La notion de “système d'information” renvoie aux “moyens dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et (qui sont) destinés à élaborer, traiter, stocker, acheminer ou présenter l'information”, selon une Directive gouvernementale 4201/SG du 13 avril 1995 “Sécurité des systèmes d'information” (consultation en pdf à partir du site de la Direction Centrale de la Sécurité des Systèmes d’Information - DCSSI)

Selon cette même Directive, la sécurité de l'information “doit être un souci général”, tandis que celle des systèmes d'information “est une obligation nationale majeure”, sous réserve de ne pas porter atteinte à la “sécurité de l'Etat ni à l'ordre public”. Elle présente notamment les objectifs en la matière, les moyens à mettre en oeuvre et l'organisation mise en place à ces fins.

Parmi les autres textes relatifs aux systèmes d'information, nous pouvons citer les suivants :

• Une Ordonnance n° 2005-1516 du 8 décembre 2005, qui fixe les règles concernant les échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives,
• Une Directive n° 1223 du 23 décembre 2004, qui (selon son § 2) “décline les règles pratiques de protection physique à appliquer pour protéger les informations ou supports protégés contre toute menace d’origine interne ou externe qui mettrait en cause leur disponibilité, leur intégrité, leur confidentialité et pour empêcher qu’une personne non autorisée y accède”. Cette Directive complète une instruction générale ministérielle n° 1300 du 25 août 2003 relative aux règles générales de la protection du secret de la défense nationale,
• Une recommandations n° 901 du 2 mars 1994 relative à la protection des systèmes d'information traitant des informations sensibles non classifiées de défense,
• Une recommandation n° 600 de mars 1993, relative aux postes de travail informatiques et à la protection des informations sensibles ne relevant pas du secret de défense.

L'ensemble de ces textes peut être trouvé sur le site de la DCSSI.

La procédure d'évaluation et de certification des systèmes ou produits de sécurité est fixée par un Décret n° 2002-535 du 18 avril 2002 relatif à “l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information” (JO n° 92 du 19 Avril 2002, p. 6944).

Plus d'informations sur la certification sont disponibles sur cette page du site de la DCSSI.

Selon la DCSSI, “la signature électronique permet, à l'aide d'un procédé cryptographique, de garantir l'intégrité du document signé et l'identité du signataire”.

Les critères permettant de présumer fiable une signature électronique sont fixés par un décret n° 2001-272 du 31 mars 2001, et peuvent être retrouvés sur cette page du site de la DCSSI.

Ce même décret n° 2001-272, pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique, a par ailleurs été complété par le décret n° 2002-535 précité, en ce qu'il fixe les règles de certification des procédés de signature.

Parmi les autres textes applicables en matière de signature électronique, il convient de noter les suivants :

• L'article 1316-1 du Code civil, introduit par une loi n° 2000-230 du 13 mars 2000, dispose que “l'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité”.
• Le nouvel article 33 de la loi du 6 janvier 1978 (modifiée par la loi n° 2004-801 du 6 août 2004) dispose que “sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l'être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies”.
• L'article 33 de la loi 2004-575 du 21 juin 2004 dispose que s'ils ne démontrent pas qu'ils n'ont commis aucune faute intentionnelle ou négligence, “les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés dans chacun des cas suivants :”

1. “Les informations contenues dans le certificat, à la date de sa délivrance, étaient inexactes ;”
2. “Les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes ;”
3. “La délivrance du certificat n'a pas donné lieu à la vérification que le signataire détient la convention privée correspondant à la convention publique de ce certificat ;”
4. “Les prestataires n'ont pas, le cas échéant, fait procéder à l'enregistrement de la révocation du certificat et tenu cette information à la disposition des tiers.”

L'article ajoute que les prestataires “ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé, à condition que ces limites figurent dans le certificat et soient accessibles aux utilisateurs”. Ils doivent toutefois “justifier d'une garantie financière suffisante, spécialement affectée au paiement des sommes qu'ils pourraient devoir aux personnes s'étant fiées raisonnablement aux certificats qualifiés qu'ils délivrent, ou d'une assurance garantissant les conséquences pécuniaires de leur responsabilité civile professionnelle”.

Enfin insistons sur l'importance de distinguer l'usage de techniques de signatures afin de sécuriser l'intégrité et la provenance de documents, et la signature électronique utilisée dans le cadre de la dématérialisation de certains actes. Le second cas est notamment encadré par la loi 2004-575 du 21 juin 2004. Ainsi il n'est pas permis de s'improviser comme prestataire de certification.

Le moyen de cryptologie est défini par l'article 29 de la loi n° 2004-575 du 21 juin 2004 comme “tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité”.

Ce même article définit la “prestation de cryptologie” comme “toute opération visant à la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie”.

Cryptographie et cryptanalyse ¹⁾ Selon M. Eric Larcher, la cryptologie, dans sa signification générale, comprend la cryptographie et la cryptanalyse. Tandis que la cryptographie est “une science dont l'objectif est de concevoir des formules mathématiques permettant de transformer des messages intelligibles en messages inintelligibles pour tous ceux qui ne possèdent pas un certain secret”, la cryptanalyse est la science qui a pour objet de décrypter une information chiffrée sans posséder la clef qui permet son déchiffrement ²⁾.

Déchiffrer ou décrypter MM. Serge Aumont, Roland Dirlewanger et Olivier Porte fournissent la même explication, en des termes plus pragmatiques. Selon ces auteurs, “le chiffrement consiste à transformer un texte clair en un texte chiffré. Le déchiffrement, réciproquement, c'est traduire un texte chiffré en clair en connaissant la clef de déchiffrement. Décrypter par contre consiste à traduire un texte chiffré en clair tout en ne connaissant pas la clef de déchiffrement. (...) tout l'intérêt de la cryptographie consiste à rendre la première opération facile et la deuxième difficile” ³⁾.

En vertu des dispositions du I de l'article 30 de la loi n° 2004-575 du 21 juin 2004, “l'utilisation des moyens de cryptologie est libre”. Selon le II de ce même article, sont encore libres la “fourniture, le transfert depuis ou vers un Etat membre de la Communauté européenne, l'importation et l'exportation des moyens de cryptologie assurant exclusivement des fonctions d'authentification ou de contrôle d'intégrité”.

En revanche, la fourniture des moyens de cryptographie qui assurent la confidentialité, ou l'importation ou encore le transfert de tels moyens vers ou depuis un Etat membre de la Communauté européenne, font l'objet de certains contrôles :

1. Le III de l'article 30 dispose que la “fourniture, le transfert depuis un Etat membre de la Communauté européenne ou l'importation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration préalable auprès du Premier ministre, sauf dans les cas prévus au b du présent III” (4). Le fournisseur ou la personne procédant au transfert ou à l'importation tiennent à la disposition du Premier ministre une description des caractéristiques techniques de ce moyen de cryptologie, ainsi que le code source des logiciels utilisés”.
2. Le IV de l'article 30 précité dispose encore que le “transfert vers un Etat membre de la Communauté européenne et l'exportation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à autorisation du Premier ministre, sauf dans les cas prévus au b du présent IV” ⁴⁾.

L'article 132-79 du Code pénal, créé par la loi du 21 juin 2004, prévoit une aggravation des sanctions encourues pour délit ou crime “lorsqu'un moyen de cryptologie au sens de l'article 29 de la loi nº 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique a été utilisé pour (le) préparer ou (le) commettre (...), ou pour en faciliter la préparation ou la commission”. Ainsi, le maximum de la peine privative de liberté encourue est par exemple porté à sept ans d'emprisonnement lorsque l'infraction est punie de cinq ans d'emprisonnement, ou au double, lorsque l'infraction est punie de trois ans d'emprisonnement au plus.

Les dispositions du présent article ne sont toutefois pas applicables à l'auteur ou au complice de l'infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.

Par ailleurs, l'article 434-15-2 du Code pénal réprime de “trois ans d'emprisonnement et de 45 000 euros d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale”.

Le texte prévoit encore que “si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 75 000 euros d'amende”.

Cette répression est prévue par la loi du 5 janvier 1988 (Loi dite “Godfrain”, du nom de son initiateur), dont les dispositions ont été reprises, depuis le premier mars 1994, par les articles 323-1 à 323-7 du Nouveau Code Pénal ⁵⁾. Y sont notamment réprimés l'accès ou le maintien frauduleux dans un système informatique, l'entrave ⁶⁾ au fonctionnement de celui-ci , la modification ou la suppression frauduleuses des données contenues dans le système de même que l'introduction frauduleuse de nouvelles données. La tentative de ses actions est également réprimée.

L'article 34 de la loi n° 78-17 du 6 janvier 1978 (modifiée par la loi du 6 août 2004) dispose que le responsable de tout traitement de données à caractère personnel “est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès”. L'article précise que des “décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8”.

L'article 226-17 du Code pénal punit de cinq ans d'emprisonnement et de 300 000 euros d'amende le fait “de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 précitée”.

La Directive communautaire 95/46/CE du 24 octobre 1995, transposée en droit français par la loi du 6 août 2004, prévoit quant à elle que “le responsable du traitement (de données à caractère personnel) doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données (...) contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés (...) ainsi que toute autre forme de traitement illicite”. “Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger” (article 17).

Enfin, une recommandation de la CNIL en date du 21 juillet 1981,relative aux mesures générales de sécurité des systèmes informatiques, précise qu'il appartient “aux détenteurs ou utilisateurs de fichiers nominatifs de prendre, sous leur responsabilité, préalablement à toute mise en oeuvre d'une application informatique, compte tenu de la finalité du traitement, du volume des informations traitées et de leur degré de sensibilité au regard des risques d'atteinte à la personne humaine, les mesures générales de sécurité nécessaires, quelle que soit la puissance du système intéressé, afin de répondre aux préoccupations essentielles en la matière (...)”. Ces mesures concernent notamment :

• “le contrôle de la fiabilité des matériels et des logiciels qui doivent faire l'objet d'une étude attentive afin que des erreurs, lacunes et cas particuliers ne puissent conduire à des résultats préjudiciables aux personnes,”
• “la capacité de résistance aux atteintes accidentelles ou volontaires extérieures ou intérieures en étudiant particulièrement l'implantation géographique, les conditions d'environnement, les aménagements des locaux et de leurs annexes. Au sens de la présente délibération doivent être considérées comme :”
• “atteintes accidentelles celles qui résultent des désastres naturels tels que incendie, inondation, tremblement de terre, etc., ou qui proviennent des sources assurant le fonctionnement des systèmes informatiques telles que le conditionnement d'air, l'alimentation électrique,”
• “atteintes volontaires celles qui visent à la destruction totale ou partielle des installations, celles qui ont pour objet le vol ou l'altération des logiciels, le détournement, l'altération ou la destruction d'informations”.

Pour plus d'informations sur la protection des informations nominatives, voir notre page sur le sujet).