Title: Aspects légaux et juridiques liés à GPG date: 2015-04-01 draft: False categories: Howto-GPG Lang: fr status: draft slug: 18-legal

Je vais parler ici des aspects légaux de gpg.

Gpg, en assurant la confidentialité, l’authenticité des communications (courriels) et des données (fichiers), apporte de nombreux aspects juridiques.

Légalité

Le chiffrement à usage personnel ou professionnel est considéré comme légal dans la plupart des pays occidentaux et/ou démocratiques.

En revanche, son usage peut-être, ou non, reconnu ou encouragé. Une constatation empirique est que plus un pays est démocratique (au sens de l’indice de démocratie) plus le chiffrement personnel est respecté voire encouragé.

Le site CryptoLaw (en anglais) permet de connaître le statut légal du chiffrement à usage personnel dans le monde. Malheureusement, il apparait comme peu à jour.

Une carte a été réalisé.

Reconnaissance des signatures numériques

Les signatures électroniques sont désormais de plus en plus reconnues, notamment au sein de l’Union Européenne, que ce soit au sein des instutions, pour leur fonctionnement (le Journal officiel de l’Union Européenne est édité sous format numérique et signé), ou encore au sein des états membres eux mêmes.

Union Européenne

Les signatures numériques au sein de l’Union Européenne - document obsolète

France

Belgique

Danemark

Le Danemark a mis en place une infrastructure de signature informatique - sauf qu’elle ne dit pas son nom.

C’est NemID (identité facile).

C’est un service d’identifiant et d’authentification basé sur le numéro de sécurité sociale (CPR). Grâce à celà, il est possible de signer un contrat bancaire, de récupérer ses fiches de paye, de modifier ses informations fiscales…

NemID repose massivement sur OpenSSL. À ses débuts, on pouvait grâce à celà avoir ses certificats ssl. Ce n’est plus le cas aujourd’hui.

Comme il repose sur OpenSSL, NemID n’est pas compatible avec OpenPGP.

Suisse

La Suisse a apparemment monté un système d’identification similaire à NemID: SuisseID.

Canada

Commentaires divers

Une citoyenneté numérique

Ça me les brise menu que les gouvernements mettent en place des systèmes tels que NemID quand les outils de confidentialité et d’authenticité nécessaires existent déjà.

Ces outils sont massivement opensource et donc en libre accès, et gratuits.

Le problème est que ça implique une prise de responsabilité de la part du citoyen, une participation active de ce dernier à ce processus, par le biais d’une auto-formation, d’une veille et d’une maintenance des clés.

Ça implique également que l’État, les entreprises, organismes publics et para-publics reconnaissent ce processus, et par la même aussi reconnaissent la citoyenneté sur internet et la prise d’indépendance des citoyens.

Des solutions diverses

Le Danemark (et d’autres pays scandinaves à ce que j’ai compris) a donc un système d’administration informatique de haut niveau: NemID. Ceci permet de:

  • signer des contrats divers en ligne (les banques sont les plus gros utilisateurs de cette solution).
  • utiliser des services publics en ligne (modification d’adresse, modification fiscales, demandes d’allocations, utilisation de carte de transport…).
  • recevoir et envoyer des courriers à des organismes publics ou para-publics (voire des entreprises sûrement !).
  • recevoir sa fiche de paye au format informatique.

C’est donc une importante source d’efficacité.

Mais en même temps, c’est un coût important, et la gestion de ce système est très souvent critiqué (fonctionnement par un opérateur privé, possibilité de surveillance de la population).

Quand on regarde les problèmes que NemID entend résoudre, on se rend compte que gpg pourrait tout-à-fait répondre à ça, sans nécessité d’une infrastructure centrale comme celle-ci.

Bon, d’accord, ça necessiterait sûrement que les sites web soit un peu plus travaillés. Mais ça voudrait dire aussi une vraie citoyenneté numérique.

Au lieu de celà, on a un citoyen et un usager des services numériques tenu par la main.

La loi, toujours la loi

Je terminerais par une remarque sur l’utilisation du chiffrement en rapport avec la loi.

La loi, le droit, ça me les brise vraiment beaucoup.

Des textes hyper-complèxes tels qu’il n’est pas possible de comprendre ce que ça dit, et encore moins ce que ça veut dire à tel point qu’il faut avoir un avocat à demeure pour connaitre ses droits.

Si on se prétend démocratique, alors la loi doit être compréhensible et accessible par tous. C’est à dire simple, et en libre accès.

À quand un openclassrooms du droit ?