Lexipedia

preparatory:AB 34338

Garbani Valérie · Nationalrat · Neuenburg · Sozialdemokratische Fraktion · 2003-06-04

Wortprotokoll

Le moins qu'on puisse dire, c'est que c'est une matière compliquée techniquement et également juridiquement. Par ce projet de loi, le Conseil fédéral met en oeuvre les motions Spoerry 94.3115 (Valeur légale des signatures électroniques. Modification de l'article 14 du Code des obligations) et Leumann 99.3288 (Signature électronique), toutes deux transmises comme postulats.

Le projet est destiné à appuyer la stratégie d'une société de l'information voulue par le Parlement. Il remplace l'ordonnance sur les services de certification électronique, entrée en vigueur le 1er mai 2000, qui définit les conditions de la reconnaissance de fournisseurs de services de certification de certificats de signature électronique, dans le but d'encourager l'utilisation de signatures numériques.

Par 16 voix sans opposition et avec 1 abstention, la commission est entrée en matière, non sans avoir mené un débat nourri sur l'utilité de ce projet et sur ses défauts.

Le but recherché par ce projet de loi est, à la base, purement technique: sécuriser les échanges par voie électronique afin d'assurer un avenir au commerce électronique. Pour ce faire, il est impératif d'avoir des garanties quant à la personne de son interlocuteur et quant à la non-modification des données transmises entre le point de départ et le point d'arrivée. Il s'agit en quelque sorte d'un projet de loi expérimentale. A l'origine, il a manifestement été pensé comme base légale, plus solide que l'ordonnance, à l'activité de Swisskey SA qui a cependant déposé son bilan l'année dernière, faute de clientèle pour la signature électronique.

Il faut ici déjà relever que le projet de loi prévoit que les pouvoirs publics puissent intervenir comme fournisseurs de certificats de certification de signature électronique, notamment pour pallier la carence des fournisseurs privés à l'instar de Swisskey SA. Le manque de clientèle de Swisskey SA est notamment dû au fait que les banques, en particulier, règlent la question de la communication électronique par le biais de leurs propres contrats avec leur propre système d'identification de leurs propres clients.

Pour régler la question primordiale de la sécurité du commerce électronique au moyen de la signature électronique, le projet prévoit un système à trois étages: premier étage, les fournisseurs de services de certification; deuxième étage, les organismes de reconnaissance des fournisseurs de services de certification; troisième étage, les organismes d'accréditation des organismes de reconnaissance.

Techniquement, l'instrument de la signature électronique - qui est, en fait de signature, davantage un miroir digital, numérique - fonctionne de la manière suivante. Il y a deux clés, l'une publique, l'autre privée, qui sont dépendantes l'une de l'autre. A signe électroniquement. Il sécurise sa communication avec sa clé privée et l'envoie à B qui peut l'ouvrir grâce à la clé publique de A, que ce dernier lui a communiquée. B est ainsi sûr de l'identité de A. Ensuite, A aimerait que sa communication ne soit pas lue. Il prend la clé publique de B, que ce dernier lui a communiquée, il ferme la communication et l'envoie à B. Seul B, qui possède la clé privée correspondant à sa clé publique, pourra l'ouvrir. A est ainsi sûr de la confidentialité de sa communication.

Les clés privées peuvent notamment être transmises sur des cartes à puce. L'accès à la carte peut être géré par un code NIP. Une variante avec empreintes digitales est en discussion. Quant aux services d'identification, ils délivrent des certificats d'authenticité et de validité des signatures électroniques. Pour garantir l'exactitude des données du certificat, l'autorité de certification doit identifier le détenteur qui doit se présenter personnellement devant un service d'identification. C'est la clé publique, qui est la clé de contrôle, qui doit être certifiée.

Après le désistement de Swisskey SA, les membres de la commission se sont notamment demandé s'il existait [PAGE 806] vraiment un marché pour ces signatures électroniques. Ils se sont également interrogés sur la nécessité d'introduire la signature électronique, puisqu'en droit suisse, le principe de la liberté contractuelle prime, donc aussi celui de la liberté de forme des contrats. Certains membres de la commission ont critiqué le fait que la loi sur les services de certification ne soit pas traitée parallèlement à la loi fédérale sur le commerce électronique qui fait l'objet d'un avant-projet déjà soumis à procédure de consultation.

Des critiques ont été formulées notamment quant au fait que ce projet de loi ne réglait pas les conditions de reconnaissance juridique de la signature digitale dans d'autres lois, par exemple pour le cas du "e-voting", ni la question de la lutte contre la criminalité sur Internet. Quant à l'utilité de ce projet de loi, certains membres de la commission ont émis des doutes, puisque le commerce en ligne existe déjà, puisque la reconnaissance contractuelle de la signature digitale est déjà possible, attendu que les banques, par exemple, ont élaboré leurs propres règles.

Une minorité de la commission s'oppose à la généralisation de l'égalité entre la validité d'une signature manuscrite et celle d'une signature électronique. J'y reviendrai dans l'examen de détail.

Des critiques ont également été émises quant au fait que la question de la correspondance des systèmes des différents fournisseurs de certification ne soit pas réglée, puisqu'elle ne l'est pas davantage sur le plan international. Cependant, les pays européens sont confrontés aux mêmes problèmes et présentent les mêmes solutions. Le projet de loi se fonde donc sur une base de réciprocité.

Des doutes ont également été émis quant à la pertinence pour l'Etat de pouvoir intervenir comme fournisseur de certification, puisque la poste allemande, par exemple, y a renoncé.

Pour la commission, un monopole de l'Etat est exclu. Une fois la base légale approuvée, la majorité des membres de la commission est convaincue que des successeurs de Swisskey SA se presseront sur le marché. Malgré ces nombreuses questions et interrogations, la commission a, par 11 voix contre 8 et avec 1 abstention, rejeté la proposition de renvoi Ménétrey-Savary. Les arguments de la volonté du Parlement d'aller de l'avant en matière de société d'information, le fait que plus l'on tarde, plus le potentiel d'abus sera élevé, le retard pris à soutenir une nouvelle voie pour l'économie, le signal donné en matière de technologie du futur l'ont emporté sur les doutes et incertitudes quant à l'utilité de cette loi, et quant aux moyens donnés par cette loi pour assurer la sécurité quant aux lacunes relatives à la protection des consommateurs.

Quant à la question de traiter en parallèle cette loi et la loi sur le commerce électronique, la majorité de la commission a estimé que la sécurisation de la signature électronique était primordiale.

Par rapport au projet du Conseil fédéral, la commission a, à l'instar de l'Allemagne et de la France, décidé que des certificats qualifiés ne pourront pas être délivrés à des personnes morales. Elle a également introduit une norme de délégation l'autorisant à demander une preuve des qualités des personnes qui demandent des certificats. Contrairement au Conseil fédéral, la commission a également introduit, en sus des dispositions civiles sur la responsabilité, des sanctions pénales; et la commission a renoncé à l'obligation, pour les fournisseurs de services de certification, à tenir une liste où sont enregistrés les certificats qualifiés ainsi qu'une liste où sont mentionnés les certificats qualifiés annulés ou échus, ces listes étant remplacées par des annuaires. La commission, contrairement au Conseil fédéral, a maintenu le statu quo pour la consultation via Internet du grand livre du registre foncier.

En revanche, notre commission a refusé certaines propositions des experts auditionnés, par exemple celle visant à assouplir le régime de la responsabilité pour les fournisseurs de certification. Elle a renoncé à exclure les fournisseurs de certification non reconnus, car leur responsabilité est engagée également. Elle a renoncé à alléger le fardeau de la preuve en faveur des fournisseurs, un renversement de celui-ci quant à la validité et l'authenticité des certificats qualifiés n'étant à son avis pas judicieux. Elle a renoncé à interdire la transmission de sa clé privée à un tiers, et finalement elle a renoncé, ainsi que je l'ai sauf erreur déjà relevé, à restreindre l'équivalence entre la signature manuscrite et la signature électronique.