Module 312 Sécurité des systèmes d'information Aspects juridiques Aspects juridiques de l'encryptage Aspects juridiques liés à l'authentification Les transactions électroniques Fiscalité et douanes Protection des usagers Bibliographie Téléchargement du chapitre Gérard-Michel Cochard cochard@u-picardie.fr
Aspects juridiques Aspects juridiques de l'encryptage La réglementation dépend des états. USA Algorithmes de cryptage : arme de 1ère catégorie : exportation interdite des systèmes à clés de plus de 40 bits ; exemple : problèmes de Philip Zimmermann avec PGP (clé de 128 bits ; accès libre sur Internet) Cependant licences d'exportation accordées aux produits de grande diffusion aux clés de 56 bits sous certaines conditions Adoucissement de la réglementation depuis 1998 Pas de restriction sur l'importation. Union européenne Communication du 8 octobre 1997 : "Assurer la sécurité et la confiance dans la communication électronique". Action 1 : libre circulation des produits de cryptographie Mais soumission à contrôle cependant (Europe vers reste du monde et espace européen) Action 2 : directive sur la signature électronique Objet : harmonisation des procédures entre les pays de l'ue. En particulier : directive du 23/10/98 : la signature électronique a valeur de preuve. France Chiffrement : arme de guerre ("liste des matériels de guerres, armes et munitions") Régime en 1998:
Mars 1999 : réforme Liberté totale d'utilisation pour des clés de longueur inférieure à 128 bits Maintien du contrôle à l'exportation pour des clés de longueur supérieure à 56/64 bits Reconnaissance de la valeur probante de la signature électronique Suppression du caractère obligatoire des "tierces parties de confiance" Une tierce partie de confiance est un organisme possédant la confiance de l'utilisateur et qui effectue pour son compte des opération de gestion des clés : Tiers de séquestre : gestion des clés servant à la confidentialité ; agréé par le 1er ministre Autorité de certification : application liées à la signature. Aspects juridiques liés à l'authentification Tiers certificateur (notaire électronique) : Organisme certifiant la date et la bonne réception d'un message Nommé par les parties Accusé de réception Nécessite un témoin : le tiers certificateur
Signature électronique Législation variable d'un pays à l'autre Les transactions électroniques Le contrat "électronique" est un contrat négocié à distance via un réseau de télécommunication. Admis en droit français si Consentement réel et licite Capacité de contracter Objet et cause licites Modèles de contrats : CCI de Paris, cabinet Bensoussan. Directive européenne sur la protection des clients Fiscalité et douanes a) Commande d'une prestation de service Téléchargement de logiciel, de pages, commande d'un voyage, - Site vendeur dans l'ue : TVA de l'etat de vente payée par l'acheteur TVA déclarée par le vendeur dans l'etat du vendeur au dessous d'un seuil (100 000 Euros en France) - Site vendeur hors UE : service fourni hors taxe b) Commandes de biens matériels - Site vendeur dans l'ue : TVA de l'etat de vente payée par l'acheteur - Site vendeur hors UE : l'acheteur achète hors taxe, mais doit payer la taxe française à l'arrivée des biens en France.
c) Douanes Au sein de l'ue : pas de droits de douane Biens provenant de l'extérieur de l'ue : droits de douane en principe, Mais pour les biens immatériels, numériques, téléchargeables, exonération provisoire (Organisation Mondiale du Commerce Mai 1998). Etude d'un système adapté Protection des usagers En matière de contrats à distance Directive européenne de mai 1997 : Indication du prix Conditions de vente, droit de résiliation, délai de rétraction (3 mois) Réalisation de la vente en moins de 30 jours Protection des données à caractère personnel Directive européenne d'octobre 1995 -> modification de la loi "Informatique et Libertés" : renforcement des pouvoirs de la CNIL Gestion d'une base de profils, utilisation de cookies associés à un nom : déclaration obligatoire Obligation d'information : pour tout questionnaire, le caractère obligatoire ou facultatif des réponses doit être indiqué le destinataire des informations doit être identifié chacun doit avoir accès à ses propres informations Bibliographie A. Tanenbaum : Systèmes d exploitation (InterEditions) A. Tanenbaum : Réseaux (InterEditions) S. Ghernaouti-Helie : Sécurité Internet (Dunod) W. Stallings : Data and Computer Communications (Prentice Hall)
Maekawa, Oldehoeft & Oldehoeft : Operating Systems (Benjamin) Réseaux et protection numérique des documents multimédias (études INA) Réseaux et commerce électronique (études INA) J.P. Lovinfosse : Le piratage informatique (Marabout) N.J.Yeager, R.E.McGrath : Technologie des serveurs Web (Thomson Pub.) S.M.Bellowin, W.R.Cheswick : Firewalls et sécurité Internet (Addison Wesley) A.Fenyö, F.Le Guern, S. Tardieu : Raccorder son réseau d'entreprise à l'internet (Eyrolles) Commission Nationale de l'informatique et des Libertés : http://www.cnil.fr