J.O. Numéro 49 du 27 Février 1998       J.O. disponibles       Alerte par mail       Lois,décrets       codes       AdmiNet

Texte paru au JORF/LD page 03070

Ce document peut également être consulté sur le site officiel Legifrance


Avis no 97-313 du 8 octobre 1997 relatif au projet de décret définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie et au projet de décret définissant les conditions dans lesquelles sont agréés les organismes gérant, pour le compte d'autrui, des conventions secrètes de moyens ou de prestations de cryptologie permettant d'assurer des fonctions de confidentialité

NOR : ARTJ9700195V


   L'Autorité de régulation des télécommunications,
Vu le code des postes et télécommunications, notamment son article L. 36-5 ;
Vu la loi no 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, notamment son article 28 dans sa rédaction issue de l'article 17 de la loi no 96-659 du 26 juillet 1996 ;
Vu la demande d'avis du secrétaire d'Etat à l'industrie reçue le 8 août 1997 ;
Après en avoir délibéré le 8 octobre 1997,
I. - Observations générales
Souligne que la cryptologie, en garantissant la confidentialité, l'intégrité et l'authentification des données transmises sur les réseaux, constitue un outil nécessaire et un facteur essentiel au développement du commerce électronique, de l'activité des entreprises et donc de leur compétitivité.
Considère donc que le régime juridique de la cryptologie doit prendre en compte tout à la fois les exigences de l'ordre public, de la sécurité de l'Etat et de la défense nationale et le fait que le développement des échanges d'informations conditionne celui de l'activité économique.
Rappelle que l'article 17 de la loi no 96-659 du 26 juillet 1996 de réglementation des télécommunications a modifié l'article 28 de la loi du 29 décembre 1990 susvisée en assouplissant les dispositions antérieures ; qu'ainsi a été rendue libre l'utilisation de moyens et prestations de cryptologie ayant une fonction d'authentification et d'intégrité ainsi que ceux ayant une fonction de confidentialité et n'utilisant que des conventions secrètes gérées par des organismes agréés.
1. Note néanmoins que si ces deux projets pris en application de ces dispositions législatives permettent la mise en oeuvre effective de ces assouplissements, ils se traduisent également par une complexité juridique accrue.
Estime qu'il ne faudrait pas que cette complexité conduise à un résultat contraire à l'objectif visé et constitue notamment un frein au développement de nouvelles formes d'activités économiques.
Souligne que son souhait de simplification des textes répond au souci de s'assurer de leur applicabilité et de leur efficacité.
Estime nécessaire que le dispositif proposé ne provoque pas un déséquilibre concurrentiel favorisant les entreprises étrangères au détriment des entreprises françaises.
Souligne que l'assouplissement du régime juridique applicable aux moyens et prestations de cryptologie, pour être réel, risque de s'avérer insuffisant au regard des intérêts économiques nationaux précédemment rappelés.
Suggère que soit engagée une large réflexion publique sur les enjeux de la cryptologie et les règles qui doivent la régir.
2. S'interroge sur la viabilité économique des organismes agréés gérant, pour le compte d'autrui, des conventions secrètes de moyens ou de prestations de cryptologie permettant d'assurer des fonctions de confidentialité.
Considère que cette activité nouvelle de tierce partie de confiance qui n'existe pas dans la plupart des pays avec lesquels la France entretient des relations commerciales doit, pour constituer un véritable métier susceptible de s'exercer dans le secteur concurrentiel, être envisageable dans des conditions de responsabilités clairement déterminées et suppose donc des relations financières équilibrées.
3. Estime que le dispositif de tierce partie de confiance devrait donner une réelle confiance à l'utilisateur, favoriser le développement d'un marché pour des moyens de cryptologie et la gestion des clés associées et permettre la rentabilité de l'activité de gestion des clés sans compromettre pour autant les exigences de sécurité de l'Etat.
Estime indispensable que la publication des arrêtés d'application, et en particulier de ceux fixant les listes des moyens et prestations de cryptologie prévues aux articles 2 et 4 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, suive immédiatement celle des décrets.
Estime, de plus, que ces listes des moyens ou prestations de cryptologie doivent tenir compte de la situation actuelle des moyens et prestations de cryptologie existant sur le marché et faire l'objet d'une mise à jour régulière afin de prendre en compte les progrès rapides réalisés.
   II. - Sur le projet de décret définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie
   4. Rappelle que le 3o du I de l'article 28 de la loi no 90-1170 du 29 décembre 1990 susvisée dispose notamment : « un décret fixe les conditions dans lesquelles sont souscrites les déclarations et les autorisations. Ce décret prévoit :
   « a) Un régime simplifié de déclaration ou d'autorisation (...)
   « b) La substitution de la déclaration à l'utilisation (...)
   « c) La dispense de toute formalité préalable (...)
   « d) Les délais de réponse aux demandes d'autorisation. »
   Souligne que le projet de décret n'organise pas le régime simplifié de déclaration ou d'autorisation prévu par la loi.
   Note en revanche que l'article 1er définit le régime de liberté d'utilisation des moyens et prestations de cryptologie alors que ce régime ne figure pas dans le champ d'application du décret défini par la loi.
   Estime donc que l'article 1er qui, en reprenant les dispositions de la loi n'apparaît pas nécessaire et en ajoutant des précisions présente le risque de lui être contraire, devrait être supprimé.
   5. Relève que les termes de « fourniture » ou de « fournisseur » ne seront pas définis dans le projet de décret.
   Relève ainsi que le premier alinéa de l'article 6 dispose notamment que « Pour les moyens visés aux articles 3 et 4, le récépissé de déclaration vaut pour tout fournisseur » ; que, de même, l'article 15 précise que « l'autorisation de fourniture vaut, dans les mêmes conditions, autorisation pour les intermédiaires que les fournisseurs chargent de la diffusion du moyen ou de la prestation... ».
   Estime nécessaire, de façon à enlever toute ambiguïté sur la portée des obligations, que les notions de fournisseur et de fourniture soient plus précisément définies.
   6. Note que dans le cadre de la procédure de déclaration préalable, l'article 5 impose un délai de deux mois avant la fourniture, l'utilisation, l'importation ou l'exportation d'un moyen ou d'une prestation de cryptologie.
   Note que les dispositions actuellement en vigueur et plus particulièrement l'article 1er du décret no 92-1358 du 28 décembre 1992 définissant les conditions dans lesquelles sont souscrites et accordées les autorisations concernant les moyens et prestations de cryptologie prévoient un délai préalable d'un mois.
   Estime que ces conditions plus favorables pour les agents économiques devraient être maintenues.
   7. Note que le premier alinéa de l'article 9 concerne la procédure de déclaration préalable à l'exportation d'un moyen ou d'une prestation de cryptologie.
   Constate que cette procédure est déjà définie aux articles 3 à 7.
   Estime donc que cet alinéa devrait être supprimé du projet.
   8. Note que l'article 11 prévoit une nullité de plein droit de l'autorisation de fourniture, d'utilisation, d'importation d'un pays n'appartenant pas à la Communauté européenne ou d'exportation lorsque ne sont plus réunies les conditions qui ont motivé sa délivrance.
   Estime que la nullité de plein droit constitue un facteur d'insécurité juridique tant pour les agents économiques que pour l'administration, qui n'a pas nécessairement connaissance des circonstances qui conduisent à la nullité.
   Estime donc que la procédure de retrait ou d'abrogation est suffisante.
   9. Relève que l'article 14 prévoit une dispense d'autorisation sous réserve d'une notification préalable pour l'utilisation par un fournisseur à des fins exclusives de développement, de validation ou de démonstration d'un moyen ou d'une prestation de cryptologie.
   Considère que ces dispositions relèvent du régime de la substitution de la déclaration préalable à l'autorisation prévu au b du 3o du I de l'article 28 de la loi du 29 décembre 1990 susvisée.
   Estime donc préférable d'utiliser le terme de déclaration à celui de notification non prévu par la loi.
   Estime que l'exigence de notification préalable de l'identité des personnes extérieures à l'entreprise peut constituer une contrainte excessive pour les entreprises françaises dans le cadre de leurs activités commerciales visant à développer un marché des moyens et prestations de cryptologie.
   10. Note que l'article 15 définit le régime de l'autorisation de fourniture.
   Estime souhaitable de réaménager ces dispositions afin d'en atténuer la complexité et par conséquent de définir les conditions de fond à remplir puis d'indiquer les mentions, la durée, la portée de l'autorisation et enfin les copies obligatoires.
   11. Note que le dernier alinéa du c de l'article 16 envisage la situation particulière de la fourniture en vue de l'utilisation collective par un service administratif.
   S'interroge sur la portée réelle de ces dispositions et estime par ailleurs préférable de remplacer le terme d'acquisition par celui d'utilisation prévu par la loi.
   12. Note que l'article 18 prévoit la délivrance par le Premier ministre d'un accord, préalablement à l'autorisation d'exportation.
   Considère cette procédure particulièrement complexe de nature à constituer un frein au développement des activités économiques.
   Estime donc souhaitable de supprimer l'exigence de la formalité de l'accord préalable.
   13. Estime que les dispositions de l'article 226-13 du code pénal relatives à l'atteinte au secret professionnel ont une portée générale et peuvent sanctionner le cas échéant des manquements commis par des agents de l'Etat au caractère secret d'informations dont ils sont dépositaires dans le domaine de la cryptologie.
   Estime donc que les dispositions de l'article 21 pourraient être supprimées.
   14. Note que l'article 22 interdit la délivrance d'autorisation de fourniture ou d'importation d'un moyen ou d'une prestation de cryptologie pour un usage destiné à dissimuler la teneur des communications établies à partir des installations radioélectriques d'amateurs, celles destinées aux radiocommunications de loisirs et des postes émetteurs-récepteurs fonctionnant sur les canaux banalisés.
   Estime que ces dispositions répondent au souci de préserver les intérêts de la défense nationale et de la sécurité de l'Etat, mais vont au-delà des termes de la loi, qui ne prévoit pas d'interdiction a priori.
   15. Estime donc que les articles 1er et 22 du projet devraient être supprimés en ce qu'ils apparaissent aller au-delà du cadre législatif, que les articles 5 et 14 (dernière phrase du premier alinéa) devraient être rendus moins contraignants et que les articles 9, 18 et 21, d'une part, et les articles 6, 11, 14, 15 et 16, d'autre part, devraient être respectivement simplifiés et clarifiés.

   III. - Sur le projet de décret définissant les conditions dans lesquelles sont agréés les organismes gérant, pour le compte d'autrui, des conventions secrètes de moyens ou de prestations de cryptologie permettant d'assurer des fonctions de confidentialité
   16. Note que la création de ces organismes agréés doit avoir pour effet d'alléger les obligations des utilisateurs et que ces organismes exercent une activité pour le compte de l'Etat.
   Constate l'absence d'une étude de l'environnement économique de ces organismes et de leurs conditions de viabilité.
   Souhaite que cette dimension soit mieux prise en compte, pour ne pas courir le risque de priver, en fait, les utilisateurs d'une des innovations introduites par la loi du 26 juillet 1996 susvisée.
   17. Souligne que les définitions introduites par l'article 2 répondent à un souci de clarification.
   Remarque néanmoins que le projet de décret ne fait pas appel aux notions de « générations de conventions secrètes », de « certification de conventions secrètes », de « système de chiffrement à clé symétrique », de « système de chiffrement à clés asymétriques », de « signature numérique d'un message » et de « code d'authentification d'un message ».
   Estime donc que ces définitions pourraient être disjointes de l'article 2.
   18. Note que le II de l'article 28 de la loi du 29 décembre 1990 susvisée dispose notamment que les organismes « doivent exercer leurs activités agréées sur le territoire national ».
   Souligne que l'article 6 rappelle les dispositions de la loi et exige de surcroît que l'organisme soit de nationalité française et contrôlé par des personnes de nationalité française.
   Estime que ces dispositions plus restrictives vont au-delà des termes de la loi quand bien même est prévue la possibilité d'y déroger à titre exceptionnel et que, de plus, elles limitent les possibilités d'émergence d'acteurs économiques dans ce nouveau domaine.
   Estime par voie de conséquence que les dispositions de l'article 8 du projet devraient également être modifiées.
   19. Note que l'article 9 prévoit la possibilité de refus d'agrément de l'organisme, notamment lorsque le demandeur, ou une personne appartenant aux organes dirigeants, a été condamné à une peine d'emprisonnement supérieure à trois mois figurant sur le bulletin no 2 de son casier judiciaire.
   Estime préférable, afin de mieux préciser l'étendue du pouvoir d'appréciation de l'administration, de prévoir une possibilité de refus d'agrément pour des motifs liés aux intérêts de la défense nationale et à la sauvegarde de l'ordre public.
   20. Note que l'article 10 prévoit notamment le renouvellement de l'agrément des organismes selon une procédure simplifiée dont les modalités sont définies par arrêté.
   Estime préférable, afin de garantir la stabilité de l'activité des organismes agréés, de prévoir une procédure de renouvellement tacite.
   21. Note que le cahier des charges prévu par l'article 11 comprend notamment l'énumération des moyens ou prestations de cryptologie dont l'organisme agréé est autorisé à gérer les conventions secrètes ou que l'organisme agréé peut utiliser ou fournir.
   Estime que ces énumérations limitatives répondent à l'exigence d'information de l'administration mais qu'il convient de prendre en compte la nécessité d'évolution et de renouvellement de l'offre de moyens et de prestations proposés aux clients au risque, dans le cas contraire, de voir cette offre frappée rapidement d'obsolescence et d'apparaître commercialement peu attractive.
   Estime souhaitable, dans ces conditions, de prévoir une procédure d'information auprès du service central des systèmes de sécurité et d'information pour toutes les modifications apportées par l'organisme à la liste des moyens et prestations gérés, utilisés ou fournis, plutôt que de la procédure d'agrément complémentaire envisagée à l'article 10.
   22. Constate que l'article 16 renvoie à un arrêté interministériel la détermination des conditions financières des prestations de remise ou de mise en oeuvre des conventions secrètes aux autorités judiciaires ou habilitées.
   Estime que, le projet devrait être plus précis et poser le principe de rémunération de ces prestations en fonction des coûts réels supportés par l'organisme.
   Estime que, si cette rémunération ne reflétait pas les coûts, l'organisme serait alors contraint de répercuter cette charge auprès de ses clients avec le risque de compromettre économiquement la mise en oeuvre des dispositions nouvelles de la loi.
   Estime pour les mêmes raisons que les frais de contrôle prévus par l'article 17 devraient être à la charge du budget de l'Etat.
   23. Estime donc que les articles 6 et 8 devraient être modifiés en ce qu'ils apparaissent aller au-delà du cadre législatif, que les articles 10 et 11 devraient être rendus moins contraignants et que l'article 2, d'une part, et les articles 9, 16 et 17, d'autre part, devraient être respectivement simplifiés et clarifiés.
   24. Décide, en raison de l'importance de ces observations et des propositions d'amendements formulées en annexe, d'émettre un avis défavorable aux projets de décrets en l'état, tout en insistant sur la nécessité d'une publication rapide de décrets d'application indispensable à la mise en oeuvre des nouvelles libertés inscrites dans la loi de réglementation des télécommunications.
   25. Charge le président de l'Autorité de régulation des télécommunications de transmettre au secrétaire d'Etat à l'industrie le présent avis, qui sera publié au Journal officiel de la République française.

   Projet de décret définissant les conditions dans lesquelles sont souscrites les déclarations
et accordées les autorisations concernant les moyens et prestations de cryptologie
Vous pouvez consulter le tableau dans le JO n° 49 du 27/02/1998 page 3070 à 3075

   Projet de décret définissant les conditions dans lesquelles sont agréés les organismes gérant, pour le compte d'autrui,
des conventions secrètes de moyens ou de prestations de cryptologie permettant d'assurer des fonctions de confidentialité
Vous pouvez consulter le tableau dans le JO n° 49 du 27/02/1998 page 3070 à 3075

   Fait à Paris, le 8 octobre 1997.
Le président,
J.-M. Hubert