· TABLE DES MATIÈRES

REMERCIEMENTS 2

SIGLES ET ABRÉVIATIONS 3

TABLE DES MATIÈRES 5

INTRODUCTION 6

PARTIE I. LA CRYPTOGRAPHIE LIBÉRALISÉE: UN ATOUT DANS LA SECURISATION DES TRANSACTIONS ÉLECTRONIQUES 12

CHAPITRE I. LA SÉCURITÉ DU COMMERCE ÉLECTRONIQUE 13

Section I - Le chiffrement des données, une garantie de la sécurité technique 13

Section II - L'authentification et le contrôle d'intégrité: des outils pertinents au service de la preuve électronique 19

CHAPITRE II. LA PROTECTION DE LA VIE PRIVEE 27

Section I - La protection des données personnelles lors de leur transmission par le réseau 27

Section II - La protection des données personnelles stockées sur un ordinateur connecté au réseau 32

PARTIE II. LA CRYPTOGRAPHIE ENCADRÉE : UN IMPÉRATIF DE LA CONFIANCE NUMÉRIQUE 35

CHAPITRE I. LA PROTECTION DU CYBERCONSOMMATEUR 36

Section I - Les obligations du prestataire de services de cryptologie 36

Section II - La responsabilité du prestataire de services de cryptologie 40

CHAPITRE II. LA PROTECTION DE L'ETAT 45

Section I - Les restrictions à la circulation des moyens et à l'offre de prestations de cryptologie 45

Section II - Le contrôle de l'utilisation des moyens et prestations de cryptologie 48

CONCLUSION GÉNÉRALE 52

BIBLIOGRAHIE 54

WEBOGRAPHIE 57

· INTRODUCTION

Avec l'expansion impressionnante du réseau internet, le commerce électronique a connu un développement fulgurant à tel point qu'il est aujourd'hui devenu une pièce maîtresse dans la globalisation et dans l'interaction des échanges économiques à travers le monde, créneau majeur du concept de la mondialisation^1(*). Le commerce électronique et, plus généralement les transactions électroniques sont une réalité dans les pays développés depuis plusieurs décennies, mais commencent à peine à s'intégrer dans l'environnement économique de la majorité des pays africains.

Les transactions électroniques se présentent aujourd'hui comme un élément essentiel du développement de l'économie. Elles ont un réel potentiel de croissance dans les pays africains et sont à la base d'un ensemble d'opportunités à saisir. Il suffit pour s'en convaincre de jeter un regard sur l'engouement que suscitent les technologies de payement par mobile auprès des consommateurs africains. Selon une étude de 2011 du GSMA, l'Association des opérateurs mobiles utilisant le GSM, 80% des transactions effectuées sur mobile ont pour origine les pays d'Afrique de l'Est. La même association a publié cette année une autre étude évaluant à 2,8 milliards d'euros le montant total des transferts effectués rien qu'au Kenya avec le système de payement par téléphone mobile M-Pesa^2(*).

Toutefois, le développement des transactions électroniques est confronté à un problème de taille : celui de leur sécurisation. En effet, un des préalables majeurs des transactions électroniques concerne la sécurité. À cet égard, le développement du réseau internet n'a pas contribué à diminuer l'importance de cette problématique.

La sécurité est un enjeu fondamental qui touche à la confiance dans les transactions électroniques, et plus particulièrement du commerce électronique.

Pendant de nombreuses années, les internautes se sont montrés méfiants vis-à-vis du canal électronique dont les dangers ont été sans cesse décriés par les médias.

Le manque de confiance exprimé à l'égard des transactions électroniques résulte non seulement de la structure même d'internet conçu comme un réseau universel ouvert qu'aucun organisme n'a vocation à contrôler globalement, favorisant ainsi des actes de cybercriminalité; mais surtout du fait, pour les pays africains, que les technologies de l'information et de la communication ne font pas encore l'objet d'une législation adéquate.

Si les questions de sécurité existent bien et constituent un défi permanent pour les entreprises de commerce électronique et les utilisateurs des réseaux électroniques de façon générale, certaines techniques permettent de sécuriser les transactions tout comme le paiement en ligne.

Une technologie de pointe en particulier peut apporter des solutions et permettre des transactions électroniques en toute sécurité : il s'agit de la cryptographie, d'où le choix de notre sujet portant sur « cryptographie et transactions électroniques ».

Mais auparavant, il est important de définir les termes de ce sujet.

D'abord, la notion de transaction électronique.

Selon l'Agence Wallonne des Télécommunications, « une transaction électronique est un ensemble cohérent d'échanges d'informations relatifs à une même idée ou à un même acte, entre deux ordinateurs à travers un réseau informatique. L'objet d'une transaction électronique peut être une interrogation d'un stock, l'envoi d'une facture, un achat avec ou sans transfert d'argent, etc. ».^3(*)

L'OCDE définit le commerce électronique comme étant « la vente ou l'achat de biens ou de services, effectué par une entreprise, un particulier, une administration ou toute autre entité publique ou privée, et réalisé au moyen d'un réseau électronique ».

Cette définition inclut non seulement les achats et ventes réalisés sur un site Internet, mais également les achats par minitel, par un système téléphonique interactif (type Audiotel) ou encore, entre les entreprises, par le biais de relations directes et automatisées d'ordinateur à ordinateur tel que les Échanges de Données Informatisées (EDI).

Ensuite, le terme la cryptographie : la cryptographie est une science très ancienne.

Il faut d'abord préciser que le recours à la cryptographie est une pratique ancienne. Il convient donc, dans un premier temps, de définir la notion et la placer dans son contexte historique.

Le Larousse définit la cryptographie comme l' « ensemble des techniques de chiffrement qui assurent l'inviolabilité de textes et, en informatique, de données. »

D'après l'Agence française de la sécurité des systèmes d'information, « la cryptographie est une science visant à transformer à l'aide de conventions secrètes appelées clés, des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers n'ayant pas la connaissance du secret, ou à réaliser l'opération inverse grâce à des moyens, matériels ou logiciels conçus à cet effet »^4(*).

Du grec « kruptos » (caché) et « graphein » (écrire) le mot « cryptographie » peut être assimilé à « étude des écritures secrètes ». La cryptographie, c'est l'art de dissimuler ses intentions ou ses instructions à ses ennemis et de les transmettre à ses amis au moyen d'un texte chiffré^5(*).

Apparue en même temps que la cryptographie, la cryptanalyse désigne la technique qui étudie les moyens de chiffrement et recherche les méthodes permettant de décrypter ; plus généralement, c'est la science qui étudie la sécurité des procédés cryptographiques. Cette technique est généralement employée dans le but de briser le code avec lequel le message a été crypté.

Ensemble, la cryptographie et la cryptanalyse forment la cryptologie^6(*).

Le législateur français ne définit pas la notion elle-même et préfère citer les prestations et moyens de cryptologie. Selon l'art. 28 I, premier alinéa, de la loi no 90-1170 du 29 septembre 1990^7(*) , « on entend par prestations de cryptologie toutes prestations visant à transformer à l'aide de conventions secrètes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l'opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet ».

Le texte définit ensuite le moyen de cryptologie : « On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié dans le même objectif ». Une série de dispositions juridiques viennent par la suite former le régime légal de la cryptologie.

La cryptologie est définie dans la loi sénégalaise n° 2008 - 41 du 20 août 2008 sur la cryptologie comme étant la « science relative à la protection et à la sécurité des informations notamment pour la confidentialité, l'authentification, l'intégrité et la non répudiation des données transmises ». Elle est composée de la cryptanalyse qui consiste à rendre intelligible une information cryptée sans connaître le moyen utilisé pour la crypter et de la cryptographie qui est « l'étude des moyens et produits de chiffrement permettant de rendre illisibles des informations afin de garantir l'accès à un seul destinataire authentifié ».

La cryptologie est donc une pratique et une science anciennes. Ses premières utilisations se rapportent il y a 4000 ans en Égypte^8(*).

Durant plusieurs siècles, l'écriture secrète sera exploitée uniquement à de fins politiques et militaires et évoluera faiblement.

Avant Internet, le télégraphe révolutionnera la cryptographie. Les travaux qui ont incontestablement révolutionné la cryptologie ont été publiés en 1976 par Whitfield DIFFIE et Martin HELLMAN.^9(*)

Avec l'expansion des transactions électroniques à partir des années 1990 et l'apparition de menaces liées à celles-ci, la cryptographie devient l'outil indispensable pour en assurer la sécurité.

Du point de vue du consommateur, le commerce électronique et les transactions électroniques se basent sur la confiance. Celui-ci doit être convaincu que les transactions en ligne ne comportent pas de risque pour lui si bien qu'on est actuellement en présence d'une véritable mutation, d'un passage d'une science du secret à la science de la confiance.

Ce constat suscite une interrogation importante : Quelle politique de la cryptographie faut-il adopter pour favoriser l'édification de la confiance des consommateurs africains dans les transactions électroniques?

Un cadre juridique harmonieux de la cryptographie suffisamment protecteur du consommateur africain devrait permettre d'effacer ses craintes légitimes vis-à-vis du canal électronique. A l'instar de l'Union Européenne ou de la France, la démarche passera par l'adoption d'une politique libérale de la cryptographie. Il faudra néanmoins un encadrement rigoureux de cette technologie.

En effet, la cryptographie est nécessaire à la sécurisation technique et juridique des transactions électroniques : la cryptographie grâce à des algorithmes complexes permet d'assurer les fonctions de confidentialité, d'intégrité, d'authentification et de non-répudiation des messages électroniques. En cela, elle apparaît comme la méthode la plus efficace et la plus sure pour protéger les informations échangées sur les réseaux numériques^10(*). La reconnaissance juridique de la valeur probante de l'écrit électronique, la consécration de la signature électronique comme moyen d'authentification de celui-ci et le recours au tiers certificateur confère aux transactions électroniques la confiance tant recherchée.

L'équation n'est pas si simple cependant. D'abord, les garanties de sécurités offertes par la cryptographie ne sont pas absolues. En effet, certaines conventions secrètes (clés cryptographiques secrètes) peuvent être « cassées » relativement facilement^11(*); ou alors, une défaillance dans les logiciels cryptographiques pourrait permettre le vol de ces conventions secrètes par des cybercriminels. La faille de sécurité heartbleed^12(*) découverte récemment dans le logiciel cryptographique openSSL en est un exemple parlant. Il se pose dès lors la question de la gestion des clés cryptographiques et de la responsabilité en cas de défaillance des prestataires de services de cryptographie. Ensuite, l'utilisation de la cryptographie peut parfois constituer un obstacle à la justice. C'est le cas par exemple de l'utilisation de la cryptographie par des cybercriminels empêchant la justice d'avoir accès à certaines informations dans le cadre d'une investigation judiciaire. D'où la nécessité d'un encadrement rigoureux de la cryptographie.

Les États gardaient un contrôle étroit de la cryptographie pour des raisons de sécurité intérieure et extérieure. Mais face à un besoin nouveau, celui de la sécurisation du commerce électronique, la tendance est de plus en plus à la libéralisation de cette technologie^13(*).

En France, la libéralisation de la cryptologie par la Loi n° 2004-575 du 21 juin 2004 pour la Confiance dans l'Économie Numérique (LCEN) a permis l'essor du commerce électronique.

Dans l'UEMOA, la question de la cryptographie n'a pas encore été règlementée^14(*) ; ce qui fait tout l'intérêt de ce thème.

Les États de la CEDAO ont récemment fait des efforts s'agissant de la réglementation des transactions électroniques. La Communauté ayant en effet élaboré un instrument juridique^15(*) allant dans ce sens et dont les dispositions ont été déjà intégrées dans l'ordonnancement juridique de certains États membres. Cet instrument renvoie^16(*) à des textes spécifiques à venir, le rôle de définir le régime juridique de la cryptologie.

Ayant pris conscience du « potentiel de croissance »^17(*) des transactions électroniques et compte tenu de l'indispensable recours à la cryptographie pour la sécurisation de celles-ci, il est improbable que les législateurs dans l'espace de la CEDEAO consacrent une solution différente de celle du législateur français, c'est-à-dire le principe de la liberté d'utilisation des moyens et prestations de cryptologie.

C'est d'ailleurs en partie la solution adoptée par le Sénégal dans sa loi n° 2008-41 du 20 août 2008 sur la cryptologie. Ce texte prévoit en son article 12 la libre utilisation des moyens et prestations de cryptologie mais uniquement à des fins d'authentification et de vérification de l'intégrité des messages ou documents électroniques.

En nous appuyant sur la doctrine ainsi que sur la législation française sur la cryptologie, qui transpose les directives de l'Union Européenne en la matière, et sur la loi sénégalaise, nous essayerons de relever, dans un premier temps, les arguments en faveur de l'adoption d'une politique libérale de la cryptographie. Nous tenterons, ensuite, de déterminer les domaines dans lesquels un encadrement semble nécessaire.

Notre démarche consistera à démontrer que, si la confiance des utilisateurs des réseaux numériques est indispensable au développement des transactions électroniques, la cryptographie apporte des garanties de sécurité technique. Sa libéralisation se présente alors comme une nécessité du développement des transactions électroniques (Première partie). Mais, la cryptographie en tant que réponse technique aux vulnérabilités inhérentes aux communications sur un réseau ouvert, n'est pas un sésame et constitue parfois elle-même un facteur du problème. Un encadrement judicieux de la cryptographie permettra d'assurer la sécurité juridique des transactions électroniques et d'asseoir ainsi la confiance des consommateurs (Seconde partie).

* 1 In http:// www.congovision.com/science/bilolo_kalonji1.html

* 2 M-Pesa (M pour mobile, Pesa pour argent en swahili) est un système de transfert d'argent par téléphonie mobile et un service de micro-finance lancé par Safaricom et Vodacom, les plus grands opérateurs de réseaux mobiles au Kenya et en Tanzanie. Actuellement, le système de paiement mobile le plus développé dans le monde, M-Pesa permet aux utilisateurs disposant d'une carte d'identité nationale ou passeport à déposer, retirer et transférer facilement de l'argent avec un appareil mobile.

* 3 Définition de l'Agence Wallonne des Télécommunications disponible à l'adresse: http://www.awt.be/contenu/tel/res/res,fr,fic,010,000.pdf [Consultée le 12/04/2013]

* 4 http://www.securite-informatique.gouv.fr/gp_article10.html [Consulté le 12/04/2013]

* 5 In http://fr.wikipedia.org/wiki/Cryptographie [Consulté le 12/04/2013]

* 6 D. Mougenot, « La preuve », Larcier, 2002, p. 172.

* 7 Texte tel que modifié par l'art. 17 de la loi 96-659 du 26 juillet 1996 sur la réglementation des télécommunications.

* 8 Dans la ville égyptienne Menet Khufu. Les égyptiens utilisaient des hiéroglyphes moins connus ou compliqués à la place des hiéroglyphes ordinaires. Le texte résultant était assez facile à décrypter, mais l'inscription contenait quand même le premier élément essentiel de la cryptographie : une modification volontaire de l'écriture. Les chinois ont aussi pratiqué la stéganographie à l'aide de papier ou de soie qu'ils roulaient en boule et recouvraient de cire. Cette boule était ensuite dissimulée ou avalée par le porteur du message pour assurer la sécurité lors du transport

* 9 Ils ont théorisé pour la première fois la cryptographie à clé publique en prenant le soin de déterminer avec toute la clarté requise, les propriétés de ce système. Sa mise en pratique se fera en 1978 grâce à Ronald RIVEST, Adi SHAMIR et Leonard ADLEMAN avec l'algorithme RSA nommé par les initiales de ses trois inventeurs.

* 10 E. A. Caprioli « dispositifs techniques et droit d'auteur dans la société de l'information », p.7

* 11 C. Guerrier, « La cryptologie entre sécurité et liberté ». Disponible à l'adresse : http://www.ostic.info/docs/04_Cryptologie.pdf [Consulté le 15/06/2013]

* 12 Heartbleed est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL depuis mars 2012, qui permet à un « attaquant » de lire la mémoire d'un serveur ou d'un client pour récupérer, par exemple, les clés privées utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). Découverte en mars 2014 et rendue publique le 7 avril 2014, elle concerne de nombreux services Internet. Ainsi 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, seraient touchés par la faille au moment de la découverte du bogue. Cf. http://fr.wikipedia.org/wiki/Heartbleed

* 13 C. Guerrier, Op. Cit. No. 11.

* 14 Seul le Sénégal dans la zone UEMOA, à notre connaissance, a dans son système réglementaire, un texte spécifique destiné à encadrer le recours à la cryptologie. La question est sommairement abordée dans la nouvelle loi togolaise n° 2012-018 du 17/12/2012 sur les communications électroniques.

* 15 Il s'agit de l'acte additionnel A/SA.2/01/10 de la CEDAO portant transactions électroniques, adopté le 16 février 2010.

* 16 Article 36 de l'acte additionnel A/SA.2/01/10 de la CEDAO portant transactions électroniques.

* 17 Dans l'exposé des motifs l'acte additionnel A/SA.2/01/10 de la CEDAO portant transactions électroniques.