Législation française

Le commerce électronique se développe de plus en plus, notamment sur Internet. Or, pour que les transactions puissent se dérouler en toute sécurité sur des réseaux informatiques, on a besoin d'outils de chiffrement efficaces - il serait en effet inconcevable que des données sensibles (comme les numéros de cartes bancaires) puissent circuler dans le monde entier sans qu'elles aient été préalablement chiffrées. Par ailleurs, avec l'arrivée massive des ordinateurs dans les entreprises, les risques d'espionnage industriel ont contraint ces dernières à recourir de plus en plus souvent à des systèmes sécurisés pour protéger leurs informations confidentielles. Ajoutez à cela le droit fondamental des individus à la vie privée ainsi qu'au secret des communications (garanti par les lois nationales et les traités internationaux) et vous constaterez que la cryptographie est en passe de devenir un sujet incontournable dans notre société de l'information.

Bien que les pays n'aient pas tous réagi de la même manière face aux problèmes posés par l'utilisation de procédés de chiffrement, la plupart des nations appartenant à l'OCDE n'ont pas édicté de réglementation intérieure - seuls des contrôles à l'exportation sont généralement appliqués, comme c'est le cas aux Etats-Unis où il est par exemple interdit d'exporter le logiciel Pretty Good Privacy (PGP) réalisé par Philip Zimmermann. En revanche, la France s'est notamment démarquée des autres pays de l'Union européenne en étant la seule à s'être dotée d'une législation restreignant la libre utilisation de la cryptographie.

Tiers de confiance

Classés dans la catégorie des matériels de guerre par le décret du 18 avril 1939, les moyens de cryptologie ont connu une (toute) relative libéralisation avec la publication de la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, elle-même récemment modifiée et assouplie par la loi n° 96-659 du 26 juillet 1996. Cette dernière a introduit la notion de "tiers de confiance" (appelée "key-escrow" ou "Government Access to Keys" par les Anglo-saxons), faisant ainsi de la France le premier pays au monde à avoir adopté une telle législation. La loi du 26 juillet 1996 a été complétée par plusieurs décrets d'application publiés en 1998. Les grandes lignes du cadre juridique institué par la nouvelle loi sont les suivantes :

- Une liberté totale sera accordée pour l'utilisation de moyens de cryptologie destinés à l'authentification et la garantie d'intégrité des messages (signatures électroniques). En revanche, le document lui-même ne pourra pas être chiffré, ce qui entraîne ipso facto l'interdiction de logiciels comme PGP - celui-ci pouvant à la fois coder un message et l'authentifier.

- Une liberté totale sera également accordée pour l'emploi de moyens de cryptologie permettant de chiffrer un message à condition que la clé secrète de l'utilisateur soit gérée par un tiers de confiance, c'est-à-dire un organisme agréé par le Premier ministre. En cas de besoin - sur présentation d'une Commission rogatoire ou d'un ordre du Premier ministre - le tiers de confiance devra remettre les clés de chiffrement aux autorités habilitées. Ce système pose en fait un certain nombre de problèmes techniques. En premier lieu, le degré de sécurité n'est pas optimal car la clé secrète se retrouve entre les mains de plusieurs personnes, lesquelles deviennent ainsi des cibles potentielles pour les espions industriels et le crime économique. Par ailleurs, la gestion des clés de chiffrement risque de provoquer une inflation des coûts (infrastructures, personnel, etc.) qui se répercuteront inévitablement sur l'utilisateur.

- Des formalités simplifiées sont prévues pour certains moyens de cryptologie ou certaines catégories d'utilisateurs, dans la mesure où les caractéristiques techniques des procédés employés (ou bien leurs conditions d'utilisation) ne sont pas susceptibles de porter atteinte à la défense nationale ainsi qu'à la sécurité intérieure et extérieure de l'Etat.

Le maître des clés

Dans la pratique, si vous employez uniquement des outils d'authentification et de contrôle d'intégrité des données, vous devez effectuer une déclaration préalable ; si vous avez recours à un logiciel de chiffrement des informations, il est obligatoire de demander une autorisation. Dans les deux cas de figure, vous devrez vous adresser au Service central de la sécurité des systèmes d'informations (SCSSI), dépendant du Premier ministre et rattaché au secrétaire général de la défense nationale (SGDN). Dirigé par le Général Desvignes, ce service est installé à Issy-Les-Moulineaux :

SCSSI
Fort d’Issy-les-Moulineaux
18, rue du Docteur Zamenhof
92131 Issy-les-Moulineaux
Tél. : 01 41 46 37 00 - fax : 01 41 46 37 01

Le manque de souplesse de la législation française s'explique notamment par le fait que l'Etat français considère la cryptographie comme un enjeu pour la sécurité du pays (avis partagé par d'autres gouvernements étrangers). Les ministères de la justice, de l'intérieur et de la défense veulent donc se doter - grâce au système de séquestre - de la capacité d'accéder au contenu des fichiers dans le cadre de la lutte contre le crime. Il serait toutefois illusoire de penser que le système instauré par la loi du 26 juillet 1996 soit à même d'empêcher des criminels ou des terroristes de chiffrer leurs messages, étant donné que l'on peut aisément télécharger des logiciels de cryptographie sur Internet. En outre, le fait que de nombreux états cherchent séparément à se doter d'une législation ne plaide pas en faveur du commerce électronique, puisqu'il serait par exemple impossible pour une multinationale de traiter efficacement et rapidement des messages chiffrés provenant de clients habitant dans des pays ayant adopté des législations totalement différentes. Ce problème a d'ailleurs attiré l'attention de la Commission européenne qui envisage d'ici l'an 2000 la mise en place d'un cadre commun pour la cryptographie.

Depuis la publication de la loi de 1996, l'Etat français n'est pas resté inactif puisque le Gouvernement a reconnu que la législation actuelle n'était plus adaptée (discours de Lionel Jospin au Comité interministériel pour la société de l'information - Hôtel de Matignon, 19 janvier 1999). Dans l'attente d'une modification de la loi - ce qui va nécessiter plusieurs mois -, il a été décidé de libéraliser la cryptologie pour des clés de 128 bits afin d'assurer la sécurité des échanges d'information et des transactions commerciales sur Internet.