Etat des lieux juridique de la cryptologie

< ![endif]–>

Si aujourd’hui la cryptologie est autorisée en dehors du cadre militaire elle était jusque la interdite car vu comme une menace pour la sûreté de l’état. En effet le cadre de son utilité était restreint dans l’esprit du législateur et se résumait à l’espionnage ou à la transmission de données pouvant nuire à la Nation. C’est avec l’émergence de l’intelligence économique et l’idée que certaines données dans le monde de l’entreprise ont besoin d’être protégé que la cryptologie fût autorisée.

Une définition donnée par le législateur

La loi de réglementation des télécommunications du 29 décembre 1990, qui fût les prémisses de la libéralisation de la cryptologie, la définit en son article 28-1 comme « toutes prestations visant à transformer à l’aide de conventions secrètes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l’opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet. On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié dans le même objectif. » Dans cette définition très générale, l’utilisation des moyens informatiques n’est que sous entendu. C’est la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 qui intègre cette notion et définie les moyens de cryptologie comme étant « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.  On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie ». Avec cette définition on voit bien l’évolution de l’utilisation des moyens de cryptologies qui sont entièrement rentré dans la vie commerciale de toute entreprise et même dans la vie de chacun. Désormais un moyen de cryptologie doit remplir trois critères cumulatifs : la transformation d’une information claire en information cachée par des moyens de cryptographie et cryptanalyse dans les buts déterminés par la loi.

L’encadrement de la libéralisation

La LCEN dans son article 30 dispose que « L’utilisation des moyens de cryptologie est libre. » Cependant la cryptologie reste considérée comme une arme depuis le décret du 6 mai 1995. Cette liberté reste donc encadré. L’utilisation est totalement libre si le moyen de cryptologie vise à assurer exclusivement des fonctions d’authentification et de contrôle d’intégralité. Cependant pour certaines utilisations des moyens de cryptologie et notamment pour leurs transferts à d’autres états qui ne sont pas membres de l’union Européenne l’ancien régime des autorisation et déclarations subsiste.

L’on pouvait réduire le régime déclaratif à l’utilisation des moyens de cryptologie pour des fonctions d’authentification et de contrôle d’intégrité. Le régime d’autorisation s’appliquait à toutes les autres utilisations. Aujourd’hui le régime de la LCEN et le décret du 2 mai 2007 pris en application des principales dispositions de la LCEN ont réduit à une peau de chagrin le régime des autorisations pour étendre celui des déclarations. La déclaration doit être faite auprès du premier ministre. L’autorisation quand à elle est délivrée par le premier ministre après une procédure devant la direction centrale de la sécurité des systèmes d’informations. Les fournisseurs ou l’auteur du transfert doivent fournir pour leur autorisations les ne description des caractéristiques techniques du moyen de cryptologie importé, ainsi que le code source des logiciels utilisés.

Ce même décret fait une liste précise des différents cas d’opérations de fourniture, de transfert depuis ou vers un état membre de la communauté européenne, d’importation ou d’exportation qui sont dispensées de formalités préalable et donc non soumises à une déclaration ou à une autorisation. Ce sont par exemple les opérations de transfert de « carte à microprocesseur personnalisées destinées à des applications pour le grand public lorsque la capacité cryptographique est conçue et limitée pour servir uniquement avec les équipements … » Ou encore « les équipement spécialement conçus et limités pour servir dans des opérations bancaires ou financières, à destination du grand public, et dont la capacité cryptographique n’est pas accessible à l’utilisateur ».

Les articles 31 à 33 de la loi LCEN quant à eux déterminent les obligations que doivent respecter les prestataires de cryptologie. C’est ainsi que par exemple ils doivent se faire connaître auprès des services du Premier Ministre. Ils sont par ailleurs soumis à un régime de responsabilité très stricte allant du secret professionnel à la responsabilité en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces moyens de cryptologies.

Anne-Gaëlle LEFEBVRE

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.