Cryptologie : une réglementation qui reste encadrée (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
France > Droit du numérique >
Fr flag.png

Auteurs : Bénédicte Deleporte et Betty Sfez,
Avocates au barreau de Paris
Deleporte Wentz Avocat
Publié le 06/02/2014 sur le blog du cabinet Deleporte Wentz Avocat


La cryptologie fait partie de notre quotidien, depuis la connexion à notre banque en ligne, les achats sur internet, en passant par la signature électronique. De plus en plus d’applications cryptent les échanges pour des raisons de sécurité et de confidentialité notamment.

Le développement de l’utilisation des échanges cryptés a été rendu possible grâce à la libéralisation de la réglementation relative à la cryptologie intervenue depuis une dizaine d’années avec la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN)[1].

Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité (informations accessibles uniquement aux personnes autorisées), leur authentification (données provenant de la personne prétendant en être l’auteur) ou leur intégrité (empêchement de toute altération, intentionnelle ou fortuite, du message).

Cet ensemble de techniques permet, en chiffrant les informations échangées ou stockées, de les rendre inintelligibles pour les tiers lors de leur transmission ou de leur conservation. La cryptologie est utilisée dans des domaines très variés : financier, commercial, militaire, mais également dans le cadre d’activités illégales.

La loi distingue entre moyens et prestations de cryptologie, avec un encadrement juridique allant de la liberté d’utilisation jusqu’à l’autorisation du Premier ministre suivant les finalités des systèmes. Cette réglementation doit être analysée compte tenu des règles d’importation et d’exportation au sein de l’Union européenne d’une part, depuis ou vers des pays tiers à l’UE d’autre part.


1. La fourniture de moyens de cryptologie

La loi définit la notion de “moyen de cryptologie” comme “tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes (clé ou algorithme de chiffrement) ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.” (art. 29 LCEN)

- Une liberté…

La loi pose le principe de la liberté d’utilisation des moyens de cryptologie. (art. 30 I. LCEN)

Ce principe de liberté est étendu à la fourniture et à l’importation et l’exportation au sein de l’Union européenne ou depuis ou vers des pays tiers de moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité, à savoir les moyens de signature électronique.

- … Encadrée

En revanche, les moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont soumis à une procédure soit de déclaration préalable, soit d’autorisation du Premier ministre (sauf certaines catégories de moyens de cryptologie fixées par décret).

Ainsi, la fourniture et l’importation depuis un État membre de l’Union européenne ou depuis un pays tiers, de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sont soumis à une déclaration préalable auprès de Premier ministre. Cette déclaration comprend la mise à disposition de la description des caractéristiques techniques du moyen de cryptologie en cause, ainsi que du code source des logiciels.

Enfin, la fourniture et l’exportation vers un État membre de l’Union européenne ou vers un pays tiers, de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sont soumis à une autorisation du Premier ministre.

Qu’il s’agisse d’une déclaration ou d’une demande d’autorisation, le fournisseur doit adresser son dossier à l’Agence nationale de la sécurité des systèmes d’information[2] (ANSSI). La forme et le contenu du dossier sont définis par un arrêté du Premier ministre. Ce dossier comporte une partie technique et une partie administrative. Si le dossier est complet, le Premier ministre notifie sa décision, dans un délai d’un mois pour les dossiers de déclaration, et un délai de 4 mois pour les autorisations, à compter du dépôt du dossier.

Il convient de noter que la déclaration de fourniture d’un moyen de cryptologie, vaut également déclaration pour les intermédiaires du déclarant qui distribuent ses moyens de cryptologie. Dès lors, une seule et unique déclaration suffira pour commercialiser les services du déclarant.

L’autorisation est délivrée pour une durée maximum de 5 ans, renouvelable.

Certaines catégories de moyens de cryptologie restent libres à l’importation ou à l’exportation. Les exceptions sont évaluées au regard des intérêts de la défense nationale et de la sécurité intérieure et extérieure de l’État. Ces catégories, identifiées par décret, concernent par exemple, la fourniture d’équipements, destinés au grand public, de réception de radiodiffusion ou de télévision, de radiocommunication mobiles, téléphoniques sans fil, et dont la capacité cryptographique ou de chiffrement n’est pas accessible à l’utilisateur. De même, est concernée la fourniture de prestations de cryptologie, ne consistant pas en la délivrance de certificats électroniques, visant à mettre en œuvre certains moyens de cryptologie[3].

La responsabilité des fournisseurs de moyens de cryptologie

Le Premier ministre peut interdire la mise en circulation du moyen de cryptologie du fournisseur qui ne respecterait pas les obligations décrites à l’article 30 de la LCEN (déclaration préalable ou demande d’autorisation au Premier ministre). Le champ de cette interdiction s’étend aux distributeurs du moyen de cryptologie en cause, et aux matériels constituant les moyens de cryptologie dont la mise en circulation a été interdite.

En outre, le non respect des obligations de déclaration préalable ou d’autorisation prévues à l’article 30 de la LCEN peut entraîner l’application de sanctions pénales : un an d’emprisonnement et 15 000 euros d’amende.

Enfin, l’exportation d’un moyen de cryptologie vers un État membre de l’Union européenne ou vers un pays tiers sans avoir obtenu d’autorisation préalable ou en dehors des conditions de cette autorisation est passible de deux ans d’emprisonnement et de 30 000 euros d’amende.


2. La fourniture de prestations de cryptologie

La notion de “prestation de cryptologie est définie comme “toute opération visant à la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie.” (art. 29 LCEN)

Le principe de déclaration préalable

La fourniture de prestations de cryptologie reste encadrée, via une procédure de déclaration auprès du Premier ministre. (art. 31 LCEN)

Les conditions de la déclaration, et les exceptions à l’obligation de déclaration sont définies par décret et sont identiques à celles décrites ci-dessus.

Comme pour la fourniture des moyens de cryptologie, les exceptions à l’obligation de déclaration sont évaluées au regard des intérêts de la défense nationale et de la sécurité intérieure et extérieure de l’État.

Le secret professionnel

Les fournisseurs de prestations de cryptologie sont assujettis au secret professionnel, en vertu de l’article 226-13 du Code pénal qui dispose que “la révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende."

La responsabilité des fournisseurs de prestations de cryptologie

Les fournisseurs de prestations de cryptologie à des fins de confidentialité sont responsables, au titre de l’exécution de leurs prestations, du préjudice causé aux personnes qui leurs confient la gestion de leurs conventions secrètes, en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions.

De même, les prestataires de services de certifications électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés. (art. 33 LCEN) Ces prestataires doivent justifier d’une garantie financière suffisante pour couvrir les risques liés à leur activité ou d’une assurance responsabilité civile professionnelle.

Enfin, le fait de fournir des prestations de cryptologie visant à assurer des fonctions de confidentialité sans avoir rempli l’obligation de déclaration prévue à l’article 31 de la LCEN est passible de deux ans d’emprisonnement et de 30 000 euros d’amende.


3. L’utilisation de moyens de cryptologie à des fins criminelles : un régime de sanctions spécifiques

La cryptographie n’est pas utilisée qu’à des fins licites. Les criminels utilisent également des systèmes de cryptologie afin de communiquer de manière confidentielle et notamment de préparer la commission d’infractions. Le législateur a prévu certaines dispositions spécifiques en cas d’utilisation de moyens de cryptologie à des fins illicites.

Un mécanisme général d’aggravation des peines

Le législateur a créé un mécanisme général d’aggravation des peines en cas d’utilisation de moyens de cryptologie pour la commission d’infractions. Ainsi, l’article 132-79 du Code pénal prévoit l’élévation systématique du quantum de la peine en cas de recours à la cryptologie par des criminels. Par exemple, une infraction punie de 20 ans de réclusion criminelle, passe à 30 ans en cas de recours à la cryptologie.

Le refus de déchiffrement d’un moyen de cryptologie utilisé à des fins criminelles

Le Code pénal réprime le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie - susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit- de refuser de remettre cette convention aux autorités judiciaires ou de la mettre en œuvre, malgré les réquisitions des autorités. Un tel acte est puni de 3 ans d'emprisonnement et de 45.000€ d'amende (article 434-15-2 CP).

Enfin, le Code pénal prévoit que lorsqu'il apparaît que des données, saisies ou obtenues au cours d’une enquête ou instruction, ont été cryptées, les autorités saisies de l'affaire peuvent désigner un expert afin qu’il déchiffre les informations litigieuses (article 230-1 CP).


Compte tenu des enjeux commerciaux d’une part, réglementaires d’autre part, il est donc impératif de se renseigner sur les règles de diffusion et d’import-export effectivement applicables à chaque moyen ou prestation de cryptologie, préalablement à toute mise sur le marché.


Voir aussi

« Erreur d’expression : opérateur / inattendu. » n’est pas un nombre.


Notes et références