Les aspects juridiques du cryptage du courrier électronique

Les aspects juridiques du cryptage du courrier électronique

Extrait de «Informatikrecht in der Praxis» (Le droit de l’informatique dans la pratique) de Mathias Kummer, lic. en droit, LL.M.

Les risques liés à l’envoi d’e-mails non cryptés

Le courrier électronique non crypté comporte de grands dangers, car il ne garantit aucune confidentialité. Les informations sur l’expéditeur et le destinataire, ainsi que le contenu du message sont acheminés en texte clair via Internet. Les e-mails sont envoyés de serveur à serveur et enregistrés plusieurs fois en cours de route. Sur chacun de ces serveurs, le message peut être lu par un administrateur ou un attaquant. La confidentialité d’un courrier électronique non crypté est donc souvent comparée à celle d’une carte postale.

Le système de surveillance américain «Échelon» a suscité de nombreuses discussions au tournant du millénaire. La commission d’enquête du Parlement européen, qui avait été mise en place à cette époque, disposait d’un rapport montrant qu’Échelon était très probablement utilisé à des fins d’espionnage auprès d’entreprises européennes et d’utilisateurs à domicile. Les utilisateurs ont été invités à crypter leurs e-mails afin d’éviter toute vérification involontaire de leur correspondance confidentielle (voir également l’article de la NZZ intitulé «Wachsende Angst vor Echelon» (Une peur croissante d’Échelon) du 31 mai 2001, n° 124, p. 5). Le sujet sensible relatif à l’espionnage systématique par les États (mot-clé «cheval de Troie fédéral») est toujours d’actualité.

Dans des conditions strictes, les agences gouvernementales contrôlent également le trafic de courrier électronique à des fins répressives. Les messages électroniques non cryptés sont également facilement lisibles par votre propre employeur et les collaborateurs du service informatique. Le cryptage est également utilisé aujourd’hui pour se protéger de la curiosité dans son propre environnement.

Le cryptage de bout en bout entre les collaborateurs et les personnes externes est toutefois indésirable en raison du risque d’utilisation abusive (virus, violations de secrets commerciaux), de problèmes de disponibilité liés aux courriers électroniques commerciaux archivés et de l’empêchement du contrôle des affaires dans l’environnement de l’entreprise. Au lieu de cela, un service central ou une appliance centrale dans l’entreprise devrait assurer le cryptage et le décryptage.

Une utilisation inappropriée du courrier électronique peut conduire à la divulgation de secrets commerciaux et d’entreprise. Les concepts, les idées, les œuvres de l’esprit et les informations personnelles sont interceptés et copiés. Les conséquences financières et la perte d’image menacent la société concernée dans son existence même.

 

La violation des obligations du secret et des droits de la personne peut donner lieu en droit privé à des paiements en dommages-intérêts et en réparation du tort moral, en droit pénal à des amendes ou à une peine de prison et, en termes de droit professionnel, à des mesures disciplinaires sévères.

Le collaborateur responsable de la divulgation des secrets risque de subir des conséquences relatives au droit du travail. Il incombe juridiquement à la direction et au conseil d’administration d’une entreprise de connaître les exigences de la sécurité informatique et de déterminer les mesures techniques et organisationnelles nécessaires. Vous êtes responsable de l’organisation et du contrôle de la sécurité de l’information.

La direction de l’entreprise peut déléguer des pouvoirs de décision liés à la sécurité à des collaborateurs spécialisés de l’entreprise, par exemple au chef du département informatique. La responsabilité incombe alors à celui-ci dans le cadre de son contrat de travail.

Ceci s’applique également à tous les autres collaborateurs. Ils doivent effectuer avec soin le travail qui leur est confié et protéger de bonne foi les intérêts légitimes de l’employeur. Dans tous les cas, cela inclut les précautions à prendre lors de l’utilisation du courrier électronique.

Les méthodes de cryptage

La technique actuelle permet de crypter facilement les informations électroniques, en particulier les messages électroniques. Les programmes disponibles aujourd’hui sont faciles à utiliser et abordables. Aujourd’hui, il est même possible d’envoyer des messages cryptés pouvant être visualisés par le destinataire sans logiciel, clé ou certificat spécial. Il est même possible pour le destinataire de renvoyer sa réponse sous forme cryptée sans autre formalité. On distingue les méthodes de cryptage symétriques des méthodes asymétriques. Les algorithmes symétriques utilisent la même clé (clé unique) pour le cryptage et le décryptage. La longueur de la clé est de 128 bits par défaut. Pour que le destinataire puisse voir le message crypté, il a besoin d’un accès par mot de passe. La méthode de cryptage asymétrique est plus complexe et plus sécurisée. Elle est basée sur une paire de clés liées mathématiquement (clé publique et clé privée). Une clé crypte, l’autre décrypte le message. Un utilisateur dispose donc d’une clé privée secrète (par exemple sur une carte à puce protégée par un code PIN) et d’une clé publique publiée sur Internet. Un certificat (document numérique) lie l’identité d’une personne à une clé publique. Les certificats sont émis par des autorités de certification. Pour échanger des messages confidentiels à l’aide d’un cryptage asymétrique, les deux parties ont besoin d’une paire de clés chacune. Le cryptage ne doit pas être confondu avec la signature numérique. Les informations peuvent être signées numériquement pour prouver l’authenticité du message ou le fait qu’il n’a pas été modifié par un processus de hachage mathématique (une «empreinte digitale» de l’information).

Les solutions actuelles offrent la combinaison du cryptage et de la signature numérique. Le logiciel open source GNU Privacy Guard (GPG) permet le cryptage et la signature des données. Le logiciel est pourvu d’une gestion polyvalente des clés et dispose de modules d’accès pour tous les types de répertoires de clés publiques. Les e-mails cryptés et signés numériquement peuvent garantir la confidentialité ainsi que l’authenticité et l’intégrité des données. 3 De plus, le cryptage de données alternatif des fichiers ajoutés en pièce jointe à un courrier électronique est aujourd’hui plus sûr que la communication non cryptée. Le cryptage symétrique est aisément faisable dans les programmes MS Office. Word, Excel ou PowerPoint peuvent être pourvus d’un mot de passe. Le destinataire du document doit connaître le mot de passe, c’est-à-dire que celui-ci doit lui être communiqué au moins une fois par téléphone. Il ne suffit cependant pas de compter uniquement sur le cryptage symétrique pour les fichiers Microsoft. Cette protection est considérée comme facile à contourner.

L’obligation légale de crypter les e-mails

 

Un courrier électronique non crypté peut constituer une violation de l’obligation de traiter les informations de manière confidentielle. Cette obligation découle d’accords contractuels et de réglementations légales.

a) Accords contractuels

 

L’obligation de confidentialité peut être inscrite comme obligation principale dans un accord de non-divulgation (Non Disclosure Agreement, NDA). Les participants du projet s’engagent expressément à ce propos à garder confidentiels les informations et secrets commerciaux et à ne pas les divulguer à des tiers. En règle générale, une obligation de confidentialité est définie comme une obligation secondaire dans le cadre d’autres accords. Un devoir de confidentialité peut même être tacite, c’est-à-dire sans accord écrit ou verbal, dans le cas de relations commerciales caractérisées par une relation de confiance particulière. Conformément à l’art. 398 CO, le conseiller se trouvant dans une relation contractuelle a un certain nombre d’obligations de fidélité à l’égard du mandataire. Celles-ci incluent notamment les obligations de confidentialité et de secret. Le non-respect par négligence de la confidentialité représente déjà une violation contractuelle dans le cadre du mandat. Le non-respect des obligations de confidentialité contractuelles entraîne différentes conséquences juridiques en fonction de la conception du contrat. Les obligations de dédommagement, les pénalités contractuelles et la dissolution de la relation contractuelle se situent au premier plan.

b) Les obligations légales

 

La protection de la vie privée est prise en compte dès le niveau constitutionnel. L’article 13 de la Constitution fédérale stipule que toute personne a droit au respect de sa vie privée et familiale, de son domicile ainsi que de sa correspondance, de sa correspondance par poste et télécommunication et a droit à la protection contre l’utilisation abusive de ses données personnelles. Ce droit à la protection est concrétisé de plusieurs façons au niveau législatif. Selon les art. 28 et suivants du Code civil, quiconque subit une atteinte illicite à sa personnalité peut recourir au juge envers toute personne impliquée dans l’atteinte. La protection de la personnalité n’est pas garantie dans le cas d’e-mails personnels non cryptés. En outre, le devoir de loyauté relatif aux mandats et au travail, inscrit dans le Code des obligations (CO), peut imposer le secret. Dans le cas de certains groupes professionnels, la relation de confiance joue un rôle majeur dans la relation commerciale. Par conséquent, lesdits détenteurs du secret professionnel tels que les médecins, les avocats, etc. sont légalement tenus de garder le secret sous peine d’encourir des sanctions. Le Code pénal (CP) connaît toute une série de règles de protection de la confidentialité qui exigent des mesures appropriées pour garantir la confidentialité des informations, par exemple: le secret de fonction (art. 320 CP), les secrets professionnels déjà mentionnés (art. 321 et 321 bis CP), les secrets de fabrication et commerciaux (art 162 et 273 CP) et le devoir de préserver les secrets politiques et militaires (art. 267, art. 272 et 274 CP), cf. également l’art. 35 LPD suivant concernant la violation du secret professionnel. La loi relative à la protection des données contient des dispositions spéciales concernant la sécurité des technologies de l’information et la confidentialité.

c) La loi sur la protection des données en particulier

La loi sur la protection des données vise à protéger la personnalité des personnes via lesquelles les données sont collectées et traitées. Les personnes protégées sont à la fois des personnes physiques et des personnes morales. Les e-mails comportent de multiples références aux données personnelles. D’une part, l’adresse de l’expéditeur et du destinataire fournit souvent déjà des données personnelles, d’autre part, le contenu peut contenir des informations personnelles, par exemple des secrets commerciaux, des comptes rendus d’évaluations des collaborateurs, etc. La loi fédérale sur la protection des données (LPD) définit les exigences en matière de sécurité de l’information à l’art. 7. Elle exige que les données à caractère personnel soient protégées contre le traitement non autorisé au moyen de mesures techniques et organisationnelles appropriées. Des mesures doivent être prises pour assurer la confidentialité, la disponibilité et l’exactitude des données. La question de savoir quelles sont les mesures qui sont appropriées est délibérément laissée à l’utilisateur par le législateur. Ce dernier doit décider des moyens à utiliser en fonction de la finalité et de l’étendue du traitement des données et après avoir examiné les risques éventuels pour les personnes concernées et l’état de la technique. La mesure à prendre pour sécuriser les données doit donc être décidée au cas par cas en fonction des circonstances. Plus les informations personnelles sont sensibles, plus les mesures de sécurité requises sont strictes.

Pour répondre aux exigences de sécurité des données, les communications contenant des informations personnelles sensibles doivent être cryptées avant leur transmission. Quiconque envoie de tels messages électroniques non cryptés porte atteinte à la personnalité des personnes concernées. Les possibles conséquences sont des préjudices de réputation, des prétentions en dommages-intérêts et en réparation du tort moral. Toute personne qui divulgue délibérément des données personnelles secrètes, particulièrement sensibles ou des profils de personnalité dont elle a eu connaissance lors de l’exercice de sa profession nécessitant la connaissance de telles données sera sanctionnée sur demande (art. 35 LPD, atteinte au secret professionnel, confidentialité des données). Contrairement à la violation du secret professionnel régie par l’art. 321 CP, l’atteinte au secret des données ne dépend pas de la qualité d’une profession en particulier. Toutefois, le délit ne sera constitué que si des données personnelles ou des profils de personnalité intentionnellement sensibles ont été divulgués. Parmi les données personnelles les plus sensibles figurent les opinions religieuses, idéologiques et politiques, des informations sur la santé et la vie privée d’une personne, l’appartenance raciale, les mesures d’assistance sociale et des données sur les poursuites et les sanctions administratives ou pénales. Les profils de personnalité sont des compilations de données permettant d’évaluer des aspects significatifs de la personnalité d’une personne physique, par exemple les profils des clients. La divulgation d’un secret non personnel n’est pas couverte par l’art. 35 de la LPD.

Seule sa divulgation intentionnelle est punissable. Par «divulguer», la loi sur la protection des données entend le fait de rendre des données personnelles accessibles, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant (art. 3 LPD). Les e-mails non cryptés offrent un tel accès. La connaissance du manque de confidentialité des messages électroniques non cryptés fait aujourd’hui partie des connaissances générales. L’expéditeur de données à caractère personnel ou de profils de personnalité particulièrement dignes de protection agit au moins intentionnellement – et est donc punissable. Le secret des données selon l’art. 35 de la LPD peut être violé en envoyant des e-mails non cryptés. L’expéditeur risque une amende.

d) Obligation de confidentialité avec les détenteurs du secret professionnel

Les détenteurs du secret professionnel ont des obligations légales et professionnelles en raison de leur relation de confiance avec leurs clients. Cela concerne en particulier les avocats, les médecins, les pharmaciens, les auditeurs, le clergé, etc. L’envoi d’e-mails non cryptés ne correspond pas à la relation privilégiée de confiance et aux obligations de secret des détenteurs du secret professionnel.

 

La violation du secret professionnel est punie d’une peine d’emprisonnement pouvant aller jusqu’à 3 ans ou d’une amende (art. 321 du CP). Seule la divulgation délibérée de secrets confiés est punie. La connaissance du manque de confidentialité des e-mails non cryptés fait partie des connaissances générales, comme expliqué précédemment. Le détenteur du secret professionnel agit donc au moins de manière éventuellement intentionnelle – et est donc punissable.

Le consentement à la communication par e-mail non crypté

Un consentement valide du mandataire dans la communication par e-mail non cryptée implique une prise de conscience des risques. Cette prise de conscience a certainement augmenté ces dernières années. Néanmoins, l’avocat ou le fiduciaire en exercice ne peut pas toujours supposer que son homologue est conscient du manque de confidentialité, d’intégrité et d’authenticité. Par conséquent, l’avocat ou le fiduciaire est concerné à cet égard par son devoir d’informer. Un consentement implicite peut être conclu si la communication par e-mail est initiée par le mandataire et qu’il envoie déjà des contenus secrets par voie électronique. Un avertissement relatif au manque de confidentialité des communications par courrier électronique non cryptées, placé en bonne position sur le site Web et dans la réponse par courrier électronique, constitue l’exigence minimale dans de tels cas. Un consentement explicite du client devrait être obtenu afin d’éviter une incertitude juridique liée à l’existence d’un consentement valable pour l’utilisation non cryptée du courrier électronique.

Le cryptage cohérent des messages confidentiels est élégant, convaincant et évite toute incertitude juridique.

Résumé

Les messages électroniques non cryptés manquent de confidentialité. C’est pourquoi ils ne sont pas adaptés au transfert d’informations sensibles sur Internet. La confidentialité est la base de la coopération dans de nombreuses relations contractuelles. Le secret professionnel peut être défini dans le cadre d’un contrat ou être prescrit par la loi. Pour les détenteurs de secrets professionnels tels que les médecins, les avocats, les auditeurs, les obligations de confidentialité sont tellement déterminantes que leur violation est punie d’une amende ou d’une peine d’emprisonnement. Un envoi d’e-mail non crypté ne correspond pas à la relation de confiance particulière et aux obligations de confidentialité présentes du détenteur du secret professionnel. L’envoi non crypté d’informations personnelles par courrier électronique peut également constituer une violation des droits personnels des personnes et des entreprises concernées. La loi exige des mesures techniques et organisationnelles appropriées pour la sécurité des données. Sur la base des méthodes de cryptage existantes, les participants à la communication peuvent crypter leurs messages de manière simple et fiable, empêchant ainsi la consultation des e-mails lors de leur acheminement vers le destinataire. Le cryptage des e-mails sensibles garantit la confidentialité et l’intégrité des informations transmises. Les détenteurs de secrets professionnels et les expéditeurs d’e-mails sensibles en général ne peuvent éviter d’employer des solutions de cryptage appropriées. Autrement, ils risqueront des actions en dommages et intérêts, des amendes, des peines d’emprisonnement, des sanctions disciplinaires et une perte de réputation.