Le cadre juridique de la carte d’identité électronique Prof. Etienne Montero (FUNDP) Beez, le 12 avril 2005

Plan I. Cadre légal et réglementaire II. Fonctions offertes par la CIE III. Régime juridique de la signature électronique et application à la CIE III. Quid en cas de perte, vol ou destruction?

Cadre légal et réglementaire L. du 25 mars 03 modifiant loi sur le RN et loi relative aux registres de la population et aux CI AR du 25 mars 03 relatif au CI AR du 25 mars 03 portant des mesures transitoires relatives à la CIE AM du 26 mars 03 déterminant le modèle de document de base pour CIE

Cadre légal et réglementaire AR du 30 nov. 03 modifiant l’AR du 25 mars 03 AR du 1er sept. 04 portant la décision de procéder à l’introduction généralisée de la CIE AR du 1er sept. 04 modifiant l’AR du 25 mars 03 * * * + législation sur la signature électronique

Fonctions offertes Données visibles à l’œil nu sur la carte identification (physique) * * * Données lisibles de manière électronique (microprocesseur) authentification (électronique) signature (électronique)

Fonctions offertes Sur la puce, on trouve des info. concernant : 1° les clés d’identité et de signature 2° les certificats d’identité et de signature 3° le PSC accrédité 4° la résidence ppale du titulaire, etc. Le titulaire peut, s’il le souhaite, renoncer à l’activation des données visées aux points 1° à 3°

1. Fonction classique d’identification Fonctions offertes 1. Fonction classique d’identification « présentation physique » de la carte à des fins de vérification de l’identité du porteur ne ‘prouve’ pas en soi l’identité réelle du porteur, mais fournit certains éléments à cet égard : cmt être sûr que ces éléments n’ont pas été falsifiés (mis à part la photo…) ? d’où l’intérêt de la fonction électronique d’authentification

2. Fonction d’authentification électronique Fonctions offertes 2. Fonction d’authentification électronique vise à permettre au porteur de la carte de prouver avec certitude qu’il est bien celui qu’il prétend être processus actif par lequel il s’identifie de façon volontaire et électronique comment ? ./…

Fonctions offertes insérer la carte dans un terminal ad hoc + former un code secret (code PIN), que le titulaire est seul sensé connaître si code correct, terminal envoie un message au destinataire authentifiant l’identité du titulaire

Comment cela se passe-t-il techniquement ? Fonctions offertes Comment cela se passe-t-il techniquement ? l’insertion du code PIN permet de déverrouiller la clé privée présente sur la puce de la CIE, qui, à son tour, génère un cryptogramme (message codé) le cryptogramme est créé de manière dynamique par la CIE lors de chaque insertion du code PIN il est aléatoirement différent à chaque utilisation sécurité supplémentaire!

Différence avec signature ? Fonctions offertes Différence avec signature ? ds le mécanisme d’authentication, on crypte un nombre produit, de façon aléatoire, par la carte (lors de chaque insertion du code PIN) ds le mécanisme de signature, on crypte un message avec un contenu sémantique : l’intérêt n’est plus seulement d’authentifier le titulaire, mais aussi d’attester son adhésion à un contenu!

3. Fonction de signature électronique Fonctions offertes 3. Fonction de signature électronique pour des connexions sécurisées à des sites pour signer des demandes adressées à une administration pour signer des e-mails, des AJP…

Régime de la signature électronique Cadre légal Application à la CIE

Régime de la signature électronique 1. Cadre légal Loi du 20 oct. 2000 => art. 1322, al. 2, C. civ. Loi du 9 juillet 2001 : => distingue sign. élec. simple et sign. élec. avancée => consacre un principe d’assimilation et un principe de non-discrimination => fixe le cadre juridique des services de certification

Régime de la signature électronique donnée sous forme électronique jointe ou liée logiquement à d’autres données électroniques qui sert de méthode d’authentification Signature électronique avancée : signature électronique + liée uniquement au signataire permettant d’identifier le signataire créée par des moyens que le signataire puisse garder sous son contrôle exclusif liée aux données auxquelles elle se rapporte (modification des données détectable)

Régime de la signature électronique Principe de non-discrimination signatures électroniques Principe d’assimilation signature électronique avancée basée sur un certificat qualifié (annexe 1) délivré par un PSC conforme annexe 2 créée par un dispositif sécurisé de création de signature (annexe 3)

Régime de la signature électronique L. du 9-VII-01, art. 4 § 4 : « Sans préjudice des articles 1323 et suivants du Code civil, une signature électronique avancée réalisée sur la base d’un certificat qualifié et conçue au moyen d’un dispositif sécurisé de création de signature électronique, est assimilée à une signature manuscrite, qu’elle soit réalisée par une personne physique ou morale. ».

Régime de la signature électronique Signature électronique avancée… basée sur un certificat qualifié et créée par un dispositif sécurisé de création de signature = signature électronique « qualifiée » Les données électroniques liées à une signature électronique « qualifiée » sont assimilées de plein droit à des données imprimées sur lesquelles est apposée une signature manuscrite

Régime de la signature électronique Dans l’état actuel de la technique, seule la signature numérique à double clé (cryptographie asymétrique), telle la signature de type RSA, reposant sur une infrastructure de type PKI, remplit les conditions de l’assimilation Encore faut-il que le lien entre la clé publique et le titulaire soit attesté => certificat qualifié émis par un PSC

Régime de la signature électronique 2. Application à la CIE Gvt a choisi la technologie RSA et l’infrastructure PKI pour fournir la fonction de signture électronique aux CIE => bénéfice du principe d’assimilation En pratique, deux phases : 1° signature 2° vérification

Régime de la signature électronique insertion de CIE ds terminal + introd code secret message à signer est transformé en une suite de symbolesWXYZ (fonction de hachage) par activation de clé secrète, condensé est encodé : génération d’un cryptogramme de signature Toute la phase de signature se déroule entièrement dans la carte!

Régime de la signature électronique 2° vérification : pour vérifier la signature, application de la clé publique, que le terminal va se procurer auprès du PSC pratiquement, clé publique permet de décoder le cryptogramme de signature et de le transformer, à son tour, en une suite de symboles. terminal compare symboles obtenus à ceux produits par le terminal lui-même ./…

Régime de la signature électronique 2° vérification : si condensés (WXYZ) sont identiques, alors la signature est vérifiée et valide. La phase de vérification de signature se déroule uniquement au sein du terminal!

Régime de la signature électronique Reste deux questions : qui a signé ? l’utilisateur de la carte + code = titulaire ?

Régime de la signature électronique Qui a signé ? Certificat qualifié délivré et signé par un « tiers de confiance » PSC (Certipost) atteste que telle clé publique appartient à telle personne Certificat digne de confiance ? Oui, nbr. garanties (enregistrement : contact physique entre titulaire et officier d’état civil; exigences des annexes…) Conclusion : c’est bien telle clé privée qui a été utilisée, dont telle personne est titulaire.

Régime de la signature électronique Utilisateur = titulaire? encore faut-il que la personne qui a introduit la carte et le code PIN lors de la phase de signature soit effectivement le titulaire de la carte risque existe (soustraction de carte par un tiers…) procédés biométriques pour conjurer ce risque…

Perte, vol ou destruction Notification Responsabilités en cas d’usage frauduleux

Perte, vol ou destruction 1. Notification Titulaire est tenu d’en faire la déclaration « dans les plus brefs délais » à l’administration communale (pdt heures de bureau) au bureau de police le plus proche ou au helpdesk mis en place au niveau du RN

Perte, vol ou destruction 1. Notification L’administration communale : délivre une attestation de perte, vol ou destruction charge, par l’intermédiaire du RN, le PSC de suspendre immédiatement ou de retirer la « fonction électronique » de la CIE

Perte, vol ou destruction 1. Notification Le helpdesk (// Card Stop) : est « opérationnel en permanence » (L. 25-III-03, art. 16), soit « 24 h./24, 7 jours/7 » (AR 25-III-03, art. 7) suspend ou retire « fonction électronique » de CIE Titulaire doit, par après, demander à sa commune une attestation de perte ou vol

Perte, vol ou destruction 1. Notification « fonction électronique » de CIE : « les certificats d’identité et/ou de signature présents sur la carte » (trav. prép.) suspension : mise hors service temporaire retrait : mise hors service définitive

Perte, vol ou destruction 1. Notification si carte retrouvée ds les 7 jours après notification, le titulaire en informe la commune, qui charge le PSC de réactiver la fonction électronique si carte pas retrouvée ds les 7 jours, ou en cas de destruction, le titulaire dde une nvelle CIE à sa commune

Perte, vol ou destruction 2. Responsabilités en cas d’usage frauduleux désaveu toujours possible - arg. de texte : cf. L. 9-VII-01, art. 4 § 4, initio - régime civil : « droit commun supplétif »… - arg. tiré de la philo. de la réforme : - maintien des grds équilibres/ppes du droit de la preuve - « équivalence » / « assimilation »

Perte, vol ou destruction 2. Responsabilités en cas d’usage frauduleux pratiquement, vérification d’écritures (expertises techniques) poursuite du débat sur le terrain de la responsabilité : pas de régime légal comparable à celui existant en matière d’instruments de TEF donc, droit commun (faute prouvée) qui est responsable après notification ? L’Etat ou le PSC…

Merci pour votre attention!