IALTA FRANCE
IALTA
  Vous n'êtes pas identifié Link icon Ouvrir session
Accueil
L'association
Documents de références et éléments de réflexions
Productions et prises de positions
Textes juridiques
Contact
IALTA
Ouvrir session
Identifiant
Mot de passe
Link icon Mot de passe oublié ?
Send to Print

Régime juridique de la cryptographie

 

La signature électronique basée sur une PKI emploie un bi-clé cryptographique. Ce bi-clé comme toutes les mesures et moyens de cryptologie entre dans un cadre fixé par la loi et précisé par la réglementation.  Le texte ci-dessous présente le régime juridique actuel de la cryptologie.

Marqué à l'origine par un monopole militaire et une interdiction aux activités civiles, le régime juridique de la cryptologie s'oriente cependant vers une libéralisation de plus en plus importante. La libéralisation pourrait devenir totale avec l'adoption du projet de Loi sur la Confiance dans l'Economie Numérique (LEN) qui sera présenté au parlement début mars.

 

 

La cryptologie reposait autrefois sur un décret-loi du 18 avril 1939 complété par le décret du 12 mars 1973 qui classait "les équipements de cryptophonie ou de cryptographie" comme matériels de guerre de deuxième catégorie (décret n°73-364 du 12 mars 1973 relatif à l'application du décret-loi du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions, JO du 30 mars 1973). Cette réglementation fit l'objet de nombreuses précisions sur la définition des procédés techniques de cryptologie concernés (décret du 18 février 1986, décret n°86-250 du 18 février 1986), ainsi que sur les conditions de fabrication, de commerce, d'acquisition, de détention et d'utilisation de moyens de cryptologie destinés à des fins professionnelles ou privées sur le territoire national (arrêté du 2 juillet 1990).

Le régime juridique de la cryptographie a été revu par la Loi de Réforme des Télécommunications (LRT), Loi n°90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, JO du 30 décembre 1990. Pour la première fois, le législateur reconnaissait que la cryptographie pouvait efficacement contribuer à la sécurisation des télécommunications. La loi créait le distinguo entre la cryptographie utilisée pour garantir d'authentification et d'intégrité et pour garantir la confidentialité. La loi stipulait que pour préserver les intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat, la fourniture, l'exportation ou l'utilisation de moyens ou de prestations de cryptologie étaient soumises :

-          à déclaration préalable lorsque ce moyen ou cette prestation ne pouvait avoir d'autre objet que d'authentifier une communication ou d'assurer l'intégrité du message transmis ;

-          à autorisation préalable du Premier ministre dans les autres cas.

 

 

Un nouveau pas vers la libéralisation des Télécommunications a été franchi avec la Loi n°96-659 du 26 juillet 1996 qui, en particulier, est revenu sur le régime de la cryptographie pour le simplifier. Cependant le début de l'année 1998 voit la parution de près d'une dizaine de textes réglementaires, décrets et arrêtés, qui rendent le respect de la réglementation très difficile.

De nombreuses voix s'étant élevées devant la complexité de la réglementation dont celle du Conseil d'Etat, le Premier Ministre annonce dans sa conférence de presse sur le Plan d'Action Gouvernemental pour la Société de l'Information (PAGSI), que le régime réglementaire de la cryptographie datant de février/mars 1998 est retouché avec une élévation du seuil critique des mesures cryptographiques de 40 à 128 bits.

Trois textes ont été publiés au JO du 19 mars 1999 et modifient les textes correspondants antérieurs :

-          un décret n°99-199 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation (abroge le décret n°98-207 du 23 mars 1998 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation, JO du 25 mars 1998) ;

-          un décret 99-200 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable (abroge le décret n°98-206 du 23 mars 1998 définissant les catégories de moyens et de prestations de cryptologie dispensées de toutes formalités préalables, JO du 25 mars 1998);

-          un arrêté du 17 mars 99 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation (abroge l'arrêté du 13 mars 1998 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie, JO du 15 mars 1998).

Suite à la parution des textes 128 bits, l'ensemble des textes régissant la cryptographie se présente de la façon suivante :

1) Article 28 de la Loi n°90-1170 du 29 décembre 1990 sur la réglementation des  télécommunications, modifié par l'article 17 de la Loi n°96-659 du 26 juillet 1996 de réglementation des télécommunications.

2)  Décret no 98-101 du 24 février 1998 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, JO du 25 février 1998,

3) Décret no 98-102 du 24 février 1998 définissant les conditions dans lesquelles sont agréés les organismes gérant pour le compte d'autrui des conventions secrètes de cryptologie en application de l'article 28 de la loi no 90‑1170 du 29 décembre 1990 sur la réglementation des télécommunications, JO du 25 février 1998,

4) Arrêté du 7 mars 99 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation,

5) Arrêté du 13 mars 1998 définissant les dispositions particulières qui peuvent être prévues dans les autorisations de fourniture d'un moyen ou d'une prestation de cryptologie, JO du 15 mars 1998.

6) Arrêté du 13 mars 1998 définissant le modèle de notification préalable par le fournisseur de l'identité des intermédiaires utilisés pour la fourniture d'un moyen ou d'une prestation de cryptologie soumis à autorisation, JO du 15 mars 1998.

7) Arrêté du 13 mars 1998 fixant la forme et le contenu du dossier de demande d'agrément des organismes gérant pour le compte d'autrui des conventions secrètes, JO du 15 mars 1998.

8) Arrêté du 13 mars 1998 fixant la liste des organismes agréés pouvant recevoir dépôt des conventions secrètes, JO du 15 mars 1998.

9) Arrêté du 13 mars 1998 fixant le tarif forfaitaire pour la mise en oeuvre des conventions secrètes au profit des autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi n°90‑1170 sur la réglementation des télécommunications, JO du 15 mars 1998

10) Décret 99-200 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable,

11) Décret n°99-199 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation,

12) Décret no 2002-997 du 16 juillet 2002 relatif à l'obligation mise à la charge des fournisseurs de prestations de cryptologie en application de l'article 11-1 de la loi no 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications.

 

L'article 28 de la Loi n°90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, modifié par l'article 17 de la Loi n°96-659 du 26 juillet 1996 de réglementation des télécommunications, se présente désormais de la façon suivante, le III de l'article 28 qui traite des sanctions pénales aux violations de la législation n'étant pas reproduit :

 

Art. 28. - I. - On entend par prestations de cryptologie toutes prestations visant à transformer à l'aide de conventions secrètes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l'opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet. On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié dans le même objectif.

Pour préserver les intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat, tout en permettant la protection des informations et le développement des communications et des transactions sécurisées :

1°) L'utilisation d'un moyen ou d'une prestation de cryptologie est :

a) Libre :

- si le moyen ou la prestation de cryptologie ne permet pas d'assurer des fonctions de confidentialité, notamment lorsqu'il ne peut avoir comme objet que d'authentifier une communication ou d'assurer l'intégrité du message transmis,

- ou si le moyen ou la prestation assure des fonctions de confidentialité et n'utilise que des conventions secrètes gérées selon les procédures et par un organisme agréés dans les conditions définies au II ;

b) Soumise à autorisation du Premier ministre dans les autres cas ;

2°) La fourniture, l'importation de pays n'appartenant pas à la Communauté européenne et l'exportation tant d'un moyen que d'une prestation de cryptologie :

a) sont soumises à autorisation préalable du Premier ministre lorsqu'ils assurent des fonctions de confidentialité ; l'autorisation peut être subordonnée à l'obligation pour le fournisseur de communiquer l'identité de l'acquéreur ;

b) Sont soumises à la déclaration auprès du Premier ministre dans les autres cas ;

3°) Un décret fixe les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations. Ce décret prévoit :

a) Un régime simplifié de déclaration ou d'autorisation pour certains types de moyens ou de prestations ou pour certaines catégories d'utilisateurs ;

b) La substitution de la déclaration à l'autorisation pour les opérations portant sur des moyens ou des prestations de cryptologie, dont les caractéristiques techniques ou les conditions d'utilisation, tout en justifiant, au regard des intérêts susmentionnés, un suivi particulier, n'exigent pas l'autorisation préalable de ces opérations ;

c) La dispense de toute formalité préalable pour les opérations portant sur des moyens ou des prestations de cryptologie, dont les caractéristiques techniques ou les conditions d'utilisation sont telles que ces opérations ne sont pas susceptibles de porter atteinte aux intérêts mentionnés au deuxième alinéa.

d) Les délais de réponse aux demandes d’autorisation.

 

II. - Les organismes chargés de gérer pour le compte d'autrui les conventions secrètes de moyens ou prestations de cryptologie permettant d'assurer des fonctions de confidentialité doivent être préalablement agréés par le Premier ministre.

Ils sont assujettis au secret professionnel dans l'exercice de leurs activités agréées.

L'agrément précise les moyens ou prestations qu'ils peuvent utiliser ou fournir.

Ils sont tenus de conserver les conventions secrètes qu'ils gèrent. Dans le cadre de l'application de la loi n°91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications ainsi que dans le cadre des enquêtes menées au titre des chapitres premier et II du titre II du livre premier du code de procédure pénale, ils doivent les remettre aux autorités judiciaires ou aux autorités habilitées, ou les mettre en œuvre selon leur demande.

Lorsque ces organismes remettent les conventions secrètes qu’ils gèrent dans le cadre des enquêtes menées au titre des chapitres premier et II du titre II du livre premier du code de procédure pénale, suite aux réquisitions du procureur de la République, ils informent les utilisateurs de cette remise.

Ils doivent exercer leurs activités agréées sur le territoire national.

Un décret en Conseil d'Etat fixe les conditions dans lesquelles ces organismes sont agréés ainsi que les garanties auxquelles est subordonné l'agrément ; il précise les procédures et les dispositions techniques permettant la mise en œuvre des obligations indiquées ci-dessus.

III. ...

 

 

 

 

 

La base légale reste et demeure l'article 28 de loi de réglementation des télécommunications. La législation définit 4 finalités pour les moyens cryptographiques : la fourniture, l'utilisation, l'importation et l'exportation. Le décret n°99-200 liste une série de matériels et équipements et définissant par finalités s'il y a lieu de procéder à des formalités. Certains éléments de cette liste sont nouveaux et traduisent les intentions de réaménagement  du Gouvernement. Compte tenu de l’élévation du seuil de 40 à 128 bits, le décret n°99-199 indique les mesures cryptographiques qui dépendront désormais d'une déclaration au lieu d'un régime d'autorisation. Quant à l'arrêté, il met à jour le formulaire à remettre au SCSSI pour les déclarations / autorisations et pose un nouveau principe qui pourrait poser quelques difficultés à l'usage puisqu'il s'agit du dépôt en deux exemplaires des matériels ou logiciels mettant en œuvre les prestations cryptographiques

 

A partir de ces 3 nouveaux textes, le dispositif se présente désormais ainsi qu'il suit :

·         En ce qui concerne la signature électronique et les notions proches :

Pour les moyens et prestations concernant …

-          la protection des mots de passe, des codes d'identification personnels ou des données d'authentification similaires,

-          l'utilisation pour contrôler l'accès à des données, à des ressources, à des services ou à des locaux,

-          l'élaboration ou la protection d'une procédure de signature, une valeur de contrôle cryptographique, un code d'authentification de message ou une information similaire,

-          la vérification de la source des données,

-          la preuve de la remise des données au destinataire,

-          la détection des altérations ou de modifications susceptibles de porter atteinte à l'intégrité des données,

ð        seuls les fournisseurs sont assujettis aux formalités. Les utilisateurs, importateurs et exportateurs sont exonérés.

Limitation : comme auparavant, ces moyens et prestations ne doivent pas permettre le chiffrement des données.

 

·         En ce qui concerne la confidentialité :

ð        Pour les matériels ou logiciels offrant un service de confidentialité mis en œuvre par un algorithme à clé d'une longueur inférieure ou égale à 40 bits, l'utilisation est libre ainsi que l'importation / exportation. Seul le fournisseur se voit imposer une formalité de déclaration (autorisation dans le régime antérieur).

ð        Pour les matériels ou logiciels offrant un service de confidentialité mis en œuvre par un algorithme à clé d'une longueur comprise entre 40 et 128 bits,  les utilisateurs et les importateurs sont dispensés de formalités qui incombent aux fournisseurs (et exportateurs), à la condition d'un usage privé par une personne physique ou à condition d'une déclaration par le fournisseur (ou importateur),

ð        Pour les matériels ou logiciels offrant un service de confidentialité mis en œuvre par un algorithme à clé d'une longueur comprise entre 40 et 128 bits,  dans les autres conditions, les fournisseurs, les utilisateurs et les importateurs souscriront une déclaration (au lieu d'une autorisation). L'exportation suppose une autorisation.

ð        Pour les matériels ou logiciels offrant un service de confidentialité mis en œuvre par un algorithme à clé d'une longueur de plus de 128 bits, toutes les finalités supposent une autorisation.

 
« Juillet 2009 »
Di Lu Ma Me Je Ve Sa
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  
ApoKlipsTIC Le Blog
des mondes électroniques 		Réalisation Pilot Systems
Powered by Zope et Plone