Le cadre juridique de la sécurité des télécommunications

Le progrès des technologies de l'information et de la communication n'est pas sans risques. Des failles de sécurité se multiplient et engendrent de nouvelles vulnérabilités ; des menaces pernicieuses et inédites se font jour. Les sociétés perdent des sommes considérables, en raison des dysfonctionnements induits par les questions de sécurité.
Dans ce contexte, le concept de sécurité dans le domaine des télécommunications englobe non seulement la sécurité technique, mais également la sécurité juridique. Le terme de télécommunications désigne tous biens ou services dédiés à la "transmission, émission ou réception de signes, de signaux, d'écrits, d'images, de sons ou de renseignements de toute nature par fil, optique, radioélectricité ou autres systèmes électromagnétiques" (art. L. 32 du code des PT).

Cet article fournit un ensemble de mesures législatives touchant l'usage et le traitement des nouvelles technologies de l'information et des télécommunications. La question de la sécurité embrasse ici : 1) le secret des télécommunications (correspondance privée, conversations téléphoniques), 2) les patrimoines informatiques (les oeuvres immatérielles, les systèmes informatiques...), et 3) le commerce électronique (signature électronique, modes de paiement en ligne, protection des consommateurs).

I. Sécurité et secret des télécommunications

En matière de télécommunications, l'obligation de sécurité et de confidentialité est une exigence essentielle dont le non respect peut entraîner des sanctions pénales. L'opérateur doit prendre toutes les dispositions nécessaires pour assurer la sécurité des communications empruntant son réseau, et doit informer ses clients des services existants permettant le cas échéant de renforcer la sécurité des communications.

A - Les garanties opérateurs

Le secret des correspondances étant un prolongement du respect de la vie privée, le code des postes et télécommunications prévoit expressément la protection de la vie privée des consommateurs. Ainsi, l'interception, le détournement, l'utilisation ou la divulgation des correspondances émises, transmises ou reçues par la voie de télécommunications est puni d'un an d'emprisonnement et de 45000 EUR d'amende.

Depuis la loi du 10 juillet 1991, il en va de même pour les écoutes téléphoniques, et les correspondances émises par la voie de télécommunications (les courriers électroniques). Les écoutes téléphoniques sont interdites sauf exceptionnellement pour des affaires intéressant la sûreté de l'Etat ou la Défense nationale, le terrorisme, la criminalité ou la délinquance organisée, et la sauvegarde du potentiel économique ou scientifique de la France.

B - Utilisation de la cryptologie

La cryptologie constitue aujourd'hui pour les entreprises la solution technique incontournable pour protéger leurs échanges sur le réseau contre d'éventuelles violations de correspondance. La cryptologie est un moyen de préservation de l'intimité de la vie privée.

Selon l'article 29 de la loi pour la confiance dans l'économie numérique (LCEN) :
"On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.
On entend par prestation de cryptologie toute opération visant à la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie.".

Depuis janvier 1999, le gouvernement français a décidé de rendre totalement libre l'utilisation des moyens de cryptologie. Néanmoins, cette liberté reste conditionnée, notamment par la conservation des conventions de cryptage par des "tiers de confiance" - organismes placés sous le contrôle des pouvoirs publics - lorsque les clés emploient des algorithmes excédant 128 bits et qu'elles assurent une fonction de confidentialité ; l'utilisateur devant solliciter une autorisation préalable personnelle.
N'étant plus réservé au domaine militaire, la cryptologie est une nécessité pour le bon fonctionnement de la société de l'information.

II. Sécurité et patrimoines informatiques

Le patrimoine informatique comprend non seulement les biens matériels, mais également les oeuvres et créations issues de ces matériels. Il s'agit d'oeuvres et de créations audiovisuelles, multimédias, ou cinématographiques ; mais il peut également s'agir d'un logiciel, d'une marque, d'un brevet, d'une base de données, d'un ludiciel, ou d'un jeu vidéo...

A - Sécurité des oeuvres immatérielles

Les oeuvres de l'esprit considérées comme originales sont protégées par le droit de la propriété intellectuelle. En violation totale des droits d'auteur, ces oeuvres circulent parfois de façon illégale sur le Net. Ainsi, la diffusion, la reproduction, copie ou numérisation sans l'autorisation de l'auteur constituent un délit civil et pénal, puni de deux ans d'emprisonnement et 250 000 euros d'amende (Art.335-3 Code de Propriété Intellectuelle).

Un exemple de mesure récente de protection des droits d'auteur :
La CNIL vient d'autoriser les éditeurs de jeux vidéo à mettre en place des systèmes de surveillance automatique des téléchargements via les réseaux P2P. Ce dispositif comprend deux types de mesure : l'envoi de message d'avertissement aux internautes et la collecte de l'adresse IP de certains internautes en vue de dresser un procès-verbal d'infraction.
Les éditeurs de logiciels de loisirs (SELL) peuvent mettre en oeuvre un traitement automatisé de détection des infractions au code de la propriété intellectuelle pour le compte des victimes d'atteintes aux droits d'auteur comme le prévoit l'article 9-4° de la loi de 1978 telle que modifiée en août 2004.
La collecte d'adresse IP d'internautes sera effectuée en fonction de la gravité de l'infraction. Elle n'a pour but que de permettre la mise à disposition de l'autorité judiciaire d'informations et ne pourront acquérir un caractère nominatif que dans le cadre d'une procédure judiciaire. Quant au message d'avertissement, il sera envoyé aux internautes téléchargeant et mettant à disposition des logiciels de loisirs copiés illégalement sur les réseaux "peer to peer" et appartenant au catalogue d'un éditeur de logiciels dont le SELL défend les intérêts.

B - Sécurité des systèmes informatiques

Il s'agit ici de la protection contre les fraudes informatiques, notamment la violation des secrets de l'entreprise.
Le code pénal comporte des dispositions spécifiques liées à "Des atteintes aux systèmes de traitement automatisé de données". Sont ainsi visés l'intrusion et le maintien volontaire dans un système, l'entrave volontaire au système, les atteintes volontaires aux données et l'association de malfaiteurs en matière informatique.
L'intrusion et le maintien volontaire dans un système prévus à l'article 323-1, alinéa 1^er incrimine : "le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données". La sanction est d'un an d'emprisonnement et de 15 000 euros d'amende.
L'alinéa 2 du même article prévoit un renforcement des sanctions lorsque l'intrusion et le maintien frauduleux ont certaines conséquences : "Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30 000 euros d'amende".
Entrave volontaire au système (art. 323-2) : "Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données". La peine encourue est de trois ans d'emprisonnement et de 45 000 euros d'amende.
Atteintes volontaires aux données (art. 323-3) : "Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient". La peine encourue est de trois ans d'emprisonnement et de 45 000 euros d'amende.
L'article 323-4 prévoit que : "La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée".
L'article 323-7 prévoit également que la tentative des délits que nous venons d'examiner est punie des mêmes peines.

III. Sécurité et commerce électronique

Dans un environnement international, le commerce électronique exige des garanties en matière de sécurité, de confidentialité et de preuve des transactions. Ces garanties sont essentielles tant pour la protection du consommateur que pour celle du commerçant qui offre des produits et services au grand public.

A - Quels sont les risques relatifs au manque de sécurité ?

Menace au niveau de la transmission des données

Une personne non autorisée peut intercepter des données transférées entre deux sites sur Internet. Elle peut lire les données et les altérer. L'intégrité des données du commerce électronique telles que les demandes d'achats doit être assurée. La sécurité reposerait donc sur la confidentialité.

Menace au niveau de l'authenticité

Dans une transaction électronique, il n'est pas toujours aisé d'identifier l'acheteur et le vendeur. L'une des deux parties peut utiliser une fausse identité. Ici, la fonction de sécurité consiste à certifier que l'offre ou la commande provient bien de leur véritable auteur.

Menace pour les paiements

La vente de produits ou de services sans la conclusion d'un paiement est un risque commercial réel. Des exemples de non-paiements sont des achats réalisés avec une fausse identité, l'utilisation d'un compte bancaire non valide et le paiement avec des numéros de cartes de crédits illégitimes.
D'un point de vue légal, il est essentiel de pouvoir prouver devant un tribunal qu'un client a acheté le produit. Pour cela, l'utilisation d'une signature électronique fiable permet de réduire une grande partie des menaces visées.

B - La signature électronique

La signature électronique permet, à l'aide d'un procédé cryptographique, de garantir l'intégrité du document signé et l'identité du signataire. Actuellement seule une signature électronique basée sur la cryptographie asymétrique permet à une partie de se prévaloir de la présomption de fiabilité posée par l'article 1316-4 al. 2 (2e phrase) du code civil.

La signature électronique fiable est définie comme suit :

Le décret du 30 mars 2001 impose le respect de toute une série de conditions pour qu'un dispositif de création de signature électronique soit considéré comme un dispositif sécurisé :

• le dispositif de création de signature doit être certifié conforme aux exigences posées
• le recours à la certification est une des conditions du jeu de la présomption de fiabilité du procédé d'identification posée par l'article 1316-4 al. 2 du code civil.
• le matériel ou le logiciel utilisé comme dispositif de création de signature électronique doit être évalué et certifié par les centres d'évaluation agréés par le 1^er Ministre (décret du 18 avril 2002).

C - Sécurité des paiements en ligne

Le développement du commerce électronique exige des garanties de sécurité des réseaux.
La cryptologie, et tout particulièrement le chiffrement, constituent aujourd'hui le moyen de sécurisation des moyens de paiement le plus généralisé.
En générale, lorsque vous choisissez la carte bleue comme moyen de paiement en ligne, vous êtes redirigé vers le site Internet de la banque du cybercommerçant. La transaction s'effectue directement sur le site de la banque et grâce au système de télépaiement SSL (Secure Sockets Layer), les informations que vous fournissez sur votre carte (numéro et date d'expiration) ne sont en aucun cas connues par le cybercommerçant, seul sa banque dispose de ces informations ; le cybervendeur est seulement informé du bon règlement de votre commande. Le protocole SSL a pour but de crypter les données qui transitent sur Internet suivant deux clés de 128 bit réputées difficiles à percer, et une authentification des postes clients et serveurs.
Moins répandu, le protocole SET s'appuie lui aussi sur deux clés numériques qui cryptent les données. Il offre l'intérêt de protéger à la fois les données transmises par le client lors de la transaction et d'empêcher l'envoi des données bancaires confidentielles au logiciel marchand du commerçant. Les données bancaires sont directement envoyées à l'organisme bancaire chargé d'encaisser les paiements et après vérification, le commerçant reçoit uniquement ce qui le concerne : le détail des commandes qu'il doit traiter.

D - Protection des consommateurs :

=> En matière de paiement en ligne, la partie la mieux protégée est le consommateur, lequel bénéficie, depuis la Loi sur la Sécurité Quotidienne (la LSQ du 15/11/01), de la possibilité de contester le paiement effectué à distance avec sa carte bleue, dans les 70 jours suivant l'opération, si le paiement a été effectué frauduleusement, à distance, sans utilisation matérielle de sa carte, ou si sa carte a été contrefaite et que, au moment de l'opération, il était lui-même en possession physique de sa carte. L'utilisation physique de la carte signifie qu'elle est physiquement contrôlée par le biais de la frappe du code confidentiel permettant le contrôle de la présence du code sur la carte.

=> Le consommateur est également protégé contre le traitement des données à caractère personnel (nouvelle loi "Informatique et libertés" du 6 août 2004). Est ainsi qualifiée de donnée à caractère personnel, "toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement ou par référence à un numéro d'identification ou à plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peuvent avoir accès le responsable du traitement ou toute autre personne".
La Commission nationale de l'informatique et des libertés peut prononcer un avertissement à l'égard du responsable d'un traitement qui ne respecte pas les obligations découlant de la loi susvisée. La sanction peut être pécuniaire ou une injonction de cesser.
Les infractions aux dispositions de cette même loi sont également prévues et réprimées par les articles 226-16 à 226-24 du code pénal. Ainsi, les atteintes affectant les traitements automatisés ou non d'informations à caractère personnel, donnent lieu à des peines d'emprisonnement d'un an et d'amende de 15 000 EUR.

=> Le consommateur est protégé contre les communications commerciales non sollicitées ("spam"). La loi pour la confiance dans l'économie numérique (LCEN) a mis en place des mesures de " protection " des consommateurs contre les méfaits du "spam". Elle interdit l'envoi de messages commerciaux non sollicités (par courrier électronique, SMS ou MMS), sauf si la personne physique a donné son consentement préalable (système dit "opt-in").
Le fait de polluer une messagerie électronique est susceptible de constituer une infraction pénale sur le fondement de la violation de la loi du 6 janvier 1978, sanctionnée par les articles 226-16 à 226-24 du code pénal.
Le recours à un logiciel destiné à extraire les adresses électroniques présentes sur les sites ne respecte pas le droit à l'information des personnes et caractérise une collecte déloyale. Dès lors, "le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un traitement d'informations nominatives concernant une personne physique malgré l'opposition de cette personne, lorsque cette opposition est fondée sur des raisons légitimes, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende" (art. 226-18 du code pénal).