CHAPITRE 1. La cryptographie où la sécurité technique des transactions immatérielles
1.      Les enjeux technico-juridique de la cryptologie

1.2. Une dimension juridique internationale

Assimilée à des armes de guerre de deuxième catégorie, la cryptologie a en effet longtemps été restreinte aux secteurs tels que la police, l’armée et les banques. Aujourd’hui, les modifications introduites, sans pour autant totalement libéraliser le système, ont simplifié la possibilité pour l’utilisateur final d’utiliser la cryptologie. Il convient en fait pour les acteurs des transactions électroniques de trouver le plus juste équilibre possible entre les préoccupations de sécurité publique qui incombent prioritairement à l’Etat et les besoins des utilisateurs en matière de protection des échanges informatisés. Le développement des échanges d’informations, et plus particulièrement du commerce électronique, conditionne celui de l’activité économique.

La cryptologie, bien que techniquement rodée, suscite encore certaines craintes gouvernementales légitimes qui vont à l’encontre des aspirations économiques des professionnels et des consommateurs. La problématique est telle que le débat a pris assez vite une coloration internationale. Cette dimension internationale repose sur divers organismes qui ont jeté les bases de la réglementation.

 L’Organisation Commune de Développement Economique (OCDE) a posé assez tôt les lignes directrices de la cryptographie et a fixé les principes dont les Etats doivent s’inspirer pour l’élaboration de leur politique relative à la cryptographie. Ces principes étant nombreux, nous n’en citerons ici que quelques uns qui nous apparaissent particulièrement importants comme :

-         la recherche de la confiance auprès des utilisateurs,

-         le développement de méthodes cryptographiques qui sont en rapport direct avec les attentes du marché,

-         la recherche de la protection de la vie privée,

-         la possibilité pour l’Etat d’avoir accès aux textes en clair ainsi qu’aux clés...

Ces principes de l’OCDE mettent également en exergue un élément primordial que nous étudierons par la suite et qui est celui de l’existence de tiers certificateurs.

 Le Conseil de l’Europe quant à lui dans sa recommandation n°R (95) 13, met l’accent sur les vertus que peut avoir la cryptographie sur l’évolution du commerce électronique par rapport à sa limitation du fait d’une fraude éventuelle. Il énonce ainsi dans le chapitre 5 de la recommandation précitée que “des mesures devraient être examinées afin de minimiser les effets négatifs de l’utilisation du chiffrement sur les enquêtes des infractions pénales, sans toutefois avoir des conséquences plus que strictement nécessaires sur son utilisation légale.” On peut ici reconnaître une certaine similitude avec ce que pensait déjà DEMOGUE en 1911 à propos du formalisme qui peut “rendre les affaires rapides et sûres quant il ne contient que l’indispensable.” Les pouvoirs publics adoptent en général, comme nous avons pu l’énoncer au préalable, une attitude restrictive quant à l’usage de la cryptographie afin d’assurer la défense nationale ainsi que la sécurité intérieure.

Cependant, bien que louable, cette restriction est en totale opposition avec les préoccupations des entreprises qui ne relèvent a priori pas du grand banditisme. Les professionnels, ainsi que les consommateurs indirectement, sont en fait principalement intéressés par les aspects commerciaux d’Internet et demandent tout simplement que la cryptographie permette d’assurer la garantie de leurs échanges comme ceci peut être possible quotidiennement dans le cadre de l’utilisation des services de la poste.

Selon T. PIETTE-COUDOL, “on ne saurait faire l’impasse sur la faisabilité juridique du commerce électronique au prétexte que quelques individus détournent l’usage de l’outil dans des pratiques blâmables.” Selon le Conseil de l’Europe, les Etats devraient donc mettre en place une réglementation protectrice de leurs intérêts, ceci étant légitime et non remis en cause, tout en aménageant une large place au profit du développement économique des échanges électroniques ; développement nécessaire aux entreprises nationales directement et aux Etats indirectement.

 Le Coordinating Committe for Multilateral (COCOM), bien que dissout en 1994, a élaboré une  régulation dont le but était d’éviter que les moyens cryptographiques ne soient livrés à des pays potentiellement dangereux. Cette réglementation a été en partie reprise dans l’arrangement de Wassenar.

 L’arrangement de Wassenar, conclu en 1996 a également contrôlé l’exportation “des armes et des biens à double usage”. Ce sont concrètement les biens que l’on peut utiliser militairement et civilement, comme l’est la cryptographie. Il a pour but :

-         de promouvoir la transparence, les échanges en vue et l’information,

-         de responsabiliser les états en ce qui concerne les transferts d’armes conventionnelles et de technologies et les biens sensibles à double usage,

-         de faire progresser la coopération en matière de prévention d’acquisition d’armes et de technologies et de biens sensibles à double usage à des fins militaires.

Les pays signataires de cet arrangement sont d’accord pour maintenir un contrôle des exportations de produits de cryptologie puissants en général mais ont en revanche décidé de mettre un terme aux exemptions pour la plupart des logiciels commercialisés et concernant des tels moyens de cryptologie.

Cette nouvelle politique a ainsi permis de réduire les formalités administratives et d’exclure spécifiquement le contrôle à l’exportation sur les produits qui utilisent des moyens de cryptologie pour protéger des droits de propriété intellectuelle. Suite à la révision de 1998 issue de cet arrangement, la libéralisation a été la suivante :

-         liberté d’exportation pour les produits de cryptographie inférieurs à 56 bits,

-         liberté d’exportation des produits qui utilisent le chiffrement pour la protection de la propriété intellectuelle,

-         nécessité d’une licence pour l’exportation des autres moyens,

-         aucune certitude quant aux exportations par le biais d’Internet par exemple c’est à dire par le biais des voies de communications électroniques.

 Cette réglementation internationale ne pouvait être ignorée par le Gouvernement français qui a donné une dimension nationale à la problématique. En effet, de ce débat international, la France a su faire ressortir une réglementation particulière qui a longtemps évolué mais qui continue cependant à être basée sur l’assimilation de la cryptographie à une arme de guerre. La cryptographie a tout d’abord été libéralisée par la Loi du 29 décembre 1990[1] puis par la réforme issue de la Loi du 26 juillet 1996[2].

Cette réglementation est assez large puisqu’elle comprend non seulement la fourniture des moyens ou de prestations de cryptographie mais aussi l’utilisation de ces moyens ou prestations. La réglementation prévue par le législateur dans le cadre de ces deux textes balance entre un régime d’autorisation administrative, un régime de déclaration et un régime de totale liberté. Les règles qui en découlent peuvent ainsi être résumées comme suit :

-         L’utilisation d’un moyen ou d’une prestation de cryptologie est libre :

 “si le moyen ou la prestation de cryptologie ne permettent pas d’assurer des fonctions de confidentialité, notamment lorsqu’ils ne peuvent avoir comme objet que d’authentifier une communication ou d’assurer l’intégrité du message transmis.”

“si le moyen ou la prestation assurent des fonctions de confidentialité et n’utilisent que des conventions secrètes gérées selon les procédures et par un organisme agréé.”

-         Dans tous les autres cas, la prestation sera soumise à l’autorisation du Premier Ministre.

-         Le régime applicable sera cependant plus strict dans l’hypothèse où les moyens ou les prestations de cryptologie émanent d’un pays qui n’appartient pas à l’Union Européenne ou encore dans l’hypothèse où le moyen est exporté.

Dans les deux cas précités, les opérations seront soumises à l’autorisation préalable du Premier Ministre quand elles assurent des fonctions de confidentialité et, si tel n’est pas le cas, elles seront soumises à déclaration.

De façon schématique, il est possible de dire que la cryptologie dans un but d’authentification est libre, il en est de même pour les données de contrôle à des fins d’intégrité, en ce qui concerne la signature. En revanche, pour le cryptage de la totalité des données afin de rendre le message totalement confidentiel, la Loi est nettement plus restrictive et oblige à des formalités auprès du Service Central de la Sécurité des Systèmes d’Information (SCSSI).

Suite à cette évolution législative, un rapport critique a été établi par le Conseil d’Etat se basant sur divers travaux et sur l’expérience concrète de professionnels. Le Conseil d’Etat a pu constater que la mise en œuvre de la législation peut poser divers problèmes comme le manque de rapidité, le coût ou encore le statut des tiers de séquestre que nous étudierons par la suite. Face à ces difficultés, il a proposé certains aménagements comme :

-         réviser périodiquement la taille de la clé de chiffrement en-dessous de laquelle l’utilisation des moyens de cryptologie est libre,

-         abandonner les exigences applicables aux tiers de séquestre,

-         soumettre la fourniture et l’importation de moyens de cryptologie comportant un dispositif de séquestre de clés à la déclaration simplifiée...

Cette intervention, ainsi que la problématique juridique ouverte par Internet et sa sécurisation, ont conduit à élargir le débat et à obliger le Gouvernement français à procéder à une analyse plus complète mais aussi plus concrète de la situation. L’Etat français a en conséquence chargé diverses personnes d’établir un bilan des difficultés et de proposer des solutions. Il a ainsi été lancé le PAGSI ou Plan d’Action Gouvernemental pour l’entrée de la France dans la Société de l’Information.

Le gouvernement français a, suite à ces discussions mises en place, pu prendre conscience que la Loi de 1996 précitée n’était pas des plus adaptée aux échanges électroniques actuels. Selon le Premier Ministre dans une conférence de presse de février 1999, les dispositions de cette Loi “restreignent fortement l’usage de la cryptologie dans notre pays, sans pour autant permettre aux pouvoirs publics de lutter efficacement contre des agissements criminels dont le chiffrement pourrait faciliter la dissimulation. Elles font en outre apparaître un risque d’isolement de la France par rapport à ses principaux partenaires.” La problématique est ainsi clairement énoncée et prise en compte par le Gouvernement.

Il a donc été décidé de procéder à un changement profond permettant de rendre libre l’usage de la cryptographie en France sous la seule réserve du maintien des contrôles à l’exportation, et de supprimer le caractère obligatoire du recours aux tiers certificateurs pour le dépôt des clés de chiffrement. La première mise en pratique de cette réforme réside dans le rehaussement du seuil de liberté d’utilisation de la cryptologie de 40 bits à 128 bits. La procédure déclarative sera quant à elle simplifiée en ce qui concerne la fourniture des produits de cryptologie. Et enfin, les obligations pesant sur les tiers de confiance seront diminuées.

Ces éléments ont été concrétisés dans les Décrets du 17 mars 1999[3] dont le contenu peut être ainsi vulgairement schématisé:

-         La protection des mots de passe, l’utilisation pour contrôler l’accès à des ressources, l’élaboration d’une procédure de signature…sont libres pour les utilisateurs, les importateurs et les exportateurs. Seuls les fournisseurs sont assujettis aux formalités légales.

-         Les matériels qui offrent un service de confidentialité grâce à une clé inférieure ou égale à 40 bits peuvent être librement utilisés, importés ou exportés, les fournisseurs étant soumis à une obligation de déclaration.

-         Lorsque la clé est comprise entre 40 et 128 bits, les utilisateurs et les importateurs n’ont pas à respecter les formalités incombant aux fournisseurs et exportateurs, s’il s’agit d’un usage privé fait par une personne physique ou s’il y a eu une déclaration effectuée par le fournisseur. Sinon, dans les cas contraires, les fournisseurs, utilisateurs et importateurs devront se soumettre à une procédure de déclaration. L’exportation suppose quant à elle une autorisation.

-         Lorsque la clé est supérieure à 128 bits, toutes les hypothèses nécessiteront une autorisation préalable.

Dans un souci de clarté et de bonne compréhension par le lecteur, il peut être dressé le tableau récapitulatif suivant :

La cryptographie est donc efficacement organisée que ce soit d’un point de vue technique ou juridique.

Elle demeure la réponse à la recherche de confiance et de sécurité dont les échanges électroniques ont besoin, même si les acteurs peuvent se sentir brider du fait des limitations juridiques encore existantes.

L’étude approfondie de la cryptographie peut cependant conduire à proposer une possibilité assurant une plus grande satisfaction des acteurs d’Internet : la certification.

[1] Loi n°90-1170 sur la réglementation des télécommunications, JO du 30 décembre 1990.
[2] Loi n°96-659, JO du 27 juillet 1996.
[3] Décrets n°99-199 et 99-200.