CNUDCI et encadrement de la sécurité (2)

Vincent Gautrais 15 avril 2019

Nous avons évoqué récemment une question plus théorique selon laquelle la CNUDCI semblait avoir pris une légère distance avec le principe séminal d’équivalence fonctionnelle. Il nous faut désormais dire quelques mots sur la portée première de ce document de travail: la gestion d’identité et les services de confiance. Le document 157 a donc une double portée et entend encadrer deux types de situations qui se complètent et se cumulent. La première est somme toute classique et concerne l’identité des acteurs du commerce en ligne. La seconde est plus variée et est chapeautée sous la terminologie inclusive de services de confiance.

eIDAS. Ce texte martyr qui va sans aucun doute être profondément remanié est néanmoins assez fortement inspiré des travaux effectués assez récemment en Europe notamment au regard du règlement eIDAS de 2014 qui est venu remanier ces questions. En effet, une même distinction est opérée entre l’identité électronique et les services de confiance dans 2 chapitres distincts (2 et 3 dans le règlement; 3 et 4 dans le document 157 de la CNUDCI).

1 – Services de gestion de l’identité

Fiabilité. L’objectif de la gestion d’identité est vieux comme le web: comment m’assurer que la personne avec qui je fais affaire est bien celle qu’elle prétend être? Aussi, l’article 8 prévoir ceci:

Lorsque la loi ou une partie exige l’identification d’un sujet selon une certaine méthode, cette exigence est satisfaite dans le cas de la gestion de l’identité si une méthode fiable est employée pour vérifier les attributs pertinents de ce sujet à un niveau équivalent à celui que garantit la méthode exigée.

Comme nous l’avons indiqué dans le précédent billet, le «centre de gravité» de cet article, et de plusieurs autres dispositions, est la fiabilité. En fait, et c’est dans la nature des choses, le commerce électronique est en voie de se consolider et une tendance naturelle tend à exiger de plus en plus un certain niveau de sophistication. Aux règles de responsabilité des débuts, plus laxistes, tend à se développer une responsabilité accrue comme dans tous les autres secteurs du droit.

Normes techniques. Afin d’objectiver cette fiabilité si recherchée, une tendance forte est la référence aux normes nationales et internationales qui sont susceptibles d’éclairer la nature des obligations des prestataires. En effet, que ce soit l’article 11 al. 2, 13 ou 19. Une démarche qui semble d’ailleurs classique et que l’on retrouve par exemple à l’article 68 Lccjti.

Ex ante versus ex post. Plus exactement, cette quête d’objectivation requiert un double regard qui se traduit dans le document 157 par l’expression ex ante et ex post (voir notamment les notes 20 et 21). Par la première, on entend l’approche selon laquelle la fiabilité s’évalue au regard des conditions préalables qui doivent être suivies. Par la seconde, ex post, c’est l’approche d’un tiers (organisme de contrôle, juge, etc.) qui déterminera la diligence suivie par les parties prenantes. Avec égard, il nous semble que ces deux approches sont complémentaires et qu’il existe un certain continuum entre les 2. Ce continuum est peut-être plus présent dans la perspective de common law où, d’une part, toute situation est susceptible d’être évaluée par un juge et, d’autre part, parce que la mise en place d’un organe de contrôle dédié, comme cela apparaît à l’occasion dans eIDAS (17 – 18 – 19 – 20 – etc.) est moins systématique.

Exemple. Il est dans la logique des choses que de demander à un prestataire en identité numérique de documenter ses manières de faire, comme c’est par exemple requis à l’article 10 du document 157. Cette approche ex ante pourra bien évidemment être évaluée ex post par un juge afin de déterminer si la diligence requise est suffisante.

Présomption. La solution est simple comme le droit; le document 157 propose en effet à l’article 10 qu’une présomption soit associée au respect d’un certain nombre de mesures. Si des critères objectifs, et sécuritaires, restent à déterminer, il est d’ores et déjà requis que des mesures de publicité soient prises afin de faire connaitre les modalités prises pour assurer cette quête d’identité.

Lccjti. Notons que les règles qui sont proposées dans ce document exploratoire nous permettent de croire qu’elles sont tout à fait compatible avec les dispositions 38 et suivants de la Lccjti.

2 – Services de confiance

Définition. Ce terme générique dispose d’une compréhension très large, et ce, conformément à l’article 4 j) qui prévoit:

j) Par « service de confiance », on entend un service électronique qui offre un certain niveau de fiabilité en ce qui concerne la qualité des données ;

Une définition tellement large qu’elle se matérialise aux articles 14 et suivants dans une successions de situations allant de la signature, du cachet, de l’horodatage, de l’archivage, d’envoi recommandé, d’authentification de sites, de séquestre. Là encore, cette liste est fortement inspirée par les travaux européens et notamment du règlement eIDAS de 2014. Nous ne pourrons traiter de tous ces aspects ici; simplement, quelques points qui nous semblent en correspondance avec la Lccjti.

Signature électronique. Le document 157 répète les conditions requises à l’article 2827 CCQ selon lequel une signature répond à 2 fonctions principales : identifier le signataire et manifester son consentement. Cet article 14 reprend en effet ces 2 fonctions au regard d’une option qu’il restera à préciser.

[Option A pour le paragraphe 1)

Lorsque la loi exige la signature d’une personne, cette exigence est satisfaite si une méthode fiable est employée pour identifier cette personne et pour indiquer sa volonté concernant l’information figurant dans la [communication électronique].]

[Option B pour le paragraphe 1)

Lorsque la loi exige la signature d’une personne, cette exigence est satisfaite si :

a) Une méthode est utilisée pour identifier la personne et pour indiquer la volonté de cette personne concernant l’information figurant dans la [communication électronique] ; et

b) La méthode utilisée est :

i) Soit une méthode dont la fiabilité est suffisante au regard de l’objet pour lequel la [communication électronique] a été créée ou transmise, compte tenu de toutes les circonstances, y compris toute convention en la matière ;

ii) Soit une méthode dont il est démontré dans les faits qu’elle a, par elle-même ou associée à d’autres preuves, rempli les fonctions visées à l’alinéa a) ci-dessus.]

Ce rappel est relativement secondaire dans la mesure où ces 2 fonctions avait été reconnues tant par les travaux de la CNUDCI en lien avec la Loi modèle sur les documents transférables électroniques de 2017 (article 9), par la Loi modèle de 1996 (article 7) que par la Convention de 2005 (article 9 al. 3). Tous ces textes avaient en effet pris le soin de préciser cette approche fonctionnelle.

Cachet. De façon plus ponctuelle, mais néanmoins fort utile, quelques développements intéressants ont été proposés relativement à la notion de cachet notamment, à la note 30 du document 157, afin de savoir si le cachet devait être considéré distinctement – ou non – de la signature. Avec égard, il nous semble que le cachet est distinct, fonctionnellement, de la signature, et ce, comme cela apparaît à l’article 13 de la Lccjti:

13. Lorsque l’apposition d’un sceau, d’un cachet, d’un tampon, d’un timbre ou d’un autre instrument a pour fonction :

1°   de protéger l’intégrité d’un document ou d’en manifester la fonction d’original, celle-ci peut être remplie à l’égard d’un document technologique, au moyen d’un procédé approprié au support du document ;
2°   d’identifier une personne, une association, une société ou l’État, cette fonction peut être remplie à l’égard d’un document technologique, selon les règles prévues à la sous-section 1 de la section II du chapitre III ;
3°   d’assurer la confidentialité du document, cette fonction peut être remplie à l’égard d’un document technologique, selon les règles prévues à l’article 34.

Archivage. Enfin, et toujours dans la perspective de comparaison avec la Lccjti, nous avons été intéressé par les dispositions sur l’archivage à l’article 14 al. 3 qui se lisent comme suit:

Lorsque la loi exige que [certain documents, documents d’activité ou certaines informations] soient conservés, cette exigence est satisfaite si ce sont des messages de données qui sont conservés, sous réserve des conditions suivantes :

a) L’information que contient le message de données doit être accessible pour être consultée ultérieurement ;

b) Le message de données doit être conservé sous la forme sous laquelle il a été créé, envoyé ou reçu, ou sous une forme dont il peut être démontré qu’elle représente avec précision les informations créées, envoyées ou reçues ; et

c) Les informations qui permettent de déterminer l’origine et la destination du message de données, ainsi que les indications de date et d’heure de l’envoi ou de la réception, doivent être conservées si elles existent.

En premier lieu, cette disposition nous semble très proche de ce que l’article 19 Lccjti prévoit, intégrité mis à part, ce qui devrait être corrigé par la version ultérieure de la CNUDCI.

 En second lieu, on évoque les modalités de conservation, en référant à une forme identique ou représentant « avec précision » le contenu du document. Cette préposition nous fait penser à la différence entre transfert et copie que la Lccjti opère, notamment à 2841 CCQ. Dans les 2 cas, les deux formes de reproduction sont autorisées; deux formes qui ne semblent pas avoir un régime distinct comme il en existe entre 15 et 17 Lccjti. Une source d’inspiration qui existe dans les autres travaux de la CNUDCI  que sont la Loi modèle de 1996 (article 10 b)) et la Convention de 2005 (article 9 al. 5) a)).

 

Mis à jour le 16 avril 2019 à 12 h 09 min.

Commentaires

Laisser un commentaire