Vers un premier texte international sur la gestion d'identité et les services de confiance
A l’ère digitale, les questions liées à l’identité numérique et aux services de confiance comme la signature électronique sont devenues incontournables en matière de confiance numérique. Après le règlement eIDAS de 2014, la Commission des Nations Unies pour le Droit Commercial International (CNUDCI) a entrepris des travaux sur ces deux sujets visant l’adoption d’une loi-type à New York en juillet 2022, suite aux derniers travaux de la Commission. Analyse de ses tenants et aboutissants par Maître Eric A. Caprioli.
Pour encadrer ces services, l’Union européenne a adopté le règlement eIDAS le 23 juillet 2014. A l’initiative de certains états membres de l’UE (notamment Belgique, France, Italie, Autriche et commission européenne), la CNUDCI a lancé des travaux sur la gestion d’identité et les services de confiance en 2015.
Les travaux de la CNUDCI ont été parachevés par l’adoption d’une loi-type en juillet 2022. Cela constitue le premier corpus de règles internationales sur ces sujets. Ce texte s’inscrit dans la continuité des autres instruments adoptés par la CNUDCI depuis 1996. La loi-type intervient également pour surmonter certains obstacles juridiques et, en particulier, favoriser la reconnaissance de la gestion de l’identité et des services de confiance et renforcer la prévisibilité et la sécurité juridique des opérations électroniques.
Les discussions ont manifesté des oppositions entre les États membres de l’UE et les pays d’inspiration plusanglo saxonne (ex : USA, Singapour). Finalement, les systèmes ex-ante (examen préalable de la fiabilité en vue de donner une présomption) et les systèmes ex-post (examen de la fiabilité devant le juge) ont été reconnus. Les principes directeurs de la CNUDCI - non-discrimination à l’égard d’un procédé électronique, équivalence fonctionnelle et neutralité technologique – ont été suivis.
I) Gestion de l’identité
Le chapitre II de la loi-type (art. 5 à 12) vise à satisfaire la nécessité d’identifier chaque partie de manière fiable à travers notamment une identité numérique. L’identification électronique (art. 1-d) se définit comme "un processus utilisé pour obtenir une garantie suffisante de lien unissant une personne à une identité", cette dernière étant un "ensemble d’attribut qui permet à une personne d’être identifiée de manière unique dans un contexte particulier" (art. 1-e).
L’article 5 emporte la reconnaissance juridique de la gestion de l’identité qui ne peut être privée de ses effets juridiques, de sa validité ou de sa recevabilité en tant que preuve du seul fait de l’usage de la forme électronique (non-discrimination). L’utilisation d’une méthode fiable est une notion centrale explicitement prévue pour la gestion de l’identité (art. 9). La méthode doit être fiable par rapport à l’objet pour lequel elle est utilisée ou elle doit avoir démontré dans les faits ou devant un tribunal qu’elle remplit la fonction d’identification électronique et de contrôle de l’identité (art. 10).
Les services de gestion de l’identité prévoient des règles relatives à la conservation des documents, la gestion de la sécurité de l’information, aux installations et au personnel. Dans l’hypothèse d’un incident de sécurité, le prestataire de service devra y remédier et notifier l’atteinte ou la perte d’intégrité (selon le droit applicable), ou suspendre le service concerné. On peut regretter que la loi-type ne mentionne, ni ne détermine les niveaux de garantie, à l’image de ce qu’établit le règlement eIDAS (trois niveaux : faible, substantiel et élevé) ce qui aurait facilité les correspondances entre lesdits niveaux.
II) Services de confiance
Le chapitre III (art. 13 à 24) traite des services de confiance. L’objectif est de pouvoir se fier avec certitude à la qualité des données par le biais de garanties sur leur origine et leur intégrité. Ainsi, du fait de la spécificité des fonctions des services de confiance et de l’absence d’équivalent papier, les services de confiance (signatures électroniques, cachets électroniques, horodatages électroniques, archivage électronique, services d’envoi recommandé électronique ou authentification de site web) se fondent sur l’équivalence fonctionnelle et repose sur l’utilisation d’une méthode fiable.
La fiabilité de la méthode (art. 22) repose sur les mêmes principes que pour l’identification électronique. Afin de déterminer la fiabilité de la méthode, il faut :
- respecter les obligations du prestataire énoncées à l’art. 14,
- s’assurer de la conformité aux règles, aux politiques et pratiques de fonctionnement, aux normes sectorielles, de la sûreté du matériel et des logiciels,
- disposer des ressources financières et humaines,
- garantir la finalité d’utilisation du service, l’existence d’une accréditation, etc. (art. 21).
En outre, ces services peuvent être désignés fiables (art. 23) par une quelconque entité (ex : en France l’ANSSI) dès lors que celle-ci tient compte des circonstances énumérées ci-dessus ; et cette désignation vaut présomption simple de fiabilité.
Le prestataire, devra, en cas d’atteinte à la sécurité ou de perte d’intégrité, prendre toutes les mesures raisonnables pour mettre fin à l’atteinte ou à la perte, voire le cas échéant de suspendre ou de révoquer le service et de notifier l’atteinte ou la perte en fonction du droit applicable. Concernant les obligations et responsabilités des prestataires, leur responsabilité sera engagée à la fois sur le terrain de la loi-type et sur le terrain contractuel ou délictuel. Aussi, ils peuvent limiter leurs responsabilités dès lors que l’utilisation dépasse la limite prévue dans l’accord entre le prestataire et l’abonné (art. 24).
III) Reconnaissance internationale
Les articles 25 et 26 établissent un mécanisme de reconnaissance internationale de ces deux ensembles de services (identité et confiance). Ainsi, les résultats de ces services obtenus dans un État adoptant auront la même valeur juridique dans un autre État adoptant dès lors qu’ils présentent un niveau de garantie au moins équivalent ou supérieur lorsque les niveaux de garantie reconnus par ces états sont identiques ou un niveau de garantie substantiellement équivalent ou supérieur dans les autres cas.
Enfin, il est prévu à l’article 27 un mécanisme de coopération institutionnelle afin d’assurer la reconnaissance juridique mutuelle de ces services, de désigner des systèmes de gestion de l’identité et des services de confiance et d’en définir les niveaux de garantie et des niveaux de fiabilité pour aboutir à terme à une définition commune des normes techniques.
Il restera, une fois que le texte aura été approuvé par l’Assemblée générale des Nations Unies (vers décembre 2022), aux États d’introduire ces dispositions dans leur droit interne en vue d’une harmonisation internationale.
Eric A. Caprioli, avocat à la Cour, docteur en droit
Caprioli & Associés, société d’avocats membre du réseau Jurisdéfi
Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction.
SUR LE MÊME SUJET
Vers un premier texte international sur la gestion d'identité et les services de confiance
Tous les champs sont obligatoires
0Commentaire
Réagir
