|
Texte de la QUESTION :
|
M. Olivier de Chazeaux appelle l'attention de M. le secrétaire d'Etat à l'industrie sur le cadre juridique organisant les autorités de certification agissant comme tiers dans le commerce électronique. Le développement du commerce électronique suppose la sécurité juridique et technique afin d'assurer la confiance d'utilisateurs communiquant en réseau ouvert. Or par nature, la sécurité constitue le point faible des réseaux ouverts. D'où la nécessité de recourir aux procédés de cryptographie qui permettent d'assurer les fonctions d'authentification, d'intégrité, de non-répudiation et de confidentialité des messages électroniques. A ce titre, le tiers de confiance joue le rôle d'autorité de certification ayant pour objet de formaliser le lien qui existe entre une personne physique ou morale et une paire de clés asymétriques. D'après la recommandation n° 509 de l'UIT-T, une autorité de certification se définit comme « une autorité chargée par un ou plusieurs utilisateurs de créer et d'attribuer leur clé publique et leur certificat ». Or il semble qu'il n'existe pas d'infrastructure de certification en France, même si l'article 4 de la loi n° 94-126 du 11 février 1994 autorise quelques avancées en permettant d'effectuer des déclarations administratives par des moyens électroniques. C'est pourquoi, il lui demande de bien vouloir préciser sa position à l'égard des autorités de certification (précisément dites d'authentification dans la loi de 1996) et de lui indiquer comment il compte mettre en place le cadre juridique de ces infrastructures.
|
|
Texte de la REPONSE :
|
Du point de vue de la réglementation sur la cryptologie, il est nécessaire de rappeler que l'activité d'autorité de certification, qui ne vise que des services autres que la confidentialité, est soumise aujourd'hui à déclaration simplifiée au sens du décret n° 98-101 du 24 février 1998. La mise en place d'un cadre juridique plus complet concernant l'activité d'autorité de certification est actuellement à l'étude à plusieurs niveaux, nationaux et internationaux (auxquels la France participe activement). Tout d'abord, la Commission européenne a présenté au conseil des ministres « télécommunications » du 19 mai 1998 un projet de directive visant la mise en place d'un cadre européen pour les signatures électroniques. Ce projet est actuellement en cours d'étude par un groupe de travail du Conseil de l'Union européenne rassemblant l'ensemble des Etats membres et la Commission européenne. Au sein des Nations Unies, la Commission des Nations Unies sur le droit commercial international (CNUDCI), qui a élaboré en 1996 une loi type sur le commerce électronique, travaille actuellement sur des règles uniformes sur la signature électronique. Enfin, en France, le Conseil d'Etat a remis depuis peu au Premier ministre son rapport concernant Internet, résultat de plusieurs mois de travail et de nombreuses auditions. Une partie importante de ce rapport traite des aspects « signature électronique ». L'ensemble de ces travaux vise à créer les conditions nécessaires pour permettre une reconnaissance juridique de la signature électronique, en précisant, entre autres, les rôles et contraintes des autorités de certification. Sur la base de ces différents travaux, le ministère de la justice a d'ores et déjà annoncé l'élaboration d'un projet de loi qui pourrait être soumis au Parlement au cours du premier semestre 1999. Par ailleurs, concernant l'existence d'autorités de certification en France, les points suivants sont à noter : le groupement d'intérêt économique « Cartes Bancaires », qui réunit l'ensemble des institutions financières françaises, joue déjà depuis plusieurs années le rôle de tiers de confiance dans le cadre du système cartes à puce bancaires. France Télécom, Gemplus, MatraNet et l'américain Verisign viennent d'annoncer la création d'une société commune, CERTPlus, qui aura pour activité principale d'être autorité de certification. Une PME située à Boulogne, Axenet, vient également de se lancer dans cette activité. D'autres acteurs ont fait connaître leur intention d'entrer également sur ce marché.
|