[mis à jour le 03/12/2021] Puisque les professionnel(le)s du MBA finance de l’IFG m’y ont contraint (sans le savoir), j’ai mis à jour ma présentation de 2018 sur le droit du chiffrement.
Pas de grandes évolutions dans cette présentation, mais un focus tout particulier sur la LCEN (loi pour la confiance dans l’économie numérique) (de 2004 déjà) et son application aux protocoles blockchain.
Avec la LCEN, n’oubliez pas le décret n°2007-663 du 2 mai 2007 (« pris pour l’application des articles 30, 31 et 36 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et relatif aux moyens et aux prestations de cryptologie « ). Oui, rien que le titre vous donne une idée générale de l’ambiance de ce qu’il faut lire…
Replongeons-nous avec délectation dans les notions de « moyen » et de « prestation » de cryptologie, puisque la France a choisi d’encadrer dans un seul et même texte à la fois la cryptographie (l’art de brouiller des messages) et la cryptanalyse (l’art d’accéder à un message chiffré sans en détenir la clé de lecture) qui sont regroupées sous le terme « cryptologie » .
Pour bien comprendre la manière dont cette réglementation bleu-blanc-rouge encadre le chiffrement, il nous sera nécessaire de vous rappeler les trois grandes fonctions de la cryptographie, puisque notre LCEN impose des formalités de notification à l’ANSSI qui tiennent compte de la nature de la fonction de cryptographie mise en oeuvre.
Il fallait le talent d’Alain Brion, (exceptionnel) dessinateur des 5 tomes de « Excalibur – Chroniques » et celui du scénariste Jean-Luc Istin, pour nous rendre la matière agréable. Enfin, c’est ce que je nous souhaite…
le droit français du chiffrement en 2021 : l'intro (en image)
le droit français du chiffrement en 2021 : moyen de chiffrement ? prestation de chiffrement ? les 3 fonctions de la cryptographie ?
Si vous lisez « moyen de chiffrement« , pensez à un logiciel (ou à une appliance, un boitier externe qui intègre un logiciel avec des fonctions de chiffrement).
Si vous lisez « prestation de chiffrement« , pensez à un professionnel qui offre dans ses services des fonctions de confidentialité, d’authentification ou de contrôle d’intégrité. Même de manière accessoire et en mode SaaS. Evidemment.
Jusqu’ici, c’est simple.
Tous les détails sont accessibles dans le slider ci-dessous.
le droit français du chiffrement en 2021 : les 3 régimes légaux qui s'imposent au fournisseur de moyen / prestataire de service de chiffrement
C’est à partir d’ici que ça se complique un peu.
Depuis 2004, on nous a bien vendu que l’usage du chiffrement était libre.
Ce que le gouvernement de l’époque a pris bien soin de ne pas détailler, c’est que cette liberté d’usage avait une contrepartie de poids (des obligations déclaratives) à la charge des professionnels, fournisseurs de moyens ou prestataires de services de chiffrement.
La réalité du régime légal, applicable en 2021 en France, est la suivante :
- le régime de droit commun oblige les fournisseurs de moyens et prestataires de services (de chiffrement, vous l’aurez bien compris) à procéder à la déclaration préalable, à l’ANSSI, de leurs moyens / services de chiffrement.
- par exception, certains moyens / services de chiffrement disposent d’une dispense de déclaration préalable. « Chouette » ! devriez-vous penser. Hélas, ces dispenses ont été négociées entre certains professionnels et l’ANSSI entre 2004 et 2007 et ne sont plus vraiment « à l’état de l’art » . Pour le dire autrement, ce régime de dispense de déclaration est aujourd’hui (franchement) obsolète.
- enfin, l’autre exception au régime du droit commun de déclaration préalable est un régime plus restrictif encore. Pour certains moyens et/ou prestation de chiffrement, il est nécessaire de demander à l’ANSSI son autorisation préalable…
L’analyse détaillée de ces trois régimes légaux, qui pèsent principalement sur la fonction de confidentialité du moyen et/ou de la prestation du chiffrement, figure dans les slides ci-dessous.
PS : oui, je sais, si vous opérez un protocole blockchain avec votre entreprise basée en France, vous allez devoir faire face à des obligations déclaratives qui ne sont pas très « business friendly« … Mais bon, que voulez vous, la loi date de 2004 et le décret de 2007. Et le white paper de Satochi Nagamato, inventeur de la blockchain bitcoin, a été publié fin 2008. Pas de chance… Vous appelez votre Député(e) et le Secrétaire d’Etat au numérique ?
le droit français du chiffrement en 2021 : les (incontournables) sanctions administratives et pénales en cas de non-respect de cette législation (si agréable à lire...)
Que serait la France sans sa batterie de sanctions administratives et pénales, je vous le demande ?
Avant de nous pencher en détail sur les « sanctions administratives » qui peuvent permettre à l’ANSSI d’imposer le retrait du marché d’un moyen de cryptographie, rappelons ici que notre législateur n’avait manifestement pas anticipé le développement des logiciels de chiffrement sous licence Open Source*.
[* mise à jour le 3 décembre 2021 : la pertinence de cette dernière remarque est à attribuer @Goupil, contributeur régulier du podcast NoLimitSecu, dans lequel nous avons évoqué le sujet du chiffrement et des blockchains à plusieurs reprises – avec (encore) un très grand merci à toute l’équipe !]
Si vous gardez cette remarque en tête, vous ne manquerez pas de sourire à la lecture des slides qui vous décrivent ce régime administratif, probablement rarement mis en oeuvre depuis 2004 par l’ANSSI.
Heureusement, il nous reste nos bonnes vieilles sanctions pénales, qui fleurent bon le camembert et la baguette…
Comme la loi impose de déclarer les moyens et/ou prestations de chiffrement, cette même loi punit d’un à deux ans de prison les éditeurs et prestataires (les plus) récalcitrants.
A ma connaissance, à l’heure où j’écris ces lignes :
– pas de jurisprudence pénale « chiffrement LCEN » connue ;
– aucune évolution législative envisagée par les Sages qui nous gouvernent…