Le 4 mars 2003 a eu lieu la constitution du groupement d'intérêt économique (GIE) LuxTrust entre le ministère de l'Economie et plusieurs banques. Le ministre de l'Economie Henri Grethen a présenté le LuxTrust GIE, qui institutionnalise la coopération entre l'Etat et un groupement de banques en vue de la mise en place d'une infrastructure à clé publique commune.
Une telle infrastructure est indispensable pour sécuriser le commerce électronique, l'administration électronique et le transfert de données confidentielles.
Henri Grethen, ainsi que Joseph Schaack, secrétaire d'Etat à la Fonction publique et de la Réforme administrative, lors de la signature relative à la constitution du GIE
Il n'y a pas de signature électronique valable sans infrastructure à clé publique ("ICP-PKI") car une ICP est la condition même pour la création d'une telle signature et pour la garantie de fiabilité tant au niveau de la sécurité que de la confidentialité et de l'inviolabilité d'une telle signature. En effet, une ICP matérialise les dispositions de la loi luxembourgeoise du 14 août 2000 relative au commerce électronique. L'ICP, dont la technologie est basée sur des algorithmes d'encryption asymétrique (ou "à clé publique") délivre des certificats cryptographiques, contenant une clé privée, servant de signature électronique et une clé publique, nécessaire au chiffrement des données. Les utilisations possibles de certificats fournis par l'ICP sont:
l'identification et l'authentification électronique fiable,
la signature électronique permettant notamment la non-répudiation des messages et des documents envoyés,
l'encryption de données et ainsi la sécurisation des communications.
Rappelons que la grande nouveauté de la loi du 14 août 2000 relative au commerce électronique, transposant notamment la directive communautaire 1999/93/CE relative à un cadre communautaire pour les signatures électroniques est justement de mettre à pied d'égalité la signature manuscrite et la signature électronique. Ceci est vrai à condition que cette dernière puisse s'appuyer sur un certificat qualifié qui doit satisfaire à des exigences fixées par la loi du 14 août 2000 relative au commerce électronique et notamment son article 25 et par le règlement grand-ducal du 1er juin 2001 pris en application de cet article.
Au-delà de la signature électronique, quels que soient les services qu'on désire offrir, les problèmes de protection des données et d'authentification des acteurs se poseront de façon de plus en plus pressante avec l'accroissement constant des échanges de données sur un réseau ouvert, comme Internet, ou fermé, via un Intranet.
Le Luxembourg a vite compris qu'il fallait avancer avec une grande prudence, étant donné qu'aucun modèle global d'ICP n'a actuellement réussi à s'imposer en Europe, mais qu'au contraire d'importantes initiatives isolées ont dû être abandonnées.
Il est par conséquent primordial de développer un projet global pour une ICP luxembourgeoise respectant notamment les quatre principes suivants:
L’interopérabilité des certificats
Le critère d’interopérabilité concerne la recherche de la compatibilité de la solution luxembourgeoise avec des solutions ICP européennes, voire mondiales tant au niveau technique qu'au niveau des politiques de certification.La conformité aux normes européennes et internationales
La solution doit être conforme aux exigences de l’accréditation luxembourgeoise qui est basée sur le travail des organismes normatifs.La variété des services offerts
L'ICP doit veiller à couvrir tous les besoins tant du secteur privé que du secteur public en mettant en place des services associés à l'ICP nécessaires pour pouvoir offrir des services électroniques flexibles et complets aux utilisateurs.L’autofinancement à moyen terme de l’infrastructure
L’exploitation d’une infrastructure à clé publique doit tendre idéalement vers l’équilibre financier à moyen terme.
A l’initiative et sous l’égide de l’ABBL, une douzaine d’institutions financières de la place avaient, dès 1998, entamé des études afin d’évaluer les possibilités de mise en place d'un trust center au niveau des banques, en vue d'un élargissement de la palette des services offerts à leur clientèle internationale.
D'autre part, le CRP Henri Tudor a été chargé par le ministère de la Fonction publique et de la Réforme administrative de faire une étude d'opportunité relative à la mise en place d'une ICP au Grand-Duché de Luxembourg, tant au niveau des citoyens que des entreprises et des administrations.
Rapidement, il s'est avéré que l'exiguïté au Luxembourg ne permet pas la prolifération des ICP. L'idée s'est imposée qu'il valait mieux collaborer entre le secteur public et le secteur privé en vue de créer une ICP luxembourgeoise fournissant des ressources de sécurité au service des applications des utilisateurs.
La CNSI (Commission nationale pour la société de l'information) a par conséquent chargé le ministre de l’Economie de négocier avec le groupe de travail de l'ABBL la création d’un GIE, afin de mettre en commun les études réalisées et de finaliser les travaux menés des deux côtés.
Des pourparlers ont finalement abouti à un partenariat entre le ministère de l'Economie et un GIE regroupant les institutions financières ayant déjà participé à l'étude relative à la mise en place d'un trust center lancé par l'ABBL. Ce partenariat est formalisé par la création d'un groupement d'intérêt économique dénommé "LuxTrust G.I.E.", ceci en vue de finaliser les études de l'Etat et celle des institutions financières pour aboutir à une solution d'ICP commune. Cette coopération doit aboutir à l'élaboration d'un cahier des charges et d'un plan d'affaires relatif à la réalisation d'une ICP nationale pour le commerce électronique, l'administration électronique et le transfert de données confidentielles.
Le financement de ce GIE se fait par des apports à parts égales de l'Etat et du secteur privé. L'Etat détiendra à tout moment 50% des parts.
L'objet de Luxtrust G.I.E. ne concerne qu'une première phase du projet global de création d'une ICP, projet qui doit permettre:
D’étudier la faisabilité d’une infrastructure à clé publique luxembourgeoise dans l’intérêt des citoyens, des entreprises et des administrations publiques.
D’étudier les possibilités d’interopérabilité avec les ICP reconnues au niveau international.
De se conformer aux exigences d’accréditation de l’Office Luxembourgeois d’Accréditation et de Surveillance.
D’élaborer un cahier des charges pour la mise en place des solutions techniques.
De déterminer un plan d’affaire (business plan) de l’ICP future, avec notamment:
un plan d’exploitation
un plan de financement
un plan de promotion de l’ICP "LuxTrust".
Le collège de gérance, qui dirige le GIE, arrête le plan de travail ainsi que l’échéancier des travaux en vue de réaliser l’objet du GIE, c'est-à-dire définir un plan d'affaires et d'élaborer un cahier des charges débouchant sur un appel d'offres.
Au cours d'une 2e phase, qui ne rentre plus dans l'objet de LuxTrust G.I.E. sous sa forme actuelle, les partenaires décideront de la suite de leur coopération et des investissements à réaliser.
Cette initiative commune doit permettre d’exploiter ou de faire exploiter une ICP nationale dans l’intérêt de tous les citoyens, des entreprises et des administrations qui souhaitent communiquer par Internet ou par Intranet - y compris faire des achats et des ventes en ligne - de manière sécurisée et conformément aux lois et règlements en vigueur.