La lettre recommandée électronique est à la mode mais qu’est-ce exactement ?

L’article 1369-8 du Code civil introduit par la loi du 13 mars 2000 sur la preuve et la signature électronique, dispose que « Une lettre recommandée relative à la conclusion ou à l’exécution d’un contrat peut être envoyée par courrier électronique à condition que ce courrier soit acheminé par un tiers selon un procédé permettant d’identifier le tiers, de désigner l’expéditeur, de garantir l’identité du destinataire et d’établir si la lettre a été remise ou non au destinataire (…) ».

Il ne s’agit donc pas d’une lettre scandée…

Les modalités d’application de ce texte ont été précisées par le décret n°2011-144 du 2 février 2011.

L’admission de la lettre recommandée adressée par voie électronique est donc subordonnée au respect des conditions suivantes :

-le courrier doit avoir été acheminé par un tiers selon un procédé permettant d’identifier ce dernier,
-l’expéditeur doit être désigné,
-l’identité du destinataire doit être garantie,
-la remise (ou non remise) de la lettre au destinataire doit également être établie.

Le destinataire d’un tel courrier bénéficie de deux modalités de réception de celui-ci lorsqu’il s’agit d’un professionnel : réception électronique par le destinataire ou impression par le tiers chargé de l’acheminement avant sa distribution sous forme papier au destinataire.

Le professionnel qui a recours à cette solution doit préalablement à l’envoi d’une lettre recommandée électronique, en tant que tiers chargé de l’acheminement, les informations visées à l’article 1er du décret du 2 février 2011 (nom, statut, forme juridique, adresse, inscription au RCS, …).

Lors du dépôt, il appartient au professionnel de conserver le numéro d’identification de l’envoi, la date et l’heure du dépôt électronique (preuve de dépôt), ainsi que le document original électronique et son empreinte informatique pendant un délai de 1 an. Il doit en assurer l’accès à l’expéditeur sur demande, par exemple dans son espace personnel accessible sur votre site.

En cas d’acceptation par le destinataire de la lettre recommandée électronique, le professionnel doit de conserver la preuve de cet envoi pendant un délai d’un an et d’en assurer l’accès à l’expéditeur.

Par ailleurs, en application de l’article 2 du décret précité, le professionnel doit envoyer par courrier électronique à l’expéditeur une preuve du dépôt.

Il est ensuite nécessaire, en fonction de la position du destinataire quant à l’acceptation ou non de la lettre recommandée électronique, et au plus tard le lendemain de l’expiration du délai de 15 jours laissé au destinataire, de communiquer à l’expéditeur les éléments repris à l’article 2 précité, complétés par la date et l’heure à laquelle le destinataire a accepté ou refusé de recevoir la lettre recommandée électronique ou l’absence de prise de connaissance de celle-ci.

L’utilisateur doit également avoir accès aux informations visées à l’article 3 du décret, la preuve de son envoi comportant les informations suivantes : n° d’identification d’envoi, nom et prénom ou raison sociale du destinataire, ainsi que l’adresse de courrier électronique, date et heure d’envoi de la lettre recommandée électronique.

J’attire toutefois votre intention sur le fait que le cadre juridique fixé par l’article 1369-8 et les décrets de février et avril 2011 sont relatifs aux lettres recommandées dans le cadre de « la conclusion ou l’exécution d’un contrat ». Ainsi, ce n’est que dans ce cadre que peut-être utilisée

Enfin, s’agissant du procédé de datation électronique, la fiabilité du procédé d’horodatage électronique retenu, il est présumé, dès lors que deux exigences sont remplies,

que le prestataire soit reconnu conforme aux exigences fixées à l’article 3 du décret du 20 avril 2011 n°2011-434 (personnel compétent, application de procédures de sécurité appropriées, information donnée aux utilisateurs et aux abonnés, conservation des informations relatives au fonctionnement et aux preuves de temps, plan de continuité d’activité, etc),
que le module d’horodatage remplisse les 10 exigences techniques et de sécurité mentionnées à l’article 4 dudit décret.

La certification d’un dispositif d’horodatage emporte la présomption simple de fiabilité du procédé de datation électronique telle visée aux articles 1369-7 et 1369-8 du Code civil.

Ainsi, un cadre juridique exigeant…

L’analyse des flux internet via un serveur proxy permet de vérifier la sécurité de la navigation internet afin d’éviter par exemple une infection virale.

L’analyse porte généralement sur les flux HTTP qui est le protocole standard sur Internet.

Le protocole HTTPS est une variante sécurisée du protocole HTTP. La navigation internet devient chiffrée pour éviter tout piratage. Ce protocole est souvent utilisé sur les sites des banques en ligne, pour le paiement sur les sites de e-commerce et même maintenant sur certains réseaux sociaux comme Facebook.

Les éditeurs en question proposent donc d’analyser les flux https, c’est à dire déchiffrer le flux sécurisé pour en contrôler l’intégrité et ensuite rechiffrer le flux et permettre la navigation.

Une différence importante entre l’analyse d’un flux HTTP et l’analyse d’un flux HTTPS réside dans le fait que le flux HTTPS comprend des données dites «sensibles» ex : données de carte bancaire, données personnelles…

I/ Analyse du flux internet au regard de la LCEN.

Du point de vue juridique, il s’agit d’un moyen de cryptologie tel que définit par la LCEN à l’article 29 : «On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide des convention secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockgae ou de la transmission des données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.»

En vertu de l’article 30 aliéna 1er de la LCEN, l’utilisation de moyens de cryptologie est libre. Donc l’entreprise qui utilise un outil d’analyse de flux https peut le faire librement.

En revanche, le régime est différent s’agissant de la fourniture de moyens de cryptologie.
Si l’objet de l’analyse est d’assurer exclusivement des fonctions d’authentification ou de contrôle d’intégrité, la fourniture de moyens de cryptologie est libre alors que si elle dépasse ces fonctions, elle devra faire l’objet d’une déclaration préalable auprès de la DCSSI.
La déclaration doit être faite par celui qui fournit les moyens de cryptologie, c’est à dire l’éditeur de solutions de proxy internet.

S’agissant de la fourniture de prestations de cryptologie, il faudra en toute hypothèse effectuer une déclaration préalable auprès de la DCSSI qui devra être effectuée par celui qui fournit le service.

Il convient donc de bien préciser l’objet de l’analyse qui ne sera dans la plupart des cas qu’un contrôle d’intégrité des données.

La forme et le contenu de la déclaration est précisé par un arrêté du 25 mai 2007 :

http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20070603&numTexte=1&pageDebut=10013&pageFin=10017

II/ Analyse du flux internet au regard de la loi informatique et libertés.

Il est possible de considérer que cette analyse correspond à un traitement de données personnelles. En effet, le protocole HTTPS a pour effet en général de protéger des données confidentielles même si tous les flux ne comportent pas forcément des données personnelles.

Pour rappel, constitue des données à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.» selon l’article 2 alinéa 2 de la loi informatique et libertés.

L’article 2 aliéna 3 définit le traitement de donnés à caractère personnel comme étant : « toute opération portant sur des données personnelles, que que soit le procédé utilisé, et notamment (…) l’extraction, la consultation, (…), le verrouillage. »

Au regard de ces deux définitions, la loi informatique s’applique. Toutes les conditions relatives au traitement des données personnelles doivent être respectées. Le traitement doit avoir recueilli le consentement de la personne concernée, doit être établit dans un intérêt légitime ne portant pas atteinte aux droits et libertés fondamentaux des personnes. (Article 7 de la loi informatique et libertés).

Le traitement doit alors faire l’objet d’une déclaration préalable selon l’article 22 de la loi informatique et libertés. La déclaration est effectuée par le responsable du traitement qui est dans le cas d’espèce celui qui effectue l’analyse des flux https.

Il convient en revanche de vérifier qu’il n’y ait pas de stockage de données personnelles en tant que tel.

Une formation d’une journée relative au commerce électronique pilotée par Digiport et l’Arist aura lieu ce 25 mars.

J’y interviendrai de 9h30 à 12h30 sur le droit du commerce électronique.

Cette formation est spécifiquement dédiée aux commerçants en ligne ayant déjà un site ou en cours de création.

Différentes études font ressortir que chaque foyer passe en moyenne 25 contrats par an.Que se passe-t-il en cas de litige ? Comment apporter la preuve d’un manquement contractuel ? Le litige se résume souvent en une bataille de preuves, d’où ce rappel sur le cadre juridique des preuves.Il importe, dès la conclusion du contrat, de s’intéresser à la preuve.

Lire la suite de ce billet »

Il est apparu essentiel en matière de commerce électronique, de pouvoir apporter des moyens de preuve également électroniques.

Lire la suite de ce billet »

Nous vous invitions à consulter le dossier très bien fait à ce sujet sur ce qu’est une signature électronique et surtout une signature certifiée à l’adresse suivante :

www.internet.gouv.fr/francais/textesref/signnum.htm

ainsi que quelques sites proposant des solutions à titre d’exemples :

www.ics-sign.com

www.certinomis.com

www.certplus.com

Rappelons également que les entreprises de plus de 100 millions de CA ont depuis cette année l’obligation d’effectuer les déclarations de TVA en ligne en utilisant ce type d’outils.

Les applications

Les applications de la cryptographie ou cryptologie dans le cadre des réseaux informatiques sont variées.

C’est un outil indispensable, à mon sens, au développement du commerce électronique , car la cryptographie permet de sécuriser les transactions financières .

Lire la suite de ce billet »