La gestion des DRM en perspectivepar Herwann Perrin Université René Descartes Paris V - DESS de Droit et Pratique du Commerce électronique 2004 |
B - Le groupe de l'Article 29Le groupe de protection des données issu de l'article 29 de la Directive 95/46 a adopté en janvier dernier43(*) un document de travail sur les plates-formes informatiques de confiance, et, en particulier, sur le travail effectué par le Trusted Computing Group (Groupe TCG).44(*) Celui-ci comprend un nombre très important d'acteurs45(*) du secteur informatique et des télécommunications dont le but est, entre autres, de « rédiger des projets de spécifications pour une nouvelle génération de puces de sécurité hardware appelées Trusted Platform Modules (TPM) ». On notera à cet égard que « La puce TPM comporte les fonctionnalités suivantes: - clé publique: génération des paires de clés, signature par clé publique, vérification, cryptage et décryptage ; - démarrage en confiance: les registres de configuration de la plate-forme (PCR) enregistrent des tronçons d'informations de la configuration pendant toute la séquence de démarrage. Une fois l'ordinateur en marche, des données (telles que des clés symétriques pour fichier crypté) peuvent être "scellées" sous un PCR; - initialisation et gestion: ces fonctions permettent au propriétaire d'utiliser ou non la puce, de la remettre à zéro et d'en prendre possession. La nouvelle version des spécifications permet au propriétaire de déléguer un certain nombre de fonctions à l'utilisateur ».46(*) Néanmoins, les travaux de ce consortium sont intéressants à suivre dans la mesure où, d'une part il comprend l'ensemble des acteurs majeurs du secteur informatique et télécoms et d'autre part il s'est engagé à respecter et à prendre en compte l'ensemble de la législation communautaire relative à la protection des données47(*) tel que cela est précisé et débattu dans le document cité ci-dessus. Les évolutions des spécifications de la version 1.1 à la version 1.2 proposent notamment différentes solutions en accord avec des attentes précisées par le Groupe de l'Article 29. On mentionnera ici, et à titre d'exemple, la problématique relative à la protection des données via une certification externe. Dans ce cadre, le TCG a prévu deux possibilités, soit : - l'intervention d'un tiers de confiance qui certifierait l'identité des utilisateurs à leur correspondant, sans la dévoiler ; - d'utiliser la caractéristique "Direct Anonymous Attestation (DAA)" qui permet à l'utilisateur de créer une clé d'attestation d'identité (Attestation Identity Key, AIK) sans présenter la clé d'endossement (Endorsement Key, EK), qui constitue un identifiant unique.48(*) Si aucune décision n'a encore été arrêtée, on voit malgré tout les efforts et les implications que peuvent avoir un rapprochement entre différents acteurs à la fois privés mais aussi institutionnels.49(*) * 43 Article 29 Groupe de protection des données, Document de travail sur les plates-formes informatiques de confiance, et, en particulier, sur le travail effectué par le Trusted Computing Group (Groupe TCG), 23 janvier 2004, 9p. www.europa.eu.int/comm/privacy * 44 Le TCG est un organisme à but non lucratif qui fait partie d'une organisation internationale ayant adopté les spécifications de la TCPA (Alliance pour une informatique de confiance). Ibid, p.3. https://www.trustedcomputinggroup.org/home * 45 https://www.trustedcomputinggroup.org/about/members/ * 46 Ibid, p. 4-5. On notera a qu'Intel vient de commercialiser un nouvel gamme de processeur destinée à équiper les assistants personnels et téléphones mobiles multimédias qui intègre sa plate-forme de sécurité «Intel Wireless Trusted Platform». Elle dispose d'un système de DRM intégré qui pourrait interdire l'accès à des fichiers ne disposant pas des droits d'accès requis (Christophe Guillemin, Intel installe du DRM dans ses puces pour appareils mobiles, 20 avril 2004 , www.zdnet.fr). On pourra également lire le document d'Intel intitulé « Intel® Wireless Trusted Platform: Security for Mobile Devices » ftp://download.intel.com/design/pca/applicationsprocessors/whitepapers/30086801.pdf * 47 Les directives 95/46/CE et 2002/58/CE au niveau de la protection des données en général et la protection des données dans les communications électroniques. Mais également les dispositions des directives "commerce électronique", Directive 2000/31/CE du 8 juin 2000 et "signatures électroniques", Directive 1999/93/CE. * 48 Ibid p.7. * 49 Il n'en reste pas moins que certaines questions restent ouvertes et notamment le fait de savoir à l'avenir où seront les Tiers de confiance (PCA) car vu l'importance des données qu'ils ont en leur possession, des mesures de protection plus qu'adéquates devront être mises en place afin que celles-ci ne soient pas stockées à la fois dans un seul endroit mais également dans un seul Etat. |
|