Président : Jacques MAIRE
Secrétaire : Philippe LEDENVIC

SECURITE ET CONFIANCE : DEUX LOGIQUES INDEPENDANTES ?

    Le développement des échanges, et notamment des échanges virtuels, suppose la confiance dans le respect des engagements, qu’il s’agisse d’échanges entre un nombre limité d’opérateurs comme dans les transactions sur les marchés financiers ou sur ceux des matières premières, ou que ces échanges impliquent une population importante comme dans le e-commerce. Or, force est de constater la lenteur du développement du e-commerce. Insuffisance des outils requis pour garantir la sécurité des échanges ? ou le manque de confiance a-t-il d’autres causes ? Comment remédier à ce nouveau " mal français " ?

    En matière de commerce électronique en tous cas, le raffinement des dispositifs de sécurité technique, juridique ou de protection de la vie privée ne constitue pas une motivation suffisante pour inciter le consommateur à utiliser Internet pour ses achats. Pour s’en persuader, il suffit de développer quelques exemples concrets dans des domaines analogues.

    Le défaut de sécurité lié au piratage du numéro de carte bleue ou du numéro de compte bancaire n’est pas plus important sur Internet qu’il ne l’est, sur Minitel, lors de transactions par téléphone ou du fait de l’impression d’un récépissé d’achat. Or, la médiatisation de l’affaire Klappisch, du nom de l’auteur d’une carte bleue passe-partout, ne semble pas avoir fondamentalement modifié les comportements du public : il connaît mieux les risques – les taux de fraude à la carte bleue restent relativement faibles -, mais les accepte. Le risque de contrefaçon de signature n’est pas différent sur Internet de ce qu’il est avec la signature sur papier. Le manque de confidentialité ne semble émouvoir personne, le développement de la cryptographie de 48 bits à 128 bits (ou même 256 bits) ayant à peine été remarqué par le grand public.

    Si l’argumentation technique compte essentiellement pour les professionnels fournisseurs de produits et de services, comme les banques, le problème du respect des engagements et des voies de recours en matière de commerce international se pose dans les mêmes termes qu’il s’agisse de commerce électronique ou d’échanges traditionnels.

    En réalité, dans toutes les transactions, l’existence d’un tiers de confiance joue un rôle primordial. Dans les transactions classiques, les échanges de faible montant (moins de 1000 €) sont garantis par la banque pour les achats par carte de crédit, ou par l’existence d’un abonnement. Les échanges de montant moyen (1000 à 100 000 €) font l’objet de documents signés (la commande, la facture). Pour les échanges importants (plus de 100 000 €), le recours solennel à un tiers (le notaire) apporte la garantie de bonne fin.

    Dans le domaine électronique, le tiers de confiance peut être la banque (pour le porte monnaie électronique par exemple), le livreur (comme La Poste), l’autorité de certification (qui concerne surtout le vendeur), ou le " teneur de marché " (celui qui connaît à la fois les vendeurs et les acheteurs). Sur Internet aussi, la confiance se construit : l’acheteur indécis (le " butineur ") se promène sur les sites, revient au site qui semble répondre à son besoin, s’acclimate jusqu’à décider un achat, alors que l’acheteur confiant (" le spécialiste ") et décidé va droit au but. Ainsi, la confiance se construit avec sur une échelle de temps plus longue, que celle nécessaire à la mise en place de dispositifs de sécurité, et surtout : comment laisser place au temps dans un monde de l’instant et de la rapidité ?

    En réalité, les deux acteurs d’une transaction n’apportent pas une importance égale à la sécurité et à la confiance : le client accordera de l’importance à une marque, à un grand opérateur reconnu où à la banque qui assure la contrepartie financière de la transaction. Le vendeur attachera certainement plus d’importance que le client à la sécurité.

QUELQUES CLES POUR CONSTRUIRE LA CONFIANCE DANS LES ECHANGES

    En premier lieu, dans une démarche de construction de confiance, un retour aux bases de la confiance dans les échanges commerciaux paraît nécessaire.

    Premier éclairage : la chronique d’un voyageur génois du XV^ème siècle rapporte le mécanisme d’échange entre des nomades du Niger et des sédentaires du Mali au bord du fleuve Niger, dans un fort climat de méfiance : les nomades déposent de petits tas de sel sur la rive et se retirent ; les sédentaires prélèvent le sel qui, selon eux, équivaut aux petits tas d’or qu’ils déposent en échange, et se retirent ; les transactions se poursuivent pour autant que les quantités, objets du troc, apparaissent satisfaisantes aux uns et aux autres. La confiance se construit progressivement, sans même que les opérateurs se rencontrent.

    Autre perspective : Georges Akerlof, couronné par le Prix Nobel d’économie pour ses travaux sur l’asymétrie d’information utilise l’exemple du " Market for lemmons " (le marché des voitures d’occasion). Si un vendeur propose trois véhicules d’un même modèle apparemment remis en état, mais en réalité très différents (l’un presque neuf, l’autre normalement utilisé, le dernier faisant courir des risques à l’acquéreur), l’acheteur informé du prix moyen du marché (l’Argus), hésitera, conscient de ce que le vendeur motivé par la recherche du profit lui proposera de préférence le véhicule en moins bon état, et la transaction n’aura pas lieu. L’asymétrie d’information sur la qualité d’un produit freine les transactions. Néanmoins, est-ce la question fondamentale ?

    Dans le monde idéal de l’économiste, tout le monde a accès à une information complète sur la qualité des produits. Ceci n’est en réalité quasiment jamais le cas. On peut classer ainsi les produits dans trois catégories :

• les produits standards, de qualité constante et communément admise,
• les produits dont la valeur n’apparaît qu’à l’usage (appartements, véhicules,…),
• les produits dont la valeur n’est jamais prouvée (par exemple les produits " verts ").

• ces conditions sont réunies, même en l’absence de tiers de confiance, sur un marché où opèrent un petit nombre de vendeurs et d’acheteurs (marché des swaps financiers),
• de toute évidence, la difficulté existe dans les marchés impliquant beaucoup d’acteurs et notamment ceux qui concernent le grand public.

    Dans les marchés à acteurs nombreux, la solution repose sur des tiers " certificateurs " (le contrôle technique pour les voitures, le guide gastronomique pour les restaurants, l’agence de notation pour les produits financiers), ou bien la fluidité du marché repose sur l’existence d’intermédiaires (les produits dérivés).

    Mais peut-on et, si oui, comment fonder la confiance dans les certificateurs ou dans les intermédiaires ? Là encore, s’ils sont en petit nombre et en compétition entre eux, on revient à la configuration précédente. Si ça ne marche pas, il faut que l’Etat intervienne. Mais peut-on avoir confiance en l’Etat ?

GERER LES RISQUES : LA PRATIQUE DU TRADING ….

    Dans le domaine du trading, sur le gaz et sur l’électricité, comme sur le marché du pétrole depuis dix ans, les relations s’organisent entre acheteurs et vendeurs, des services de compensation se mettent en place et des transactions à terme se développent, afin d’assurer la fluidité des échanges, de réduire les risques de contrepartie et d’insolvabilité. Et on peut imaginer une convergence à l’avenir entre les marchés du gaz, de l’électricité, du pétrole et du charbon.

    Les risques sont de nature diverse et leur maîtrise appelle des réponses différentes. Le risque juridique est maîtrisé au moyen de contrats-cadres entre les opérateurs. Le risque opérationnel (mauvaise compréhension d’un ordre, défaut de saisie,…) est traité par la mise en œuvre de procédures strictes. Le risque de marché (lié à des variations brutales du prix) est contrôlé par une limitation des positions acheteur ou vendeur (les plafonds d’engagement autorisés) en fonction de la santé financière des contreparties. Le risque de blanchiment d’argent est limité par la vérification de l’origine des fonds, c’est-à-dire par la connaissance des acteurs.

    Les risk-managers, indépendants des opérationnels, sont chargés, au sein de chaque organisation, de donner les autorisations, de fixer les limites des positions et de vérifier le respect des procédures. Les plate-formes électroniques sont organisées par les pouvoir publics (les bourses), des opérateurs privés (Enron…), ou des courtiers (ICE - International Commercial Exchange -, détenu par des banques, des producteurs et des traders). Dans l’exemple d’ICE, les actionnaires garantissent la liquidité du marché, les relations sont automatisées et informatisées, mais le risque de contrepartie n’est pas supprimé. ICE a racheté la Bourse de Londres pour se doter d’une chambre de compensation. Le risque systémique demeure (l’effondrement en cascade des acteurs), et il serait sans doute utile d’harmoniser les réglementations qui diffèrent aujourd’hui entre les opérateurs industriels (dont le poids est déterminé par les actifs) et les opérateurs financiers (limités dans leurs engagements par les ratios prudentiels).

    Ce domaine fournit par ailleurs un bon exemple des possibilités de sanction d’acteurs défaillants : la réputation y est un capital crucial. Dans les opérations de trading, les échanges sont enregistrés et l’acteur qui ne respecte pas ses engagements est éliminé, que la transaction ait eu lieu par téléphone ou par Internet.
 

… OU CONSOLIDER LA SECURITE ?

    Sur Internet, les fonctions élémentaires de confiance sont l’identité (l’authentification du nom des acteurs), l’intégrité (la conservation du contenu du document), la validité dans le temps (la date certaine et la durée), la protection du secret (le chiffrement). Ces fonctions sont assurées par la signature électronique qui permet à la fois l’horodatage et l’archivage du document. Le certificat associé à un document est un fichier de 2 ko qui inclut une clé publique (garantissant les quatre fonctions de confiance) et la signature de l’autorité tierce.

    Une infrastructure à clé publique est un système d’organisation du domaine d’utilisation des certificats. On distingue trois types d’acteurs dans le monde numérique : les utilisateurs (administrations, banques, prestataires de services de transport et de télécommunications, places de marchés, industries,…), les tiers de certification, d’horodatage, d’archivage, les autorités de contrôle. Par exemple, un industriel comme Airbus a mis en place une infrastructure à clé publique pour la diffusion des manuels de maintenance des ses avions : les compagnies de transport aérien et de maintenance sont responsables de la mise en œuvre des consignes à compter de la réception des manuels, Airbus exerce les fonctions de l’autorité de certification dans ce domaine.

    Dans le cadre des Etats, c’est la législation qui définit l’infrastructure. En Europe, une série de directives européennes et leurs textes d’application nationaux ont organisé en quelques années les modalités d’exercice des fonctions de confiance, si bien qu’aujourd’hui, la signature électronique a la même valeur que la signature sur papier.

    Il ne faut probablement pas sous-estimer le rôle de la sécurité comme fondement de la confiance : tout cela n’est sans doute pas suffisant, mais c’est absolument nécessaire. La confiance repose sur la croyance en la sécurité, donc à la qualité et à la réputation des opérateurs de certification dans la collectivité.

    Néanmoins, malgré toutes ces évolutions récentes, les transactions électroniques se développent lentement : si la sécurité technique et juridique résulte du cadre fixé par l’Etat et des moyens mis en œuvre, la confiance, elle, résulte des comportements.

DES FORUMS POUR CONSTRUIRE LA " CIVILITE "

    La réglementation ne permet pas d’imposer la confiance, elle ne répond pas à toutes les questions (quelle est la responsabilité des intermédiaires ? le statut juridique des liens hypertextes ?), elle est mal adaptée au commerce électronique, elle s’adapte trop lentement aux pratiques, elle n’est pas mondiale, elle s’applique mal à des cas de figures très diversifiés. De même que de multiples développements techniques ont accru la sécurité des transactions, beaucoup a été fait pour en accroître la sécurité juridique. Mais, la confiance ne peut être imposée d’ " en haut ".

    L’autorégulation, depuis 1996, surtout aux Etats-Unis, a permis des avancées significatives avec la définition de labels (sur le respect de la vie privée, des procédures comptables,…), la publication de codes de conduite (spécifiques à certaines profession), mais elle rencontre des limites inhérentes à son caractère professionnel (qui contrôle l’impartialité des agences de notation ? des déontologues ?).

    Toutes ces tentatives de " régulation " découlent bien souvent de la publicité faite sur les scandales, les fraudes et, le cas échéant les sanctions prises en cas de manquements.

    En France, la corégulation, initiée par le Conseil d’Etat en 1998, concrétise un effort pour surmonter les tentations d’édicter des règles unilatérales, publiques ou privées, pour piloter l’interaction entre les parties intéressées, construire la " civilité de l’Internet ", la coexistence pacifique.

    Le Forum des Droits sur l’Internet a été créé pour répondre à trois enjeux : organiser la concertation entre acteurs publics et privés (industrie, associations, consommateurs, administrations,…) sur des sujets comme le télétravail, les élections par voie électronique, ou d’autres, informer et sensibiliser le grand public pour donner à chaque individu les outils qui lui permettent de maîtriser les risques qu’il prend et jouer pleinement son rôle d’arbitre, faciliter l’ouverture internationale pour rapprocher les pratiques et susciter la mise en œuvre de règles communes. L’objectif est bien de produire une architecture de " règles de confiance " selon un processus collectif

    Il s’agit notamment de fournir au grand public des informations fiables sur le cadre juridique, sur les risques, de répondre aux questions des internautes, de leur donner des recettes pratiques pour gérer leur identité, gérer les cookies. Il s’agit aussi, dans le cadre d’une coopération avec le Ministère de l’Education Nationale, de faciliter l’éducation à l’Internet, aux problèmes de sécurité. Sur tous les sujets, il s’agit de construire des solutions par consensus.

    Pour progresser dans la mesure de la confiance apportée par le public, il est enfin suggéré de développer des indicateurs, à l’image des banques suisses qui instaurent une relation de confiance étroite avec leurs clients grâce à une information détaillée.
 
 

Retour sommaire