PICSI

Introduction

A l’origine, le droit français se montrait extrêmement méfiant vis-à-vis de la cryptologie, à tel point qu’elle fut longtemps soumise au régime juridique très rigoureux du matériel de guerre, ce qui, en pratique, en réservait l’usage aux services de l’Etat. Une telle sévérité était justifiée par des objectifs de sécurité publique. L’on craignait que la technique du chiffrement ne soit utilisée par des délinquants pour préparer et accomplir en toute sécurité leurs infractions sur les réseaux informatiques. Toutefois, cette réglementation sévère a peu à peu fait l’objet de vives critiques. D’une part, les utilisateurs privés ont progressivement pris conscience des avantages que pouvait procurer la cryptologie afin de garantir l’authenticité, l’intégrité ou la confidentialité de leurs messages. Dès lors, une réglementation trop contraignante fut considérée comme une entrave à la liberté d’expression et la protection de la vie privée. D’autre part, avec l’essors du commerce électronique, le rôle économique de la cryptologie s’est affirmé. La rigueur de son régime juridique, source de lourdeur, surcoût et perte de temps, est alors apparue comme un obstacle au développement des échanges commerciaux. La fermeté française était d’autant plus mal perçue qu’elle était réellement originale par rapport aux législations des autres pays démocratiques, beaucoup moins strictes. Les entreprises françaises s’estimaient pénalisées face à leurs concurrentes étrangères et plus particulièrement européennes. Cette condamnation généralisée de la réglementation traditionnelle explique que le droit français ait amorcé une importante évolution tendant à la libéralisation progressive de la cryptologie. Première étape majeure, la loi du 29 décembre 1990 a permis aux particuliers et aux entreprises d’accéder aux méthodes de chiffrement. Néanmoins, l’utilisation et la fourniture de moyens ou de prestations de cryptologie étaient soumises à une obligation de déclaration préalable auprès du premier ministre, ou, le plus souvent, étaient conditionnées à l’autorisation de ce dernier. La loi du 26 juillet 1996, élaborée sous l’influence du conseil de l’Europe, et complétée par plusieurs décrets d’application, a marqué une nouvelle phase dans l’allègement de la réglementation. En particulier, le régime de la déclaration préalable y prend le pas sur celui, beaucoup plus contraignant, de l’autorisation. Une nouvelle étape décisive vient d’être franchie par la loi du 21 juin 2004 pour la confiance dans l’économie numérique, qui fixe le régime juridique actuel de la cryptologie. Le principe essentiel est aujourd’hui la liberté du chiffrement. Toutefois, transparaît encore dans la réglementation française la volonté de concilier les enjeux de la sécurité informatique avec ceux de la sécurité publique. Ceci explique que la liberté ne soit pas totale.

L’utilisation des moyens de cryptologie

La loi du 21 juin 2004 pour la confiance dans l’économie numérique affirme désormais que l’utilisation des moyens de cryptologie est libre. Une entreprise ou même un simple particulier peuvent donc avoir recours à un moyen de chiffrement sans devoir respecter la moindre formalité. Cette liberté est applicable quelles que soient les caractéristiques techniques (peu importe, par exemple, la longueur de clé) et les fonctionnalités recherchées par le moyen de cryptologie (authentification, contrôle d’intégrité ou confidentialité).
Sur cet aspect, la réglementation actuelle est innovante. En effet, avant 2004 la liberté d’utilisation de la cryptologie n’était pas totale. Par exemple, lorsque le moyen de cryptologie avait pour finalité d’assurer la confidentialité du message, et si la clé de chiffrement dépassait 128 bits, l’utilisateur devait obligatoirement avoir recours aux services d’un prestataire, dénommé par la pratique « tiers de confiance ». Ce dernier était chargé de détenir et gérer les clés de chiffrement, et, dans certains cas, de les transmettre aux autorités administratives ou judiciaires (par exemple, dans le cadre de l’interception des télécommunications organisée par la loi du 10 juillet 1991).
S’il est vrai qu’aujourd’hui, en France, l’utilisation des moyens de cryptologie est entièrement libre, cette permissivité a un corollaire. En effet, le droit se montre extrêmement sévère avec les personnes qui abuseraient du régime libertaire et verraient dans l’usage de la cryptologie un moyen efficace de dissimuler leurs activités frauduleuses. L’article 132-79 du Code pénal sanctionne plus sévèrement que l’infraction elle-même le fait d’utiliser un moyen de cryptologie pour préparer ou commettre un crime ou un délit ou en faciliter la commission. La loi du 21 juin 2004 a également renforcé les moyens d’investigation et étendu les pouvoirs des agents de l’Etat afin de lutter contre la cybercriminalité. La loi place ainsi les utilisateurs de moyens de cryptologie devant leurs responsabilités.

La fourniture de moyens de cryptologie

Concernant la fourniture de moyens de cryptologie, c’est à dire la mise à disposition d’utilisateurs de matériels ou logiciels de chiffrement, la loi du 21 juin 2004 distingue selon la fonctionnalité du moyen de cryptologie fourni.

 

1- Le moyen de cryptologie fourni assure exclusivement des fonctions d’authentification ou de contrôle d’intégrité.

Si le moyen de cryptologie assure exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sa fourniture est libre. Le fournisseur ne devra donc respecter aucune formalité. Sur ce point, comme sur beaucoup d’autres, la loi de 2004 est plus libérale que les précédentes réglementations. Jusque là, en effet, la fourniture de moyens de cryptologie n’assurant pas de fonction de confidentialité était soumise à une obligation de déclaration préalable auprès du premier ministre.

2- Le moyen de cryptologie fourni assure des fonctions de confidentialité.

Si le moyen de cryptologie n’assure pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, c’est à dire lorsque sa fonctionnalité est de garantir la confidentialité du message, sa fourniture est soumise à une déclaration préalable auprès du premier ministre. C’est un décret qui fixera les modalités de cette déclaration.

Ici encore, la loi actuelle a allégé la réglementation puisque, avant 2004, la loi exigeait dans ce cas une autorisation du premier ministre, formalité beaucoup plus contraignante que la déclaration préalable.

D’ailleurs, cette procédure de déclaration aujourd’hui applicable connaîtra des exceptions. En effet, la loi de 2004 a prévu des dispenses de déclaration pour certaines catégories de moyens de cryptologie qui ne représentent pas un danger au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat. La liste de ces moyens sera fixée par décret. Toutefois, l’on peut raisonnablement penser que seront entre autres classés dans cette catégorie les systèmes d’identification des cartes bancaires, les décodeurs de télévision grand public, les logiciels conçus pour assurer la protection des logiciels contre la copie ou l’utilisation illicite, les machines automatiques de distribution de billets de banque, les imprimantes en libre service…

Malgré ces exceptions, la règle demeure celle de la déclaration préalable et son défaut est sévèrement punit par la loi. Alors que, dans le droit antérieur, l’absence de déclaration n’était pas sanctionnée pénalement, la loi du 21 juin 2004, aujourd’hui applicable, est plus sévère : elle punit d’un an d’emprisonnement et de 15 000 euros d’amende le fait de ne pas satisfaire à l’obligation de déclaration. Le contrevenant encoure également des peines complémentaires telles que, par exemple, l’interdiction d’émettre des chèques et d’utiliser des cartes de paiement, l’interdiction d’exercer, pendant cinq ans une fonction publique ou l’activité professionnelle ou sociale dans l’exercice de laquelle la déclaration préalable a été omise, la fermeture de l’établissement, l’exclusion des marchés publics pour une durée de cinq ans… En raison de la sévérité des peines encourues, les fournisseurs de moyens de cryptologie ayant des fonctions de confidentialité ne doivent donc pas négliger la formalité de déclaration préalable.  

L’importation et l’exportation des moyens de cryptologie

Le droit français a toujours réglementé l’importation et l’exportation des moyens de cryptologie.
Limiter les exportations est une préoccupation commune à la plupart des pays, au premier rang desquels les Etats Unis. Sur ce point, la position française n’a donc rien d’original. Elle l’est en revanche davantage concernant les importations que peu d’états réglementent.
Sous la pression des nécessités du commerce international, la France a assoupli sa législation avec la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Les importations et les exportations de moyens de cryptologie ne sont pas pour autant totalement libres ; elles demeurent soumises à une réglementation précise.

1. Les importations.

D’un point de vue terminologique, la loi distingue parmi les opérations d’importation celles effectuées depuis les états membres de la communauté européenne qui sont qualifiées de transferts, et celles effectuées depuis des pays n’appartenant pas à la communauté européenne qui sont dénommées importations. Malgré cette différence de qualification, le régime juridique applicable aux transferts et aux importations de moyens de cryptologie est aujourd’hui similaire.
Les transferts ou les importations de moyens de cryptologie sont libres si le chiffrement assure exclusivement des fonctions d’authentification ou de contrôle d’intégrité.
En revanche, si le moyen de cryptologie revêt des fonctions  de confidentialité, son transfert ou son importation est soumis à une déclaration préalable auprès du premier ministre. C’est un décret qui fixera les modalités de cette déclaration.
La réglementation actuelle a choisi d’harmoniser le régime juridique des importations et celui des transferts. En effet, avant 2004 si les transferts depuis un état membre de la communauté européenne était totalement libres, les importations étaient, quant à elles, assujetties au régime beaucoup plus rigoureux de l’autorisation du premier ministre. Aujourd’hui, toutes ces opérations sont soumises à la formalité unique de la déclaration préalable. Il convient néanmoins de préciser que cette formalité ne sera pas exigée dans tous les cas. En effet, la loi de 2004 a prévu des dispenses de déclaration pour certaines catégories de moyens de cryptologie qui ne représentent pas un danger au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat. La liste de ces moyens sera fixée par décret.
Lorsque la déclaration préalable est obligatoire, ce qui reste le principe, la loi punit rigoureusement son omission. Alors que, dans le droit antérieur, l’absence de déclaration n’était pas sanctionnée pénalement, la loi du 21 juin 2004, aujourd’hui applicable, est plus sévère : elle punit d’un an d’emprisonnement et de 15 000 euros d’amende le fait de ne pas satisfaire à l’obligation de déclaration. Le contrevenant encoure également des peines complémentaires telles que, par exemple, l’interdiction d’émettre des chèques et d’utiliser des cartes de paiement, l’interdiction d’exercer, pendant cinq ans une fonction publique ou l’activité professionnelle ou sociale dans l’exercice de laquelle la déclaration préalable a été omise, la fermeture de l’établissement, l’exclusion des marchés publics pour une durée de cinq ans…

2. les exportations.

De la même manière que pour les importations, la loi distingue parmi les opérations d’exportation celles effectuées vers les états membres de la communauté européenne qui sont qualifiées de transferts, et celles effectuées vers des pays n’appartenant pas à la communauté européenne qui sont dénommées exportations. Ici encore, malgré la différence terminologique, le régime juridique des transferts et celui des exportations sont unifiés. La réglementation applicable est en revanche conditionnée par la fonctionnalité du moyen de cryptologie exporté.
Si le moyen de cryptologie assure exclusivement des fonctions d’authentification ou de contrôle d’intégrité, son transfert et son exportation sont libres. Avant 2004, de telles opérations nécessitaient une déclaration préalable auprès du premier ministre.
Ce n’est que lorsque le moyen de chiffrement a des fonctions de confidentialité que son transfert ou son exportation est assujettie au régime le plus rigoureux : une autorisation obligatoire du premier ministre, dont les modalités seront fixées par décret. Sur ce point, la loi de 2004 n’a pas modifié le droit antérieur. La sévérité reste donc de mise même si la loi a prévu des dispenses d’autorisation pour certaines catégories de moyens de cryptologie qui ne représentent pas un danger au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat. La liste de ces moyens sera fixée par décret.
La loi du 21 juin 2004 a même durci le régime des sanctions applicables en cas de défaut d’autorisation, puisque ne pas satisfaire à l’obligation d’autorisation est puni de deux ans d’emprisonnement (alors que le droit antérieur prévoyait seulement six mois d’emprisonnement) et de 30 000 euros d’amende. Ce dispositif répressif est assorti de peines complémentaires qui sont les mêmes que celles prévues pour l’omission de déclaration préalable (interdiction d’émettre des chèques et d’utiliser des cartes de paiement, interdiction d’exercer, pendant cinq ans une fonction publique ou l’activité professionnelle ou sociale dans l’exercice de laquelle l’autorisation a été omise, fermeture de l’établissement, exclusion des marchés publics pour une durée de cinq ans…)

La fourniture de prestations de cryptologie

1. Définition et rôle du prestataire de cryptologie.

La loi du 21 juin 2004 pour la confiance dans l’économie numérique définit la prestation de cryptologie comme « toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie ». Il s’agit du recours aux services de celui que la pratique a nommé « tiers de confiance ». Un contrat lie ce prestataire à un utilisateur à qui il transmet des clés de chiffrement qui lui permettront de crypter ses messages. Le rôle du prestataire de cryptologie est de détenir et de gérer les clés de chiffrement.
Avant 2004 le recours aux services d’un tiers de confiance était obligatoire pour utiliser un moyen de cryptologie assurant des fonctions de confidentialité et dont la clé de chiffrement était supérieure à 128 bits. L’utilisateur pouvait librement choisir tel ou tel prestataire à condition que ce dernier ait obtenu un agrément délivré par le premier ministre. Les conditions d’obtention de cet agrément étaient relativement rigoureuses. En particulier, le tiers de confiance devait remplir un cahier des charges très précis et compter parmi son personnel des personnes habilitées « secret défense ».
Cette spécificité française qui imposait de faire appel, dans certains cas, aux services du tiers de confiance était vivement critiquée. Facteur de complexité, de lenteur et de surcoût, elle était considérée comme un handicap économique, frein au développement du commerce électronique.
Aujourd’hui, l’utilisation des moyens de cryptologie est totalement libre ; le recours à un prestataire de cryptologie n’est donc pas une obligation.

 

2. Obligations du prestataire de cryptologie.

Déclaration préalable :
Depuis 2004, la loi n’impose plus le recours aux services d’un tiers de confiance. Si un utilisateur décide néanmoins de faire appel à un prestataire de cryptologie, il doit savoir que son activité sur le territoire national fait l’objet d’une réglementation.
En effet, aux termes de la loi du 21 juin 2004, la fourniture de prestations de cryptologie doit être déclarée auprès du premier ministre. Le tiers de confiance n’est donc plus soumis à la très lourde procédure de l’agrément que la loi lui imposait antérieurement. Il devra simplement effectuer une déclaration préalable dont les modalités seront fixées par décret. Il pourra même être dispensé de cette formalité si les prestations fournies ne constituent pas un danger pour l’ordre public ou pour la sécurité intérieure ou extérieure de l’Etat. Le contenu de ces dérogations sera précisé par décret.
En outre, cette obligation de déclaration préalable concerne uniquement la fourniture de prestations de cryptologie sur le territoire français. Cela signifie a contrario que l’importation ou l’exportation de ces prestations est libre.

Secret professionnel :
Avant 2004 le tiers de confiance était assujetti à une obligation de collaboration avec les pouvoirs publics, ce qui permettait à l’Etat d’exercer un contrôle sur l’utilisation de la cryptologie. Le secret professionnel devait céder face à une demande des autorités administratives ou judiciaires (par exemple dans le cadre de l’interception des télécommunications prévue par la loi du 10 juillet 1991).
Aujourd’hui la loi elle-même proclame que les prestataires de cryptologie sont soumis au secret professionnel. Une telle précision vise à rassurer les utilisateurs et à conforter leur confiance dans l’économie numérique.
En cas de violation du secret professionnel les prestataires de cryptologie encourent, en vertu de l’article 226-13 du Code pénal, une peine d’un an d’emprisonnement et de 15 000 euros d’amende.

 

3. Responsabilité du prestataire de cryptologie.

Dans le but de renforcer la confiance des utilisateurs dans les prestations de cryptologie, et, plus généralement, dans l’économie numérique, la loi du 21 juin 2004 met en place une présomption de responsabilité des prestataires de moyens de cryptologie à des fins de confidentialité.
Très favorable à l’utilisateur cette disposition signifie que la responsabilité du prestataire sera automatiquement engagée en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide des conventions secrètes gérées par le prestataire. Le prestataire de cryptologie devra alors indemniser les utilisateurs qui ont subit un préjudice. Le seul moyen pour lui de s’exonérer de sa responsabilité et d’échapper à l’obligation d’indemnisation est de lui-même démontrer qu’il n’a commis aucune faute ou négligence.
La loi précise que cette présomption de responsabilité est valable nonobstant toute stipulation contractuelle contraire. Cela signifie que si le prestataire a intégré dans le contrat l’unissant à un utilisateur une clause l’exonérant de toute responsabilité en cas d’atteinte aux données cryptées, ou limitant les conditions d’exercice de sa responsabilité, cette clause ne sera pas valable et n’aura aucun effet. Les dispositions de la loi prévaudront sur celles du contrat.

La signature électronique sécurisée

Nécessaire en pratique afin d’instaurer la confiance des utilisateurs dans le commerce numérique, l’usage d’un procédé de signature électronique fiable est également une exigence posée par notre droit à des fins probatoires. En effet, en vertu de l’article 1341 du Code civil, certains contrats doivent être prouvés par un acte sous seing privé, c'est-à-dire un écrit signé. Ces enjeux expliquent que l’on trouve une réglementation très précise qui définit la signature électronique sécurisée, c'est-à-dire la signature présumée fiable, juridiquement assimilable à une signature manuscrite.
Le législateur, conscient de l’évolution et de l’obsolescence rapide des techniques, ne s’est pas risqué à définir lui-même la signature électronique sécurisée. Il a confié cette tâche au pouvoir réglementaire par l’intermédiaire de décrets, plus aisément modifiables au fil des mutations technologiques. Le principal décret applicable aujourd’hui est celui du 30 mars 2001. Il s’est beaucoup inspiré de la directive communautaire du 13 décembre 1999 sur les signatures électroniques, laquelle avait introduit la notion de « signature électronique avancée ». Le texte français, qui emploie quant à lui l’expression « signature électronique sécurisée », impose de multiples conditions qui ont trait tant au procédé de signature utilisé qu’au certificat sur lequel repose la vérification de la signature. Dans les deux cas, même si les textes emploient une terminologie neutre technologiquement, il est fait appel aux techniques de cryptologie.

1. Un dispositif sécurisé de création de signature électronique.

Le décret du 30 mars 2001 prévoit qu’un dispositif sécurisé de création de signature électronique doit garantir par des moyens techniques et des procédures appropriés que les données de création de signature ne peuvent être établies plus d’une fois et que leur confidentialité est assurée, qu’elles ne peuvent être trouvées par déduction et que la signature électronique est protégée contre toute falsification, qu’elles peuvent être protégées de manière satisfaisante par le signataire contre toute falsification. En outre, le texte impose que le dispositif n’entraîne aucune altération du contenu de l’acte à signer et ne fasse pas obstacle à ce que le signataire en ait une connaissance exacte avant de le signer. Le décret ne vise aucune technologie en particulier. Cette neutralité terminologique ne fait pourtant pas illusion. En l’état actuel des techniques informatiques et mathématiques, les seuls procédés permettant de répondre à ces exigences réglementaires sont ceux qui utilisent la cryptologie à clé asymétrique, propre à assurer des fonctions d’authentification et de contrôle d’intégrité.
Pour garantir qu’il répond bien à ces exigences, le procédé doit être « certifié conforme » soit par le premier ministre (en pratique par l’intermédiaire de la DCSSI, Direction Centrale de la Sécurité des Systèmes d’Information), dans les conditions prévues par le décret du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information, soit, au niveau européen, par un organisme désigné à cet effet par un Etat membre de la Communauté européenne.

2. Un certificat électronique qualifié.

En vertu du décret du 30 mars 2001, une signature électronique ne peut être regardée comme sécurisée, c'est-à-dire présumée fiable, que si la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié. Le décret précise alors ce qu’il entend par certificat électronique qualifié : il pose des conditions qui ont trait d’une part au certificat lui-même, et, d’autre part, au prestataire de services de certification chargé de délivrer le certificat.

    - le certificat électronique.
Le certificat électronique est défini comme un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire. La qualité d’un certificat se mesure à la précision et à la quantité des informations qu’il émet. En effet, il doit comporter diverses mentions obligatoires énumérées par le décret. En particulier, il doit être fait référence, dans le certificat, de l’identité du prestataire de services de certification qui l’établi ainsi que de sa signature électronique, du nom du signataire, du début et de la fin de la période de validité du certificat électronique, du code d’identité unique du certificat, du fait que ce certificat est délivré à titre de certificat électronique qualifié…

    - le prestataire de services de certification électronique
Le prestataire de services de certification électronique, nommé par la pratique tiers certificateur, est défini comme toute personne qui délivre des certificats électroniques ou fournit d’autres services en matière de signature électronique. Ce prestataire privé doit satisfaire à des exigences précises, elles aussi énumérées par le décret. Par exemple, le prestataire doit garantir le fonctionnement d’un service d’annuaire recensant les certificats électroniques des personnes qui en font la demande, assurer le fonctionnement d’un service de révocation des certificats, employer du personnel qualifié, appliquer des procédures de sécurité appropriées… Les textes exigent donc beaucoup du tiers certificateur. Cette rigueur s’explique aisément par le fait que c’est de la confiance en ce prestataire que dépend le succès de l’utilisation de la signature électronique.
S’il satisfait à l’ensemble des conditions fixées par le décret, le prestataire peut, s’il le souhaite, demander à être reconnu comme qualifié. Dans ce cas, il sera présumé en conformité avec les exigences réglementaires. C’est aujourd’hui un arrêté du 26 juillet 2004 qui fixe les modalités de la demande de qualification ainsi que les conditions d’accréditation des organismes qui procèdent à l’évaluation des prestataires de service de certification.
La loi française, si elle réglementait l’activité des prestataires de services de certification, avait jusqu’alors omis, au mépris des exigences communautaires, de régler la question de leur responsabilité. C’est donc le droit commun de la responsabilité civile qui s’appliquait, ce qui obligeait les tiers victimes à démontrer, sur le fondement des articles 1382 et 1383 du Code civil, à la fois la faute du prestataire, le préjudice subi et le lien de causalité entre ces deux éléments. Ce n’est plus le cas depuis l’intervention de la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Ce texte instaure en effet une présomption de responsabilité des tiers certificateurs au bénéfice des personnes qui ont subit un préjudice en se fiant aux certificats présentés comme qualifiés. D’après la loi, cette présomption jouera dans quatre situations : lorsque les informations contenues dans le certificat, à la date de sa délivrance étaient inexactes, lorsque les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes, lorsque la délivrance du certificat n’a pas donné lieu à la vérification que le signataire détient la convention privée correspondant à la convention publique de ce certificat, lorsque les prestataires n’ont pas, le cas échéant, fait procéder à l’enregistrement de la révocation du certificat et tenu cette information à la disposition des tiers. Grâce à cette présomption, les tiers n’auront pas, dans les cas énumérés par la loi, à démontrer la faute du prestataire pour être indemnisés. Les tiers certificateurs ne pourront échapper à cette responsabilité que s’ils démontrent qu’ils n’ont commis aucune faute ou négligence. Ce régime, très favorable aux victimes, a pour but d’atténuer les réticences dans l’usage de la signature électronique et ainsi de favoriser le développement de l’économie numérique. C’est également cet objectif qui explique que la loi ait assorti ce régime de responsabilité de mesures visant à garantir la solvabilité des prestataires de services de certification ; la loi prévoit en effet que les tiers certificateurs doivent justifier d’une garantie financière suffisante ou d’une assurance garantissant les conséquences pécuniaires de leur responsabilité civile professionnelle.