Le régime juridique français de la cryptologie / secteur bancaire

By 4 July 2013

§ 2. Le régime juridique français de la cryptologie et ses conséquences pour le secteur bancaire et financier

180. Evolutions. Le régime juridique de la cryptographie a été revu par la Loi de Réforme des Télécommunications (LRT). Pour la première fois, le législateur reconnaît que cet outil peut efficacement contribuer à la sécurisation des télécommunications. Le droit positif de la cryptologie, issu désormais du remaniement effectué par la Loi pour la Confiance dans l’Economie Numérique (B), a supplanté le régime critiqué de la loi de 1990 modifiée (A).

A. Régime issu de la loi LRT de 1990

181. Synthèse du régime. Le mouvement de libéralisation de la cryptographie a été amorcé par la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, réformée par la loi n° 96-659 du 26 juillet 1996. Le dispositif mis en place oscille entre la pleine liberté (a), le recours à des tiers agréés (b) et le recours à des formalités préalables (c). La loi française légitime le système mis en place par des considérations de sécurité nationale et le fait que la circulation de messages cryptés présente des dangers évidents sur le plan de la défense et du grand banditisme203 204.

a. Le régime de la cryptologie « libre »

182. Principe de liberté. La loi de 1990 a très largement libéralisé l’utilisation des moyens de cryptologie lorsqu’ils sont utilisés exclusivement pour la signature électronique, c’est-à-dire à des fins d’authentification des messages, de non répudiation et de maintien de l’intégrité de ceux-ci (article 28, I, de la loi du 29 décembre 1990). Un décret de 1998 précise et complète ce principe libéral. Il en résulte que le système mis en place ne prévoit la liberté d’utilisation que dans deux hypothèses précises visées par le texte.

ƒ Soit les outils de cryptographie sont utilisés strictement dans le but d’exercer une fonction d’authentification et/ou de préservation de l’intégrité des messages, mais sans que ceux-ci soient rendus opaques. Le texte précise néanmoins que ces outils peuvent chiffrer les mots de passe, les codes d’identification, ce qui fut heureux pour le secteur bancaire et financier qui est un important utilisateur de ces moyens d’authentification. A l’instar du Professeur E.A. CAPRIOLI, nous pouvons dire que cette hypothèse vise notamment les systèmes d’identification utilisés par les cartes bancaires et les logiciels de signature électronique205.

ƒ Soit les outils de cryptographie permettent de chiffrer, et donc de rendre confidentiels les messages, tout en sachant que l’intervention d’un tiers agréé justifie le caractère libre de l’utilisation.

203 Article 28 I, alinéa 2, de la loi du 29 décembre 1990 que les règles posées le sont « pour préserver les intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat, tout en permettant la protection des informations et le développement des communications et transactions sécurisées ».
204 Selon WARUSFEL M., deux objectifs visés par le texte peuvent être identifiés : « D’une part, l’Etat souhaitait conserver un quasi-monopole pour l’usage de certaines technologies cryptologiques de haut niveau nécessaires pour assurer la sécurité de ses communications gouvernementales (chiffres militaire et diplomatique essentiellement) ; d’autre part, ce contrôle vise également à ce que les moyens cryptologiques employés par les personnes privées n’empêchent pas les autorités administratives et judiciaires d’effectuer les interceptions que la loi du 10 juillet 1991 les autorise à mettre en œuvre ». WARUSFEL B., Les conditions juridiques de la sécurité sur Internet et le régime juridique de la cryptologie en France , in Internet saisi par le droit, éd. des Parques, 1997, p. 199 et s., spéc. p. 206. V. aussi GRANIER T. et JAFFEUX C., Internet et transactions financières, Ed. Economica, Paris, 2002, pp. 108-112.
205 CAPRIOLI E. A., Le régime juridique des paiements sur Internet in Internet saisi par le Droit, Ed. des Parques, 1997, p. 61 et s., spéc. p. 92.

183. Limite et interrogations. Dans les hypothèses autres que les deux précitées – notamment l’utilisation de moyens de cryptologie à des fins de confidentialité sans intervention d’un tiers, ainsi que la fourniture, l’importation ou l’exportation de tels moyens (sous réserve des effets du décret du 17 mars 1999 visé ci-après) –, il est nécessaire soit d’obtenir une autorisation préalable du Premier ministre, soit de procéder simplement à une déclaration préalable. Le décret du 17 mars 1999206, quant à lui, dresse une liste concrète des moyens ou prestations « libérés », c’est-à-dire dispensés de toutes formalités préalables, que ce soit une autorisation ou une simple déclaration. Plusieurs points de ce décret intéressent particulièrement le secteur bancaire et financier. En effet, sont dispensées d’une formalité préalable l’utilisation mais aussi la fourniture, l’exportation et l’importation de moyens ou prestations de cryptologie notamment les « équipements de contrôle d’accès, tels que machines automatiques de distribution de billets, imprimantes libre-service de relevés de compte ou terminaux de points de vente, protégeant les mots de passe, numéros d’identification personnels ou autres données similaires empêchant l’accès non autorisé à des installations, mais ne permettant pas le chiffrement des fichiers ou des textes, sauf lorsqu’il est directement lié à la protection des mots de passe ou des numéros d’identification personnels ». La dernière partie de la phrase pose, selon nous, quelques difficultés d’interprétation. En effet, lors d’un retrait d’argent auprès d’un distributeur de billets ou lors de la passation d’une transaction bancaire ou financière en ligne, les données qui vont être transmises sont, certes, les données d’identification, mais concernent aussi d’autres informations telles que la nature ou le montant de la transaction (virement d’argent avec une éventuelle communication, ordre de bourse, souscription à tel ou tel produit d’assurance).

Il est évident que les parties n’entendent pas uniquement utiliser le moyen de cryptologie pour chiffrer les données d’identification et le mot de passe mais également pour chiffrer les autres données liées à la transaction. Ainsi, le chiffrement de ces derniers peut-il être considéré comme un chiffrement « directement lié à la protection des mots de passe ou des numéros d’identification personnels » au sens du texte précité ? La réponse à cette question est importante car elle permet de déterminer si l’utilisation du moyen de cryptologie à cet effet bénéficie du régime de liberté ou non. Si le texte n’apporte aucun élément de réponse, il convient déjà, selon nous, d’apporter une réponse affirmative dans la mesure où le contenu d’une transaction bancaire ou financière est toujours directement lié à une donnée d’identification et à un mot de passe. Il s’agit donc de crypter le tout comme un ensemble cohérent. La même dispense d’autorisation est également prévue pour l’utilisation, la fourniture, l’exportation et l’importation de « cartes à microprocesseur personnalisées ou leurs composants (…) » ainsi que de « systèmes de gestion de facturation inclus dans les dispositifs de relevés de compteurs dont les fonctions de chiffrement sont directement liées au comptage », qui sont des éléments également largement utilisés dans le secteur bancaire et financier.

206 Décret n° 99-200 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable.

b. Le régime des tiers agréés

184. Le recours. Sous le régime de la loi du 29 décembre 1990, si un organisme bancaire ou financier entend utiliser des outils permettant de chiffrer les transactions – et pour autant que ces outils ne bénéficient pas du point a), article 1er, du décret n° 98-101 du 24 février 1998 –, il doit nécessairement se rapprocher, s’il souhaite bénéficier du régime de liberté d’utilisation, d’un tiers chargé de gérer pour le compte d’autrui les conventions secrètes de moyens ou de prestations de cryptologie permettant d’assurer la fonction de confidentialité207. Pour le reste, aucune démarche administrative n’est cependant imposée à l’utilisateur potentiel. Il s’agit, dans l’esprit du législateur, de « tiers de confiance »208, agréés – ou non – par le Premier ministre. En effet il suffit que « l’organisme compte, parmi son personnel, un nombre suffisant de personnes habilitées pour être en mesure de satisfaire aux obligations du décret du 12 mai 1981 »209.

185. Rôle et incertitudes. Une fois agréé, le tiers de confiance est investi d’une fonction définie par la loi. En effet, pour rappel, l’article 28 II de la loi du 29 décembre 1990 indique que les organismes sont « chargés de gérer pour le compte d’autrui les conventions secrètes de moyens ou prestations de cryptologie permettant d’assurer des fonctions de confidentialité…) ». On s’interroge sur cette fonction de « gestion pour le compte d’autrui ». Il est évident que cela exclut une gestion pour soi-même. Mais dans le monde bancaire et, plus généralement, de l’entreprise, quelle peut-être la juste définition de cette « altérité » : qui est « l’autrui » visé par le texte ? Le texte ne donne aucun élément de réponse et l’absence de pratique en la matière ne facilite pas le raisonnement. Pourtant, on pourrait comprendre que le secteur bancaire et financier – dans le souci de veiller au respect du secret bancaire – cherche à conserver une maîtrise minimale sur le tiers dépositaire des clés, ou à tout le moins, ait un droit de regard sur celui-ci afin de s’assurer qu’il accomplisse sa mission dans le respect de la plus grande confidentialité. Certes, ces tiers de confiance agréés sont tenus au respect du secret professionnel, mais on sait par ailleurs que les principes juridiques ont leurs limites. On pourrait donc comprendre que le monde bancaire ne soit pas favorable à l’utilisation d’un tel système. De plus pèse sur lui une obligation d’information justifiée par le souci de sécurité publique qui anime tout le dispositif légal210. En pratique, force est de constater que ce nouveau métier n’a pas attiré une foule de candidatures puisque, seul la Direction centrale de la sécurité des systèmes d’information (DCSSI)211 a été désignée comme tiers agréé. Cela ne démontre-t-il pas le peu d’enthousiasme du marché pour cette initiative réglementaire ?

207 Ils font l’objet des dispositions de l’article 28 II de la loi n° 90-1170 du 29 décembre 1990, modifiée par la loi n° 96-659 du 26 juillet 1996, ainsi que du décret n° 98-102 du 24 février 1998 définissant les conditions dans lesquelles sont agréés les organismes gérant pour le compte d’autrui des conventions secrètes de cryptologie, ainsi que d’arrêtés en date du 13 mars 1998.
208 On a même pu parler, de « tiers de défiance » !, v. SÉDALLIAN V., op.cit., p. 184.
209 Décret n° 81-514 relatif à l’organisation de la protection des secrets et des informations concernant la défense nationale et la sûreté de l’Etat.
210 Dans le même ordre d’idée, l’article 203-1 de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne énonce que « lorsqu’il apparaît que des données saisies ou obtenues au cours de l’enquête ou de l’instruction ont fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair qu’elles contiennent ou de les comprendre, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue d’effectuer les opérations techniques permettant d’obtenir la version en clair de ces informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire ».
211 Héritière du Service central de la sécurité des systèmes d’information, centre focal de l’État pour la sécurité des systèmes d’information, la DCSSI a été instituée par le décret n° 2001-693 du 31 juillet 2001. Elle est placée sous l’autorité du Secrétaire général de la défense nationale. Les deux arrêtés du 15 mars 2002, (JO du 17 mars 2002, p. 4838 et 4839) en précisent l’organisation, disponible sur :  www.ssi.gouv.fr/fr/dcssi/index.html

c. Le régime de la cryptologie « soumise à formalité préalable »

186. Autorisation et déclaration. Certaines utilisations de moyens ou de prestations de cryptologie sont soumises à l’accomplissement d’une formalité préalable (autorisation212 ou simple déclaration). En effet, l’article 28 I de la loi du 29 décembre 1990, indique que « L’utilisation d’un moyen ou d’une prestation de cryptologie est : (…) ; b) soumise à l’autorisation du Premier ministre dans les autres cas ». Il s’agit des hypothèses dans lesquels la cryptologie est utilisée pour la fonction de confidentialité et où aucun recours à un tiers de séquestre n’est envisagé.

212 La notion d’autorisation doit être nuancée car elle peut parfois être remplacée par une simple déclaration préalable. En effet, un décret du 17 mars 1999 prévoit que certains matériels, logiciels ou équipements, bien qu’assurant une fonction de confidentialité, ont été jugés pouvoir échapper à la politique de contrôle. En conséquence, ces éléments ne sont soumis qu’à simple déclaration. Ainsi en est-il des « matériels ou logiciels offrant un service de confidentialité mis en œuvre par un algorithme dont la clé est d’une longueur supérieure à 40 bits et inférieure ou égale à 128 bits ». Au-delà de 128 bits, l’utilisation est soumise à une autorisation préalable. En deçà de 41 bits, l’utilisation est libre. Entre les deux, l’utilisation est soumise à déclaration préalable.

187. Importations et exportations. L’usage ou l’« utilisation » de produit de cryptologie est une opération envisagée par la loi. Mais celle-ci se préoccupe également dans son article 28-2 de la fourniture, de l’importation d’un pays n’appartenant pas à la Communauté européenne (auquel il s’agit d’ajouter l’Espace économique européen), ainsi que de l’exportation des moyens et prestations de cryptologie.

188. Problème. Dans la mesure où, pour des raisons évidentes de sécurité, les outils cryptologiques permettant d’assurer la confidentialité sont largement utilisés dans le secteur bancaire et financier, une question importante se pose. Un organisme bancaire qui intègre un algorithme de confidentialité dans le cadre de ses opérations en ligne est-il considéré comme simple utilisateur ou comme fournisseur de produits cryptographiques à l’égard de ses clients- utilisateurs ? La réponse à cette question déterminera l’étendue des obligations pesant sur l’organisme bancaire.

189. Réponse ? La loi ne répond pas à cette question, mais une réponse ministérielle précise ce qu’il faut entendre par fournisseur et fourniture213. Celle-ci semble exclure la qualification de fournisseur et entend par « fourniture : contrat par lequel une personne, appelée fournisseur, s’engage à approvisionner pendant un certain temps de manière ponctuelle, périodique ou continue, en moyens ou en services, une autre personne ». On doit reconnaître que la relation banque-client demeure régie par un document contractuel et qu’on ne se trouve pas dans une telle logique « d’approvisionnement durant un certain temps », le logiciel étant fourni une fois pour toutes lors de la souscription au service. Cette interprétation est confirmée par la même réponse qui indique que le fournisseur est « typiquement le fabricant du produit ». On en conclut qu’un organisme bancaire ou financier qui intègre des moyens de cryptologie dans le cadre du développement de ses applications informatiques ne doit pas être considéré comme un fournisseur – et échappe donc aux obligations à la charge de ce dernier -, mais doit être simplement considéré comme un utilisateur.

190. Terminologie. D’un point de vue purement terminologique, le vocabulaire adopté par la réglementation n’est pas satisfaisant car juridiquement inadéquat. En effet, il est difficile de parler de « l’exportation » d’une prestation, c’est-à-dire de ce qui relève d’une « mise à disposition » à l’étranger. Peu importe le canal de celle-ci : une mise à disposition en ligne est également concernée par le texte214. Cette remarque étant faite, nous ne pensons pas que le secteur bancaire et financier souhaite s’engager dans l’exportation de moyens et de prestations de cryptologie.

191. Bilan. Sous la loi de 1990, des contraintes pèsent sur les utilisateurs – organisme bancaire et financier ainsi que, le cas échéant, leurs clients – de moyens et de prestations de cryptologie. Par ailleurs, qu’en est-il d’un utilisateur français qui souhaite augmenter le niveau de sécurité proposé par sa banque en téléchargeant un logiciel de cryptologie de 512 bits sur un site Web asiatique ? Un téléchargement en ligne peut être considéré comme une importation au sens de la loi et déclencher son application. En pratique, comment contrôler le fait qu’il y a eu téléchargement… sauf à entrer dans une logique policière ? Faut-il vraiment croire que les professionnels du crime naviguant sur les réseaux vont se plier à la loi française ? Et, s’ils ne le font pas, qui donc, en définitive, se trouve handicapé par ces dispositions215 ?

192. Une solution marginale et critiquée. Cela étant dit, nous ne pouvons que rejoindre les commentateurs qui ont critiqué le caractère largement irréaliste216 des dispositions légales françaises. En effet, qui peut être assez naïf pour croire que l’interdiction, ou simplement la mise en place d’un système d’autorisation préalable, empêchera les criminels ou autres terroristes de se procurer les logiciels nécessaires et de les utiliser. On constate donc que la loi ne permet pas d’atteindre l’objectif souhaité mais à l’inverse pénalise par l’excès de contraintes qu’elle crée, les organismes bancaires et financiers qui doivent utiliser les outils de cryptographie dans le cadre de leurs activités. Dans un rapport remarqué du 2 juillet 1998, le Conseil d’Etat a également largement critiqué la réglementation de la cryptographie, qui n’avait pourtant que quelques mois d’application à l’époque217. Le Conseil d’Etat relève que les critiques convergent vers la mise en place et le rôle de « tiers de séquestre ». A cet égard, la première préoccupation tient à la singularité de la position française par rapport à celle des 2 autres pays dans le domaine de la cryptologie. En effet, la France est la seule à avoir instauré un système de « tiers de séquestre ». Or un tel mécanisme suppose le recours à des produits et une technologie très spécifique, puisqu’il est nécessaire de prévoir la remise automatique des clés de chiffrement à un organisme tiers, alors que quasiment aucun produit de cryptologie (logiciels notamment) commercialisé dans le monde ne le permettait en 1998.

14 Lamy droit de l’informatique et des réseaux, Guide, éd. 2002, p. 1727, n° 3092.
215 Lamy droit de l’informatique et des réseaux, op. cit., p. 1730, n° 3098.
216 PIETTE-COUDOL T., op.cit., pp. 26-32 ; SÉDALLIAN V., Droit de l’Internet, Ed. Net Press éd., 1997, p.181 et s. ; Lamy droit de l’informatique et des réseaux, Guide, éd. 2002, p. 1730, n° 3098, et les références.
217 Le rapport du Conseil d’Etat « Internet et les réseaux numériques » du 2 juillet 1998 est disponible sur : www.internet.gouv.fr/francais/textesref/rapce98/accueil.htm<.

193. Une efficacité douteuse. Par ailleurs, selon le Conseil d’Etat, la seconde interrogation que l’on pouvait avoir à l’égard du dispositif retenu par le Gouvernement218 pour régir la cryptologie tenait à son efficacité. Le système des « tiers de séquestre » était relativement contraignant pour les utilisateurs, et potentiellement coûteux pour les entreprises. Or, il était à craindre que les délinquants se refusent à remettre leurs clés à des « tiers de séquestre » ou utilisent des méthodes de chiffrement difficilement détectables, par exemple par des procédés de stéganographie (i.e. incorporation de messages codés dans des images numériques transmises apparemment « en clair »)219.

Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales