Importation et exportation de moyens de cryptologie : une liberté qui reste encadrée

La cryptologie fait partie de notre quotidien, depuis la connexion à notre banque en ligne, les achats sur internet, en passant par la signature électronique. De plus en plus d’applications cryptent les échanges pour des raisons de sécurité, de confidentialité et d’intégrité. 

Le développement de l’utilisation des échanges cryptés a notamment été rendu possible grâce à la libéralisation de la réglementation relative à la cryptologie intervenue depuis une dizaine d’années avec la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN). (1)

Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité (informations accessibles uniquement aux personnes autorisées), leur authentification (données provenant de la personne prétendant en être l’auteur) ou leur intégrité (empêchement de toute altération, intentionnelle ou fortuite, du message). 

Cet ensemble de techniques permet, en chiffrant les informations échangées ou stockées, de les rendre inintelligibles pour les tiers lors de leur transmission ou de leur conservation. La cryptologie est utilisée dans des domaines très variés : financier, commercial, militaire, mais également dans le cadre d’activités illégales.

La loi distingue entre moyens et prestations de cryptologie, avec un encadrement juridique allant de la liberté d’utilisation jusqu’à l’autorisation du Premier ministre suivant les finalités des systèmes. Cette réglementation doit être analysée compte tenu des règles d’importation et d’exportation au sein de l’Union européenne d’une part, depuis ou vers des pays tiers à l’UE d’autre part.


1. La fourniture de moyens de cryptologie

La loi définit la notion de “moyen de cryptologie” comme “tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes (clé ou algorithme de chiffrement) ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.” (art. 29 LCEN)

    1.1 Un principe de liberté, encadrée

La loi pose le principe de la liberté d’utilisation des moyens de cryptologie. (art. 30 I. LCEN)

Ce principe de liberté est étendu à la fourniture et à l’importation et l’exportation au sein de l’Union européenne ou depuis ou vers des pays tiers de moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité, à savoir les moyens de signature électronique.

En revanche, les moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont soumis à une procédure soit de déclaration préalable, soit d’autorisation du Premier ministre (ANSSI), à l’exception de certaines catégories de moyens de cryptologie fixées par décret d’application du 2 mai 2007. (2)

    - Fourniture et importation
La fourniture et l’importation depuis un état membre de l’Union européenne ou depuis un pays tiers, de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sont soumis à une déclaration préalable auprès de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). 

    - Fourniture et exportation
La fourniture et l’exportation vers un état membre de l’Union européenne ou vers un pays tiers, de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sont soumis à une autorisation délivrée par l’ANSSI (déposée par le fournisseur) et à une licence d’exportation délivrée par le SBDU (Service des biens à double usage), déposée par l’exportateur. (3)

La déclaration et la demande d’autorisation comportent une partie technique et une partie administrative. Si le dossier est complet, l’ANSSI notifie sa décision, dans un délai d’un mois pour les dossiers de déclaration, et 4 mois pour les autorisations, à compter du dépôt du dossier. 

Les déclarations de moyens de cryptologie valent également pour les intermédiaires du fournisseur (l’entité ayant déposé la déclaration), à savoir les distributeurs de ces moyens. Une seule déclaration suffit donc et peut être utilisée par les distributeurs du fournisseur.

L’autorisation est délivrée pour une durée maximum de 5 ans, renouvelable.

Enfin, certaines catégories de moyens de cryptologie peuvent être dispensées de déclaration préalable, lorsque leurs caractéristiques techniques ou leurs conditions d’utilisation ne portent pas atteinte aux intérêts de la défense nationale ou à la sécurité intérieure et extérieure de l’État. Ces catégories sont définies en annexe du décret du 2 mai 2007, et incluent notamment la fourniture d’équipements, destinés au grand public, de réception de radiodiffusion ou de télévision, de radiocommunication mobiles, téléphoniques sans fil, et dont la capacité cryptographique ou de chiffrement n’est pas accessible à l’utilisateur. De même, est concernée la fourniture de prestations de cryptologie, ne consistant pas en la délivrance de certificats électroniques, visant à mettre en œuvre certains moyens de cryptologie. 

    1.2 La responsabilité des fournisseurs de moyens de cryptologie

Le Premier ministre peut interdire la mise en circulation du moyen de cryptologie du fournisseur qui ne respecterait pas les obligations décrites à l’article 30 de la LCEN (déclaration préalable ou demande d’autorisation). Le champ de cette interdiction s’étend aux distributeurs du moyen de cryptologie en cause, et aux matériels constituant les moyens de cryptologie dont la mise en circulation a été interdite.

Les fournisseurs ne respectant pas les obligations de déclaration préalable ou de demande d’autorisation s’exposent à des sanctions pénales, pouvant aller jusqu’à 15 000 € d’amende et un an d’emprisonnement.

L’exportation d’un moyen de cryptologie sans l’autorisation requise est passible d’une amende maximale de 30 000 € et de deux ans d’emprisonnement.


2. La fourniture de prestations de cryptologie

La loi définit la "prestation de cryptologie" comme “toute opération visant à la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie” (art. 29 LCEN)

    2.1 Le principe de déclaration préalable

La fourniture de prestations de cryptologie reste encadrée, via une procédure de déclaration préalable à l’ANSSI. (art. 31 LCEN)

Les conditions de la déclaration, et les exceptions à l’obligation de déclaration sont définies au décret d’application du 2 mai 2007et sont identiques à celles décrites ci-dessus. 

Comme pour la fourniture des moyens de cryptologie, les exceptions à l’obligation de déclaration sont évaluées au regard des intérêts de la défense nationale et de la sécurité intérieure et extérieure de l’Etat.

    2.2 Le secret professionnel

Les fournisseurs de prestations de cryptologie sont assujettis au secret professionnel, en vertu de l’article 226-13 du Code pénal qui dispose que “la révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende.la révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende."

    2.3 La responsabilité des fournisseurs de prestations de cryptologie

Les fournisseurs de prestations de cryptologie à des fins de confidentialité sont responsables, au titre de l’exécution de leurs prestations, du préjudice causé aux personnes qui leurs confient la gestion de leurs conventions secrètes, en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions.

De même, les prestataires de services de certifications électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés. (art. 33 LCEN) Ces prestataires doivent justifier d’une garantie financière suffisante pour couvrir les risques liés à leur activité ou d’une assurance responsabilité civile professionnelle.

Le fait de fournir des prestations de cryptologie visant à assurer des fonctions de confidentialité sans avoir rempli l’obligation de déclaration prévue à l’article 31 de la LCEN est passible de deux ans d’emprisonnement et de 30 000 euros d’amende.


       L’importation ou l’exportation de logiciels ou de services de chiffrement vers ou depuis la France demeure une matière complexe. Le fournisseur doit au préalable vérifier si le moyen ou la prestation est exempté ou soumis à une obligation réglementaire de déclaration ou d’autorisation de l’ANSSI, puis prendre en compte les délais nécessaires pour obtenir une attestation de déclaration ou une autorisation d’exportation du moyen de cryptologie. Les fournisseurs ou importateurs qui ne respectent pas ces obligations légales s’exposent à de lourdes sanctions pénales.

(1) Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), Titre III : De la sécurité dans l’économie numérique, chap. 1er (articles 29 à 40). 

(2) Décret n°2007-663, 2 mai 2007 pris pour l’application des articles 30, 31 et 36 de la LCEN et relatif aux moyens et prestation de cryptologie. Arrêté du 25 mai 2007, définissant la forme et le contenu des dossiers de déclaration et de demande d’autorisation d’opérations relatives aux moyens et aux prestations de cryptologie.

(3) Le fournisseur déposant une déclaration ou une demande d’autorisation doit transmettre un dossier à l’ANSSI. Le format et le contenu de ce dossier sont précisés par arrêté du 29 janvier 2015.


Bénédicte Deleporte
Avocat

Deleporte Wentz Avocat
www.dwavocat.com