Document thématique

Introduction | Table des matières | Donner la maitrise a l'utilisateur

3. BÂTIR LA CONFIANCE

Les gouvernements nationaux peuvent contribuer dans une large mesure au développement des réseaux d'information globaux en fournissant un cadre dans lequel soient assurées tant la protection des intérêts généraux de la société que celle des individus, et où l'industrie et les utilisateurs aient confiance dans le fonctionnement et l'utilisation des réseaux.

Bâtir la confiance en réalisant une protection efficace est essentiel pour l'essor positif de ces réseaux. Ceux qui confient leurs données aux réseaux veulent être certains que ces données ne sont pas altérées et qu'elles ne seront pas divulguées à des sujets non autorisés; ils souhaitent d'autre part préserver leur vie privée. Les responsabilités des différents acteurs doivent aussi être claires, de manière que ceux-ci puissent évaluer à la fois les avantages d'utiliser les réseaux globaux d'information et les implications juridiques et financières.

Assurer une protection publique efficace suppose également que les autorités judiciaires et pénales disposent des moyens de prévenir et de combattre l'utilisation frauduleuse des réseaux globaux d'information, tout en évitant les restrictions paralysantes.

3.1. Sécurité et confidentialité

3.1.1. Questions identifiées

La sécurité de l'information est une des questions clés pour l'émergence de la société globale de l'information. Il est particulièrement important de susciter une confiance commune dans l'avenir de la nouvelle infrastructure de communication, et de s'assurer ainsi que celle-ci déploie pleinement ses capacités. L'utilisation correcte des technologies disponibles, combinée aux meilleures pratiques, assure aux utilisateurs l'intégralité et la confidentialité de leurs transactions commerciales et contribue à la protection de leur vie privée. L'utilisation de méthodes cryptographiques est un moyen important de réduire la vulnérabilité des données aux dommages ou à l'accès non autorisé dans ce type de réseaux d'information ouverts.

Il est également important que la confidentialité des données soit protégée lorsque les réseaux électroniques sont utilisés pour commander des biens ou services, pour les paiements électroniques, pour soumissionner des marchés publics ou échanger des données médicales, ainsi que pour les communications privées. Il sera généralement nécessaire d'autre part de s'assurer que les soumissions et données personnelles ne sont accessibles qu'aux sujets autorisés du réseau. Le chiffrement et la signature électronique sont les deux principales applications de la cryptographie dans le domaine du commerce électronique.

L'usage des méthodes cryptographiques pour protéger la confidentialité peut également aider les criminels (par exemple, traficants de drogue ou terroristes) à masquer leurs activités. Les administrations publiques peuvent souhaiter avoir accès au texte en clair des données codées dans certaines circonstances, qui doivent être définies par la loi. Une distinction doit être opérée entre cette utilisation de la cryptographie et l'usage de la cryptographie pour la protection de l'intégrité des données ou l'authentification des correspondants, notamment en ce qui concerne les signatures électroniques, dont il sera traité dans la section suivante, et lorsque le système transmet librement l'information requise pour décrypter et vérifier la signature.

Le 27 mars 1997, l'OCDE a approuvé des Lignes Directrices régissant la politique de cryptographie. Ces Lignes Directrices ne constituent pas un document juridique contraignant, mais elles représentent la première tentative à un niveau international pour dégager une perspective commune sur la question de la confidentialité. Dans l'Union européenne, les dispositions de la directive en matière de protection des données devront être observées.

Des solutions techniques et une sensibilisation de l'utilisateur sont nécessaires pour assurer la sécurité et la fiabilité des systèmes électroniques. Un exemple en est la question du changement de date au tournant du siècle, par ailleurs connu sous la dénomination de «Bug du millénaire». De nombreux programmes informatiques et micro-processeurs ne seront pas en mesure de traiter convenablement les dates qui suivront le 31 décembre 1999. Le gouvernement britannique a engagé une initiative de sensibilisation à grande échelle qui s'adresse aux entreprises et aux utilisateurs du secteur public.

3.1.2. Questions

3.1.3. Solutions possibles

3.2. Authentification et intégrité des messages

3.2.1. Questions identifiées

Les réseaux globaux d'information peuvent être utilisés pour toute une gamme d'applications dans les domaines commerciaux et personnels, par exemple pour commander des biens ou services, pour les paiements électroniques ou pour soumissionner des marchés publics. De même que dans les relations commerciales traditionnelles «basées sur papier», les signataires doivent être identifiés, les documents authentifiés, la non-opposabilité établie dans les échanges numériques.

Dans la phase initiale du développement du commerce électronique notamment, il est nécessaire d'intégrer la confiance dans les transactions électroniques. Un des déterminants clés de cette confiance est l'utilisation des signatures numériques.

Sur la base du contenu du message, et en propre à celui-ci, les signatures numériques peuvent assurer la confirmation sans ambiguïté de l'identité de l'expéditeur d'un message, ainsi que de l'authenticité et de l'intégrité de celui-ci. Comparée à ses homologues analogiques, une signature numérique peut offrir des fonctions supplémentaires et des avantages spécifiques en termes de sécurité et de flexibilité. Une première étape de mise en confiance dans le système consisterait en l'adoption de règles et normes minimales pour l'infrastructure destinée aux signatures numériques, incluant les administrations de certification.

Les exigences formelles des transactions juridiques, et notamment la nécessité de signatures, varient dans les différents systèmes juridiques. Pour que la communication électronique puisse matérialiser pleinement son potentiel dans les domaines juridiques et commerciaux internationaux, les signatures numériques doivent être pleinement reconnues - pour ce qui est des exigences officielles et de leur admissibilité comme preuve - dans le contexte des lois et règlements nationaux.

La reconnaissance des signatures numériques doit être conçue pour couvrir toutes les transactions susceptibles d'être effectuées électroniquement, étant donné que la sécurité contre la contrefaçon par exemple est bien supérieure à celle des opérations papier traditionnelles. Il convient de veiller à clarifier la responsabilité des émetteurs de certificats et leur responsabilité sous l'angle d'une information précise et de la garantie du droit à la confidentialité.

Simultanément, les signatures numériques ont des incidences en matière de vie privée. L'utilisation des signatures numériques peut impliquer le recueil de données personnelles et la création de systèmes d'identification personnels. Il en résulte que la conception et l'utilisation des signatures numériques doivent respecter le droit fondamental au respect de la vie privée et, dans l'UE du moins, se conformer à la directive en matière de protection des données.

3.2.2. Questions

3.2.3. Solutions possibles

3.3. Responsabilité des acteurs

3.3.1. Questions identifiées

Les acteurs d'Internet peuvent jouer différents rôles. La chaîne qui s'étend de l'utilisateur final au fournisseur de contenu comporte un certain nombre de maillons: fournisseur de service hôte, opérateur de réseau et fournisseur d'accès. Il serait trompeur de chercher une comparaison exacte entre ces rôles et les rôles plus traditionnels et familiers existant dans le monde de l'imprimé ou de l'audiovisuel, bien que certains parallèles puissent être tracés.

Il est nécessaire de développer une vision commune en définissant le rôle de chaque acteur aux niveaux national et international, et la responsabilité de chaque intervenant pour établir la confiance et augmenter la transparence à tous les niveaux d'intervention dans la chaîne reliant la création de contenu à l'utilisateur. Les responsabilités de chacun doivent être clairement définies, de même que les conséquences pouvant découler du non-respect de ces responsabilités. Ceci vaut dans le cas du contenu illicite, où la connaissance des responsabilités revêt une importance spéciale pour le pouvoir public, les autorités réglementaires et juridiques, mais également dans le cas de la plupart des opérations en ligne, pour lesquelles les participants doivent pouvoir trancher chaque fois qu'on juge qu'une erreur a été commise ou qu'un différend surgit sur ce qui a été convenu.

L'État a un rôle important à jouer pour ce qui est de délimiter le cadre juridique de la responsabilité des acteurs des réseaux globaux d'information. L'application pratique de ces règles peut être facilitée moyennant des activités appropriées de la part des acteurs en cause. Il peut s'agir de codes de conduite ou de mécanismes d'autoréglementation.

Le test utilisé pour mesurer ces responsabilités devrait consacrer une juste place à ce qui est techniquement réalisable et à ce qu'on peut raisonnablement attendre d'un intervenant connaissant l'existence du contenu illicite. Le test envisagé en Allemagne et celui proposé par le Groupe de Travail consisteraient à ce que les prestataires de service Internet ne soient responsables du contenu illicite que lorsqu'ils sont eux-mêmes fournisseurs de contenu, ou lorsqu'ils ont été informés et n'ont pas pris les mesures raisonnables destinées à éliminer le contenu illicite d'un service qu'ils proposent.

La responsabilité a constitué un des facteurs débattus lors de la conférence diplomatique consacrée à certaines questions de droits d'auteur et de droits voisins qui s'est tenue à Genève du 2 au 20 décembre 1996, mais les traités et déclarations adoptés par la conférence laissent aux parties contractantes toute latitude pour adopter leurs propres solutions sur cette question.

3.3.2. Questions

3.3.3. Solutions possibles

3.4. Prévenir et combattre l'utilisation abusive

3.4.1. Problèmes identifiés

Des doutes sont parfois exprimés quant à savoir si le droit pénal existant est adéquat pour traiter le phénomène de l'utilisation abusive des réseaux globaux pour des activités criminelles ou la distribution de contenu illicite. Les réseaux globaux d'information n'existent pas dans un vide juridique dans la mesure où tous les acteurs concernés (auteurs, fournisseurs de contenu, fournisseurs de serveur, opérateurs de réseau, fournisseurs d'accès et utilisateurs finals) sont assujettis à leurs droits nationaux respectifs. Des difficultés peuvent se présenter lorsqu'il s'agit d'appliquer les lois nationales dans un environnement qui n'est pas limité au territoire national.

Le public doit être sûr que ces réseaux ne portent pas atteinte à la sécurité nationale ou à l'ordre public et qu'ils n'offrent pas à des criminels la possibilité de développer des activités illicites ou de menacer des personnes. Ce qui est illicite hors-ligne doit le rester sur les réseaux.

Les réseaux globaux d'information peuvent faire l'objet d'une utilisation abusive visant les personnes connectées (piratage malveillant) ou être utilisés en tant qu'outil par des organisations criminelles, des groupes terroristes ou des cercles pédophiles pour faciliter des activités illicites (fraude, trafic de drogue, paris clandestins) ou pour distribuer un contenu illicite et préjudiciable tel que la pornographie mettant en scène des enfants ou l'incitation à la haine raciale. D'autres activités criminelles telles que le blanchiment d'argent sale, la fraude et la contrefaçon pourraient se développer rapidement avec l'utilisation accrue des moyens de paiement électroniques abordés ci-dessous.

Lorsque le contenu ou l'usage fait des réseaux est illicite aussi bien dans le pays où le contenu est mis en circulation que dans celui où il est reçu, la poursuite et la répression des utilisateurs et fournisseurs de contenu ne posent généralement pas de problèmes majeurs sur les plans policier et judiciaire. Dans la plupart des pays, une législation existe déjà mais certaines adaptations pourraient être requises. Une coopération internationale entre forces de l'ordre est nécessaire.

Beaucoup plus difficile est la question du contenu considéré illégal selon la loi du pays de réception mais pas selon celle du pays où le contenu est mis en circulation. Comme la définition des délits varie d'un pays à l'autre, tous les actes répréhensibles ne sont pas nécessairement punissables dans tous les pays. Certains règlements nationaux imposent aux fournisseurs d'accès de limiter l'accès aux sites qui diffusent ce genre de contenu.

L'identification des délinquants peut ne pas toujours être possible en l'absence de règles imposant que les fournisseurs d'accès conservent un enregistrement de l'activité pendant une certaine période ou que le fournisseur du contenu puisse être identifié. De telles règles soulèveraient toutefois des questions difficiles concernant la protection de la vie privée et de l'anonymat.

Les lignes directes et les fournisseurs de service, agissant sur le conseil d'organismes d'autoréglementation peuvent assister les forces de l'ordre en les informant de l'existence de matériel illicite et sont les mieux placés pour réduire le flux de contenu illicite. Les documents de la Commission européenne traitent de cet aspect de façon plus approfondie et des organismes ont été créés à cette fin dans certains États membres. La coopération internationale entre ces groupes est également un bon moyen d'améliorer l'efficacité de leurs opérations.

Des questions juridiques relatives à la procédure pénale et à l'établissement de la preuve, y compris l'interception des communications, doivent être abordées, de même que des aspects techniques concernant la praticabilité de l'interception légale. Bien que difficilement réalisable en raison de traditions et de cultures juridiques différentes, la définition de certaines normes législatives minimales communes qui pourraient s'appliquer au domaine des réseaux globaux faciliterait la coopération policière et judiciaire en comblant des lacunes.

En tout cas, la répression et la poursuite sont du ressort des autorités policières et judiciaires nationales, qui devraient s'efforcer de collaborer étroitement au niveau international. Le Conseil de l'Europe a adopté des Recommandations ministérielles à ce sujet et envisage la rédaction d'une Convention. L'Organisation de coopération et de développement économique (OCDE) examine les questions soulevées par les initiatives prises par la France et la Belgique. Parmi d'autres activités internationales pertinentes en cours, citons notamment la préparation du Sommet G8 de Denver en juin 1997, au cours duquel sera examinée une déclaration relative à la lutte contre la criminalité informatique.

D'autres initiatives concernent l'assistance mutuelle et l'identification et la formation d'enquêteurs et de procureurs familiers des ordinateurs. Le Conseil de l'Europe travaille également sur une Convention relative à la criminalité informatique et examinera de manière plus large les problèmes posés par les nouveaux services lors d'une conférence à Thessalonique.

3.4.2. Questions

3.4.3. Solutions possibles

Introduction | Table des matières | Donner la maitrise a l'utilisateur

Home - Gate - Back - Top - Confiden - Relevant