Accueil |
Optimisation des choix de gestion |
Délai de conservation des documents | Flux immatériels sur internet | Prix de transfert | La boutique | Autres |
CHAPITRE 1. La cryptographie où la sécurité
technique des transactions immatérielles |
||||||||||||||||||||||||||||||||||
1.2. Une dimension juridique internationale Assimilée à des armes de guerre de deuxième catégorie, la cryptologie a en effet longtemps été restreinte aux secteurs tels que la police, l’armée et les banques. Aujourd’hui, les modifications introduites, sans pour autant totalement libéraliser le système, ont simplifié la possibilité pour l’utilisateur final d’utiliser la cryptologie. Il convient en fait pour les acteurs des transactions électroniques de trouver le plus juste équilibre possible entre les préoccupations de sécurité publique qui incombent prioritairement à l’Etat et les besoins des utilisateurs en matière de protection des échanges informatisés. Le développement des échanges d’informations, et plus particulièrement du commerce électronique, conditionne celui de l’activité économique.
La cryptologie, bien que techniquement rodée, suscite encore certaines craintes
gouvernementales légitimes qui vont à l’encontre des aspirations économiques des
professionnels et des consommateurs. La problématique est telle que le débat a
pris assez vite une coloration internationale. Cette dimension internationale
repose sur divers organismes qui ont jeté les bases de la réglementation.
L’Organisation
Commune de Développement Economique (OCDE)
a posé assez tôt les lignes directrices de la cryptographie et a fixé les
principes dont les Etats doivent s’inspirer pour l’élaboration de leur politique
relative à la cryptographie. Ces principes étant nombreux, nous n’en citerons
ici que quelques uns qui nous apparaissent particulièrement importants comme :
-
la recherche de la confiance auprès des
utilisateurs,
-
le développement de méthodes
cryptographiques qui sont en rapport direct avec les attentes du marché,
-
la recherche de la protection de la vie
privée,
-
la possibilité pour l’Etat d’avoir accès aux
textes en clair ainsi qu’aux clés... Ces principes de l’OCDE mettent également en exergue un élément primordial que nous étudierons par la suite et qui est celui de l’existence de tiers certificateurs.
Le
Conseil de l’Europe
quant à lui dans sa recommandation n°R (95) 13, met l’accent sur les vertus que
peut avoir la cryptographie sur l’évolution du commerce électronique par rapport
à sa limitation du fait d’une fraude éventuelle. Il énonce ainsi dans le
chapitre 5 de la recommandation précitée que “des mesures devraient être
examinées afin de minimiser les effets négatifs de l’utilisation du chiffrement
sur les enquêtes des infractions pénales, sans toutefois avoir des conséquences
plus que strictement nécessaires sur son utilisation légale.” On peut
ici reconnaître une certaine similitude avec ce que pensait déjà DEMOGUE en 1911
à propos du formalisme qui peut “rendre les affaires rapides et sûres quant il
ne contient que l’indispensable.” Les pouvoirs publics adoptent en général,
comme nous avons pu l’énoncer au préalable, une attitude restrictive quant à
l’usage de la cryptographie afin d’assurer la défense nationale ainsi que la
sécurité intérieure.
Cependant, bien que louable, cette restriction est en totale opposition avec les
préoccupations des entreprises qui ne relèvent a priori pas du grand banditisme.
Les professionnels, ainsi que les consommateurs indirectement, sont en fait
principalement intéressés par les aspects commerciaux d’Internet et demandent
tout simplement que la cryptographie permette d’assurer la garantie de leurs
échanges comme ceci peut être possible quotidiennement dans le cadre de
l’utilisation des services de la poste.
Selon T. PIETTE-COUDOL, “on ne saurait faire l’impasse sur la faisabilité
juridique du commerce électronique au prétexte que quelques individus détournent
l’usage de l’outil dans des pratiques blâmables.” Selon le Conseil de l’Europe,
les Etats devraient donc mettre en place une réglementation protectrice de leurs
intérêts, ceci étant légitime et non remis en cause, tout en aménageant une
large place au profit du développement économique des échanges électroniques ;
développement nécessaire aux entreprises nationales directement et aux Etats
indirectement.
Le
Coordinating Committe for Multilateral (COCOM),
bien que dissout en 1994, a élaboré une
régulation dont le but était d’éviter que les moyens cryptographiques ne
soient livrés à des pays potentiellement dangereux. Cette réglementation a été
en partie reprise dans l’arrangement de Wassenar.
L’arrangement
de Wassenar, conclu
en 1996 a également contrôlé l’exportation “des armes et des biens à double
usage”. Ce sont concrètement les biens que l’on peut utiliser militairement et
civilement, comme l’est la cryptographie. Il a pour but :
-
de promouvoir la transparence, les
échanges en vue et l’information,
-
de responsabiliser les états en ce qui
concerne les transferts d’armes conventionnelles et de technologies et les biens
sensibles à double usage,
-
de faire progresser la coopération en
matière de prévention d’acquisition d’armes et de technologies et de biens
sensibles à double usage à des fins militaires.
Les pays signataires de cet arrangement sont d’accord pour maintenir un contrôle
des exportations de produits de cryptologie puissants en général mais ont en
revanche décidé de mettre un terme aux exemptions pour la plupart des logiciels
commercialisés et concernant des tels moyens de cryptologie.
Cette nouvelle politique a ainsi permis de réduire les formalités
administratives et d’exclure spécifiquement le contrôle à l’exportation sur les
produits qui utilisent des moyens de cryptologie pour protéger des droits de
propriété intellectuelle. Suite à la révision de 1998 issue de cet arrangement,
la libéralisation a été la suivante :
-
liberté d’exportation pour les produits de cryptographie inférieurs à 56
bits,
-
liberté d’exportation des produits qui utilisent le chiffrement pour la
protection de la propriété intellectuelle,
-
nécessité d’une licence pour l’exportation des autres moyens,
-
aucune certitude quant aux exportations par le biais d’Internet par
exemple c’est à dire par le biais des voies de communications électroniques.
Cette
réglementation internationale ne pouvait être ignorée par le Gouvernement
français qui a donné une dimension nationale à la problématique. En effet,
de ce débat international, la France a su faire ressortir une réglementation
particulière qui a longtemps évolué mais qui continue cependant à être basée sur
l’assimilation de la cryptographie à une arme de guerre. La cryptographie a tout
d’abord été libéralisée par la Loi du 29 décembre
1990[1]
puis par la réforme issue de la Loi du 26 juillet
1996[2]. Cette réglementation est assez large puisqu’elle comprend non seulement la fourniture des moyens ou de prestations de cryptographie mais aussi l’utilisation de ces moyens ou prestations. La réglementation prévue par le législateur dans le cadre de ces deux textes balance entre un régime d’autorisation administrative, un régime de déclaration et un régime de totale liberté. Les règles qui en découlent peuvent ainsi être résumées comme suit :
-
L’utilisation d’un moyen ou d’une prestation de cryptologie est libre :
“si le moyen ou la prestation de cryptologie ne permettent pas d’assurer
des fonctions de confidentialité, notamment lorsqu’ils ne peuvent avoir comme
objet que d’authentifier une communication ou d’assurer l’intégrité du message
transmis.”
“si le moyen ou la prestation assurent des fonctions de confidentialité et
n’utilisent que des conventions secrètes gérées selon les procédures et par un
organisme agréé.”
-
Dans tous les autres cas, la prestation sera soumise à l’autorisation du
Premier Ministre.
-
Le régime applicable sera cependant plus strict dans l’hypothèse où les
moyens ou les prestations de cryptologie émanent d’un pays qui n’appartient pas
à l’Union Européenne ou encore dans l’hypothèse où le moyen est exporté.
Dans les deux cas précités, les opérations seront soumises à l’autorisation
préalable du Premier Ministre quand elles assurent des fonctions de
confidentialité et, si tel n’est pas le cas, elles seront soumises à
déclaration.
De façon schématique, il est possible de dire que la cryptologie dans un but
d’authentification est libre, il en est de même pour les données de contrôle à
des fins d’intégrité, en ce qui concerne la signature. En revanche, pour le
cryptage de la totalité des données afin de rendre le message totalement
confidentiel, la Loi est nettement plus restrictive et oblige à des formalités
auprès du Service Central de la Sécurité des Systèmes d’Information (SCSSI).
Suite à cette évolution législative, un rapport critique a été établi par le
Conseil d’Etat se basant sur divers travaux et sur l’expérience concrète de
professionnels. Le Conseil d’Etat a pu constater que la mise en ½uvre de la
législation peut poser divers problèmes comme le manque de rapidité, le coût ou
encore le statut des tiers de séquestre que nous étudierons par la suite. Face à
ces difficultés, il a proposé certains aménagements comme :
-
réviser périodiquement la taille de la clé de chiffrement en-dessous de
laquelle l’utilisation des moyens de cryptologie est libre,
-
abandonner les exigences applicables aux tiers de séquestre,
-
soumettre la fourniture et l’importation de moyens de cryptologie
comportant un dispositif de séquestre de clés à la déclaration simplifiée... Cette intervention, ainsi que la problématique juridique ouverte par Internet et sa sécurisation, ont conduit à élargir le débat et à obliger le Gouvernement français à procéder à une analyse plus complète mais aussi plus concrète de la situation. L’Etat français a en conséquence chargé diverses personnes d’établir un bilan des difficultés et de proposer des solutions. Il a ainsi été lancé le PAGSI ou Plan d’Action Gouvernemental pour l’entrée de la France dans la Société de l’Information.
Le gouvernement français a, suite à ces discussions mises en place, pu prendre
conscience que la Loi de 1996 précitée n’était pas des plus adaptée aux échanges
électroniques actuels. Selon le Premier Ministre dans une conférence de presse
de février 1999, les dispositions de cette Loi “restreignent fortement l’usage
de la cryptologie dans notre pays, sans pour autant permettre aux pouvoirs
publics de lutter efficacement contre des agissements criminels dont le
chiffrement pourrait faciliter la dissimulation. Elles font en outre apparaître
un risque d’isolement de la France par rapport à ses principaux partenaires.” La
problématique est ainsi clairement énoncée et prise en compte par le
Gouvernement.
Il a donc été décidé de procéder à un changement profond permettant de rendre
libre l’usage de la cryptographie en France sous la seule réserve du maintien
des contrôles à l’exportation, et de supprimer le caractère obligatoire du
recours aux tiers certificateurs pour le dépôt des clés de chiffrement. La
première mise en pratique de cette réforme réside dans le rehaussement du
seuil de liberté d’utilisation de la cryptologie de 40 bits à 128 bits.
La procédure déclarative sera quant à elle simplifiée en ce qui
concerne la fourniture des produits de cryptologie. Et enfin, les obligations
pesant sur les tiers de confiance seront diminuées.
Ces éléments ont été concrétisés dans les Décrets du
17 mars 1999[3]
dont le contenu peut être ainsi vulgairement schématisé:
-
La protection des mots de passe, l’utilisation pour contrôler l’accès à
des ressources, l’élaboration d’une procédure de signature…sont libres pour les
utilisateurs, les importateurs et les exportateurs. Seuls les fournisseurs sont
assujettis aux formalités légales.
-
Les matériels qui offrent un service de confidentialité grâce à une clé
inférieure ou égale à 40 bits peuvent être librement utilisés, importés ou
exportés, les fournisseurs étant soumis à une obligation de déclaration.
-
Lorsque la clé est comprise entre 40 et 128 bits, les utilisateurs et les
importateurs n’ont pas à respecter les formalités incombant aux fournisseurs et
exportateurs, s’il s’agit d’un usage privé fait par une personne physique ou
s’il y a eu une déclaration effectuée par le fournisseur. Sinon, dans les cas
contraires, les fournisseurs, utilisateurs et importateurs devront se soumettre
à une procédure de déclaration. L’exportation suppose quant à elle une
autorisation.
-
Lorsque la clé est supérieure à 128 bits, toutes les hypothèses
nécessiteront une autorisation préalable.
Dans un souci de clarté et de bonne compréhension par le lecteur, il peut être
dressé le tableau récapitulatif suivant :
La cryptographie est donc efficacement organisée que ce soit d’un point de vue
technique ou juridique.
Elle demeure la réponse à la recherche de confiance et de sécurité dont les
échanges électroniques ont besoin, même si les acteurs peuvent se sentir brider
du fait des limitations juridiques encore existantes.
L’étude approfondie de la cryptographie peut cependant conduire à proposer une
possibilité assurant une plus grande satisfaction des acteurs d’Internet : la
certification.
[1]
Loi n°90-1170 sur la réglementation des télécommunications, JO du 30 décembre
1990. |
||||||||||||||||||||||||||||||||||
|