PICSI

La fourniture de prestations de cryptologie

1. Définition et rôle du prestataire de cryptologie.

La loi du 21 juin 2004 pour la confiance dans l’économie numérique définit la prestation de cryptologie comme « toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie ». Il s’agit du recours aux services de celui que la pratique a nommé « tiers de confiance ». Un contrat lie ce prestataire à un utilisateur à qui il transmet des clés de chiffrement qui lui permettront de crypter ses messages. Le rôle du prestataire de cryptologie est de détenir et de gérer les clés de chiffrement.
Avant 2004 le recours aux services d’un tiers de confiance était obligatoire pour utiliser un moyen de cryptologie assurant des fonctions de confidentialité et dont la clé de chiffrement était supérieure à 128 bits. L’utilisateur pouvait librement choisir tel ou tel prestataire à condition que ce dernier ait obtenu un agrément délivré par le premier ministre. Les conditions d’obtention de cet agrément étaient relativement rigoureuses. En particulier, le tiers de confiance devait remplir un cahier des charges très précis et compter parmi son personnel des personnes habilitées « secret défense ».
Cette spécificité française qui imposait de faire appel, dans certains cas, aux services du tiers de confiance était vivement critiquée. Facteur de complexité, de lenteur et de surcoût, elle était considérée comme un handicap économique, frein au développement du commerce électronique.
Aujourd’hui, l’utilisation des moyens de cryptologie est totalement libre ; le recours à un prestataire de cryptologie n’est donc pas une obligation.

 

2. Obligations du prestataire de cryptologie.

Déclaration préalable :
Depuis 2004, la loi n’impose plus le recours aux services d’un tiers de confiance. Si un utilisateur décide néanmoins de faire appel à un prestataire de cryptologie, il doit savoir que son activité sur le territoire national fait l’objet d’une réglementation.
En effet, aux termes de la loi du 21 juin 2004, la fourniture de prestations de cryptologie doit être déclarée auprès du premier ministre. Le tiers de confiance n’est donc plus soumis à la très lourde procédure de l’agrément que la loi lui imposait antérieurement. Il devra simplement effectuer une déclaration préalable dont les modalités seront fixées par décret. Il pourra même être dispensé de cette formalité si les prestations fournies ne constituent pas un danger pour l’ordre public ou pour la sécurité intérieure ou extérieure de l’Etat. Le contenu de ces dérogations sera précisé par décret.
En outre, cette obligation de déclaration préalable concerne uniquement la fourniture de prestations de cryptologie sur le territoire français. Cela signifie a contrario que l’importation ou l’exportation de ces prestations est libre.

Secret professionnel :
Avant 2004 le tiers de confiance était assujetti à une obligation de collaboration avec les pouvoirs publics, ce qui permettait à l’Etat d’exercer un contrôle sur l’utilisation de la cryptologie. Le secret professionnel devait céder face à une demande des autorités administratives ou judiciaires (par exemple dans le cadre de l’interception des télécommunications prévue par la loi du 10 juillet 1991).
Aujourd’hui la loi elle-même proclame que les prestataires de cryptologie sont soumis au secret professionnel. Une telle précision vise à rassurer les utilisateurs et à conforter leur confiance dans l’économie numérique.
En cas de violation du secret professionnel les prestataires de cryptologie encourent, en vertu de l’article 226-13 du Code pénal, une peine d’un an d’emprisonnement et de 15 000 euros d’amende.

 

3. Responsabilité du prestataire de cryptologie.

Dans le but de renforcer la confiance des utilisateurs dans les prestations de cryptologie, et, plus généralement, dans l’économie numérique, la loi du 21 juin 2004 met en place une présomption de responsabilité des prestataires de moyens de cryptologie à des fins de confidentialité.
Très favorable à l’utilisateur cette disposition signifie que la responsabilité du prestataire sera automatiquement engagée en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide des conventions secrètes gérées par le prestataire. Le prestataire de cryptologie devra alors indemniser les utilisateurs qui ont subit un préjudice. Le seul moyen pour lui de s’exonérer de sa responsabilité et d’échapper à l’obligation d’indemnisation est de lui-même démontrer qu’il n’a commis aucune faute ou négligence.
La loi précise que cette présomption de responsabilité est valable nonobstant toute stipulation contractuelle contraire. Cela signifie que si le prestataire a intégré dans le contrat l’unissant à un utilisateur une clause l’exonérant de toute responsabilité en cas d’atteinte aux données cryptées, ou limitant les conditions d’exercice de sa responsabilité, cette clause ne sera pas valable et n’aura aucun effet. Les dispositions de la loi prévaudront sur celles du contrat.