Lexipedia

01.3242 · Interpellation urgente · 2001-05-08

Département de l'environnement, des transports, de l'énergie et de la communication

Liquidé

Wortlaut

Le seul fournisseur suisse d'une infrastructure à clé publique ("public key infrastructure", PKI), la société Swisskey, cesse ses activités. Les conséquences pour la Suisse pourraient être graves car notre pays risque ainsi de perdre toute possibilité de participation à l'activité internationale en matière de signature numérique. Il est vrai que les banques disposent de leur propre infrastructure, mais les autres milieux d'affaires et les particuliers n'en bénéficient pas.

Le Conseil fédéral est prié de répondre aux questions suivantes :

1. Depuis quand les autorités fédérales sont-elles informées de la décision de la société Swisskey, dominée par les banques ?

2. Faut-il déduire de la décision de Swisskey que l'économie ne s'intéresse plus au commerce électronique ? Comment le Conseil fédéral s'explique-t-il l'attitude de Telekurs, compte tenu de la demande pressante des banques en vue d'une législation relative à la signature numérique ?

3. La décision de Swisskey signifie-t-elle que des fournisseurs privés ne sont pas en mesure d'exploiter une infrastructure à clé publique couvrant l'ensemble du territoire ?

4. Le Conseil fédéral est-il conscient que la décision de Swisskey a fortement ébranlé la confiance qu'on pouvait avoir à l'égard des signatures numériques ? Des milliers de signatures déjà certifiées sont devenues invalides car l'identité numérique des clients qui avaient fait confiance à Swisskey a été détruite après la décision de la société de cesser ses activités.

5. Par quelles dispositions législatives entend-il empêcher qu'à l'avenir une société de certification puisse se comporter de la sorte ?

6. A-t-il été informé du retrait de Swisscom du cercle des actionnaires de Swisskey ? Quels étaient les motifs de Swisscom ?

7. Quelles mesures compte-t-il prendre pour assurer l'introduction rapide du commerce électronique ?

8. La Confédération envisage-t-elle de développer et d'exploiter sa propre PKI à l'échelle nationale ? La carte d'identité servira-t-elle de base comme en Finlande ? Quels sont les coûts liés à une telle infrastructure ?

9. Quelles sont les conséquences pour les projets d'administration en ligne de la Confédération ? Le calendrier prévu pourra-t-il être tenu ?

Stellungnahme des Bundesrates

1. Le DFF a été informé de l'éventuelle cessation des activités de Swisskey SA une semaine avant l'annonce officielle faite par le directeur.

2. La décision de la société Swisskey SA ne signifie pas que l'économie ne s'intéresse plus au commerce électronique. En effet, ce dernier occupe déjà une place prépondérante en Suisse dans les rapports entre les entreprises et ne cessera de gagner en importance, notamment dans le domaine des relations entre les entreprises et les particuliers.

Étant donné qu'aujourd'hui déjà la plupart des contrats peuvent être élaborés et conclus de manière valable par voie électronique, il est probable que les milieux économiques n'installeront d'infrastructure à clé publique que pour des "affaires particulièrement qualifiées", à leurs fins propres et en utilisant des systèmes adaptés à leurs besoins spécifiques en matière de sécurité, et ce au sein de groupes d'utilisateurs fermés (banques, assurances, sociétés de cartes de crédit).

La pression exercée par l'économie en vue d'une réglementation juridique étendue de la signature numérique est avant tout générée par le besoin de conscientiser la population et d'instaurer un climat de confiance en ce qui concerne les contrats et transactions électroniques. Il est bien connu que les nouvelles formes de commerce ne parviennent à s'imposer au quotidien qu'à condition que la sécurité et la confiance règnent en la matière, ce à quoi une législation sur la "public key infrastructure" (PKI) en Suisse contribuera grandement.

3. La reconnaissance d'une société en tant que fournisseur de services de certification exige un investissement relativement important, puisque les organismes de certification doivent être absolument dignes de confiance. Conformément à l'ordonnance en vigueur sur les services de certification électronique et aux prescriptions techniques et administratives y relatives, ainsi qu'au projet de loi fédérale sur la signature électronique, ils sont tenus de garantir la délivrance, le renouvellement et l'annulation des certificats, de même que la tenue générale d'un annuaire, et d'employer à cet effet des systèmes sûrs et du personnel spécialement formé. En d'autres termes, l'infrastructure de sécurité physique (p. ex. protection d'accès) et électronique doit satisfaire à de sérieuses exigences. Il convient en outre de fournir des garanties financières et des attestations d'assurance, afin de pouvoir faire face à d'éventuels recours. Par ailleurs, l'installation et l'exploitation d'un vaste réseau d'organismes d'identification et d'enregistrement sont particulièrement onéreuses. De plus, le marché des certificats qualifiés n'est pas encore très développé en Suisse et les applications correspondantes ne sont pas au point. L'exploitation d'une PKI comporte ainsi d'importants risques commerciaux.

Mais vu que les exigences précitées en matière de sécurité doivent être également remplies pour l'exploitation d'une PKI sûre à des fins internes et qu'il existe déjà en Suisse diverses entreprises de prestations de services possédant de vastes réseaux de distribution pour l'enregistrement, il devrait être possible d'exploiter avec succès une PKI à moyen terme. D'ailleurs, une partie des activités de Swisskey SA ont été reprises par Payserv, une filiale de Telekurs. En outre, au moins un nouveau fournisseur de services de certification s'est annoncé. Qui plus est, plusieurs entreprises ont engagé, auprès du Service d'accréditation suisse, une procédure d'accréditation en tant qu'organes de reconnaissance de systèmes informatiques sûrs et de futurs fournisseurs de services de certification. Par ailleurs, certaines sociétés actives dans le domaine des finances, des télécommunications et de la santé étudient actuellement, de concert avec des représentants des administrations cantonales et fédérale, la question de savoir si des services de certification peuvent être mis à la disposition du grand public en bénéficiant d'un large soutien (IG TOP, voir ci-dessous la réponse à la question 8).

4. La confiance en la signature numérique a effectivement été ébranlée par le retrait et la suppression d'identités numériques par Swisskey SA.

Les craintes de l'auteur de l'interpellation sont en revanche mal fondées lorsqu'il part de l'idée que, lors de l'annulation du certificat, toutes les signatures créées alors que le certificat était encore valable perdent leur validité.

5. La cessation d'activité d'un fournisseur de services de certification ne peut pas plus être évitée que dans d'autres domaines de l'économie. Il existe toutefois à ce sujet, dans l'ordonnance en vigueur sur les services de certification électronique et dans les prescriptions techniques et administratives ("business continuity management"), des règles strictes pour les fournisseurs de services de certification reconnus, dont les principes ont été repris dans le projet de loi fédérale sur la signature électronique. Ce dernier prévoit que les cessations d'activité envisagées et les comminations de faillite doivent être immédiatement annoncées à l'organe d'accréditation. Celui-ci désigne alors un autre fournisseur de services de certification reconnu, qui doit reprendre les tâches du fournisseur abandonnant son activité. Les frais incombent à ce dernier. S'il n'a pas les moyens financiers suffisants, c'est l'assurance obligatoire qui s'en charge.

6. Oui. Le DFF a même examiné de son côté la possibilité de reprendre la participation de Swisscom. Les raisons du retrait de Swisscom n'ont toutefois pas été analysées plus en détail étant donné les résultats manifestement mauvais de Swisskey.

7. Dans la mesure où on entend par "commerce électronique" le commerce par voie électronique entre privés, la marge de manoeuvre du Conseil fédéral est limitée. C'est à l'économie privée de développer davantage ses activités par voie électronique. La préparation d'une loi fédérale sur la signature électronique et d'une loi fédérale sur le commerce électronique permettra de prendre les mesures nécessaires pour améliorer les conditions générales dans ce domaine. En outre, dans le cadre de la réalisation de la stratégie du Conseil fédéral du 18 février 1998 pour une société de l'information en Suisse, un plan d'action a été élaboré visant à encourager le commerce électronique et à promouvoir la Suisse en tant que place économique. L'efficacité de ces mesures est l'objet d'une surveillance permanente.

8. Jusqu'à la cessation d'activité de Swisskey, le Conseil fédéral ne voyait aucune raison d'intervenir. Vu la nouvelle situation sur le marché et les projets en matière de gouvernement électronique, le Conseil fédéral est toutefois maintenant de l'avis qu'il convient au moins d'examiner dans quels domaines une intervention étatique est opportune.

Le DFJP a été chargé par le Conseil fédéral d'examiner si l'État doit attribuer à chaque citoyen, voire à chaque habitant, une "identité numérique" sous forme de paires de clés certifiées figurant sur une carte à puce ou sur un autre support. Les questions qui se posent concernent notamment l'existence d'une volonté politique ainsi que la faisabilité sur les plans juridique et organisationnel. Il s'agit toutefois également d'étudier à quel document officiel déjà existant une telle carte d'identité numérique pourrait être rattachée et de quelle façon il est possible de la mettre en place sur le plan technique, en tenant compte de l'harmonisation internationale. En outre, le Conseil fédéral examine si la Confédération devrait fournir, à certaines conditions, des services de certification électronique. Enfin, divers services fédéraux sont en discussion avec les milieux privés dans le cadre d'initiatives tendant à proposer des solutions basées sur une PKI, comme par exemple le groupe d'intérêts IG TOP (Trägerschaft öffentliche PKI).

9. Pour ce qui est des relations électroniques entre l'administration et les privés, les deux grands projets "Guichet virtuel" et "E-government" suivent le cours prévu et ne sont pas remis en cause. Le projet concernant le guichet virtuel s'occupe dans la première phase de mettre à disposition l'information. Il s'agit là principalement de présenter et mettre en réseau des contenus provenant de la Confédération, des cantons et des communes. Les fonctions du guichet virtuel exigeant une signature numérique ne seront développées qu'à partir de l'année prochaine. Différentes transactions sont toutefois également possibles sans signature numérique.

Concernant le projet "E-voting", un premier essai pilote est en cours actuellement à Genève, sous la forme de l'identification du citoyen au moyen de sa carte de vote dotée d'un code PIN masqué, celui-ci apparaissant par grattage. Ici aussi, aucune signature numérique n'est nécessaire pour le moment. Toutefois, les premières enquêtes préalables doivent être réalisées cette année déjà en vue de lancer un deuxième essai pilote exigeant une signature numérique, cette fois dans le canton de Neuchâtel. Ces enquêtes se basent sur les travaux effectués par le DFJP (voir ci-dessus) concernant la question de l'identité numérique. La réalisation de cet essai pilote est prévue pour plus tard, à une date qui n'a pas encore été fixée.

Les nombreux autres projets de gouvernement électronique qui ont déjà été lancés par les différents services de l'administration fédérale (enregistrement électronique des marques, attribution de numéros d'appel par voie électronique, tenue de registres sous forme électronique, calcul électronique des impôts, etc.) ne sont pas non plus menacés. Pour ces projets, la mise sur pied d'une PKI n'est pas urgente ou alors n'est prévue que dans une phase ultérieure. Toutefois, dès que des transactions sécurisées devront être effectuées ou que des décisions administratives devront être rendues dans le cadre de ces projets, il deviendra indispensable de disposer d'une PKI en état de fonctionnement - et ce au plus tard après l'entrée en vigueur de l'organisation judiciaire fédérale, qui rendra entre autres possible la notification de décisions par voie électronique. En revanche, il est urgent de prendre des mesures pour assurer un échange de courrier sécurisé. L'Office fédéral de l'informatique et de la télécommunication est en train d'évaluer des solutions de transition pour les contrats qui ont été conclus avec Swisskey dans le cadre de la réalisation d'un système de courrier sécurisé ("secure messaging"). Selon la situation en matière d'offres, il conviendra d'examiner une collaboration entre la Confédération, les cantons et l'économie pour la réalisation d'une PKI.

Réponse du Conseil fédéral.