Un cadre juridique pour la signature lectronique en Suisse

Michel Jaccard et Silvio Venturi*

Le 1
er

mai 2000 est entre en vigueur lordonnance du Conseil fdral sur les services de certification lectronique (dont le texte est disponible sur le site de lOffice fdral de la communication, ladresse http://www.bakom.ch). Il sagit dun texte trs important, qui constitue une premire tape dans la reconnaissance de la signature lectronique en Suisse, quelques mois aprs que lUnion Europenne a adopt une directive sur le sujet. La nouvelle ordonnance saffirme comme un jalon dcisif pour le dveloppement du commerce lectronique en ce quelle fournit les moyens de scuriser les transactions en ligne.

I. Scurisation du e-commerce
Le commerce et la finance nont pas attendu lentre en vigueur de lordonnance pour exercer leurs activits sur le rseau, o la vente de marchandises (voir par exemple Le-Shop ou Frquence Laser) et la prestation de services, notamment financiers (Internet Banking), sont dj une ralit. Mais cette ralit se heurte un obstacle majeur: limpossibilit de vrifier la relle identit de son partenaire commercial. La dmatrialisation et limmdiatet des communications ainsi que la numrisation des donnes transmises ont entran la perte des repres traditionnels comme la ngociation face face, la rencontre des parties, la reconnaissance de la voix ou la vrification de la signature manuscrite. Sur Internet, o lemploi des pseudonymes est frquent, personne ne sait vritablement qui vous tes. Si linformation peut tre ventuellement dtenue par le fournisseur daccs Internet, lobtenir ne sera pas chose aise, en particulier si, la suite du Tribunal fdral, on devait considrer que la transmission de messages lectroniques tait soumise au secret des tlcommunications. Connatre lidentit de son partenaire en affaires nest pas suffisant. Il faut en plus avoir la certitude que le contenu des messages changs na pas t modifi en cours de transmission. Cette garantie dintgrit est en particulier essentielle si les messages contiennent une offre ou une acceptation une transaction, avec lindication du prix et des quantits dsires. De mme, il importe de sassurer que la teneur des messages reus ne puisse tre modifie par la suite linsu des intervenants (fonction dite de non-rpudiation). Enfin, il peut tre important que la confidentialit de la communication soit garantie, notamment pour inciter les utilisateurs du rseau transmettre leurs coordonnes et leurs numros de carte de crdit en toute confiance. Ainsi, le vritable dfi pos au lgislateur consiste concevoir un systme susceptible de garantir lidentification des parties, lintgrit des messages transmis et leur non-rpudiation ainsi que, le cas chant, la confidentialit des communications. Cest lensemble de ces garanties qui sont offertes par linfrastructure cl publique (Public Key Infrastructure, PKI) rglemente dans lordonnance du Conseil fdral, ainsi que dans de nombreux textes en projet ou dj en vigueur, tant aux EtatsUnis quen Europe.

II. Infrastructure cl publique

Concrtement, la signature lectronique dun fichier (texte, son, image) rsulte de lutilisation dune cl mathmatique prive (connue du seul signataire) et dun algorithme cryptographique, appliqu au texte original. Ainsi, la signature lectronique constitue un ensemble de donnes numriques chiffres, distinctes du message original. Le lien entre le texte et sa signature nest

plus physique, mais logique. A la cl prive de lexpditeur correspond une cl cryptographique publique, connue du destinataire, que celui-ci va utiliser pour dchiffrer la signature lectronique et comparer le rsultat au message original. Sils correspondent, cest la garantie que le message a t sign lectroniquement par le titulaire de la cl prive correspondante et quil na pas t modifi ni altr pendant sa transmission, puisque seul le titulaire de la cl prive peut gnrer une signature lectronique et quil est (quasiment) impossible de la reconstituer en connaissant uniquement la cl publique. La confidentialit de la transmission est par ailleurs assure si lexpditeur du message le chiffre avec la cl publique du destinataire avant de le signer lectroniquement avec sa propre cl prive. Lensemble du processus est bien videmment automatis, il est quasi transparent pour lutilisateur et ne prend que quelques secondes.

III. Intervention dun cybernotaire

A y regarder de plus prs, le systme dinfrastructure cl publique noffre en fin de compte que la garantie dune correspondance entre une cl publique et une cl prive. Rien nassure au destinataire dun message sign lectroniquement que le titulaire de la cl prive correspondante la cl publique utilise pour le dchiffrer est bien celui quil prtend tre, puisque toute marque individuelle a disparu, contrairement la signature manuscrite. La solution ce problme rside dans lintervention dun tiers de confiance, parfois appel cybernotaire ou autorit de certification (dans lordonnance du Conseil fdral, fournisseur de services de certification), qui va attester vis--vis de tous le lien entre la cl publique utilise pour dchiffrer les messages et une personne dtermine. Le rle de lautorit de certification Revue 8/2000 Anwaltspraxis/Pratique du barreau 8 est donc essentiel. Il passe tout dabord par la vrification de lidentit de la personne en cause, par une apparition physique un guichet denregistrement et la prsentation de documents de lgitimation. Sur cette base, un certificat lectronique (sorte de passeport pour le monde virtuel) est tabli, contenant en particulier le nom du client et la cl publique qui lidentifie vis--vis des tiers. Pour garantir son authenticit, ce certificat est sign lectroniquement par lautorit de certification elle-mme, avant dtre mis disposition de tous dans un registre librement accessible sur le rseau. Lautorit de certification doit enfin, le cas chant, sengager suspendre ou rvoquer immdiatement un certificat sil savre que son titulaire le demande ou que la cl prive a t perdue.

IV. Quelques caractristiques de la rglementation suisse

Alors que la directive communautaire rgle non seulement le fonctionnement dune infrastructure cl publique mais consacre galement lquivalence entre la signature manuscrite et la signature lectronique, lordonnance suisse se contente de prvoir les conditions juridiques, techniques et financires auxquelles des fournisseurs de services de certification doivent satisfaire sils entendent tre soumis lordonnance. Lassujettissement lordonnance demeure volontaire. Le rgime est cependant incitatif si lon considre quun fournisseur de services de certification reconnu au sens de lordonnance jouira certainement dune lgitimit suprieure et du label de qualit officiel. Les conditions poses par lordonnance ont trait en particulier la qualification du personnel et la solidit financire qui doit tre suffisante pour faire face lventuelle responsabilit qui dcoulerait dune certification errone. La responsabilit dune autorit de certification peut en effet tre engage tant vis--vis de son

client, au nom duquel elle a tabli un certificat lectronique erron, que vis--vis des destinataires des messages signs lectroniquement. De faon renforcer la prvisibilit, lordonnance prvoit que lautorit de certification sera responsable en cas de certification errone, moins de pouvoir dmontrer quaucune faute ne lui est imputable. Cette rglementation spcifique du rgime de responsabilit est trs certainement un des aspects importants de lordonnance et devrait renforcer la confiance des utilisateurs. Dans ce mme souci, lordonnance prvoit galement la possibilit dobtenir des autorits de surveillance des fournisseurs des services de certification une attestation de la conformit et de la validit du certificat lectronique, un moment donn, ce qui devrait faciliter la preuve des transactions, notamment dans le cadre de poursuites judiciaires.

V. Conclusion
Lentre en vigueur de la nouvelle ordonnance constitue sans conteste un premier pas important vers la scurisation du commerce lectronique. En choisissant une rglementation compatible avec les textes internationaux dj existants, la Suisse dmontre quelle entend fournir aux acteurs de la Nouvelle Economie un environnement juridique et rglementaire adquat. Cependant, la dmarche engage ne doit pas sarrter l: un texte lgal consacrant lquivalence vritable entre la signature lectronique et la signature manuscrite doit encore tre adopt, et un projet de loi dans ce sens est dores et dj annonc dans les prochains mois. Le lgislateur semble donc lui aussi sadapter au rythme des nouvelles technologies.

VI. Quelques rfrences bibliographiques et sites Internet utiles

Eric A. Caprioli, Scurit et confiance dans le commerce lectronique, La Semaine Juridiques, JCP 1998 I 123. Matthew D. Ford, Identity Authentication and E-Commerce, 1998 (3) The Journal of Information, Law and Technology. Michel Jaccard, Les relations juridiques et les responsabilits dans une infrastructure cl publique, in: Geschftsplattform Internet: Rechtliche und praktische Aspekte Digitale Identitt und Vertragsschluss im Internet, ZIK Band 10, Zurich 2000. Michel Jaccard, Droit de la concurrence et signature numrique: quelques rflexions la lumire de la concentration Swisskey AG, Revue suisse du droit de la proprit intellectuelle, de linformation et de la concurrence (Sic!) 1/1999, p. 1725. Office fdral de la justice, Signature lectronique et droit priv (droit des contrats), Avis de droit du 24 novembre 1998, JAAC 63.46. Simone R. Pestalozzi/Marc D. Veit, Elektronische Signaturen: schweizerische Regulierungsanstze im europaschen Umfeld, AJP/PJA 5/2000, p. 599606. Matthias Ramsauer, Die Public Key Infrastruktur in der Schweiz, in: Geschftsplattform Internet: Rechtliche und praktische Aspekte Digitale Identitt und Vertragsschluss im Internet, ZIK Band 10, Zurich 2000. Laeticia Rolin Jacquemyns/Thibault Verbiest, Loffre de services et produits financiers sur Internet, RDAI/IBLJ 2000 n 1. http://www.swisskey.com/ (autorit suisse de certification). http://www.mbc.com/ecommerce.html (liste des initiatives amricaines et internationales) http://www.abanet.org/scitech/ec/isc/dsgfree.html/ (ABA Digital Signatures Guidelines) http://www.bakom.ch/ (Office fdral de la communication) http://www.iid.de/rahmen/iukdgbt.html/ (rglementation allemande) http://www.uncitral.org/ (projet de loi CNUDCI) http://www.ispo.cec.be/ecommerce/legal/digital.