Cryptographie : l'exception française
Interview de Maître Valérie Sédallian,
réalisée par Lionel Thoumyre, directeur de Juriscom.net
Dans son dernier article Maître Valérie Sédallian conclue :
"Ne faudrait-il pas raisonner moins en terme de compromis qu’en terme de balance
entre les inconvénients et les avantages que l’on pourrait tirer d’une réelle
libéralisation de la réglementation de la cryptographie ? "
L.T. : Qu'entendez-vous
par une "réelle libéralisation" ?
V.S. : La loi française du 27 juillet 1996 a été présentée comme une
libéralisation, alors que si l'on analyse soigneusement les textes, on s'aperçoit qu'en
pratique, rien n'est changé. La seule réelle nouveauté de la loi est la mise en place
des tiers de confiance et, de mon point de vue, on ne peut pas considérer ceci comme une
"libéralisation".
Par exemple, la loi indique que
l'utilisation de procédés qui ne font que de l'authentification , sans confidentialité
est libre (il s'agit de la signature numérique) . Certes, mais pour pouvoir utiliser ces
procédés, il faut qu'ils soient commercialisés, donc qu'une entreprise ait déposé un
dossier de déclaration en France. Or, sous l'ancienne loi, lorsqu'une entreprise
déposait un dossier de déclaration pour fourniture en vue d'une utilisation générale,
la déclaration était valable pour les utilisateurs. CQFD. Quant aux logiciels que l'on
peut télécharger sur Internet, sauf si le SCSSI publiait une liste de ceux qui sont
conformes à la loi française, comment voulez-vous par exemple que l'utilisateur moyen
sache s'il utilise ou non plus de 2 puissance 40 sur un test d'arrêt simple
(spécifications techniques d'un des décrets) ?
D'autres dispositions vont même dans le sens d'une aggravation : peines prévues par la
loi aggravées , création de nouvelles incriminations par exemple.
L.T. : De
quelle manière cette libéralisation permettrait d'équilibrer les inconvénients avec
les avantages ?
V.S. : Il ne s'agit pas d'un équilibre, dans ce cas on
parlerait de compromis, mais de considérer que les avantages de la libéralisation
l'emportent sur ses inconvénients.
L.T. : Pourquoi
le système des tiers de confiance est-il susceptible de rebuter, ou de gêner les
entreprises françaises investies dans le commerce électronique (problèmes de
fiabilité, de sécurité, et de coût...) ?
V.S. : Il existe un consensus pour reconnaître que le commerce
électronique nécessite le recours à du chiffrement fort, en tout cas supérieur aux 40
bits autorisés aujourd'hui. Or, le dispositif français vise à ce que pour du
chiffrement fort, les entreprises et les utilisateurs soient plus ou moins obligés de
passer par le système de tiers de confiance. Le système a été critiqué par l'ART qui
a rendu un avis réservé sur les projets de décrets et le rapport du Conseil d'Etat
souligne les difficultés soulevées par le système.
Le système du tiers de confiance suppose le recours à une technologie spécifique (dites
"propriétaire") qui risque de ne pas être toujours compatible avec les
standards internationaux. Les produits commercialisés par les tiers de confiance sont
forcément destinés au seul marché français (voir réponse à la question suivante). Le
marché étant plus restreint et les contraintes de développement et d'exploitation très
lourdes, ces produits sont plus coûteux.
L.T. : De quelle
manière la France se marginalise-t-elle au niveau international ? Dans votre article,
vous parlez notamment d'un système "franco-français"... pourquoi ?
V.S. : Parce que la France est le seul pays au monde à avoir mis en
place ce système. Cette singularité de la position française (terme employé par le
Conseil d'Etat dans son rapport) a été soulignée par le Conseil d'Etat dans son récent
rapport sur Internet. Il faut comprendre que ce type de produit est inadapté aux
échanges internationaux, chaque état voulant se réserver l'accès aux clés privées de
chiffrement dans un domaine (la sécurité nationale notamment) où il est peu réaliste
d'envisager des accords internationaux.
Le Conseil d'Etat lui -même souligne que "il ne sera possible de conserver
durablement un dispositif de tiers de séquestre, relativement contraignant pour les
entreprises, que si la réglementation française parvient à
inspirer celle mise en œuvre par les autres pays développés".
Au niveau communautaire, les produits de cryptographie sont une exception (avec des
produits comme le nucléaire) au principe de libre circulation des produits et services.
Mais cette situation pourrait changer avec le nouveau projet de règlement européen sur
les biens à double usage (proposition de règlement du 15 mai 1998). Si ce règlement est
adopté, la législation française devra être modifiée, au moins pour tenir compte de
la législation communautaire en ce qui concerne les exportations intra-communautaires.
L.T. : La réglementation
française nous désavantage-t-elle face aux pays nord-américains ?
V.S. : En Amérique du Nord et dans les autres pays européens, il
n'existe pas de législation restreignant le libre usage et la fourniture de produits et
logiciels. Seuls existent des contrôles à l'export, qui varient selon les pays. Les
entreprises françaises, elles, se trouvent face à une législation qui réglemente non
seulement l'exportation, mais également l'importation , la fourniture et l'utilisation de
produits de cryptographie. Le décret
98-101 du 24 février 1998 réglemente même l'utilisation par un fournisseur de
procédés de cryptographie à des fins de développement. Les entreprises ne peuvent donc
pas librement commercialiser leurs produits.
Voir également sur Juriscom.net :
- Les apports des décrets du 25 février et 23 mars 1998 en matière
de cryptographie
(Espace "Professionnels"), d'Alexandre Menais ;
- La crypto encore au fond
du trou (Espace "Internautes"), de Lionel Thoumyre ;
- Analyse comparée des politiques
nord-américaines en matière de cryptographie
(Espace "Professionnels"), de Lionel Thoumyre.
|
