PICSI

La fourniture de moyens de cryptologie

Concernant la fourniture de moyens de cryptologie, c’est à dire la mise à disposition d’utilisateurs de matériels ou logiciels de chiffrement, la loi du 21 juin 2004 distingue selon la fonctionnalité du moyen de cryptologie fourni.

1- Le moyen de cryptologie fourni assure exclusivement des fonctions d’authentification ou de contrôle d’intégrité.

Si le moyen de cryptologie assure exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sa fourniture est libre. Le fournisseur ne devra donc respecter aucune formalité. Sur ce point, comme sur beaucoup d’autres, la loi de 2004 est plus libérale que les précédentes réglementations. Jusque là, en effet, la fourniture de moyens de cryptologie n’assurant pas de fonction de confidentialité était soumise à une obligation de déclaration préalable auprès du premier ministre.

2- Le moyen de cryptologie fourni assure des fonctions de confidentialité.

Si le moyen de cryptologie n’assure pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, c’est à dire lorsque sa fonctionnalité est de garantir la confidentialité du message, sa fourniture est soumise à une déclaration préalable auprès du premier ministre. C’est un décret qui fixera les modalités de cette déclaration.

Ici encore, la loi actuelle a allégé la réglementation puisque, avant 2004, la loi exigeait dans ce cas une autorisation du premier ministre, formalité beaucoup plus contraignante que la déclaration préalable.

D’ailleurs, cette procédure de déclaration aujourd’hui applicable connaîtra des exceptions. En effet, la loi de 2004 a prévu des dispenses de déclaration pour certaines catégories de moyens de cryptologie qui ne représentent pas un danger au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat. La liste de ces moyens sera fixée par décret. Toutefois, l’on peut raisonnablement penser que seront entre autres classés dans cette catégorie les systèmes d’identification des cartes bancaires, les décodeurs de télévision grand public, les logiciels conçus pour assurer la protection des logiciels contre la copie ou l’utilisation illicite, les machines automatiques de distribution de billets de banque, les imprimantes en libre service…

Malgré ces exceptions, la règle demeure celle de la déclaration préalable et son défaut est sévèrement punit par la loi. Alors que, dans le droit antérieur, l’absence de déclaration n’était pas sanctionnée pénalement, la loi du 21 juin 2004, aujourd’hui applicable, est plus sévère : elle punit d’un an d’emprisonnement et de 15 000 euros d’amende le fait de ne pas satisfaire à l’obligation de déclaration. Le contrevenant encoure également des peines complémentaires telles que, par exemple, l’interdiction d’émettre des chèques et d’utiliser des cartes de paiement, l’interdiction d’exercer, pendant cinq ans une fonction publique ou l’activité professionnelle ou sociale dans l’exercice de laquelle la déclaration préalable a été omise, la fermeture de l’établissement, l’exclusion des marchés publics pour une durée de cinq ans… En raison de la sévérité des peines encourues, les fournisseurs de moyens de cryptologie ayant des fonctions de confidentialité ne doivent donc pas négliger la formalité de déclaration préalable.