Preuve et systèmes d information Eric A. Caprioli Avocat à la Cour de Paris Docteur en droit Expert aux Nations-Unies contact@caprioli-avocats.com
Présentation du cabinet Le cabinet Caprioli & Associés est une société d avocats en droit des affaires. Il est spécialisé dans : les technologies de l information, l informatique et les communications électroniques La sécurité des systèmes d information (preuve, authentification, signature, horodatage, archivage les propriétés intellectuelles (droit d auteur, marques, dessins, brevets, logiciels, bases de données, ) Adresses : 6 rue Saulnier, 75009 Paris 9, avenue Henri Matisse, 06200 Nice Site Web : www.caprioli-avocats.com Mél : contact@caprioli-avocats.com 29 Janvier 2008 FedISA 2
Introduction
La preuve, élément fondamental du droit «Idem est non esse et non probari» N avoir point de droit ou en ayant un, ne pas pouvoir en établir l existence, c est tout un. ~~~~ «Non jus deficit sed probatio» Ce n est pas le droit qui est défaillant mais la preuve. ~~~~ La preuve est au droit ce que l ombre est à l homme 29 Janvier 2008 FedISA 4
La preuve constitue la «démonstration de l existence d un fait ou d un acte (contrat, testament) dans les formes admises par la loi.» De cette définition découle deux type de preuves : La preuve libre : il s agit de la preuve du fait juridique. Elle peut être apportée par tous moyens ; Mais aussi la preuve entre commerçants, en droit administratif et en droit pénal. La preuve littérale: écrite, elle est liée à l acte juridique ; Principe : les contrats sont consensuels (sans forme particulière) Trois exceptions particulières à la nécessité de la preuve par écrit (cas par défaut) : Les modes de preuve Le commencement par écrit rend recevable d autres commencements de preuve ou des présomptions ; L impossibilité matérielle ou morale de se procurer un écrit (application en matière de la preuve des ordres de bourse passés par téléphone) ; La copie «fidèle et durable» (cas de l archivage par destruction des originaux : micro-films, 29 Janvier 2008 FedISA 5
Les régimes de preuve Il existe des régimes de preuve des actes juridiques différents selon les situations : Droit Droit civil Commercial Contrat de vente «Convention -Droit Par défaut < 1.500euros sur la preuve» Administratif Hiérarchie probatoire Preuve libre Les Parties au contrat Preuve libre (donc écrit nonsigné ou «mal- fixent elles-mêmes, grâce entre àun contrat antérieur, commerçants Acte authentique signé» suffisant) une hiérarchie (tout moyen de (officier ministériel) probatoire différente ou preuve est Ecrit (acte sous seing prévoient l acceptation recevable) / privé) d autres moyens de convention sur la Aveu (du défendeur) Serment (du demandeur) preuve preuve possible - Présomptions (Commencements Sauf exceptions, de preuve par écrit, ) en droit Témoignages (de tiers) administratif, la preuve est libre et la force probante dépend de l intime conviction du juge 29 Janvier 2008 FedISA 6
Il existe des situations où l écrit n est plus seulement nécessaire à la preuve de l acte mais également à sa validité : par volonté de protection du consommateur Ex : indication du TEG de façon «manuscrite», cautionnement de crédit mobilier et immobilier à la consommation, l Offre préalable de crédit (OPC) et la rétractation du fait de l importance des droits cédés ou concédés nécessitant un formalisme particulier (apposition d une mention particulière ) Ex : droit d auteur, contrat de société (statuts), nantissement commercial, instruments cambiaires (lettre de change, chèque ) 29 Janvier 2008 FedISA 7
La dématérialisation de la preuve
Le cadre législatif 1/2 Le développement des échanges par voie électronique nécessite certaines évolutions des pratiques classiques dans le domaine probatoire. Loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique ; Décret du 30 mars 2001 pris pour l application de l article 1316-4 du Code civil ; Décret du 18 avril 2002 relatif à la certification des produits de sécurité; Arrêté du 26 juillet 2004 portant schéma de qualification des P.S.C.E.; Loi du 21 juin 2004 pour la confiance dans l économie numérique (art. 1108-1 et 1108-2 c. civ.) ; 29 Janvier 2008 FedISA 9
Le cadre législatif 2/2 Décret du 16 février 2005 pris en application de l article L. 134-2 du Code consom. (archivage > ou = 120 ) ; Ordonnance du 6 juin 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs ; Ordonnance du 16 juin 2005 prise en application de l article 26 de la LCEN ; Décrets du 10 août 2005 introduisant les actes authentiques électroniques pour les actes notariés et les actes d huissier ; Décret du 25 novembre 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs ; Décret relatif à la fiabilité du procédé de datation électronique (pour les lettres simples et recommandées électroniques) attendu pour 2008 (?). 29 Janvier 2008 FedISA 10
L écrit à valeur probante Article 1316-1 c. civ. : «L écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu il soit établi et conservé dans des conditions de nature à en garantir l intégrité.» Pluralité d originaux (article 1325 al. 5 c. civ.) (innovation de l ordonnance du 16 juin 2005) : «L exigence d une pluralité d orignaux est réputée satisfaite pour les contrats sous forme électronique lorsque l acte est établi et conservé conformément aux articles 1316-1 et 1316-4 et que le procédé permet à chaque partie de disposer d un exemplaire ou d y avoir accès.» 29 Janvier 2008 FedISA 11
L écrit ad validitatem Exigence de l écrit requis à des fins de validité (ad validitatem) Art. 1108-1 c.civ. : «Lorsqu un écrit est exigé pour la validité d un acte juridique, il peut être établi et conservé sous forme électronique dans les conditions prévues aux articles 1316-1 et 1316-4 et, lorsqu un acte authentique est requis, au second alinéa de l article 1317.» =>Nécessité d un écrit pour la validité d un acte (contrat de crédit à la consommation par ex.) Actes exclus de la dématérialisation (Art. 1108-2 c. civ.) Certains actes ne peuvent être dématérialisés (ex : cautionnement personnel mais les cautionnements commerciaux peuvent l être, sûretés personnelles et réelles). 29 Janvier 2008 FedISA 12
L original électronique L original électronique (art. 1325 al. 5 c. civ.) Reconnaissance de l original électronique lorsque l acte est établi et conservé conformément aux articles 1316-1 et 1316-4 c. civ. et que le procédé permet à chaque partie de disposer d un exemplaire ou d y avoir accès. 29 Janvier 2008 FedISA 13
L importance de la signature électronique Principe: Tous les types techniques de signatures électroniques répondant a priori ou a posteriori aux exigences de l article 1316-4 C. civ. sont valables Définition fonctionnelle de toutes les signatures (art. 1316-4 al. 1) : Identification de l auteur Manifestation du consentement à l acte Confère l authenticité à l acte quand elle est apposée par un officier public 29 Janvier 2008 FedISA 14
La signature électronique simple Article 1-1 du décret du 30 mars 2001 : «une donnée qui résulte de l'usage d'un procédé répondant aux conditions définies à la première phrase du second alinéa de l'article 1316-4 du code civil» Procédé fiable d identification qui garantit le lien avec l acte auquel elle s attache 29 Janvier 2008 FedISA 15
Identification/authentification Identifier quelqu un consiste à établir l identité de la personne / Authentifier revient à certifier l exactitude de son identité (Art. 4.e du Règlement CE n 460/2004 du Parlement européen et du conseil du 10 mars 2004 instituant l'agence européenne chargée de la sécurité des réseaux et de l'information définit l authentification comme «la confirmation de l'identité prétendue d'entités ou d'utilisateurs»). Intérêt de la distinction : contrôle d accès (authentification de la personne après avoir vérifier la source de la requête) Principe : identifier une personne souhaitant accéder à un SI grâce à un système d identifiant (login) assorti d un mot de passe. Mais risque d identification (compromission, vol des identifiants).solution : recours à un système d «authentification forte» consistant à vérifier avec quasi certitude que la personne qui s identifie est bien celle qu elle prétend être (ex : certificat électronique). Usage impropre du terme «authentification» (matière informatique ou anglais (authentication) => «identification») 29 Janvier 2008 FedISA 16
Signature électronique sécurisée (SES) 1/3 La SES est une signature électronique qui doit satisfaire en outre aux exigences suivantes (art. 1-2 décret du 30 mars 2001) : Sécurité - identification personnelle, «être créée par des moyens que le signataire puisse garder sous son contrôle exclusif» Intégrité, «garantir avec l acte auquel elle s attache un lien tel que toute modification ultérieure de l acte soit détectable» Unicité et identification, «être propre au signataire» 29 Janvier 2008 FedISA 17
Signature électronique sécurisée 2/3 La SES se compose : D un outil de création de signature certifié par la DCSSI (Décret du 18 avril 2002) D une vérification à l aide d un certificat électronique qualifié (décret du 30 mars 2001 et arrêté du 26 juillet 2004) 29 Janvier 2008 FedISA 18
Signature électronique sécurisée 3/3 L utilisation de la SES permet de bénéficier d une présomption de fiabilité. Art. 2 décret du 30 mars 2001 : «La fiabilité d un procédé de signature électronique est présumée jusqu à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l utilisation d un certificat électronique qualifié.» Présomption de fiabilité : renversement de la charge de la preuve La preuve pèse sur celui qui conteste la fiabilité du procédé de signature utilisé 29 Janvier 2008 FedISA 19
Décret du 18 avril 2002 / Arrêté du 26 juillet 2004 Le décret du 18 avril 2002: Rôle de la DCSSI: agrément des centres d'évaluation refus ou acceptation de la certification d'un produit ou d'un système Procédure d évaluation Procédure de certification Attributions du comité certificateur L arrêté du 26 juillet 2004: Les prestataires de certification électronique pourront se faire évaluer par des organismes indépendants, eux-mêmes accrédités par le comité français d'accréditation (Cofrac). Objectif: attestation de qualification. 29 Janvier 2008 FedISA 20
Rôle essentiel des articles 1316-1 et 1316-4 du Code civil Les articles 1316-1 et 1316-4 du Code civil constituent la base pour reconnaître la valeur juridique d un écrit sous forme électronique : En tant que preuve ; En tant que formalité ad validitatem ; En tant qu original. La fiabilité de la signature électronique est essentielle pour les écrits sous forme électronique (sauf pour les commandes en ligne). Recours à une procédure d expertise pour déterminer la fiabilité d un écrit. 29 Janvier 2008 FedISA 21
La gestion de la preuve
L intérêt de la gestion de preuve La gestion de la preuve n est pas une activité juridiquement définie, mais pourtant essentielle. L objectif est de convaincre un juge de la valeur juridique et de la force probante d un écrit sous forme électronique (signature électronique. Une politique de gestion de la preuve doit être écrite sur la base des engagements (obligations et responsabilités «juridiques» relatifs à fiabilité technique et organisationnelle vis-à-vis de clients s agissant : De l autorité en charge de la gestion de la preuve ; De l attestation de preuve délivrée ; De l archivage et de la conservation de la preuve. 29 Janvier 2008 FedISA 23
L autorité de gestion de preuve 1/2 L Autorité de Gestion de Preuve (A.G.P.) est l entité en charge de s assurer que la validité de données est assurée au moment de l émission de l Attestation de preuve. Les éléments suivants sont alors vérifiés : l origine des données dont la validité doit être attestée ; la signature électronique (intégrité des données et validité du certificat à la date de réception des données, chemin de confiance/acracine) ; un Jeton d horodatage indiquant la date à laquelle l Attestation de preuve est établie. Elle est responsable de la validité des Attestations de preuve établies conformément aux pratiques figurant dans la Politique de gestion de preuve. Elle archive pour son compte ses exemplaires d Attestations de preuve. 29 Janvier 2008 FedISA 24
L autorité de gestion de preuve 2/2 L A.G.P. a plusieurs obligations : L A.G.P. est responsable des opérations relatives aux attestations de preuve réalisées par l une quelconque des composantes de l A.G.P. ; Information et documentation du client ; Auditable ; Respect des règles de sécurité ; Journalisation des opération effectuées ; Garantir l intégrité des données Archiver les fichiers de preuve (et les attestations). 29 Janvier 2008 FedISA 25
L attestation de preuve 1/2 Attestation de preuve : affirmation, par l A.G.P. de la validité juridique d un fait ou d un acte au moment de leur transmission à l A.G.P. Conformément à l article 202 du N.C.P.C., elle contient les éléments suivants : Les relations de faits auxquelles l A.G.P. a assistées ou qu elle a constatées ; Le résultat des vérifications effectuées par l A.G.P. ; Les coordonnées détaillées de l auteur de l Attestation de preuve ; L indication qu elle est établie en vue de sa production en justice ; Les limitations de responsabilité liées à l Attestation de preuve et notamment liées à la valeur maximale d utilisation et aux limitations d usage du Certificat. La signature électronique du système de l A.G.P. 29 Janvier 2008 FedISA 26
L attestation de preuve 2/2 Dans le cadre de sa gestion de l attestation de preuve, l A.G.P. doit : traiter les demandes d Attestations de preuve ; vérifier la Signature électronique ; effectuer la génération des Attestations de preuve ; assurer la transmission des Dossiers de preuve au Client ; transmettre le Paquet de données à archiver au Client ; archiver ses exemplaires de Dossiers de preuve ; assurer l accessibilité aux Dossiers de preuve archivés par l A.G.P. ; conserver une trace imputable des actions émanant du Client. L A.G.P a la responsabilité de la mise en œuvre du système qui permet de générer les Attestations de preuve et elle assure la gestion de leur cycle de vie selon les demandes du Client. 29 Janvier 2008 FedISA 27
Fonctionnement de l A.G.P. Dossier de preuve dont attestation 3 Autorité de Gestion de Preuve Paquet de données à archiver (Dossier de preuve et données brutes) 4 2 Tiers archiveur Client Paquet de données à valider: (données brutes, données complémentaires) 1 Utilisateur 1 Utilisateur 2 Utilisateur 3 Légende JMR 1.Recueil des données utilisateurs par le Client (facultatif) 2.Transfert du Paquet de données à valider à l AGP qui constitue l attestation 3.Envoi du dossier de preuve contenant l attestation au Client 4.L AGP envoie le Paquet de données à archiver au service d archivage du Client 29 Janvier 2008 FedISA 28
L archivage des données Les données opérationnelles à archiver sont : les demandes d attestation de preuve ; les exemplaires des dossiers contenant l ensemble des données (attestation, jeton d horodatage, etc.); les fichiers de configuration des équipements informatiques de l A.G.P.; les journaux d événements. Les données doivent être archivées en utilisant un format destiné à en garantir la lisibilité dans le temps. Un contrôle d intégrité doit être opéré tout au long de la conservation des données. Des dispositifs de vérification d intégrité basés sur l empreinte des documents doivent ainsi être régulièrement réalisées. 29 Janvier 2008 FedISA 29
La sécurité des données La sécurité des données durant leur conservation doit être assurée à plusieurs niveaux : Sécurité physique : accès aux locaux, pannes, conservation des medias Sécurité organisationnelle : compétence, gestion des habilitations, sectorisation des rôles Sécurité technique : contrôle des postes de travail, des mesures cryptographique, veille technologique Sécurité juridique : Confidentialité, accessibilité, intégrité, les engagements sont formalisés dans la PGP et le contrat 29 Janvier 2008 FedISA 30
Conclusion La gestion de la preuve électronique est un marché en devenir pour lequel la demande ne cesse de croître. L absence de textes relatifs à l établissement des attestations de preuve et la conservation des données oblige à se conformer à l état de l art en la matière et à un encadrement contractuel. Le développement d une politique de gestion de la preuve cohérente repose donc sur plusieurs éléments : Veille technologique et règlementaire Management juridique des risques Organisme solide et structuré LegalMix 29 Janvier 2008 FedISA 31
Merci de votre attention Me Eric A. CAPRIOLI Avocat au Barreau de Paris, Docteur en droit Société d avocats (Paris - Nice) 6 rue Saulnier, 75009 Paris 9 avenue Henri Matisse, 06200 Nice www.caprioli-avocats.com mél : contact@caprioli-avocats.com 29 Janvier 2008 FedISA 32