06 novembre 2018

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#214 le droit du chiffrement expliqué en BD aux NON juristes

#214 le droit du chiffrement expliqué en BD aux NON juristes

[6 novembre 2018] Il fallait boucler la boucle de cette série de présentations sur le chiffrement : pour bien écrire son contrat, il est nécessaire d’abord de maitriser la technique en question. Pour cela, je vous ai proposé une première présentation sur les bases de la technique du chiffrement (hachage et chiffrement symétrique) puis une seconde sur le chiffrement asymétrique. Maintenant que nous possédons le même niveau de compréhension technique, voyons la règlementation. Pour les juristes, facile !!! Il suffit de lire la LCEN… Mais il m’a semblé plus utile de permettre aux professionnels NON juristes de s’y retrouver, d’où la présente présentation « le droit du chiffrement expliqué en BD aux NON juristes« . Après tout, ce sont eux qui mettent en oeuvre des prestations de chiffrement au profit de leurs clients, non ? Et puis en BD, c’est moins pénible, non ?
A noter que le chiffrement fait l’objet d’une réglementation strictement nationale. Pas de contrainte juridique au niveau de l’UE qui ne règlemente que les prestataires de service de confiance : c’est le Règlement eIDAS n°910/2014 du 23 juillet 2014 que je n’évoquerai donc pas ici (NDLR : cher Pascal, si tu es « chaud », on s’y met quand tu veux) et en France le décret du 28 septembre 2017 relatif à la signature électronique. A noter enfin que les prestataires français de service de confiance sont aussi astreints à la législation française sur le chiffrement (la LCEN de 2004), qu’il s’agisse des règles spéciales de responsabilité (que nous survolerons) ou de l’obligation de déclaration préalable à l’ANSSI de leur prestations.
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement en cas de fourniture de « moyens » ou de « services »

Revenons au chiffrement et commençons par la réglementation applicable aux professionnels qui fournissent des « moyens » ou des « prestations » de cryptologie. Car telle est la ligne de démarcation posée par les textes légaux. Et tordons immédiatement le cou à une idée reçue (si bien marketée par le gouvernement de l’époque…) : oui, l’usage du chiffrement en France est libre. Ce que l’on a soigneusement oublié de vous préciser, c’est que cette liberté a un corollaire sanctionné pénalement : que le professionnel montre d’abord patte-blanche à l’Autorité de contrôle. Cette autorité, c’est l’A.N.S.S.I. (Autorité nationale de sécurité des systèmes d’informationdécret de 2009) par délégation du Premier ministre. Car si le « moyen » de chiffrement n’est pas mis licitement sur le marché, son utilisation collective n’est pas « libre » comme le déclare (avec des trompettes) l’article 30 I de la Loi pour la Confiance dans l’Economie Numérique et peut faire l’objet d’un retrait du marché…
—> Bienvenue à nouveau dans l’univers du « Régulateur » et de la LCEN : oui, en 2018, c’est (toujours) notre Loi de 2004 pour la Confiance dans l’Economie Numérique, son décret d’application du 2 mai 2007 et son (nouvel) arrêté du 29 janvier 2015 qui encadrent usage, fourniture, transfert (intra UE), importation et exportation (hors UE) des logiciels de chiffrement (cryptographie) et de décryptage (cryptanalyse).
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]
J’ai inclus dans cette 3ème présentation :

  • les 2 cas spécifiques de responsabilité applicables aux professionnels,
  • les sanctions administratives et pénales liées à l’usage de moyens ou de prestations de cryptologie (cryptographie et cryptanalyse),
  • le nouveau cadre judiciaire obligeant depuis 2016 à la remise des clés de chiffrement et la jurisprudence y afférente (pas facile à placer, le « y afférente », je vous le promets).

BONUS de dernière heure : comment protéger votre « algorithme de chiffrement ». Je vous ferai donc une synthèse sans surprise (brevet de procédé ou droit du logiciel) et un rappel sur la protection des codes source (dès fois qu’on parle de solution logicielle de chiffrement).
Tout est détaillé dans la présentation accessible dans le slider ci-dessous. Et un short summary pour les littéraires, juste après, as usual.



le droit du chiffrement expliqué en BD aux NON juristes: l’Autorité de contrôle (ANSSI pour les intimes)

L’ANSSI gère la rédaction de la règlementation (de plus en plus) technique régissant l’utilisation, la commercialisation, l’IMport / EXport intra-UE (appelée « transfert« ) et l’IMport / EXport hors UE (beaucoup plus sensible… forcément…) des logiciels et matériels (i) de chiffrement et (ii) de décryptage.
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes :  « moyens » et « prestations » de cryptologie

Les dispositions techniques encadrant le chiffrement sont toutes contenues dans le Décret de 2007 (dont les fameuses annexes 1 et 2, qu’il faut voir lues au moins une fois dans sa vie…) et le (nouvel) arrêté de 2015 pris en application des articles 30 et suivants de la LCEN. Il nous faut commencer par les définitions légales de ce que sont les « moyens » et les « prestations » de chiffrement…
les « moyens » de chiffrement ? Ce sont les matériels et/ou (surtout aujourd’hui) les logiciels. Facile ! (qu’on me montre aujourd’hui un moyen de chiffrer des data numériques qui se passe de logiciel…).
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


Le prestataire qui fournit une « prestation » de chiffrement ? C’est un professionnel qui utilise un « moyen » de chiffrement pour le compte de ses clients. Si à l’occasion d’un service en mode SaaS (Software as a Service), il y a chiffrement de tout ou partie des données du client, il y a « prestation » de chiffrement.
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : l’obligation de déclaration préalable

Le discriminant commun autours duquel s’articule la LCEN est [inspirez !] un moyen de cryptologie assurant au moins partiellement des fonctions de confidentialité [soufflez !]. En fait, la formulation légale repose sur une négation : « moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité« .
Pour encadrer tout ça, le régime de droit commun, c’est l’obligation pour le professionnel de procéder à une déclaration administrative préalable (avec formulaire obligatoire) à l’ANSSI.
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : par exception, la dispense de déclaration préalable

Le principe est donc « déclaration obligatoire » SAUF SI… avec beaucoup de chance, vous bénéficiez d’une des 15 dispenses à déclaration (en réalité près de 23 cas différents).
Je vous rassure, si vous bénéficiez d’une des 15 dispenses visées dans l’annexe du Décret de 2007, c’est que l’industrie concernée a déjà négocié avec l’ANSSI, et que vous profitez de l’accord trouvé entre eux (qui a dû passer par une mise à disposition des algorithmes de tous ces moyens de chiffrement à l’ANSSI ou sa capacité à les décrypter sans trop de problème en cas de « besoin légal »).
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : la demande d’autorisation préalable

La difficulté réelle se posera lorsque votre outil de chiffrement passera à un stade de commercialisation active. Ou lorsque vous voudrez exporter (tout ou partie de) votre logiciel hors UE. Et aujourd’hui, l’hypothèse n’est pas d’école : quid d’un logiciel en mode SaaS avec des modules inclus dans des serveurs installés hors UE ? Dans ce cas, apparemment, pas de solution sinon demander une autorisation préalable ? Soyons raisonnable… Il faudrait aujourd’hui que l’ANSSI se montre souple dans l’application des textes et permette aux entreprises européennes de déployer leur « techno » partout dans le monde (on parle ici d’une problématique de déploiement de noeuds de blockchain) sans devoir réveiller un troupeau de mammouths… Techniquement, les données du problème sont faciles à comprendre : la LCEN date de 2004, le décret d’application de 2007 et la technologie blockchain a été « inventée » fin 2008. Hé oui, toujours le droit en retard…
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : les autres cas d’usage sont libres

Et pourquoi, à votre avis ? Parce que ce qui fait peur à l’Etat, c’est qu’on lui cache des choses, des messages qu’il ne puisse pas lire… C’est la fonction de confidentialité du chiffrement qui fait peur… Oui, au XXIème siècle, notre Etat avec ses traditions centralisatrices a du mal à évoluer…
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : synthèse pour les professionnels

droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : la responsabilité en cas de fourniture de prestations de confidentialité

droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


La spécificité de ce régime de responsabilité est simple à retenir. C’est au professionnel de démontrer qu’il n’a pas commis de faute dans la fourniture de ses prestations contractuelles de confidentialité. C’est donc un régime d’obligation de moyens renforcée qui ne choque pas : qui, à part le professionnel, peut apporter ce type de preuve ? Attention, ce régime de preuve n’est pas aménageable contractuellement (c’est le « nonobstant…« ).
Vous noterez au passage les critères « d’intégrité, de confidentialité et de disponibilité » des données que l’on retrouve à l’article 32 GDPR (obligation de sécurisation des traitements de données à caractère personnel) et dans la loi du 26 février 2018 sur l’obligation de sécurisation des Réseaux et Systèmes d’information qui pèse sur les Opérateurs de Service Essentiel et les Fournisseurs de Service Numérique.

droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : une obligation de moyens renforcée pour les prestataires de service de certification

Pour mémoire, je vous cite l’autre régime spécifique de responsabilité qui ne vise que les « tiers de confiance » : même principe d’obligation de moyens renforcée.
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes: les sanctions « administratives » 

Evidemment, si l’ANSSI découvre que vous n’avez pas fait votre déclaration préalable ou que vous exportez des moyens de crypto avant d’avoir obtenu son autorisation préalable, l’ANSSI peut se fâcher. Cette fâcherie s’appelle « obligation de retrait du marché« . Et le non respect de cette sanction administrative est sanctionné pénalement. SAUF ? Sauf pour les logiciels (sous licence Open Source) mis à disposition gratuitement de la communauté des utilisateurs !droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : les sanctions pénales

Que serait la France sans sa batterie de sanctions pénales, je vous le demande ? droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : droit pénal et circonstances aggravantes

Le principe est simple : le Code pénal établit un « tarif » de sanctions pour les crimes et délits. Et bien, si les « criminels » utilisent en plus des « moyens » de cryptologie, ils encourent une peine alourdie (article 132-79 Code pénal) ! Pardon, je n’ai pas pris le temps de faire une recherche sur l’application effective de cet article du Code pénal par les tribunaux correctionnels ou les Cours d’Assises (je subodore un usage extrêmement peu fréquent).
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : l’obligation de remettre les conventions secrètes aux services d’enquête judiciaire

Si la science du chiffrement progresse, son utilisation par les criminels de tous poils aussi. Alors, l’Etat renforce son arsenal juridique et permet depuis une loi du 3 juin 2016 aux services d’enquête judiciaire d’imposer la remise des clés de déchiffrement, sous peine de sanctions pénales spécifiques.
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : une obligation de remettre les « conventions secrètes » validée par le Conseil Constitutionnel

Vous vous souvenez, en 2016, le FBI avait tenté d’imposer à Apple de se faire remettre les clés de déchiffrement d’un iPhone ? En France, cette obligation de remise des clés de (dé)chiffrement (les fameuses « conventions secrètes ») a été portée devant le Conseil Constitutionnel qui en a validé le principe (décision du 30 mars 2018) en posant quelques barrières salvatrices pour les droits et libertés.
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : et les « services spécialisés de renseignement » ?droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


Haaaaaa, il serait dommage d’oublier nos amis des « services spécialisés de renseignement ». Grâce à la loi « Renseignement » du 24 juillet 2015 (rectifiée le 21 juillet 2016), les Grandes Oreilles de la République disposent en réalité du même droit que celui des services d’enquête judiciaire, à savoir exiger la remise des clés de (dé)chiffrement sur le fondement légal des dispositions du Code de la sécurité intérieure (et non plus celles du Code pénal). Les peines prévues en cas de « résistance » sont moins lourdes dans la loi Renseignement, même si elles restent franchement dissuasives…
droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : BONUS —> la protection des algorithmes de chiffrement

Je ne ferai ici que reprendre les éléments de ma présentation sur la protection des algorithmes :

  • soit votre algorithme est un véritable » procédé » nouveau et susceptible d’application industrielle, alors vous pouvez déposer un brevet pour protéger votre algorithme de chiffrement,

droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


  • soit votre algorithme est tout entier contenu dans une « équation complexe » entièrement transposée dans le code source de votre logiciel, auquel cas vous disposerez de la protection du doit du logiciel sous réserve de la preuve de son originalité.

droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


le droit du chiffrement expliqué en BD aux NON juristes : vous savez l’essentiel !

Pour une présentation complète, avec tous les détails (qui sont fort nombreux), c’est dans la présentation accessible dans le slider ci-dessus.
Maintenant que vous savez tout ça, on va pouvoir regarder la blockchain en détail ! Sur ce blog dès le 13 novembre « blockchain privée vs blockchain publique » puis dès le 27 novembre « blockchain as a Service expliqué en BD aux NON juristes« .


droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


droit du chiffrement expliqué en BD aux NON juristes [Ledieu-Avocats]


 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ