· PARTIE II.
LA CRYPTOGRAPHIE
ENCADRÉE : UN IMPÉRATIF DE LA CONFIANCE NUMÉRIQUE
Nous avons vu que le cryptage libre est
susceptible de constituer un levier déterminant pour le
développement du commerce électronique. Certains auteurs sont
favorables à une libéralisation totale de la
cryptographie55(*).
Mais, dans l'élaboration d'une politique de la
cryptologie aux fins du commerce électronique, les États sont
confrontés à la difficulté suivante : trouver un
juste équilibre entre les questions fondamentales liées à
la protection des données à caractère personnel et aux
intérêts commerciaux, et l'obligation pour l'État d'assurer
sa protection et celle de ses citoyens contre les diverses menaces pesant sur
la sécurité publique.
La nécessité de concilier ces contraintes
contradictoires n'est pas nouvelle, mais elle a pris une nouvelle dimension
aujourd'hui, en raison des récentes évolutions technologiques et
de la nécessité de promouvoir le commerce
électronique56(*).
La règlementation de la cryptologie aux fins du
commerce électronique vise à assurer une protection solide au
cyberconsommateur (Chapitre I) sans nuire à celle de l'État
(Chapitre II)
· CHAPITRE I.
LA PROTECTION DU
CYBERCONSOMMATEUR
La promesse de la cryptographie est de combler les
défaillances inhérentes à la
dématérialisation des opérations sur les réseaux
numériques. Elle apporte, pour ce faire, des garanties de
sécurité technique des transactions électroniques en
assurant les fonctions de sécurité que sont la
confidentialité, l'intégrité, l'authentification et la
non-répudiation. L'éventualité d'une défaillance de
la cryptographie à tenir cette promesse est source de craintes pour
les consommateurs qui pourraient alors subir des dommages irréversibles.
Les tiers de confiance que sont les prestataires de service de
cryptologie sont les garants de cette sécurité dans la mesure
où ce sont eux qui ont la charge de la gestion des clés
cryptographiques. C'est pourquoi, dans l'optique de consolider la confiance des
consommateurs, la loi a astreint les prestataires de services de cryptographie
à de nombreuses obligations (Section I). Elle a aussi renforcé
les conditions de mise en jeu de leur responsabilité au profit des
utilisateurs (Section II).
Section I -
Les obligations du prestataire de services de cryptologie
Le prestataire de services de cryptologie a certaines
obligations vis-à-vis des utilisateurs qui lui confient la gestion de
leurs conventions secrètes (Paragraphe I) et d'autres vis-à-vis
de l'État (paragraphe II)
· Paragraphe I - Les obligations du
prestataire vis-à-vis de l'utilisateur
Vis-à-vis des utilisateurs, le prestataire de services
de cryptologie a l'obligation d'assurer la sécurité des
conventions secrètes qui lui sont confiées (A). Il est, en outre,
tenu au secret professionnel (B).
· A - La
sécurité des conventions secrètes
La préservation de la sécurité des
conventions secrètes incombe aux prestataires de cryptologie aux termes
de la loi française. Ainsi, ils doivent non seulement les conserver
eux-mêmes pendant une durée minimale de quatre (4) ans à
compter de la signature du contrat avec l'utilisateur, mais aussi, ils doivent
veiller à ce qu'elles ne puissent être altérées,
endommagées, détruites, consultées ou communiquées
à des tiers non autorisés. Les prestataires sont enfin tenus de
prendre connaissance de toutes dispositions utiles notamment contractuelles,
vis-à-vis de leurs employés, de leurs partenaires, de leurs
clients et de leurs fournisseurs afin que soit respectée la
confidentialité des informations relatives à l'utilisation des
conventions secrètes. Ceci ne les dispense pas de l'obligation de se
conformer à la règlementation sur la protection des
données à caractère personnel.
Les prestations des organismes ne sont pas
réservées qu'à leurs seuls clients. Ils ont aussi
l'obligation de mettre en oeuvre des conventions secrètes au profit des
autorités administratives ou judiciaires compétentes ou de les
remettre directement aux dites autorités.
La loi sénégalaise sur la cryptographie
prévoit pratiquement les mêmes obligations à la charge des
prestataires de services de cryptologie et les précise.
Ceux-ci doivent fournir, par voie écrite ou
électronique, dans une langue compréhensible, une information
correcte sur l'ensemble des services qu'ils proposent. Il doit être
clairement précisé les termes et conditions contractuels,
spécialement les procédures de réclamation et de
règlement des litiges.
Les prestataires ont l'obligation de signer avec les
utilisateurs, un contrat pour la gestion des conventions secrètes. Le
contrat doit nécessairement indiquer la référence de
l'agrément accordé au prestataire par l'État, sa
durée et sa date d'expiration et toute information utile contenue dans
le cahier des charges. Il doit comporter une clause par laquelle, l'organisme
s'engage relativement à la confidentialité ou à la
sécurité des conventions secrètes qu'il gère et
doit préciser les modalités selon lesquelles, il est possible,
pour l'utilisateur ou son mandataire, d'obtenir délivrance d'une copie
des conventions secrètes.
* 55 M. Marzouki et F. Sauterey,
« Cryptographie : la confidentialité est un droit et non
un privilège », In
http://www.iris.sgdg.org/documents/art-terminal0299.html
* 56 Industrie Canada,
« Politique cadre en matière de cryptographie aux fins du
commerce électronique : Pour une économie et une
société de l'information au Canada », Février
199. In
https://www.ic.gc.ca/eic/site/ecic-ceac.nsf/fra/gv00367.html
| 
