Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Label et certification : Internet à l’âge de raison

Pour un internet plus sûr

Qui pourrait certifier la qualité des sites internet ?

Vous êtes ici : Accueil > Actualités

En 1998 un million de français utilisaient internet (1), le web comptait 112 millions d’utilisateurs réguliers et générait un chiffre d’affaires de 100 milliards de dollars (2). Aujourd’hui les internautes français de plus de 11 ans seraient 27 millions (3), près de 15 millions (4) d’entre-eux seraient cyberconsommateurs et généreraient en France un chiffre d’affaires annuel d’environ 27 milliards d’euros, le chiffre d’affaires mondial dépasserait quant à lui 1000 milliards de dollars.

mardi 20 mars 2007

Cette progression des activités du e-commerce n’est pas le résultat du
hasard. Les acteurs économiques et les pouvoirs publics nationaux et européens
ont œuvrés pour un internet plus sûr et plus loyal.

Quelques définitions

La certification de services ou de
produits est l’activité par laquelle un organisme, distinct du fabricant,
de l’importateur, du vendeur ou du prestataire, atteste à la demande de
celui-ci et à des fins commerciales ou non, qu’un produit ou un service
est conforme à des caractéristiques décrites dans un référentiel et faisant
l’objet de contrôles(5).
La certification de tierce partie permet à un client de s’assurer
par l’intervention d’un professionnel indépendant, compétent et contrôlé,
appelé organisme certificateur, de la conformité d’un produit à un cahier
des charges ou à une spécification technique. Cette certification apporte
au client la confirmation indépendante et impartiale qu’un produit répond
à un cahier des charges ou à des spécifications techniques publiées. Ces
spécifications techniques peuvent être élaborées dans un cadre normatif
ou non (6). Cette certification est la plus sûre, elle est donc celle
qui a été retenu par la France(7) et dont la reconnaissance internationale
a été obtenue auprès de différents pays(8).
Le label est utilisé dans le secteur agricole et est réglementé
par le code de la consommation, il est désigné comme attestant qu’une
denrée alimentaire ou qu’un produit agricole (…) possède un ensemble distinct
de qualités et de caractéristiques spécifiques préalablement fixées dans
un cahier des charges et établissant d’un niveau de qualité supérieure(9).

Les moyens de cryptologie sont constitués de tout matériel ou logiciel
conçu ou modifié pour transformer des données, qu’il s’agisse d’informations
ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération
inverse avec ou sans convention secrète(10).

Qu’est-ce qui effraye tant l’internaute
 ?

A en croire les différents spécialistes du
comportement des internautes, les principales craintes exprimées au début
des années 2000 étaient :

- le risque de se faire voler son numéro
de carte bancaire lors d’un achat en ligne,
- le risque de ne pas être livré après avoir payé le produit en ligne,

- le risque que des données privées soient récupérées et utilisées à
des fins commerciales,
- le risque que les correspondances échangées sur le net soient détournées.

Les réponses de la loi

Très logiquement et en réponse à ces craintes,
le législateur français a adopté différents textes visant à sécuriser
les outils et techniques utilisés à la fois par les entreprises du web
et les internautes, le régime de certification c’est ainsi fortement développé.
Dès l’année 1999, un décret est venu renforcer la législation antérieure
sur les obligations des sociétés qui importent, produisent et commercialisent
des outils de cryptologie . On notera que la loi sur la sécurité quotidienne
du 15 novembre 2001, a quant à elle obligé les entreprises qui assurent
des prestations de cryptologie(11) visant à assurer une fonction de confidentialité
à remettre aux agents de police autorisés, sur leur demande, les conventions
permettant le déchiffrement des données transformées au moyen des prestations
qu’elles ont fournies(12).

Finalement, la loi sur la confiance dans
l’économie numérique dite LCEN est venue règlementer l’utilisation et
la commercialisation d’outils de cryptologie(13). Elle a également défini
le régime de responsabilité des prestataires de cryptologie(14).
Ces règles de cryptologie valent également
pour les systèmes de paiement en ligne utilisés dans le cybercommerce.
Selon l’observatoire de la sécurité des cartes de paiement(15), le GIE
carte bleue et l’Observatoire de la cyberconsommation placé sous l’autorité
du Forum des Droits sur Internet, le taux de fraude à la carte bleue par
détournement des codes est inférieur à 0,1% toutes transactions confondues,
cybercommerce comme commerce traditionnel. Il est même à noter que selon
ces mêmes observateurs, aucun détournement de numéro de carte n’a été
commis en France sur les sites marchands sécurisés. Voilà de quoi rassurer
tout le monde.

En ce qui concerne les échanges de correspondances
électroniques, l’article 7 décret n° 2001-272 du 30 mars 2001 pris pour
l’application de l’article 1316-4 du code civil et relatif à la signature
électronique prévoit que ceux qui commercialisent des prestations des
services de certification électronique doivent être qualifiés. Cette qualification,
qui vaut présomption de conformité aux exigences de la loi, est délivrée
par les organismes ayant reçu à cet effet une accréditation délivrée par
une instance désignée par arrêté du ministre chargé de l’industrie. Elle
est précédée d’une évaluation réalisée par ces mêmes organismes selon
des règles définies par arrêté du Premier ministre. Cette instance est
le Comité français d’accréditation (COFRAC), association déclarée le 4
mai 1994, qui est donc chargée d’accréditer les organismes qui procèdent
à l’évaluation des prestataires de services de certification électronique
en vue de reconnaître leur qualification.

Le monde pléthorique des Labels

La labellisation des sites internet, marchands
ou non marchands est depuis longtemps proposée par des prestataires privés
sur la base d’un cahier des charges rédigé par eux-mêmes(16). Les récents
textes adoptés ou ceux qui vont l’être prochainement, ce qui est le cas
du " label confiance " du Forum des Droits sur Internet, ont quant à eux
une portée réglementaire.

Le " label confiance " confié à la réflexion
du FDI en avril 2005, par le ministre de l’Intérieur, dans le cadre du
Chantier Cybercriminalité, va permettre de renforcer la sécurité sur Internet,
notamment pour mieux protéger les mineurs et lutter contre les escroqueries.
Il sera apposé sur les contenus et services Internet dès début 2007. Il
permettra aux internautes de repérer les sites et services sur Internet
qui se sont engagés à assurer leur sécurité. Il reposera sur un cahier
des charges précis que devront respecter les prestataires de service Internet
(fournisseurs d’accès à Internet, opérateurs de téléphonie mobile etc.)
dans cinq domaines : la protection des mineurs, la sécurité des équipements
informatiques des clients, la lutte contre les messages non sollicités
(SPAM), la lutte contre les escroqueries, la coopération entre les prestataires
et les autorités judiciaires et policières. Ce cahier des charges résulte
des réflexions menées par le Forum des droits sur l’Internet depuis plus
d’un an, à la demande du ministre de l’Intérieur et du ministre en charge
de la Famille. La mise en œuvre de ce " label confiance " risque de ne
pas être simple aux dires de Mme Isabelle Falque-Pierrotin, Présidente
du FDI. On notera que dès le mois de juin 2001 l’ACSEL ( Association pour
le Commerce et les Services en Ligne) avait rédigé un livre blanc sur
la confiance dans le cybercommerce(17).

En ce qui concerne l’usage de données à caractère
personnel par les entreprises du web et les autres, le droit français
donne la possibilité de transformer leurs investissements dans la mise
en place d’une politique de conformité à la loi en un véritable argument
économique. En effet, les articles 42 à 56 du décret n° 2005-1309 du 20
octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés, modifiée par
la loi n° 2004-801 du 6 août 2004, prévoit la création d’un correspondant
à la protection des données, communément appelé " Correspondant
Informatique et Libertés publiques
" (CIL). La mise en place d’un
CIL par l’entreprise la dispense des déclarations CNIL, lui permet de
mieux contrôler l’usage interne des données à caractère personnel et l’assure
que ses partenaires, sous-traitant et autres prestataires ont le même
souci de transparence et de conformité à la loi. Pour valoriser les entreprises
qui auront choisi la mise en place d’un CIL, l’article 11 - 3 point c)(18)
de la loi de 1978 modifiée prévoit la délivrance d’un Label de conformité.
Le texte de ce label serait actuellement dans les tiroirs de l’Assemblée
Nationale, son adoption avait été annoncée pour cette année ou le début
de l’année 2007.

Une dernière expérience notable en matière
de " label web " est le label AccessiWeb. Les sites Web publics ont l’obligation
d’être accessibles suivant l’article 47 de la loi n°2005-102 pour "l’égalité
des droits et des chances, la participation et la citoyenneté des personnes
handicapées" qui a été adoptée en France le 11 février 2005. L’association
Braille Net(19) créée en 1997 et dont l’objet est de faire d’Internet
et des nouvelles technologies un outil au service de l’intégration culturelle
et sociale des personnes handicapées visuelles délivre actuellement est
un label privé mais cette association œuvre pour l’adoption d’un label
européen " eAccessibility "(20). Voici l’exemple d’une initiative privée
que l’on voudrait bien voir gravée dans les tables de la loi.

(1)Source : Observatoire Cetelem, International
Data Corporation, Network Wizards
(2)Source : NUA Internet
(3)Source : Services des études et des statistiques industrielles (SESSI)
décembre 2005
(4)Panel ACSEL 24 juillet 2006
(5)Loi n° 98-565 du 8/07/1998 - art. L115-23 et L115-27 c. conso
(6)http://www.ssi.gouv.fr
(7)Décret n° 2002-du 18 avril 2002 relatif à l’évaluation et à la certification
de la sécurité offerte par les produits et les systèmes des technologies
de l’information
(8)L’ accord européen de reconnaissance mutuelle du SOG-IS de 1999 (France-Allemagne-Royaume
Uni) et l’accord Common Criteria Mutual Recognition (9)Arrangement (France
- Allemagne - Royaume Uni - Canada - Japon - Etats-Unis - Australie)
(10)Loi n° 98-565 du 8/07/1998 - art. L115-22 c.conso
(11)Art. 29 de la loi sur la confiance dans l’économie numérique LCEN
n°2004-575 du 21/06/2004
(12)Loi n° 90-1170 du 29/12/1990 - décret n° 98-101 du 24/02/1998 - décret
n° 99-199 du 17/03/1999
(13)Art. 31 de la loi n° 2001-1062 ajoutant un art. 11-1 à la loi n° 91-646
du 10 juillet 1991 relative au secret des correspondances émises par la
voie des télécommunications Art. 30 de la loi n° 2004-575 du 21 juin 2004
pour la confiance dans l’économie numérique
(14)Art. 31 à 34 de la loi n° 2004-575 du 21 juin 2004 pour la confiance
dans l’économie numérique
(15)Décret n° 2002-709 du 2 mai 2002 art. L114-4 du code monétaire et
financier
(16)Verisign, Trust-e et Webtrust ou Elitesite
(17)Auteurs : Odile Ombry et Daniel kaplan - Philippe Trouchaud - hi Garsallah
et Hervé Leduc - Joëlle Freundlich et Emmanuel Michau - Préface Henri
de Maublanc- Introduction Jean-Pierre Buthion
(18)Loi n° 2004-800 du 6 août 2004 modifiant la loi du 6 janvier 1978

(19)Département Accessibilité du Web - INSERM - UPMC B23 - 9 quai Saint
Bernard - 75252 Paris Cedex 05 - France - Tel. : +33 (0)1 44 27 26 25,
info@accessiweb.org
(20)Une résolution de la Commission européenne parlant de "eAccessibility
mark" page 13 (Bruxelles, le 6 février 2003), http://ue.eu.int/pressData/en/educ/74435.pdf

Nos partenaires

Réalisation : Clic Story ®

Plan du site