Les Tiers de Confiance

© CAPRIOLI & Associés – Société d’Avocats - www.caprioli-avocats.com

contact@caprioli-avocats.com / contactparis@caprioli-avocats.com

Eric A. CAPRIOLI Avocat à la Cour de Paris, Docteur en droit

Membre de la délégation française aux Nations Unies

Vice-Président de la Fédération Nationale des Tiers de Confiance

ANR – LISE - ADIJ

Preuve informatique : quelles nouveautés techniques pour quelles évolutions juridiques ?

Bibliothèque de l’Ordre, Paris, 8 décembre 2011

8/12/11 2

Le cabinet Caprioli & Associés est une société d’avocats en droit des affaires : conseil, audit, contentieux et arbitrage.

• Spécialisé en :

– Informatique, technologies de l’information et des communications électroniques

– Dématérialisation et archivage

– Vie privée et données à caractère personnel

– Sécurité des systèmes d’information

– Propriétés intellectuelles (logiciels, bases de données, droit d’auteur, marques, dessins, brevets, …)

• Adresses : 29, rue Mogador, 75009 Paris 9, avenue Henri Matisse, 06200 Nice • Site Web : www.caprioli-avocats.com • Mél : contactparis@caprioli-avocats.com (Paris)

contact@caprioli-avocats.com (Nice)

ADIJ Présentation

8/12/11 3

I. Environnement juridique et confiance

II. Fonctionnalités et services de confiance A. Identification/authentification/signature

électronique B. Datation électronique C. Archivage D. Confidentialité

Plan de la présentation

ADIJ Présentation

8/12/11 4

I. Environnement juridique et confiance

II. Fonctionnalités et services de confiance A. Identification/authentification/signature

électronique B. Datation électronique C. Archivage D. Confidentialité

Plan de la présentation

ADIJ Présentation

8/12/11 5

Cadre juridique général

Cadre juridique

• Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée

• Loi du 13 mars 2000 portant adoption de la preuve aux technologies de l’information et relative à la signature électronique

• Loi du 21 juin 2004 pour la confiance dans l’économie numérique

• Ordonnance du 16 juin 2005 relatif aux contrats électroniques et documents électroniques

• Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives (et ses décrets d’application)

ADIJ Présentation

8/12/11 6

• Décret du 16 février 2005 pris en application de l’article L. 134-2 du Code consom. (archivage > ou = 120 €)

• Décret du 2 février 2011 pris en application de l'article 1369-8 du Code civil relatif à l'envoi d'une lettre recommandée par courrier électronique

• Décret du 20 avril 2011 relatif à l'horodatage des courriers expédiés ou reçus par voie électronique pour la conclusion ou l'exécution d'un contrat

• Arrêté du 20 avril 2011 relatif à la reconnaissance de la qualification des prestataires de services d’horodatage électronique et à l’accréditation des organismes qui procèdent à leur évolution

• Et des instruments européens : directives du 24 octobre 1995, du 13 décembre 1999, du 8 juin 2000, (et leurs modifications à venir…).

Cadre juridique général

Cadre juridique ADIJ Présentation

8/12/11 7

Qu’est ce que la confiance ?

• Croyance en la bonne foi, loyauté, sincérité et fidélité d’autrui (un tiers, un cocontractant) ou en ses capacités, compétence et qualification professionnelle (ex : la confiance en un professionnel du droit ou de la médecine)

• Action de se fier à autrui, ou plus précisément de lui confier une mission (mandat, dépôt, …), à l’opposé le droit sanctionne son abus (abus de confiance, article 314-1 du code pénal)

Confiance numérique : sentiment de sécurité dans le marché numérique, qui recouvre à la fois les usages de la confiance, et l’industrie de la confiance qui les supporte

La Confiance ADIJ Présentation

8/12/11 8

Pourquoi recourir à un tiers de confiance ?

Nul ne peut se préconstituer de preuve à soi-même

La Confiance ADIJ Présentation

… mais

Les preuves établies en interne (traces) sont toujours acceptables devant un tribunal si elles sont considérées comme fiables (mise en place d’audit interne…) ex : les jurisprudences relatives au DAB, Relevé

téléphonique de FT, etc.

Alors pourquoi ?

Parce que la responsabilité du tiers de confiance peut être engagée dans le cadre de ses services et obligations liés à la preuve électronique (PSCE, Archiveur, …).

Parce que, malgré tout, le fait de recourir à des prestataires externes constitue un élément d’impartialité et de neutralité devant les tribunaux. Parce que les coûts relatifs à la mise en œuvre des services de confiance seront moindres (les différents services existent déjà et ils sont mutualisés).

8/12/11 9

Quelques catégories de prestataires

• Prestataire de services de certification électronique (P.S.C.E.) : « Toute personne qui délivre des certificats électroniques ou fournit d'autres services en matière de signature électronique » (art. 1-11 du décret du 30 mars 2001)

• Certificat électronique : « Document sous forme électronique attestant du lien entre les données de vérification de signature et un signataire » (art. 1-9 du décret du 30 mars 2001)

• Prestataire de services d’horodatage électronique (P.S.H.E.) : « Personne en charge de la

production et de la délivrance de contremarques de temps » (art. 1.4 du décret n°2011-434)

• Horodatage (procédé) : « Mécanisme associant une représentation d'une donnée à un temps particulier et attestant de l'existence de la représentation de cette donnée à cet instant au moyen d'une contremarque de temps » (art. 1.2 du décret n°2011-434)

• Prestataire de services de confiance : « Toute personne offrant des services tendant à la mise en œuvre de fonctions qui contribuent à la sécurité des informations échangées par voie électronique » (art. 1-II-2° de l’ordonnance n°2005-1516 du 8 décembre 2005).

Définitions juridiques ADIJ Présentation

8/12/11 10

Exemple de schéma de recours à des tiers de confiance

Solution standard à plusieurs prestataires

Prestataire de services de certification

électronique

Prestataires de services

d’horodatage électronique

Prestataire d’archivage

Prestataire technique en

charge du modèle de document (PDF à remplir souvent)

et de la cinématique

Politique de Certification

Contrat avec le PSCE Conditions d’utilisation

des Certificats

Politique d’horodatage Contrat avec le PSHE

Conditions d’utilisation des Jetons

Politique d’archivage Contrat avec l’AA

Conditions d’utilisation du service d’archivage

Spécifications techniques

Contrat avec le Prestataire technique

Attention à la gestion des contrats et de la

cohérence de l’ensemble

documentaire !!!

CLIENT

ADIJ Présentation

8/12/11 11

Caractéristiques des tiers de confiance

Tiers de confiance

Pérennité

Fiabilité Sécurité

La Confiance ADIJ Présentation

8/12/11 12

I. Environnement juridique et confiance

II. Fonctionnalités et services de confiance A. Identification/authentification/Signature

électronique B. Datation électronique C. Archivage D. Chiffrement

Plan de la présentation

ADIJ Présentation

8/12/11 13

Gestion de la preuve

(établissement d’un fichier de preuve, éléments de traçabilité et contenant des vérifications avant versement au service d’archivage)

La chaîne de la confiance pour un écrit électronique

La Confiance ADIJ Présentation

1. Identification/

Authentification/signature électronique (intégrité)

2. Horodatage

3. Chiffrement (éventuel)

4. Archivage

8/12/11 14

Identification/authentification

Identification/authentification/SE ADIJ Présentation

Définition de l’authentification et de l’identification : « L’authentification a pour but de vérifier l’identité dont une entité (personne ou

machine) se réclame. Généralement, l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer une identité préalablement enregistrée, s’authentifier c’est apporter la preuve de cette identité ».

Référentiel Général de Sécurité, §3.2

Recours fréquent aux certificats électroniques (éphémères, ou standards) qui contiennent des données permettant d’identifier leurs porteurs (plus ou moins fiable) => ce qui permet de vérifier la signature des actes et leur intégrité.

8/12/11 15

15

Objectifs de l’authentification :

Authentification

Contrôle d’accès

Imputabilité

Identification/authentification/SE ADIJ Présentation

8/12/11 16

16

L’Autorité de Certification (souvent assimilée au PSCE)

• Chef d’orchestre des entités de l’IGC (Infrastructure de Gestion de Clés ou ICP : Infrastructure à clé publique)

• Responsable devant la loi et les tiers de la validité des certificats

• Éditeur et garant de la PC (Politique de Certification)

• Le cas échéant centre de recouvrement des secrets (clés privées)

Tout le monde peut être AC, mais il faut pouvoir créer la confiance (préférence pour des entités pérennes et fiables).

Autorité de certification

Politique/Responsabilité

Identification/authentification/SE ADIJ Présentation

8/12/11 17

Absence d’enregistrement de la révocation du certificat : LCR (ou pas d’information des tiers).

Responsabilité du P.S.C.E.

Inexactitude des informations contenues dans le certificat (à la date de sa délivrance)

Incomplétude des données requises pour disposer d’un certificat qualifié

Absence de vérification de la détention de la convention privée par le signataire avec la convention publique du certificat

Identification/authentification/SE ADIJ Présentation

Certificat qualifié ou présenté comme tel (art. 33 LCEN) et en l’absence de faute intentionnelle ou de négligence

Toutes les obligations pour un Certificat standard

Responsabilité de plein droit

Responsabilité de droit commun

Les autres obligations pour un Certificat qualifié

8/12/11 18

Contexte relatif à la date et à l’horodatage électronique

Horodatage électronique ADIJ Présentation

Exigences de datation

La date est une donnée fondamentale dans tous les systèmes juridiques. C’est le jour et/ou l’heure auquel s’accomplit un acte ou se produit un fait.

La date est un fait juridique dont la preuve est libre en droit (par tous moyens absence de preuve)

Intérêt de l’horodatage électronique Faire partir un délai (de réflexion, de rétractation, prise d’effet d’un contrat…)

Marquer le moment de la signature d’un contrat ou de son archivage…

Envoyer une Lettre recommandée ou simple par voie électronique (notification, mise en demeure)

8/12/11 19

Quelles sont les obligations du P.S.H.E. ?

Horodatage électronique ADIJ Présentation

Obligations juridiques (non exhaustives – Art. 3 Décret 2011-434) : • Utiliser des systèmes et des produits assurant la sécurité technique et cryptographique des fonctions qu'ils assurent, notamment un module d'horodatage certifié ; • Assurer que l'horloge interne du module d'horodatage est synchronisée avec une ou plusieurs sources de temps fiable ; • Prendre toute disposition propre à prévenir la falsification des contremarques de temps ; • Disposer d'un certificat d'horodatage ; • Conserver toutes les informations relatives au fonctionnement du service d'horodatage électronique et utiles à la manifestation de la preuve d'une date ; • Publier sans délai tout événement affectant la fiabilité des contremarques de temps émises ;

Obligations techniques (Politique d’horodatage type) : • L’Autorité d’horodatage (entité technique équivalente du PSHE) garantit la date par rapport à une source de temps fiable (ex : UTC) et reconnue du marché • L’Autorité d’horodatage garantit le lien entre les données et la date (l’AH signe le jeton d’horodatage)

8/12/11 20

Moyen de cryptologie : tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète.

Prestation de cryptologie : toute opération visant à la mise en

œuvre, pour le compte d’autrui, de moyens de cryptologie.

Définition des moyens et prestations de cryptologie (art. 29 LCEN)

Confidentialité ADIJ Présentation

8/12/11 21

« Sauf à démontrer qu'elles n'ont commis aucune faute intentionnelle ou négligence, les personnes fournissant des prestations de cryptologie à des fins de confidentialité sont responsables au titre de ces prestations, nonobstant toute stipulation contractuelle contraire, du préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d'atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données transformées à l'aide de ces conventions. »

Responsabilité de plein droit des fournisseurs de prestations de cryptologie (art. 32 LCEN)

Présentation de ce prestataire presque anecdotique (peu de prestataires eu égard cette obligation essentielle). Par contre, les entreprises recourent en interne à des moyens de cryptologie pour leurs échanges ou leurs documents (article 230-1 du code de Procédure Pénale : déchiffrement demandé en cours d’enquête judiciaire).

Confidentialité ADIJ Présentation

8/12/11 22

• L’archivage a pour finalité d’assurer une valeur juridique aux documents de leur établissement jusqu’au terme du délai de conservation

• La sauvegarde : copie de données d'un support sur un autre (backup, plan de secours) pour permettre la restauration des données d’origine, en cas de panne matérielle ou logicielle, donc sans intérêt pour la question de la valeur juridique des documents

• Le stockage : enregistrement des données sur un disque dur d’ordinateur en vue d’une utilisation ultérieure. Il se distingue de l’archivage du fait du caractère pérenne et juridique de ce dernier

Définition de l’archivage

Archivage ADIJ Présentation

8/12/11 23

L’archivage « légal »:

• Obligations légales d’archivage = « archivage légal » ?

• « Archivage légal » ?

Pas de règles impératives de forme en matière d’archivage (sauf factures électroniques)

Pas de potion magique donnant une valeur juridique à des documents, quels qu’ils soient, archivés dans un système « d’archivage légal »

Un indéniable atout marketing

• Archivage sécurisé ou à vocation probante ?

« l’ensemble des modalités de conservation et de gestion des données électroniques ayant une valeur juridique lors de leur établissement ; cet archivage garantissant la valeur juridique jusqu’au terme du délai durant lequel des droits y afférents peuvent exister. »

Intérêt = garantir que le document sera conservé dans le respect des conditions légales, réglementaires et jurisprudentielles afin de produire ses effets juridiques dans le temps

Archivage ADIJ Présentation

8/12/11 24

Gestion de l’archivage par une entreprise

En interne : • En évaluant ses besoins selon des profils d’archivage • En définissant sa Politique d’archivage et les procédures y

afférentes Risques pour l’entreprise : responsabilité de la fiabilité du système d’archivage électronique (SAE)‏.

Archivage ADIJ Présentation

En externe : • En faisant appel à un tiers archiveur (contrat d’archivage)‏

• Autorité d’archivage (responsabilité pour l’ensemble du SAE)‏ • ou Opérateur d’archivage (responsabilité sur la fiabilité des moyens

techniques mis en place pour le SAE)‏

• En faisant appel à un autre prestataire de services

8/12/11 25

Obligations essentielles du tiers archiveur

• Obligation de fiabilité de son SAE

• Obligation liées à l’exécution de sa mission

• Exemple : disposer d’un espace de stockage suffisant pour pouvoir assurer sans discontinuité la prise en charge des documents

• Obligation de conservation selon la Politique d’Archivage et les procédures d’archivage associées :

• migration de support et de format

• Obligations relatives à la continuité de services

• Garantir la réversibilité vers un autre prestataire ou chez le client

• …

(voir le Chapitre 13 de la norme AFNOR Z 42013 de mars 2009)

Archivage ADIJ Présentation

8/12/11 26

Conclusions et perspectives Les tiers de confiance contribuent à l’établissement et à la conservation des preuves électroniques.

Leur régime juridique est un cocktail qui se compose de dispositions contractuelles, s’appuie sur des normes techniques et des bonnes pratiques avec quelques zestes de dispositions législatives et règlementaires.

Exemple de statut de tiers archiveur à l’étranger Statut du tiers archiveur fixé en droit belge par la loi du 15 mai 2007 fixant un cadre juridique pour certains prestataires de services de confiance

Exemple de garanties demandées : lisibilité, intégrité et durabilité des documents archivés.

Archivage ADIJ Présentation

8/12/11 27

Merci de votre attention !

Eric A. CAPRIOLI Avocat à la Cour de Paris

Docteur en droit Membre de la délégation française aux Nations Unies

Vice-Président de la Fédération Nationale des Tiers de Confiance mél : e.caprioli@caprioli-avocats.com

Société d’avocats 29 rue Mogador, 75009 Paris / Tél. 01 47 70 22 12

9 avenue Henri Matisse, 06200 Nice / Tél. 04 93 83 31 31 www.caprioli-avocats.com

© CAPRIOLI & Associés – Société d’Avocats - www.caprioli-avocats.com

contact@caprioli-avocats.com / contactparis@caprioli-avocats.com