vous disais tout à l heure c est-à-dire que vous déposez une fois pour toutes votre numéro de carte bancaire sur un serveur, c est lorsqu un intrus arrive à pénétrer le serveur où il trouvera un grand nombre de cartes valides. Donc, il y a un certain nombre de numéros de carte qui sont valides et il y a des gens qui essaient de faire des faux à partir de ceux-là. Sauf que les tranches ne sont pas toutes utilisées ; Donc, si vous mettez un numéro au hasard, il y a peu de chances que vous tombez sur un vrai numéro de carte bancaire. Donc, il y en a certains qui essaient de trouver de numéros de cartes bancaires qui existent bien, et ils prennent 50 au-dessus et 50 au-dessous ; dans ce cas, il y a des chances que parmi ces numéros il y en a certains qui sont vrais. Donc, la multiplication des moyens de paiement oblige les gens qui inventent ces systèmes de paiement de faire l analyse complète des risques qui sont générés par leur système. Et ce n est pas parce qu ils ont mis un super outil de cryptographie à un endroit donné que leur système est plus sur qu un autre. Il faut vraiment regarder l analyse des risques du début à la fin, pour voir quelles sont les problématiques de fraude - la cryptographie étant un outil possible, mais il y en a un tas d autres. La multiplication des protocoles de paiement sur Internet peut introduire effectivement des risques si cette analyse des risques n est pas faite correctement. D un autre côté il faut aussi voir qu il y a des systèmes hyper-sophistiqués qui sont proposés, comme le protocole SET de Visa MasterCard, qui est un protocole incassable au niveau de la sécurité. Il apporte la non-répudiation des paiements. Il est alors très bien fait, sauf qu il génère ce qu on appèle un raid de transactions par rapport à la donnée utile. La donnée utile c est le numéro de compte du vendeur et/ou de l acheteur, le montant de la transaction, la date et l heure. Donc, il y a très peu d informations utiles dans une transaction de paiement. Le protocole SET génère un raid d informations de sécurité, qui est énorme par rapport à l information utile, ce qui fait qu il y a au moins une trentaine d échanges entre les parties à la transaction. Aujourd hui ce protocole, qui au vu de la sécurité il est vraiment le meilleur, économiquement il n est pas eu le succès escompté. Donc, aujourd hui ce sont plutôt des systèmes de type SSL protocole qui n est pas fait pour faire du paiement à l origine, mais simplement pour établir une liaison sécurisée entre un client et le serveur et c est par ce système qu on fait transiter de manière sûre, donc chiffrée, les données dont les numéros de carte bancaire. Ce système est très simple d utilisation et c est sûrement ce que 80% des moyens de paiements mettent en œuvre pour sécuriser la transaction. C.K. : J avais assisté à la conférence d une banque, laquelle vantait un peu les mérites de son site Internet et de son système de paiements sécurisés. Selon l intervenant, la banque utilisait https et donc, son système de paiement était à 100% sûr. Cette certitude m a un peu choqué. Le discours d une 142

143 banque, même si elle essaie de rassurer ses clients, ne peut pas exclure toute possibilité, ou presque, de fraude. Thierry Autret : Vous avez raison, parce qu en fait c est clair qu un système de paiement n est pas totalement sûr dans le sens où déjà il y a la possibilité de répudier la transaction ; c est-à-dire que si je découvre votre numéro de carte bancaire, je peux me faire passer pour vous sans problème. Alors, ce qui sera sûr c est qu entre le moment où je donnerai votre numéro de carte et le moment où le vendeur le recevra, personne ne pourra le capturer. Mais j ai déjà commis une fraude parce que j ai utilisé votre numéro. Donc, on voit bien que le paiement n est pas à 100% sûr, d autant qu il n y a pas d engagement sur le paiement s il n y a pas d authentification de l utilisateur. Je ne connais pas le système proposé par cette banque, donc je ne peux pas donner mon avis. Dans un paiement de proximité avec votre carte, aujourd hui : 1) le support carte est utilisé - donc il y a la présence physique qui crée une sorte de signature électronique à l intérieur de la puce ; 2) vous tapez votre code confidentiel au moment où le paiement s effectue, ce qui crée la non répudiation du paiement. Vous ne pourrez pas dire que ce n est pas vous qui a procédé au paiement. En effet, dans votre contrat bancaire, vous signez que vous devez garder votre code, confidentiel et ne pas le donner à personne. Si le code est frappé, la transaction devient non répudiable. Dans les systèmes sur Internet, aujourd hui, cela n est pas possible sauf si vous utilisez votre carte bancaire avec un lecteur de la mouvance CyberComm, qui lui apporte cette non répudiation. Le lecteur CyberComm apporte la même garantie que les paiements de proximité, puisque vous utilisez votre carte bancaire et à travers de l Internet vous allez au moment du paiement faire agir le lecteur ; le code confidentiel ne passe jamais sur le PC, mais il reste dans le lecteur et en interaction avec la puce, comme dans un réseau de paiement traditionnel. Si cet orateur de la banque parlait de ce système là, dans ce cas je dis que le paiement est à 100% sûr. Mais le problème c est que le lecteur à un coût, et qu aujourd hui on est dans un positionnement où les banques constatent la fraude, mais tant que le montant de la fraude est inférieur au coût d investissement de ces lecteurs, elles préfèrent laisser continuer la fraude. L argument est tout simplement économique : si cela coûte moins cher de rembourser les clients que d investir des sommes qui peuvent paraître importantes, on préfère la première solution. Donc, on est dans un système où le choix n est pas très simple à faire. En 1992 lorsque les banques françaises ont décidé de lancer la carte à puce, elles ont fait un choix analogue : elles ont regardé les risques, le coût de la mise en place du système de carte à puce. Aujourd hui, on a la satisfaction d être le seul pays où il y a le moins de fraudes par carte bancaire. Aucun pays n a réussi de mettre en place un système aussi sophistiqué et permettant de baisser le taux de fraude, comme on l a fait en France. Mais, il faut bien dire que les décideurs de l époque, en 1992, ne savaient pas s ils ont fait le bon choix de lancer la carte à puce. Donc, maintenant ils ont le même dilemme : faut-il préconiser un système hyper-sûr mais cher, ou laisser faire la fraude? C.K. : Passons maintenant à l action d Ernst & Young dans ce domaine. Ernst & Young propose un service de tiers certificateur où il certifie même des sites. Thierry Autret : Il faudra revenir à la définition de «certification» qu on a donné au début de notre conversation. Jusqu à maintenant on a parler de certification de clés, donc de cryptographie. Maintenant on entre dans un autre domaine. Quand Ernst & Young parle de certification, il s agit avant tout de certification de comptes. Dans la mutation de son métier traditionnel d auditeur, Ernst & Young propose aujourd hui la certification de sites web ; en tant qu auditeurs nous attestons que les moyens mis en œuvre dans le site web correspondent aux déclaratifs que le client a fait. Par exemple, la majorité des sites web aujourd hui on ce que l on appelle privacy statement, déclaratif relatif à la vie privée ; nous regardons si l opérateur de ce site fait bien ce qu il avance s il a fait les déclarations au CNIL, s il donne le droit de rectification aux personnes enregistrées Notre travail consiste premièrement à regarder ce que les clients souhaitent déclarer. On établit avec eux la liste des déclarations qu il veut faire, en leur expliquant les déclarations obligatoires selon la loi ; puis on ajoutera d autres qui ne sont pas obligatoires. Donc, dans un premier temps on les aide à bâtir leurs déclaratifs et ensuite on va les guider vers les démarches à faire. En général, on fera un pré-audit, c est-à-dire on analysera leur système de manière relativement légère, dans un rôle de conseil : on va regarder leur système et on va leur dire s ils sont loin ou proche de ce qu ils veulent déclarer. Lorsqu ils pensent qu ils sont prêts, on revient dans le cadre traditionnel d auditeur ; autrement dit on fait un bilan pour voir s ils sont en conformité avec ce qu ils déclarent. Ainsi soit ils font des 143

144 améliorations dans leur système pour être en conformité avec ce qu ils ont déclaré, soit ils suppriment des déclaratifs parce que fonctionnellement ils ne peuvent pas se passer de telle ou telle fonction. Lorsque les deux [déclaratifs et pratique] correspondent bien, on écrit une lettre d attestation : «les auditeurs d Ernst & Young attestent qu à la date de tel site remplit ses obligations». C.K. : Donc, c est une action sur deux plans ; d une part, vous faites un audit par rapport au niveau de la sécurité pour mettre en place un système de sécurité adéquat selon les projets de l entreprise (au niveau de la cryptologie appliquée) et d autre part, un suivi du site. Thierry Autret : C est cela. Le produit que l on vend en certification de sites web c est le petit sigle. Effectivement, on peut faire du conseil préalablement ou postérieurement pour aider un site à se protéger, auquel cas c est plutôt de l étude e-risk solution où on va aider le client à bâtir un site sécurisé. Dans ce cas c est un autre produit d analyse et de conseil sur la sécurisation de leur système. Il y a un autre type de produit que l on a dans notre catalogue, qui est l évaluation du niveau de sécurité d un site. Dans ce cas le client nous demande de faire un test de pénétration ; c est une évaluation selon une convention établie avec le client, qui nous demande d essayer d entrer dans son site. Le client a sécurisé le site et il veut savoir si le site est bien sécurisé. Sur la base d une convention qui est établie, qui nous protège d être accusés de perturber son système, on ne travaille qui sur des sites de test (c est-à-dire qu on n attaquera pas son système opérationnel). Donc, en principe on ne travaille que sur un site représentatif de ce que le client fait et selon la convention, soit on attaque de l extérieur (en connaissant le minimum des choses) soit on fait des attaques à partir de son système interne pour voir s il est bien protégé y compris de l intérieur. C.K. : Est-ce que par rapport à l action Ernst & Young, vous voulez ajouter quelque chose? Thierry Autret : Nous avons un rôle qui est relativement important et qui commence à être reconnu au niveau des signatures électroniques, sachant que nous avons été consultés pour l élaboration de la réglementation dans ce domaine, qui a conduit à la directive européenne de 1999 et qui doit être transposée dans tous les Etats membres pour la mi-juillet. Depuis lors, il y a eu la modification du code civil le 13 mars 2000 sur la question de la preuve : lorsque la signature est électronique elle doit correspondre à la représentation de l identité de la personne et à son engagement à l acte signé, dans la mesure où elle a été réalisé avec des procédés fiables définis par décret. Le décret, qui est en cours de traitement et il devrait paraître sous peu, va établir les conditions dans lesquelles la signature électronique sera recevable au même titre que la signature manuscrite. Nous en tant qu experts du domaine, nous avons aidé le gouvernement dans sa réflexion sur ce sujet là. On a participer à des nombreux groupes de travail. Nous continuons à faire du conseil sur l utilisation de la signature électronique et sur les conditions de recevabilité. Dans le cadre d une autre activité qui est en voie de naître chez nous, c est un laboratoire d évaluation qui permettra d évaluer la sécurité de systèmes. Dans ce cadre là, nous allons postuler pour être un organisme de qualification. Le principe étant que pour être reconnu comme PSC (Prestataires de Services de Certification) dans un schéma national. Il faudra être qualifié par des laboratoires, organismes de qualification, qui vont auditer dans leur rôle traditionnel : COFRAC Certification de la qualité Organismes/Laboratoires de qualification PSC de clés publiques Ex. Cert plus Mais pour être organisme de qualification, il faut avoir reçu l agrément par le COFRAC (Comité Français d Accréditation). Ce comité va nous évaluer selon des normes de qualité (ex. voir si on a du personnel qualifié). Voilà un autre domaine dans lequel nous souhaitons agir. C.K. : Vu qu il y a une certaine internationalisation du secteur, arrivera-t-on à un système international? 144

145 Thierry Autret : On appelle un agrément mutuel, Mutual Recognition Agreement, un accord de reconnaissance mutuelle entre les différents acteurs européens, voire mondiaux. Il faut alors l espérer ; aujourd hui il y a des travaux qui vont dans ce sens. Il y a un organisme international, l EESSI (European Electronic Signature Standardization Initiative) qui est un groupe animé par le marché avant tout pour établir des normes qui correspondent aux agréments de ce que dit la loi ( l annexe 3 de la directive européenne détermine les exigence pour les dispositifs de sécurité). Si la directive détermine les règles de manière juridique et trop générale pour être souple aux évolutions technologiques, nous les techniciens on recherche par exemple ce que cela veut dire «dispositif fiable». Donc, il y a des normes qui sont en train de se définir aujourd hui pour savoir qu est-ce qu un dispositif fiable. Ces normes nous serviront de référentiel pour dire que si un opérateur est fiable. Effectivement, les normes qui sont en train d être déterminées par le EESSI devraient être reconnues par les différents organismes comme le COFRAC. Le COFRAC est l un des membres du European System of Accreditation qui établit les normes de reconnaissance entre les Etats membres. Le COFRAC agit dans tous les domaines de la vie économique. Il faut que les règles de reconnaissance doivent être admises par les différents pays membres. Il faut que le prestataire se fasse reconnaître dans les différents pays. C.K. : Je vous remercie pour toutes ces informations. 145

146 GLOSSAIRE A AES : Advanced Encryption Standard. Appelé également algorithme Rijndael. Standard de chiffrement approuvé par le National Institute of Standards. En principe, il est valable pendant vingt à trente ans. Algorithme de chiffrement : Ensemble de règles mathématiques utilisées pour le chiffrement et le déchiffrement. ANSI : Institut National des Standards Américains, qui développe des standards par l intermédiaire de comités de standardisation accrédités. Le comité X9 étudie les standards de sécurité concernant les services financiers. Archivage électronique : opération post-transactionnelle. L utilisateur qui veut conserver efficacement les éléments de la transaction (messages électroniques, signatures électroniques, clés de cryptage et certificats électroniques), réunit tous ces éléments et les expédie chez un tiers archiveur. Authentification : L authentification a un double objectif : d une part l identification des partenaires ainsi que l origine du message, et d autre part garantir l intégrité du contenu du message. En matière d échanges électroniques, nous distinguons trois types d authentification : le tiers certificateur, un formalisme d accusé de réception, la sécurisation par signature électronique. B Blowfish : Algorithme de chiffrement par blocs de 64 bits. Il est rapide, simple et compact. Il est suffisant pour les documents ayant une durée de vie très courte. Browser : Appelé aussi navigateur. Il s agit d un logiciel permettant de visualiser sur l écran de l ordinateur les documents en langage HTML. C Capstone : Puce cryptographique développée par la NSA. Elle met en œuvre un système de dépôt de clé du gouvernement des Etats Unis. Carte à puce : La puce est un circuit intégré, d une surface de 1 à 30 mm2 selon sa complexité, et réalisé en silicium. Deux types de plastique sont utilisés : le PVC non recyclable mais embossable et l ABS recyclable mains non embossable. La puce est logée sous un micro-module : 146

147 Le dessin du micro-module constitue un signe distinctif de chaque fabricant : Un certain nombre de normes ISO fixent les caractéristiques techniques des cartes à puce, notamment : ISO relative aux caractéristiques physiques des cartes ; ISO relative aux dimensions, fonctions et placements des contacts du micromodule ; ISO relative aux signaux électriques et protocoles de transmission utilisés dans les échanges entre la carte et le terminal ; ISO relative au jeu de commandes standardisées (pour l échange de données avec la carte) ; CAST : Algoritmhe de chiffrement par blocs de 64 bits. Développé par les canadiens, Carlisle Adams et Stafford Tavares. CDSA : Common Data Security Architecture. Développé par Intel Architecture Labs pour régler les problèmes de sécurité de données propres à Internet et Intranet. CERT : Computer Emergency Response Team. Il s agit d un bureau encourageant la prise de conseince en matière de sécurité. Il est situé au Software Engineering Institute au sein de l université de Carnegie Mello, à Pittsburg en Pennsylvanie. Certificat : Selon la définition ISO, le certificat est un objet informatique logique qui permet de lier de façon intangible une entité à certaines caractéristiques de celle-ci. On appelle certificat numérique le moyen utilisé pour crypter ou signer un message et donc certifier de façon formelle la provenance de celui-ci. C est un fichier de petite taille comportant le nom de l expéditeur, son adresse électronique et sa clé privée de cryptage. On distingue trois types de certificat : le certificat d attribut (ensemble composé de l identité d une entité) ; le certificat d identité (ensemble composé de l identité d une entité et d une clé publique asymétrique) ; le certificat de clé publique. Certificat d autorisation : document électronique qui prouve le droit d accès et les privilèges de son bénéficiaire. Certification croisée : deux ou plusieurs autorités de certification collaborent en vue d apporter l authentification des parties nécessaire dans le cadre de la même transaction. Certificat X.509 et norme X.500 : L UIT et ISO ont adopté deux recommandations : la X.500 et la X.509. La norme X.500 fournit des services d annuaires aux grands réseaux d ordinateurs. Ces annuaires comportent des éléments d identification des utilisateurs d ordinateurs. La recommandation X.509 fournit le cadre d infrastructure à clé publique pour authentifier les services X.500. Certification d attributs : ISO définit : 147

148 le certificat d attributs comme «un ensemble composé de l identité d une entité et d attributs (caractéristiques) de cette entité, rendus indissociables par la signature du certificat d attributs avec la clé privée de l autorité de certification qui émet le certificat d attributs». l autorité d attributs comme l «organisme ayant la confiance d une ou plusieurs autres entités pour créer, attribuer et révoquer ou suspendre des certificats d attributs. Une autorité de certification peut également être une autorité d attributs». Chiffrement : Selon ISO 8730 il s agit de la «transformation cryptographique des données en vue de produire un texte chiffré». CHIPS : Clearing House Interbank Payment System. Ce système a une longue histoire. En 1853, en plein crise monétaire, la New York Clearing House (NYCH) a été fondée, ayant comme fonction de stabiliser la monnaie américaine. Avant 1970, les règlements en dollars entre les banques américaines et les banques étrangères établies à New York se faisaient par chèques remis de main en main. En 1970, la NYCH a créé CHIPS afin de procéder aux règlements des transactions internationales en dollars par un système de compensation multilatéral classique. Actuellement, les opérations visées par CHIPS, sont : - les règlements commerciaux étrangers ou domestiques en dollars ; - les prêts internationaux ; - les ventes et achats de devises ; - les placements en eurodollars ; - les ventes de titres à court terme ; - les mouvements de fonds et la concentration de trésorerie ; - le règlement d euroémissions. Confidentialité : elle est obtenue lorsque le message est compréhensible uniquement par son destinataire et autres personnes autorisées. Donnée confidentielle : la norme ISO , la définit comme «la propriété d une information qui n est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés». Cryptage : L art.28 de la loi du 29 décembre 1990 le définit comme le «procédé visant à transformer, à l aide de conventions secrètes, des informations ou des signaux clairs en informations ou signaux inintelligibles pour des tiers. Le procédé peut également permettre de réaliser l opération inverse, grâce à des matériels ou logiciels conçus à cet effet». Cryptographie : (angl. : Cryptography) Science ayant pour objet l étude des différentes méthodes de chiffrement. Le cryptage permet de brouiller un message afin de le rendre illisible par la personne ne possédant pas la clé lui permettant de décrypter ce message. Nous distinguons deux types de cryptage : Le cryptage à clé publique : système de cryptage asymétrique ou RSA. Deux clés sont nécessaires : une clé privée et une clé publique. Le cryptage à clé privée : aussi appelé cryptage symétrique (ex. le Data Encryption Standard DES). Seule la personne possédant une clé dite privée, car unique, peut décoder le message. Ainsi, il est nécessaire de disposer d autant de clés que d interlocuteurs. L art. 28 de la loi du 29 décembre 1990, définit la cryptologie comme : «...toutes prestations visant à transformer à l aide de conventions secrètes des informations ou des signaux clairs en 148

149 informations ou signaux inintelligibles pour des tiers, ou à réaliser l opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet». Cryptage ou chiffrement : (angl. : encryption ou encipherment) action de rendre un document illisible. Cryptogramme : message crypté ou chiffré. Cryptanalyse : (angl. : cryptanalysis) science du décryptement ou décryptage. On distingue le décryptement du déchiffrage par les méthodes différentes qu ils utilisent. Cryptologie : science étudiant la cryptographie et la cryptanalyse. Cryptologue : spécialiste en cryptologie. En France, il y en a une quarantaine de cryptologues. Cryptosystème : système composé d algorithmes cryptographiques, de tous les textes clairs possibles, de tous les textes chiffrés et de toutes les clés. Communication à distance : L arrêté du 3 déc. 1987, incorporé dans le code de la consommation, définit la technique de la communication à distance comme «toute technique permettant au consommateur, hors des lieux habituels de réception de la clientèle, de commander un produit ou de demander la réalisation d un service». C-SET : Chip Secure Electronic Transaction. Standard développé par le Groupement des Cartes Bancaires, permettant l utilisation du microcircuit (puce) des cartes bancaires et le contrôle du code secret lors d un paiement à distance. Il repose sur la réception croisée de preuves d identités électroniques délivrées par un tiers de confiance : les banques. D DES: Data Encryption Standard. Chiffrage par blocs de 64 bits. Algorithme symétrique appelé aussi DEA (algorithme de chiffrement de données) par l ANSI et DEA-1 par l ISO. Donnée : «Fait, concept ou instruction représenté sous une forme conventionnelle et adapté à une communication, à une interprétation ou à un traitement par l homme ou par des moyens automatiques» (ISO ). Données sensibles : selon l art.2b) loi grecque n 2472/1997 relative à la protection de la personne à l égard du traitement des données à caractère personnel, il s agit des «données qui concernent l origine raciale ou nationale, les convictions religieuses ou philosophiques, l appartenance à une union, une association ou à une organisation syndicale, la santé, la providence sociale et la vie sexuelle ainsi que les données relatives à des poursuites pénales ou des condamnations». Sujet des données ou personne concernée : selon l art.2c) loi grecque n 2472/1997 relative à la protection de la personne à l égard du traitement des données à caractère personnel, il s agit de la «personne physique à laquelle se réfèrent les données, qui est identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d identification ou à un ou plusieurs éléments spécifiques à son identité physique, physiologique, psychique, économique, culturelle, civile et sociale». Traitement de données à caractère personnel : selon l art.2d) loi grecque n 2472/1997 relative à la protection de la personne à l égard du traitement des données à caractère personnel, il s agit de «toute opération ou série d opérations, effectuées par l Etat ou par une personne morale de droit public ou de droit privé ou par une union de personnes ou une personne physique, avec ou sans l aide de procédés automatisés, et appliquées à des données à caractère personnel, telle que la collecte, l enregistrement, l organisation, la conservation ou stockage, la modification, l extraction, l utilisation, 149

150 la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, l interconnexion, le verrouillage, l effacement, la destruction». DSA : Digital Signature Algorythm. Algorithme de signature à clé publique proposé par le NIST. DSS : Standard proposé par le NIST pour les signatures numériques utilisant DSA. E EDI: Echange de données informatisées (Electronic Data Interchange). Il est défini par les Nations Unies comme «la transmission d ordinateur à ordinateur de données commerciales selon un mode de présentation informatisé». L EDI financier est l échange de données entre les banques et les entreprises dans le cadre de paiements. Edifact : Electronic Data Interchange for Administration, Commerce and Transport. Il s agit des règles, normes et recommandations des Nations Unies concernant l EDI pour l échange électronique de messages. Ce langage s est développé dans le cadre de la Commission économique pour l Europe des Nations Unies. Edifrance : Association loi 1901, représentant les intérêts français au sein du conseil de l Edifact pour l Europe de l Ouest. Elle est chargée : De coordonner les actions des différentes communautés professionnelles nationales en vue de faciliter le passage à l EDI des entreprises françaises ; De concevoir et diffuser les outils Edifact ; D animer et de coordonner la promotion de l EDI afin de rentabiliser l investissement des entreprises. Empreinte numérique: Identificateur de clé unique obtenu analysant certaines portions des données de la clé. Etebac : Echanges télématiques entre les banques et leurs clients. Il s agit d un ensemble de protocoles de communication mis au point par le Comité français d organisation et de normalisation bancaire (CFONB) pour le transfert électronique des données bancaires et financières. H Horodotation : Munir les messages électroniques d une date et d une heure qui soit sûre et incontestable. HTML : Hyper Text Markup Language. I ICP: infrastructure à clé publique (ou PKI, public key infrastructure). Le service de sécurité des télécommunications du gouvernement fédéral du Québec la définit comme «un système de gestion de clés de chiffrement et de délivrance de certificats qui permet les transactions financières électroniques et l échange d information de nature délicate entre deux étrangers et 150

151 ce, en toute sécurité». Elle offre de services de protection de la vie privée, de contrôle d accès, d intégrité, d authentification et de non répudiation. Infrastructure de gestion de clé (KMI) : services fournissant la génération, la diffusion, la production, le contrôle et la dimension financière des certificats de clé publique et des clés de cryptographie symétrique. Infrastructure de gestion de la sécurité (SMI) : aux services d une KMI, nous ajoutons des services supplémentaires relatifs au téléchargement de logiciel, d audit, de détection d intrusion et de gestion de mot de passe. Intégrité des données : Méthode assurant que l information n a pas été altérée par ces moyens inconnus ou non autorisés. ISO 8730 la définit comme la «capacité qu ont des données de ne pas pouvoir être altérées ou détruites d une manière frauduleuse». Interchange : «Communication électronique d un partenaire à un autre ou plusieurs autres consistant en une combinaison structurée de messages et de segments de service commençant par un en-tête de contrôle d échange et se terminant par une fin de contrôle d échange» (ISO 9735). En d autres termes, il s agit d un ensemble de transactions effectué en EDI entre deux ou plusieurs partenaires. Ces échanges sont formalisés par l établissement d une convention entre eux, appelé accord d interchange. J Java : Il s agit de la plate-forme de logiciel développée par Sun Microsystems en Elle a pour but de faire fonctionner des «appliquettes» sécurisées interactives, par l intermédiaire des protocoles standards de l Internet (TCP/IP). Une «appliquette» (ou applet en anglais) est un objet logiciel écrit en langage Java. L Liste de révocation de certificat: Liste de certificats ayant été émis mais qui ont été par la suite, révoqués. M Message : selon ISO , «un message est constitué d une série de caractères ordonnés destinés à véhiculer l information». En matière d EDI, le terme de «message» est utilisé pour décrire la façon dont des données sont structurées afin que leur traitement et transmission par des moyens électroniques puissent d effectuer dans des conditions normalisées. Monnaie numérique: monnaie constituée de pièces virtuelles, dont la composition est sécurisée. Ces pièces sont obligatoirement validées par une banque et ne servent qu une seule fois. Elles peuvent être stockées sur le disque dur de l utilisateur ou sur une carte à puce. N Nom de domaine : Domain Name System (DNS) ou «système des domaines». L adresse de domiciliation (URL) est décomposée par des points, indiquant la localisation géographique 151

152 (ex. «fr») ou virtuelle (ex. «net»). Par exemple, par l adresse «univ-lyon3.fr» nous savons que l Université Jean Moulin Lyon 3 est localisée en France. D autre part, l adresse «un.org» indique qu il s agit d une organisation internationale (les Nations Unies dans cet exemple). Non-répudiation : il s agit de la garantie qu une personne ne niera pas avoir émis ou reçu un message. Notarisation : le tiers de notarisation (notary authority) vérifie l exactitude des données qui lui sont soumises et il crée un certificat de notarisation (token). Cette technique assure aux parties l exactitude des transactions émises et reçues et confère à celles-ci une force probante. O Organisme de facilitation du commerce : Organisme national chargé de faciliter le commerce, de contribuer aux travaux du WP4 CEE/ONU et de diffuser des informations sur les progrès réalisés en la matière. Organisme national de normalisation : organisme qui est chargé d élaborer des normes au niveau national et de contribuer aux activités internationales de normalisation par l intermédiaire de l ISO. P Politique de certificat (PC) : (en anglais certificate policies) Les politiques de certificat sont définies par le protocole X.509 comme «un ensemble dénommé de règles qui indique l applicabilité d un certificat à une communauté particulière et/ou à une classe d application avec des exigences de sécurité». Porte-monnaie numérique : Système de pré-paiement électronique. La monnaie électronique est stockée sur un supporte physique (carte avec microprocesseur). Il s agit d un porte-monnaie électronique. Le but est d effectuer des transactions de petits montants, qui seraient trop onéreuses par une transaction de type bancaire. Porte-monnaie virtuel : Instrument dématérialisé, ce qui le distingue du porte-monnaie numérique. Il s agit d une réserve d argent d un montant limité à disposition du client pour régler ses dépenses. Cette réserve est gérée par un serveur auquel clients et commerçants ont accès. Protocole d échange de données commerciales : il s agit d une méthode agréée de messages de données commerciales, fondée sur les normes internationales régissant la présentation et la structuration des transferts de données commerciales par télétransmission (voir M. Langlois, S. Gasch, «Le commerce électronique B to B», Internet professionnel, Dunod 1999, p.268). Protocole d échange de clé d authentification : Transport de clé basé sur un chiffrement symétrique, ce qui permet aux parties d échanger une clé privée partagée. Protocoles IP et TCP : Le protocole IP (Internet Protocol) joue le rôle d une enveloppe en fournissant aux routeurs les informations sur l adresse du destinataire. Le TCP (Transmission 152

153 Control Protocol) est un protocole supplémentaire qui s ajoute au protocole IP, et qui divise les informations à transmettre en paquets et les glisse de manière numérotée dans une enveloppe IP. R Répudiation : Répudiation de bonne foi : hypothèse d une commande passée avec une carte de crédit subtilisée à l insu de son titulaire. Celui-ci dispose d un délai de 120 jours (délai dans le cadre de la vente par correspondance) pour s apercevoir de la manipulation frauduleuse et faire opposition à celle-ci. Le compte du commerçant, d abord crédité du montant de l achat, se trouve de ce fait débité du même montant. Répudiation de mauvaise foi : le titulaire de la carte de crédit conteste les achats qu il a pourtant effectués. Même en présence de bons de livraison prouvant la bonne foi du commerçant, la banque donne automatiquement raison à l acheteur et débite le compte du commerçant de la somme correspondante. Réseau de télécommunications : selon l art.2 de la loi du 29 déc. 1990, il s agit de «toute installation ou tout ensemble d installations assurant la transmission, soit la transmission et l acheminement de signaux de télécommunication, ainsi que l échange des informations de commande et de gestion qui y est associé, entre les points de terminaison de ce réseau». Réseau de télécommunications : Ensemble de circuits de données et de moyens de commutation permettant d interconnecter des terminaux ou des systèmes informatiques (voir M. Langlois, S. Gasch, «Le commerce électronique B to B», Internet professionnel, Dunod 1999, p.269). Routeurs : Ordinateurs servant à interconnecter différents réseaux entre-eux. S Sécurité : la sécurité en matière de transactions par Internet comprend l identification des parties, l authentification du message, la vérification de l intégrité de celui-ci ainsi la sa nonrépudiation par le moyen de la signature électronique ou de tout autre procédure. SET : Norme internationale destinée à garantir un niveau de sécurité minimal et une compatibilité des systèmes de paiement. Déterminée par Visa, Mastercard, Microsoft, Netscape et IBM. Elle fixe le cahier des charges des systèmes de paiement en vue de proposer des conditions de sécurité considérées comme satisfaisantes. Signature électronique : Il s agit d une signature au sens traditionnel du terme, qui remplit les fonctions d identification de son auteur. Elle fonctionne sur la base d un algorithme de cryptage et d une clé de chiffrement. Elle présente l avantage de pouvoir identifier l émetteur et le récepteur ainsi que de permettre l authentification du message sans pour autant de crypter. Selon la norme ISO de 1989, il s agit de «données ajoutées à une unité de données, ou transformation cryptographique d une unité de données, permettant à un destinataire de prouver la source et l intégrité de l unité de donnée et protégeant contre la contrefaçon». La directive 1999/ /CE relative à la signature électronique, définit celle-ci comme «une donnée sous forme électronique, qui est jointe ou liée logiquement à d autres données 153

154 électroniques et qui sert de méthode d authentification Signature avancée [est] une signature électronique qui satisfait aux exigences suivantes : a) être liée uniquement au signataire ; b) permettre d identifier le signataire ; c) être créée par des moyens que le signataire puisse passer sous son contrôle exclusif ; et d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectée». Spoofing : Vol par usurpation d identité utilisateur sur la messagerie. SWIFT : La Society for Worldwide Interbank Financial Telecommunications est un réseau international de transfert électronique de fonds. Réseau strictement fermé et privé d applications bancaires de l informatique. T TEDIC : Trade EDI Certification. Projet conçu et développé par un consortium d industriels (Alcatel, Sema Group et SITA) et de juristes. Il a bénéficié du soutien de l UE dans le cadre du programme TEDIS II. Par les recommandations du WP4 (Working Party 4), son développement commercial a été lancé. Son objectif est de sécuriser les échanges électroniques, en mettant en œuvre des mécanismes de certification. TEDIS : Programme mis en œuvre par la décision n 87/499/CEE du Conseil des Communautés européennes du 5 octobre Il s est achevé en Il avait pour objectif d assurer de façon optimale la mise en place des systèmes EDI dans le cadre des Communautés européennes. Huit actions ont été engagées, dont l analyse juridique des supports et des moyens de conservation, des signatures électroniques et la formulation de propositions pour adapter et harmoniser les législations européennes en vue d utiliser l EDI. TEDIS II est un sous-programme du programme Trans European Networks (TEN). Il a comme objectif de coordonner le développement des systèmes EDI dans le cadre du commerce, de l industrie et de l administration. Il a été prévu pour une durée de trois ans : de 1991 à Tiers certificateur : Organisme chargé d intervenir dans les échanges afin de certifier la date et la bonne réception du message. Il est nommé par les parties. Sa fonction est double : il est à la fois le dépositaire des clés de cryptologie et le certificateur des transactions électroniques. Le standard X.509 définit les éléments que le certificat doit contenir (voir certificat X.509). Dans le cadre d un EDI, il est conventionnellement désignée par les parties dans le cadre d un accord interchange. Tiers de confiance : Organisme agréé chargé de gérer les clés de chiffrement des procédés de cryptologie. En France, cet organisme doit être agréé par le Premier Ministre et il est astreint au secret professionnel. En effet, il ne peut communiquer les clés de chiffrement qu aux autorités publiques dans le cadre d une enquête légale et dans les conditions prévues par la loi. Tiers de séquestre : Il conserve la clé privée à l occasion du chiffrement pour garantir la confidentialité. Appelé également organisme agréé. 154

155 Traçabilité : selon ISO 8402, il s agit de l «aptitude à retrouver l historique, l utilisation ou la localisation d un article ou d une activité, ou d articles ou d activités semblables au moyen d une identification enregistrée». En d autres termes, c est le suivi d une entité depuis la naissance de ses éléments constitutifs, jusqu à la fin de son utilisation. U URL : Uniform Resource Locator. Adresse électronique permettant d accéder à un site Internet. Elle est décomposée d une manière précise. Exemple : - http : c est le protocole utilisé ; - www : cette partie est employée par convention pour indiquer qu il s agit d un World Wide Web ; - univ-lyon3 : indique le serveur ; - fr : nom de domaine. V Virement : Plusieurs textes ont retenu des définitions plus ou moins précises : Loi-type CNUDCI : selon l article 2, a) de la loi-type CNUDCI, le virement est identifié au «transfert de fonds» : le transfert de fonds «désigne la série d opérations, commençant par l ordre de paiement du donneur d ordre, effectuées dans le but de mettre des fonds à la disposition d un bénéficiaire». Le virement «englobe tout ordre de paiement émise par la banque du donneur d ordre ou par toute banque intermédiaire ayant pour objet de donner suite à l ordre de paiement du donneur d ordre». En plus, l article 2,h) énonce que les termes «fonds» et «somme d argent» englobent «le crédit inscrit sur un compte tenu par une banque et le crédit libellé dans une unité de compte établie par une institution intergouvernementale ou par convention entre deux Etats ou plus». ISO 7982 : «le terme virement désigne le mouvement complet des fonds allant du donneur d ordre au bénéficiaire». Recommandation de la Commission CE du 14 février 1990, concernant la transparence des conditions de banque applicables aux transactions financières transfrontalières : «par virement, on désigne le mouvement complet des fonds libellés en écus ou dans une devise ayant cours légal dans un des Etats membres, allant d un donneur d ordre à un bénéficiaire, titulaire ou non d un compte tenu par un établissement situé dans un autre Etat membre». 155