 |
LES TECHNOLOGIES DE L'INFORMATION 4 - Législation |
| (sommaire en bas de page) |
4.1. Cadre général du dispositif
La liste des différents textes constituant le cadre législatif et réglementaire de la cryptologie figure en annexe 2. Ces nouveaux textes assouplissent et simplifient considérablement le cadre juridique qui réglementait jusqu’ici la cryptologie. Ce nouveau cadre juridique distingue différents régimes en fonction de la finalité des moyens ou prestations de cryptologie et du niveau correspondant :Finalités
- Utilisation : personnelle, collective (pour un domaine ou un type d’utilisateur donné) ou générale (potentiellement n’importe qui).
- Fourniture : vente, location ou fourniture gratuite.
- Importation : en provenance d’un État n’appartenant pas à la Communauté Européenne ou n’étant pas partie à l’accord instituant l’Espace Économique Européen.
- Exportation : à destination d’un État n’appartenant pas à la Communauté Européenne ou n’étant pas partie à l’accord instituant l’Espace Économique Européen ; les transferts intra-communautaires sont contrôlés, au même titre que les exportations, sur la base d’une décision du Conseil et d’un règlement européen, dont les références des textes de mise en œuvre en France sont données en annexe 2, ce contrôle étant institué sur une base temporaire en l’attente d’une harmonisation des contrôles à l’exportation dans les États membres.
Régimes
Pour ces différentes finalités, les régimes possibles sont :
- Dispense de toute formalité préalable. La liberté est totale d’utiliser, de fournir, d’importer ou d’exporter le moyen ou la prestation considérés.
- Déclaration simplifiée. Un fourmulaire administratif (cf. annexe 5) doit être simplement transmis au préalable au SCSSI.
- Déclaration. Un dossier de déclaration composé d’une partie administrative (cf. annexe 5) et d’une partie technique (cf. annexe 6) doit être transmis au SCSSI au moins un mois avant toute utilisation, fourniture, importation ou exportation du moyen ou de la prestation considérée. Si le dossier est incomplet, le SCSSI dispose d’un délai d’un mois pour demander les pièces complémentaires. A compter de la réception du dossier complet, le SCSSI dispose d’un délai d’un mois pour notifier, le cas échéant, au déclarant que le moyen ou la prestation considérés ne relèvent pas du régime déclaratif mais du régime de demande d’autorisation. En cas de silence du SCSSI à l’expiration de ce délai d’un mois, le déclarant peut procéder librement aux opérations qui font l’objet de la déclaration.
- Autorisation. Un dossier de demande d’autorisation composé d’une partie administrative (cf. annexe 5) et d’une partie technique (cf. annexe 6) doit être transmis au SCSSI. Si le dossier est incomplet, le SCSSI dispose d’un délai d’un mois pour demander les pièces complémentaires. A compter de la réception du dossier complet, le SCSSI dispose de quatre mois pour notifier sa décision. Une absence de notification à l’expiration de ce délai de quatre mois vaut autorisation.
Application
Pour chacune des opérations identifiées ci-dessus, l’application des différents régimes dépend bien évidemment du moyen ou de la prestation de cryptologie considérée, de sa finalité et de sa force.
Par exemple, la liberté est totale d’utiliser des moyens de cryptologie dont la finalité est l’authentification, la garantie d’intégrité ou la signature numérique des transactions. Ceci est fondamental pour le courrier électronique ou le commerce électronique (non répudiation des commandes et des paiements notamment). La fourniture de tels moyens est soumise uniquement au régime de déclaration simplifiée.
Les droits et obligations des utilisateurs (particuliers ou entreprises) et des fournisseurs de moyens ou de prestations de cryptologie sont présentés ci-après pour les cas les plus courants. Pour les cas particuliers, il est souhaitable de contacter directement le SCSSI. A noter que les produits «grand public», de type cartes à puce, DVD ou décodeur de télévision payante, font bien entendu l’objet d’un traitement très libéralisé, notamment en ce qui concerne leur utilisation (Cf. listes en annexes 3 et 4).
4.2. L’utilisateur
Vous avez besoin d’utiliser un moyen ou une prestation de cryptologie :
- Pour assurer des fonctions de signature, de non répudiation, d’authentification ou de contrôle d’intégrité. Votre fournisseur doit avoir déclaré le produit ou la prestation à l’administration dans les conditions prévues par la réglementation, et rappelées au chapitre 4.3 ci-après.
Vous n’avez aucune formalité à accomplir et vous pouvez utiliser le produit ou la prestation librement.
- Pour assurer une fonction de confidentialité, c’est-à-dire chiffrer le contenu d’un message ou d’un fichier.
1er cas : Vous estimez que votre besoin de confidentialité ne nécessite pas une protection très élevée et peut se satisfaire d’un produit «standard» du commerce fonctionnant avec une clé de taille inférieure ou égale à 40 bits (Cette limite de 40 bits sera régulièrement réévaluée pour tenir compte des évolutions technologiques. Aujourd’hui, pour pouvoir décrypter dans un temps raisonnable (quelques heures) un message chiffré avec une clé de 40 bits, il est encore nécessaire de faire travailler plusieurs PC en parallèle.). Votre fournisseur doit avoir déclaré le produit à l’administration dans les conditions prévues par la réglementation, et rappelées au chapitre ci-après, et ne pas avoir reçu notification que le produit relevait du régime de demande d’autorisation. Vous n’avez aucune formalité à accomplir et vous pouvez utiliser le produit librement.
2ème cas : Votre besoin de protection est élevé, vous recherchez un moyen fonctionnant avec des clés gérées par un tiers de séquestre. Votre fournisseur doit avoir obtenu une autorisation de fourniture et peut vous en montrer le récépissé. Vous pouvez utiliser le produit librement s’il exploite des clés gérées par un tiers de séquestre. Une liste des tiers agréés vous sera communiquée par le fournisseur ou par le SCSSI. Vous devrez alors conclure un contrat avec le tiers que vous aurez choisi.
3ème cas : Si vous devez utiliser un moyen ou une prestation de force élevée (clé de taille supérieure à 40 bits) avec des clés qui ne sont pas gérées par un tiers de séquestre, votre fournisseur doit avoir obtenu l’autorisation et peut vous en montrer le récépissé. Si l’autorisation est une autorisation de fourniture en vue de l’utilisation générale ou en vue de l’utilisation collective, et que vous appartenez à une des catégories concernées par l’autorisation, vous n’avez aucune formalité à accomplir et vous pouvez utiliser le produit ou la prestation librement. Autrement, sauf cas particulier (Cf. listes en annexes 3 et 4), vous devez demander une autorisation d’utilisation personnelle..4.3. Le fournisseur d’un moyen de cryptologie
Vous souhaitez fournir, importer ou exporter un moyen de cryptologie :
- Qui assure uniquement des fonctions de signature, d’authentification ou de contrôle d’intégrité. La fourniture est soumise à déclaration simplifiée, par laquelle vous vous engagez notamment à ce que ce moyen ne puisse absolument pas être utilisé pour des fonctions de confidentialité ; l’importation et l’exportation sont libres.
- Qui assure des fonctions de confidentialité.
1er cas : Avec une clé de taille inférieure ou égale à 40 bits. La fourniture est soumise à déclaration, permettant notamment le contrôle de la force cryptographique de ce moyen ; l’importation est libre ; l’exportation reste soumise à demande d’autorisation (cf. réglementation européenne relative aux biens à double usage).
2ème cas : Avec une clé de taille supérieure à 40 bits (avec ou sans gestion des clés par un tiers de séquestre). La fourniture, l’importation et l’exportation sont soumises à demande d’autorisation, sauf cas particuliers (Cf. listes en annexes 3 et 4). Vous souhaitez utiliser, à des fins exclusives de développement, de validation ou de démonstration, un moyen ou une prestation de cryptologie, quelque soit sa force : Vous devez simplement en informer par écrit le SCSSI au moins deux semaines au préalable.4.4. Le fournisseur d’une prestation de cryptologie
L’expression «fourniture de prestations de cryptologie» recouvre les deux opérations suivantes :
- la mise en œuvre, au profit d’autrui, d’un moyen de cryptologie (par exemple, la mise en œuvre d’une messagerie chiffrante sur le réseau Santé) ;
- la fourniture d’éléments facilitant ou permettant la mise en œuvre de moyens de cryptologie (par exemple, la mise en œuvre d’une infrastructure de gestion de clés).
Selon la nature des moyens mis en œuvre, une prestation de cryptologie relève de différents régimes :
- Vous souhaitez être une autorité de certification pour des services de signature électronique : La fourniture de cette prestation est soumise à déclaration simplifiée (En France, aucune législation ne réglemente aujourd’hui cette activité. Toutefois, des travaux actuellement menés par le Conseil d’État et une directive européenne sur la signature électronique en préparation pourraient se traduire par un régime d’agrément spécifique.).
- Vous souhaitez être tiers de séquestre : Vous devez effectuer auprès du SCSSI, dans les conditions prévues par la réglementation, une demande d’agrément. Le dossier de demande doit comporter l’ensemble des éléments décrits en annexe 7, y compris un exemplaire complété et signé du cahier des charges dont un modèle est donné en annexe 8. Les conditions et délais de traitement par le SCSSI d’une demande d’agrément sont identiques à ceux d’une demande d’autorisation (Notamment, l’absence de notification de décision dans un délai de 4 mois à compter de la réception du dossier complet vaut agrément.).
- Vous souhaitez assurer un service global de cryptologie au profit de tiers : Pour assurer ce service, vous mettez en œuvre des moyens cryptologiques. Les moyens mis en œuvre doivent avoir été déclarés ou autorisés en fonction du régime dont ils relèvent. Quels que soient le moyen et le type de gestion de clefs, vous devez être en mesure de satisfaire aux exigences de la loi du 10 juillet 1991 relative au secret des correspondances.
|
Synthèse du nouveau
cadre législatif et réglementaire
|
||||
|
Finalités
|
Fonctions offertes
|
|||
|
Authentification, signature, intégrité,
non répudiation
|
Confidentialité
|
|||
|
<= 40 bits
|
> 40 bits
|
|||
|
Avec séquestre
|
Sans séquestre
|
|||
|
Utilisation
|
LIBRE
|
LIBRE
|
LIBRE
|
Soumise à autorisation
|
|
Fourniture
|
Soumise à déclaration simplifiée
|
Soumise à déclaration
|
Soumise à autorisation
|
Soumise à autorisation
|
|
Importation
|
LIBRE
|
LIBRE
|
Soumise à autorisation
|
Soumise à autorisation
|
|
Exportation
|
LIBRE
|
Soumise à autorisation
|
Soumise à autorisation
|
Soumise à autorisation
|
Il est également important de noter que ces dispositions sont fortement tournées vers l’utilisateur, a priori non spécialiste du domaine, et font porter le poids de la réglementation sur les professionnels de la cryptologie. Ceux-ci doivent informer les pouvoirs publics des produits qu’ils mettent sur le marché. Ils doivent aussi demander un agrément s’ils veulent devenir tiers de séquestre.
La nécessité de se protéger à bon escient...
...tout en préservant l’ordre public
Définitions et principes
Législation
Contacts
Annexes
© Secrétariat d'Etat à l'industrie - France