Le Premier ministre,
Sur le rapport du ministre de l'économie, des finances et de l'industrie,
Vu le code des postes et télécommunications ;
Vu le code de procédure pénale ;
Vu la loi no 90-1170 du 29 décembre 1990 modifiée sur la réglementation
des télécommunications, notamment son article 28 ;
Vu la loi no 91-646 du 10 juillet 1991 modifiée relative au secret des
correspondances émises par la voie des télécommunications
;
Vu le décret no 81-514 du 12 mai 1981 relatif à l'organisation
de la protection des secrets et des informations concernant la défense
nationale et la sûreté de l'Etat ;
Vu le décret no 86-316 du 3 mars 1986 modifié portant création
du directoire de la sécurité des systèmes d'information
;
Vu le décret no 86-318 du 3 mars 1986 modifié portant création
du service central de la sécurité des systèmes d'information
;
Vu le décret no 96-67 du 29 janvier 1996 relatif aux compétences
du secrétaire général de la défense nationale dans
le domaine de la sécurité des systèmes d'information ;
Vu l'avis de l'Autorité de régulation des télécommunications
en date du 8 octobre 1997 ;
Le Conseil d'Etat (section des travaux publics) entendu,
Décrète :
Article 1er
- Au sens du présent décret, on entend par :
1) " Conventions secrètes " : des clés
non publiées nécessaires à la mise en oeuvre d'un moyen
ou d'une prestation de cryptologie pour les opérations de chiffrement
ou de déchiffrement ;
2) " Gestion de conventions secrètes " : la détention,
la certification, la distribution ainsi que, éventuellement, la génération
des clés dans des conditions définies au cahier des charges prévu
par l'article 8 ;
3) " Certification de conventions secrètes " : l'opération
qui consiste à calculer une signature numérique ou un code d'authentification
assurant la faculté d'emploi des conventions secrètes.
TITRE Ier
CONDITIONS DE DELIVRANCE DE L'AGREMENT
Article 2
- L'organisme sollicitant la délivrance de l'agrément prévu au II de l'article 28 de la loi du 29 décembre 1990 susvisée adresse un dossier de demande d'agrément au service central de la sécurité des systèmes d'information, par un envoi recommandé avec demande d'avis de réception postal ou par un dépôt auprès dudit service contre accusé de dépôt.
La forme et le contenu du dossier de demande d'agrément sont définis par arrêté du Premier ministre, après avis du ministre de la défense, du ministre de l'intérieur, du ministre chargé de l'industrie et du ministre chargé des télécommunications.
Article 3
- Si le dossier est complet, le Premier ministre notifie sa décision, par lettre recommandée avec demande d'avis de réception, dans un délai de quatre mois à compter de la délivrance de l'avis de réception ou de l'accusé de dépôt de la demande. Un défaut de notification dans ce délai vaut agrément.
Le dossier est réputé complet si, dans le délai d'un mois suivant la réception de la demande, le service central de la sécurité des systèmes d'information n'a pas invité le demandeur, par lettre recommandée avec demande d'avis de réception, à fournir les pièces complémentaires nécessaires. Dans ce dernier cas, le délai de quatre mois part de la réception des pièces complétant le dossier.
Article 4
- Pour être agréé, l'organisme doit compter, parmi ses personnels, un nombre suffisant de personnes habilitées pour être en mesure de satisfaire aux obligations du décret du 12 mai 1981 susvisé.
Article 5
- L'agrément est accordé, après avis du ministre de la défense, du ministre de l'intérieur, du ministre chargé de l'industrie et du ministre chargé des télécommunications, pour une durée de quatre années, renouvelable.
L'agrément est délivré sous condition du respect d'un cahier des charges décrivant les obligations de chaque organisme agréé.
L'agrément peut être refusé pour des motifs liés aux intérêts de la défense nationale ou de la sécurité intérieure ou extérieure de l'Etat.
Article 6
- Doivent être notifiés sans délai au service central de la sécurité des systèmes d'information :
a) Tout changement dans :
- la nature juridique de l'organisme agréé ;
- la nature ou l'objet de ses activités ;
- la localisation de son établissement ;
- l'identité ou les qualités juridiques de ses dirigeants ;
b) Toutes cessions d'actions ou de parts sociales susceptibles d'entraîner
un changement du contrôle de l'organisme agréé ;
c) La cessation totale ou partielle de l'activité agréée.
Article 7
- L'organisme agréé qui sollicite le renouvellement de son agrément doit, deux mois au moins avant la date d'expiration de ce dernier, en faire la demande auprès du service central de la sécurité des systèmes d'information par lettre recommandée avec demande d'avis de réception. L'absence de réponse de l'administration dans les deux mois vaut renouvellement tacite de l'agrément.
Article 8
- Le cahier des charges comprend notamment les éléments suivants :
1) L'énumération des moyens ou des prestations
de cryptologie dont l'organisme agréé est autorisé à
gérer les conventions secrètes ;
2) L'énumération des moyens ou des prestations de cryptologie
que l'organisme agréé peut utiliser ou fournir ;
3) Les conditions techniques ou administratives garantissant le respect des
obligations imposées à l'organisme agréé ;
4) Le nombre de personnes mentionnées à l'article 4, auxquelles
peuvent être demandées la mise en oeuvre ou la remise des conventions
secrètes, et les dispositions prises pour respecter le décret
du 12 mai 1981 susvisé ;
5) Les conditions dans lesquelles sont remises à un autre organisme agréé
les conventions secrètes en cas de cessation d'activité ou à
la demande de l'utilisateur ;
6) Les dispositions techniques prises lors de la mise en service des conventions
secrètes afin de permettre, pour chaque message ou communication protégé
à l'aide de ces conventions, d'identifier l'organisme agréé
les gérant ainsi que les utilisateurs concernés ;
7) Les conditions techniques d'utilisation des conventions secrètes,
des moyens ou des prestations et les mesures nécessaires pour assurer
leur intégrité et leur sécurité ;
8) Le format électronique standardisé dans lequel doivent être
transcrites les conventions secrètes en cas de cessation d'activité
ou de retrait d'agrément, conformément à l'article 17 du
présent décret.
Le cahier des charges comporte également une annexe classifiée
précisant les modalités pratiques de remise des conventions secrètes
aux autorités mentionnées au quatrième alinéa du
II de l'article 28 de la loi du 29 décembre 1990 susvisée ou de
leur mise en oeuvre à la demande de ces autorités.
A l'exception de son annexe classifiée, le contenu de ce cahier des charges
peut être communiqué, sur leur demande, aux utilisateurs dont l'organisme
agréé gère les conventions secrètes.
Article 9
- Toute proposition de modification du contenu du cahier des charges défini à l'article 8 donne lieu à une demande d'agrément complémentaire.
TITRE II
OBLIGATIONS A LA CHARGE DE L'ORGANISME AGREE
Article 10
- Il est passé contrat écrit entre l'organisme agréé et l'utilisateur pour la gestion de ses conventions secrètes.
Ce contrat comprend obligatoirement :
1) La référence de l'agrément, la durée
et la date d'expiration prévues par cet agrément, ainsi que tout
élément d'information que le cahier des charges imposerait de
communiquer aux utilisateurs ;
2) Un engagement de l'organisme agréé relatif à la sécurité
des conventions secrètes qu'il gère pour le compte de l'utilisateur
;
3) Les modalités selon lesquelles l'utilisateur, ou toute autre personne
éventuellement mandatée par celui-ci, pourra, à sa demande,
se faire délivrer copie de ses conventions secrètes durant son
contrat avec l'organisme agréé ou après son terme.
Article 11
- L'organisme agréé constitue et tient à jour une liste de ses clients.
Il tient à jour un registre mentionnant toutes les demandes présentées par l'autorité judiciaire concernant la mise en oeuvre ou la remise des conventions secrètes. Sur ce registre sont notamment consignées les informations suivantes :
1) La date et l'heure de la demande ;
2) Les références de la commission rogatoire ou de la réquisition
judiciaire ;
3) La durée de l'autorisation ;
4) Les références des conventions secrètes délivrées
ou mises en oeuvre.
Le registre est signé par l'agent qui procède à la demande et par l'employé de l'organisme agréé qui effectue la mise en oeuvre ou la remise des conventions secrètes. L'accès au registre est limité aux autorités judiciaires dans les conditions prévues par le code de procédure pénale.
Les demandes de mise en oeuvre ou de remise des conventions secrètes effectuées dans le cadre du titre II de la loi du 10 juillet 1991 susvisée sont consignées dans un registre séparé, sur lequel ne figurent que la date, l'heure de la demande, la durée de l'autorisation ainsi que la référence de l'ordre de communication des conventions secrètes. Ce registre est classifié au niveau secret défense et son accès est limité au Premier ministre, à la Commission nationale de contrôle des interceptions de sécurité ainsi qu'aux agents spécialement désignés par l'une ou l'autre de ces autorités.
Article 12
- L'organisme agréé prend les mesures nécessaires pour préserver la sécurité des conventions secrètes qu'il gère au profit de ses clients, afin d'empêcher qu'elles ne puissent être altérées, endommagées, détruites ou communiquées à des tiers non autorisés.
Il prend toutes dispositions, notamment contractuelles, vis-à-vis de son personnel, de ses partenaires, clients et fournisseurs, afin que soit respectée en permanence la confidentialité des informations de toute nature dont il a connaissance relativement à l'utilisation de ces conventions secrètes et à leur remise aux autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi du 29 décembre 1990 susvisée ou à leur mise en oeuvre au profit de ces autorités.
Il notifie ces mesures et dispositions au service central de la sécurité des systèmes d'information.
Article 13
- Tout organisme agréé conserve les conventions secrètes qui lui sont confiées. Toutefois, à l'issue d'un délai de quatre ans à compter de la date de signature du contrat mentionné à l'article 10, l'organisme agréé peut, après accord de l'utilisateur, déposer lesdites conventions secrètes auprès d'un autre organisme agréé choisi sur une liste d'organismes agréés fixée par arrêté du Premier ministre.
Article 14
- L'organisme agréé maintient un service permanent de mise en oeuvre ou de remise des conventions secrètes au profit des autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi du 29 décembre 1990 susvisée. La mise en oeuvre ou la remise s'effectuent selon les modalités spécifiées par ces autorités.
Sans préjudice des dispositions relatives aux frais de justice en matière pénale, les frais de mise en oeuvre des conventions secrètes au profit desdites autorités par l'organisme agréé sont pris en charge par l'Etat sur la base d'un tarif forfaitaire tenant compte des coûts moyens, établi par un arrêté du Premier ministre, après avis du ministre de la justice, du ministre de la défense, du ministre de l'intérieur, du ministre chargé de l'industrie, du ministre chargé du budget, du ministre chargé des douanes et du ministre chargé des télécommunications.
Dans les cas où le II de l'article 28 de la loi du 29 décembre 1990 susvisée lui impose que les utilisateurs soient informés de la remise des conventions secrètes, l'organisme agréé a l'obligation de procéder à cette information sans délai.
Article 15
- Le service central de la sécurité des systèmes d'information peut procéder au contrôle de l'application, par l'organisme agréé, des dispositions figurant dans le cahier des charges prévu à l'article 8.
TITRE III
RETRAIT DE L'AGREMENT ET CESSATION D'ACTIVITE
Article 16
- I. - L'agrément exprès ou tacite est retiré par le Premier ministre lorsque l'organisme :
1) Ne remplit pas ou a cessé de remplir l'une des obligations
fixées par le II de l'article 28 de la loi du 29 décembre 1990
susvisée et par le présent décret ;
2) Ne remplit pas ou a cessé de remplir l'une des conditions précisées
dans le cahier des charges prévu à l'article 8 ;
3) Cesse ses activités.
Ce retrait ne peut intervenir qu'après que le titulaire de l'agrément a été mis à même de faire valoir ses observations dans un délai de huit jours. En cas d'urgence l'agrément peut être suspendu immédiatement.
II. - Le retrait de l'agrément peut également être prononcé lorsque le maintien de celui-ci risque de mettre en péril les intérêts de la défense nationale ou de la sécurité intérieure ou extérieure de l'Etat.
III. - Le retrait de l'agrément est notifié par le Premier ministre par lettre recommandée avec demande d'avis de réception. Dès la notification du retrait d'agrément, l'organisme concerné informe sans délai les utilisateurs qu'il cesse son activité de gestion des conventions secrètes.
Article 17
- En cas de cessation d'activité ou de retrait de son agrément, l'organisme concerné communique à ses utilisateurs la liste des organismes agréés offrant les mêmes services. L'organisme en cessation d'activité confie les conventions secrètes à un autre organisme agréé selon le choix de chaque utilisateur.
Pour chacun des utilisateurs qui n'aurait pas fait état de son choix dans un délai d'un mois à partir de la cessation d'activité, l'organisme concerné transcrit sur un support électronique standardisé et selon le format défini dans le cahier des charges prévu à l'article 8, les conventions secrètes qu'il conservait à la date de cessation. Il dépose ce support auprès d'un organisme, désigné par arrêté du Premier ministre, auprès duquel s'effectueront les éventuelles requêtes de remise de conventions secrètes formulées par les autorités mentionnées au II de l'article 28 de la loi du 29 décembre 1990 susvisée.
Article 18
- Le présent décret est applicable dans les territoires d'outre-mer et dans la collectivité territoriale de Mayotte.
Article 19
- Le garde des sceaux, ministre de la justice, le ministre de l'intérieur, le ministre des affaires étrangères, le ministre de l'économie, des finances et de l'industrie, le ministre de la défense, le secrétaire d'Etat à l'outre-mer, le secrétaire d'Etat au budget et le secrétaire d'Etat à l'industrie sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.