« De l'authentification à la signature électronique : quel ... - uncitral
« De l'authentification à la signature électronique : quel ... - uncitral
« De l'authentification à la signature électronique : quel ... - uncitral
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
quarantième session de <strong>la</strong> Commission en 2007 16 . L’intervention de tiers, prestataires de<br />
services de confiance, présente des difficultés spécifiques, notamment pour ceux qui, dans le<br />
cadre d’une infrastructure à clé publique (ICP), émettent et gèrent des certificats<br />
d’authentification, de <strong>signature</strong> électronique ou permettant le chiffrement de données.<br />
En effet, chaque application appellera un flux spécifique de données – identification,<br />
authentification, <strong>signature</strong> ou chiffrement – qui dépend du niveau de sécurité des<br />
informations échangées sur le web, mais également de son cadre juridique. Certains Etats se<br />
sont d’ores et déjà saisis de <strong>la</strong> question de l’identification sur les réseaux, en incluant dans<br />
leur titre national d’identité plusieurs catégories de certificats, publics ou privés 17 .<br />
A titre d’exemple, <strong>la</strong> dématérialisation des moyens de paiement – virements, cartes de<br />
crédit, prélèvements - fait depuis longtemps appel à des mécanismes re<strong>la</strong>tivement robustes<br />
de confirmation d’identité et de solvabilité 18 ; les moyens traditionnellement admis (usages)<br />
ne suffisent plus à garantir une identité dans le cadre de l’économie numérique. Ainsi, une<br />
simple adresse électronique suffit-elle à garantir l’identité d’un commerçant ? Avec le<br />
développement actuel de l’économie numérique, des règles fiables, traduites sous forme de<br />
normes juridiques internationales, doivent être instaurées pour prévenir les menaces de<br />
fraude et pour garantir un niveau de confiance suffisant. L’utilisation des communications<br />
électroniques dans les contrats commerciaux internationaux ne peuvent plus reposer<br />
uniquement sur les moyens c<strong>la</strong>ssiques de reconnaissance mutuelle des parties (va<strong>la</strong>bles si<br />
les parties sont dans une re<strong>la</strong>tion courante d’affaires, … car une fraude ou une usurpation<br />
d’identité peut affecter les communications électroniques) 19 , mais sur les nouvelles<br />
méthodes d’authentification et de <strong>signature</strong> électronique (3D Secure 20 , PCI-DSS) 21 .<br />
En outre, bien que se situant hors du domaine d’intervention de <strong>la</strong> C.N.U.D.C.I., il convient<br />
de souligner que sur le p<strong>la</strong>n de <strong>la</strong> cybercriminalité, <strong>la</strong> gestion de l’identité numérique a de<br />
multiples incidences juridiques. <strong>De</strong>s travaux ont été initiés récemment dans le cadre de<br />
16 V. Documents officiels de l’Assemblée générale, soixantième et unième session, supplément no 17 (A/61/17),<br />
paragraphe 21 ; v. aussi Promouvoir <strong>la</strong> confiance dans le commerce électronique : questions juridiques re<strong>la</strong>tives<br />
à l’utilisation internationale des méthodes d’authentification et de <strong>signature</strong>s électroniques, CNUDCI, Vienne<br />
2009. Disponible sur http://www.<strong>uncitral</strong>.org/pdf/french/texts/electcom/08-55699_Ebook.pdf.<br />
17 Voir notamment <strong>la</strong> carte d’identité électronique en Belgique (eid) à l’adresse : http://welcome-to-ebelgium.be/fr/<br />
; en Estonie (Card id, disponible à l’adresse www.id.ee) ; en Italie (http://www.cnipa.gov.it).<br />
18 A titre d’exemple, le réseau des cartes de paiement certifie – quasiment en temps réel – <strong>la</strong> solvabilité de<br />
l’acheteur mais également <strong>la</strong> possession légitime du titre par <strong>la</strong> génération du code PIN et son contrôle lors des<br />
transactions.<br />
19 L’envoi de documents bancaires et de pièces d’identité à des inconnus peuvent servir à de nombreuses<br />
fraudes non seulement à l’encontre des personnes physiques, mais aussi des entreprises.<br />
20 Rappelons ici que 3D Secure est un protocole sécurisé de paiement sur l’Internet. Il consiste à s’assurer, lors<br />
de chaque paiement en ligne, que <strong>la</strong> carte est bien utilisée par son titu<strong>la</strong>ire. Ainsi, en plus du numéro de carte<br />
bancaire, de <strong>la</strong> date d'expiration de <strong>la</strong> carte et des trois chiffres du code de sécurité (imprimés au dos de <strong>la</strong><br />
carte), l’internaute doit saisir un mot de passe, tel que sa date de naissance ou un code dynamique à usage<br />
unique. Voir notamment le site : http://visa-europe.fr/fr.<br />
21 Le Payment Card Industry Data Security Standard (PCI DSS) est un standard de sécurité des données pour l’<br />
industrie des cartes de paiement créé par le comité PCI SSC pour les plus importantes entreprises de carte de<br />
débit et crédit (Visa, MasterCard, American Express, Discover, JCB). Cette norme comporte 12 exigences<br />
applicables aux commerçants en ligne et aux fournisseurs de services de paiement en vue de protéger leurs<br />
données et de prévenir les fraudes. Voir notamment<br />
http://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/doc/pci_dss_v1-2.pdf.<br />
© Eric A. CAPRIOLI, Avocat à <strong>la</strong> Cour de Paris Page 6