PICSI

L’importation et l’exportation des moyens de cryptologie

Le droit français a toujours réglementé l’importation et l’exportation des moyens de cryptologie.
Limiter les exportations est une préoccupation commune à la plupart des pays, au premier rang desquels les Etats Unis. Sur ce point, la position française n’a donc rien d’original. Elle l’est en revanche davantage concernant les importations que peu d’états réglementent.
Sous la pression des nécessités du commerce international, la France a assoupli sa législation avec la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Les importations et les exportations de moyens de cryptologie ne sont pas pour autant totalement libres ; elles demeurent soumises à une réglementation précise.

1. Les importations.

D’un point de vue terminologique, la loi distingue parmi les opérations d’importation celles effectuées depuis les états membres de la communauté européenne qui sont qualifiées de transferts, et celles effectuées depuis des pays n’appartenant pas à la communauté européenne qui sont dénommées importations. Malgré cette différence de qualification, le régime juridique applicable aux transferts et aux importations de moyens de cryptologie est aujourd’hui similaire.
Les transferts ou les importations de moyens de cryptologie sont libres si le chiffrement assure exclusivement des fonctions d’authentification ou de contrôle d’intégrité.
En revanche, si le moyen de cryptologie revêt des fonctions  de confidentialité, son transfert ou son importation est soumis à une déclaration préalable auprès du premier ministre. C’est un décret qui fixera les modalités de cette déclaration.
La réglementation actuelle a choisi d’harmoniser le régime juridique des importations et celui des transferts. En effet, avant 2004 si les transferts depuis un état membre de la communauté européenne était totalement libres, les importations étaient, quant à elles, assujetties au régime beaucoup plus rigoureux de l’autorisation du premier ministre. Aujourd’hui, toutes ces opérations sont soumises à la formalité unique de la déclaration préalable. Il convient néanmoins de préciser que cette formalité ne sera pas exigée dans tous les cas. En effet, la loi de 2004 a prévu des dispenses de déclaration pour certaines catégories de moyens de cryptologie qui ne représentent pas un danger au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat. La liste de ces moyens sera fixée par décret.
Lorsque la déclaration préalable est obligatoire, ce qui reste le principe, la loi punit rigoureusement son omission. Alors que, dans le droit antérieur, l’absence de déclaration n’était pas sanctionnée pénalement, la loi du 21 juin 2004, aujourd’hui applicable, est plus sévère : elle punit d’un an d’emprisonnement et de 15 000 euros d’amende le fait de ne pas satisfaire à l’obligation de déclaration. Le contrevenant encoure également des peines complémentaires telles que, par exemple, l’interdiction d’émettre des chèques et d’utiliser des cartes de paiement, l’interdiction d’exercer, pendant cinq ans une fonction publique ou l’activité professionnelle ou sociale dans l’exercice de laquelle la déclaration préalable a été omise, la fermeture de l’établissement, l’exclusion des marchés publics pour une durée de cinq ans…

2. les exportations.

De la même manière que pour les importations, la loi distingue parmi les opérations d’exportation celles effectuées vers les états membres de la communauté européenne qui sont qualifiées de transferts, et celles effectuées vers des pays n’appartenant pas à la communauté européenne qui sont dénommées exportations. Ici encore, malgré la différence terminologique, le régime juridique des transferts et celui des exportations sont unifiés. La réglementation applicable est en revanche conditionnée par la fonctionnalité du moyen de cryptologie exporté.
Si le moyen de cryptologie assure exclusivement des fonctions d’authentification ou de contrôle d’intégrité, son transfert et son exportation sont libres. Avant 2004, de telles opérations nécessitaient une déclaration préalable auprès du premier ministre.
Ce n’est que lorsque le moyen de chiffrement a des fonctions de confidentialité que son transfert ou son exportation est assujettie au régime le plus rigoureux : une autorisation obligatoire du premier ministre, dont les modalités seront fixées par décret. Sur ce point, la loi de 2004 n’a pas modifié le droit antérieur. La sévérité reste donc de mise même si la loi a prévu des dispenses d’autorisation pour certaines catégories de moyens de cryptologie qui ne représentent pas un danger au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat. La liste de ces moyens sera fixée par décret.
La loi du 21 juin 2004 a même durci le régime des sanctions applicables en cas de défaut d’autorisation, puisque ne pas satisfaire à l’obligation d’autorisation est puni de deux ans d’emprisonnement (alors que le droit antérieur prévoyait seulement six mois d’emprisonnement) et de 30 000 euros d’amende. Ce dispositif répressif est assorti de peines complémentaires qui sont les mêmes que celles prévues pour l’omission de déclaration préalable (interdiction d’émettre des chèques et d’utiliser des cartes de paiement, interdiction d’exercer, pendant cinq ans une fonction publique ou l’activité professionnelle ou sociale dans l’exercice de laquelle l’autorisation a été omise, fermeture de l’établissement, exclusion des marchés publics pour une durée de cinq ans…)