La preuve en matière de commerce électronique et la cryptographie à clé publique

 

AVIS AUX LECTEURS Le présent texte constitue un ouvrage de référence faisant partie intégrante de la "Banque de textes juridiques historiques" du Réseau juridique du Québec. L'information disponible est à jour à la date de sa rédaction seulement et ne représente pas les changements législatifs et jurisprudentiels en vigueur depuis sa rédaction.

Questions: Un nouveau client désire acheter un de vos produits via Internet. Il montre patte blanche en soumettant un numéro de carte de crédit valide et vous livrez le produit. Avec qui avez-vous vraiment transigé ? Comment se prémunir contre la répudiation de cette transaction ?

Depuis sa création, le commerce est basé sur la confiance mutuelle entre les parties. Dans son organisation, le commerce électronique rencontre aujourd'hui les mêmes obstacles qu'à l'occasion de l'implantation de certains outils de commerce tels la monnaie, les effets de commerce (incluant les chèques) et même les cartes de crédit et de débit. La confiance s'acquiert entre autres par la mise en place de standards universellement acceptés par les parties et c'est à cet objectif que plusieurs groupes intéressés à la promotion du commerce électronique s'acharnent.

La preuve d'un acte juridique dans le cyberespace est cruciale au développement du e-commerce et notre Code civil nous offre actuellement une plate-forme autorisant la mise en preuve d'inscriptions informatisées, lesquelles remplacent de plus en plus les actes juridiques traditionnels constatés par écrit. Une inscription informatisée doit être intelligible mais doit surtout présenter des garanties suffisamment sérieuses pour s'y fier, entre autres par sa systématisation, son absence de lacune et sa protection contre les altérations.

En cas de litige, cette preuve de fiabilité et de sécurité exige la démonstration des procédures de saisie et de traitement des données et la démonstration de l'emploi d'une méthode de cryptographie à clé publique (CCP) devient un puissant outil dans le cadre de la confection de cette preuve.

Simplement exprimée, la CCP exige la création et la gestion de deux (2) " clés " (formules mathématiques informatisées et sécurisées), l'une dite " publique " qui est disponible sans restriction et l'autre dite " privée " que seul un utilisateur détient. L'accès à la clé privée de l'usager, avant son jumelage à la clé publique, est très strictement contrôlée par une méthode d'authentification dite "forte" qui exige l'emploi combiné d'un facteur détenu par l'usager (ex. carte à puce ou SecurID) et un facteur connu par celui-ci (un NIP).

L'usage de la CCP permet d'abord la " signature " électronique d'un acte juridique par les parties et notre droit reconnaît ce moyen de la même manière que la signature manuscrite. Ainsi, l'identité des parties peut être authentifiée.

La CCP permet aussi de vérifier l'intégrité des données pour ainsi prouver que le contrat n'a pas été altéré entre l'envoi et la réception. Mais surtout, elle offre une garantie inégalée de non-répudiation de l'acte juridique par l'une des parties, ce que ne peuvent offrir les autres mécanismes tel le SSL (le petit cadenas ou la petite clé que vous voyez au bas de votre fureteur).

Par ailleurs, la CCP acquiert une force probante accrue par sa gestion systématique dans une infrastructure de cryptographie publique (ICP) reconnue. VeriSign, Entrust, KeyWitness et surtout RSA Security inc. (les concepteurs originaux de la CCP) sont autant d'autorités dans ce domaine. Du point de vue technique, étant donné les nombreuses opérations mathématiques et la durée de traitement de chaque autorisation (jumelage des clés), l'ICP a mis sur pied un système bien rôdé d'émission et de gestion de certificats d'authentification (une carte d'identité virtuelle inaltérable).

Tel que déjà mentionné, la confiance est la pièce maîtresse du commerce électronique. La technologie CCP fait partie intégrante de différents standards internationaux, tels le standard ISO, le standard X.509 ainsi que les standards SWIFT, ETEBEC5 et ANSIX9.31. Tous ces obscurs protocoles deviendront autant de garanties permettant de transiger de la façon la plus sûre possible avec un client de votre région comme celui habitant au bout du monde…et d'être certain que c'est vraiment lui !

L'auteur désire remercier M. Robert Bergeron, Directeur de territoire chez RSA Security inc., pour ses précieux commentaires.

Dernière mise à jour au 25 juillet 2002.

Avis : L'information présentée ci-dessus est de nature générale et est mise à votre disposition sans garantie aucune notamment au niveau de son exactitude ou de sa caducité. Cette information ne doit pas être interprétée comme constituant un ou des conseils ou avis juridiques. Si vous avez besoin de conseils juridiques particuliers, veuillez consulter un avocat ou un notaire.