LA RESPONSABILITE DES PRESTATAIRES DE SERVICES INFORMATIQUES EN SECURITE INFORMATIQUE

Aujourd’hui beaucoup d’échanges, de contrats se font sur internet, c’est pourquoi il est nécessaire que tous les échanges réalisés sur la toile soient sécurisés afin d’éviter toutes fraudes. Il a alors fallu s’interroger sur la responsabilité des prestataires de services informatiques en sécurité informatique.

La sécurité par voie électronique repose largement sur l’utilisation de moyens de chiffrement des échanges pour en assurer la confidentialité. Ces dernières années, le cadre juridique de la sécurité des services informatiques était mis en place, avec deux grands volets : la libéralisation de la cryptologie et la reconnaissance de la signature électronique.

Le Conseil des ministres a adopté le 15 janvier 2003 un projet de loi "sur la confiance dans l'économie numérique", dans lequel la question de la responsabilité des "prestataires techniques" de l'Internet est un des points majeurs (chapitre 2 du projet de loi). Ce projet de loi fait suite au projet de loi sur la société de l'information ("LSI") et à l'avant-projet de loi sur l'économie numérique ("LEN"). Il a notamment vocation à transposer en droit français la directive européenne du 8 juin 2000 sur le commerce électronique.

Cette réglementation a mis en place le système d'une responsabilité limitée des prestataires techniques. L'article 2 du projet de loi redéfinit les obligations des prestataires intermédiaires des services de communication en ligne.

En matière de sécurité, et sans l'abroger formellement, le nouveau projet de loi modifie substantiellement la partie de la loi du 26 juillet 1996 consacrée à la cryptologie. La nouvelle loi libéralise sans réserve l'utilisation des moyens de cryptologie, définies comme "tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète".

En ce que concernent les prestataires qui assurent des prestations de cryptologie à des fins de confidentialité, le projet précise qu'ils sont présumés responsables, jusqu'à preuve contraire, et malgré toute disposition contractuelle contraire, du "préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d'atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données transformées à l'aide de ces conventions".

Cette présomption pourra être levée si le prestataire peut démontrer qu'il n'a commis aucune faute intentionnelle ou de négligence.

L’article 20 institue un régime de présomption de responsabilité à l'égard des fournisseurs de prestations de cryptologie. Les prestataires de cryptologie doivent pouvoir être reconnus responsables des dommages qui surviennent, lors de l'exécution de leurs prestations, aux personnes qui leur confient le soin d'assurer la confidentialité de certaines données.

Lors de litiges mettant en cause la responsabilité civile de ces prestataires, le présent article renverse la charge de la preuve en établissant un régime de présomption de responsabilité des fournisseurs de prestations de cryptologie. Le champ d'application de ce régime se limite aux prestations de cryptologie à des fins de confidentialité.

Un régime spécifique de responsabilité est prévu à l'article 21 du présent projet de loi pour les personnes qui fournissent des prestations de cryptologie ayant seulement une fonction d'authentification ou de contrôle de l'intégrité de données. Le présent article institue, dans des hypothèses spécifiques, une véritable présomption de responsabilité.

La présomption de responsabilité a un champ limité d’application : ce régime ne s'appliquerait qu'en présence de certificats dits « qualifiés » ou, tout au moins, présentés comme tels par le fournisseur.

La présomption de responsabilité ne jouerait qu'à l'égard des personnes ayant confié aux fournisseurs de prestations concernés la gestion de leurs conventions secrètes, lorsqu'un préjudice résulte d'une atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données transformées à l'aide desdites conventions.

Dans le projet de loi sur la confiance dans l'économie numérique, l'Assemblée nationale a, en première lecture, précisé que les fournisseurs ne sauraient être responsables que dans le cadre des prestations qu'ils ont effectuées auprès des victimes de dommages.

Cet article vise à transposer l'article 6 de la directive 1999/93/CE du 13 décembre 1999 définissant un cadre communautaire pour les signatures électroniques :

- les prestataires sont présumés responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés comme qualifiés qu'elles délivrent, lorsqu'il s'avère que ces certificats ne sont pas qualifiés;

- ils doivent justifier d'une garantie financière suffisante, spécialement affectée au paiement des sommes qu'ils pourraient devoir aux personnes s'étant fiées raisonnablement aux certificats qualifiés qu'elles délivrent, ou d'une assurance garantissant les conséquences pécuniaires de leur responsabilité professionnelle.

- Enfin, seuls certains faits générateurs du préjudice seraient couverts par ce régime de responsabilité présumée. A ce titre, le présent article définit les hypothèses limitatives :

1°) lorsque les informations contenues dans le certificat, à la date de sa délivrance, étaient inexactes. Cette hypothèse d'engagement de responsabilité est prévue par le a) du point 1 de l'article 6 de la directive.

2°) lorsque les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes.

3°) lorsque le prestataire d'un service de certification électronique n'a pas vérifié que le signataire détenait bien, lorsque le certificat lui a été délivré, des données de création de signature qui correspondaient à celles, fournies ou identifiées dans le certificat, permettant de vérifier cette signature.

4°) lorsque le prestataire n'a pas assuré la complémentarité des données afférentes à la création de signature (clé privée) et de celles relatives à la vérification de cette signature (clé publique).

5°) lorsque le prestataire n'a pas enregistré la révocation du certificat et n'a pas tenu informé les tiers de ce fait.

Nonobstant le fait que ces conditions de mise en jeu de la présomption de responsabilité sont satisfaites, le présent article prévoit, conformément aux points 3 et 4 de l'article 6 de la directive 1999/31/CE, une éventuelle exclusion de responsabilité.

Les prestataires des services de sécurité informatique ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé à la condition que ces limites aient été clairement portées à la connaissance des utilisateurs dans le certificat.

Contractuellement, les prestataires et utilisateurs peuvent fixer des limites à l'utilisation des certificats fournis ainsi qu'à la valeur des transactions pour lesquelles ils peuvent être utilisés. Le projet de loi exige qu'en pareille circonstance ces limites doivent avoir été « clairement portées à la connaissance des utilisateurs dans le certificat ».

Il faut en déduire que le défaut d'information des utilisateurs de certificats sur ce point rendra impossible l'exclusion contractuelle de la responsabilité du fournisseur de prestations de certification. Il reviendra à la jurisprudence de déterminer, au cas par cas, si le prestataire a bien « clairement » fait connaître à son cocontractant ces limitations de responsabilité.

Dans ces conditions, l'utilisateur ne pourra bénéficier du régime de responsabilité défini par le présent article s'il a, de manière abusive, utilisé le certificat au-delà des limites fixées par le prestataire. Pour échapper à la mise en cause de sa responsabilité, le prestataire pourra toujours apporter la preuve qu'il n'a commis aucune faute ou aucune négligence en fournissant ses services.

L’article 22 institue un mécanisme de sanction administrative à l'encontre du fournisseur de moyens de cryptologie qui n'aurait pas respecté les prescriptions de l'article 18 du projet de loi. L'autorité compétente pour prononcer des sanctions administratives à l'encontre des personnes qui n'auraient pas satisfait à leurs obligations est le Premier ministre.

Les sanctions administratives s’appliquent aux personnes qui auraient omis de déclarer ou de solliciter une autorisation préalable, selon le cas et les modalités définies par l'article 18, pour la fourniture, l'importation, l'exportation, le transfert depuis ou vers un autre Etat membre de la Communauté européenne de moyens de cryptologie. Le non-respect de ces obligations est également sanctionné pénalement par les dispositions de l'article 23 du présent projet de loi.

La sanction qui peut être prononcée au titre du présent article est unique : une mesure d'interdiction de mise en circulation du moyen de cryptologie concerné.

Le projet de loi fait obligation aux personnes physiques ou morales qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité de remettre aux agents compétents les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'elles ont fournies.

Le fait de ne pas déférer à cette demande étant considéré comme une infraction (prévues à l’article 23). Un décret devra être adopté permettant de définir les modalités pratiques de mise en œuvre de cette obligation et sa prise en charge financière par l'Etat.

L'article 23 prévoit que sera désormais puni par la loi «le fait de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçue ou spécialement adaptés», pour commettre des infractions dans des systèmes de traitement automatisé de données. Cet article donne un cadre juridique, non plus aux seules actions frauduleuses, mais également aux outils qui servent à les commettre.

 LIENS CONNEXES

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.

| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Connexion sécurisé ssl 256
Nous joindre - Tel : 0143377563
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l'utilisation des cookies.
Share Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut