Chapitre 9
Le chiffrement des communications électroniques, du droit au code
La construction d’un droit français du chiffrement en tension
p. 193-209
Texte intégral
Si vous jugez sur les apparences en ce lieu-ci, répondit madame de Chartres, vous serez souvent trompée : ce qui paraît n’est presque jamais la vérité.
— Marie-Madeleine de La Fayette, La Princesse de Clèves, première partie, 1678
1Code secret, linéaire B, étrusque, chiffrement, la volonté de pénétrer les secrets et mystères est un miroir de la curiosité humaine. En va également de la volonté de préserver son intimité, de se défaire de la scrutation du regard d’autrui, de se sentir libre de pression ou de manipulation extérieure. Du billet manuscrit qui passe de main en main à la lettre missive, de l’ordre d’un général à ses armées au courrier électronique, le souci de confidentialité est parfaitement proportionnel à la volonté d’interception ; le codeur d’un côté, le briseur de code de l’autre, le code subissant les attaques jusqu’à être rendu obsolète, déchiffré et remplacé par une méthode plus apte à protéger les secrets. Il n’y a qu’un pas, de la langue ancienne qui révèle les écrits d’une civilisation, de Champollion, au déchiffrement du linéaire B en 1952 par Michael Ventris1, à la bombe électromécanique utilisée pour casser les codes d’Enigma pendant la Seconde Guerre mondiale ou à Pretty Good Privacy (PGP), développé par Philip Zimmermann en 1991.
2La tension entre codeur et décodeur se manifeste dans la sphère privée, parfois, dans la sphère publique souvent, dans la fabrique de la loi, par conséquent. Chiffrage2, chiffrement, ou encore cryptage, du préfixe grec crypto, caché, si les termes varient, l’opération consiste à rendre un message clair inintelligible pour celui qui ne dispose pas de la clef. Outre le message lui-même, il est également nécessaire de pouvoir s’assurer de l’intégrité du message et de son authenticité, voire de dissimuler la transmission même du message. Le codage s’en distingue par l’absence de volonté de dissimuler, à l’instar de la compression de données ou de l’alphabet morse international inventé pour la télégraphie3. Le développement de l’informatique va favoriser et accélérer la création de systèmes de chiffrement de plus en plus élaborés. Les messages échangés peuvent être interceptés, arrêt du cavalier porteur d’une missive, écoutes, interception du courrier postal. Les moyens de communication électronique, téléphone, télécopie et maintenant internet peuvent faire l’objet de telles interceptions. Avec Internet, on assiste à un changement d’échelle. On distingue le chiffrement des données au repos comme celle stockées sur un disque dur ou un terminal, et le chiffrement des données en transit, à l’instar des flux de données sur Internet. Dans ce dernier cas, le chiffrement de bout en bout permet d’assurer que seules les parties communicantes ont accès au contenu.
3Or, avec quelque 4,5 milliards d’utilisateurs4 en 2020, Internet continue d’évoluer, à l’interconnexion avec les objets et les environnements physiques. Réseau de réseaux, village global, internet se fait tant des hyperliens tissés sur le web (world wide web, abrégé web), que de courriers électroniques échangés ou de discussions sur les canaux IRC (Internet Relay Chat, abrégé IRC). La construction d’Internet est continue, de la publication de la première « request for comments » en 1969 par Steve Crocker dans le cadre d’ARPANET (Advanced Research Projects Agency Network), processus itératif et ouvert d’élaboration des spécifications techniques d’Internet, en particulier au sein de l’IETF (Internet Engineering Task Force)5, à l’émergence de nouveaux services et de nouveaux acteurs.
4Internet continue sa mutation. Internet de machines, radio-identification des objets6 ou émergence d’objets connectés7, Internet et les technologies numériques se rapprochent du corps, posant de nouvelles questions de droits et libertés fondamentaux. L’émergence progressive de la protection des données personnelles à l’aune de l’augmentation de la masse de données collectées et de leur analyse continue, l’acceptabilité sociale des technologies, l’expression de la liberté d’expression ou l’émergence de nouvelles discriminations en sont autant de formes.
5En cette année 20208, la crise sanitaire de la Covid-19 a montré l’importance d’Internet comme infrastructure essentielle et résiliente permettant de faire société. Avec une très forte augmentation du trafic internet9, la crise a mis à jour de nouvelles fragilités numériques et l’importance des défis et risques en matière de cybersécurité, de cyberdéfense comme de protection de la vie privée, faisant du chiffrement une question centrale autant pour un gouvernement, qu’une organisation ou un particulier souhaitant protéger ses communications. Ce nouveau citoyen numérique pourrait alors envoyer des messages personnels sans crainte, en irait de même du journaliste protégeant ses sources ou de la communication confidentielle d’agents publics. Symétriquement, le chiffrement rend plus difficile le contrôle de telles communications, reposant en d’autres termes la nécessaire conciliation des intérêts publics et privés.
6Comprendre la manière dont le droit se saisit du chiffrement suppose une prospection méthodique de la construction progressive de son cadre juridique. Si le chiffrement a longtemps été strictement encadré en France, l’émergence des technologies numériques et d’Internet a favorisé un assouplissement progressif pour aboutir à un régime de liberté sous réserve et à un équilibre fragile en devenir.
Du code au droit, de la mise en place d’un cadre juridique du chiffrement
7Paradoxe du code, le chiffrement est d’abord saisi par le droit comme une arme témoignant de la méfiance des pouvoirs publics avant une libéralisation progressive en tant qu’outil de sécurité des technologies de l’information et de la communication.
Une méfiance à l’égard du chiffrement
8Le code secret procède tant de la volonté de garder un secret que de garder secret le fait de transporter un secret. À l’heure d’Internet, le chiffrement permet de protéger les communications électroniques dans un contexte de panoptisme déformé et de surveillance de tous par tous. Chacun évalue l’autre en continu10 dans une injonction contradictoire de visibilité11 et d’intimité.
9Utilisé d’abord dans les domaines militaire et diplomatique, le chiffrement est appréhendé par le droit comme une arme et fait l’objet d’un contrôle drastique. Ainsi en 193912 dans un décret pris en application de l’article 1er du décret du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions, les « machines cryptographiques »13 sont classées aux côtés des dispositifs de visée, de conduite de tir ou de détection dans les matériels de guerre en 1re catégorie comptant également les « fusils, mousquetons, carabines de tous calibres conçus pour l’usage militaire » (ibid.). L’acquisition et la détention des armes de première catégorie est interdite sauf autorisation14. Les machines cryptographiques et plus largement le chiffrement ne sont appréhendés spécifiquement qu’avec le décret du 18 février 198615 puis la loi du 29 décembre 1990.
10Le décret du 18 février 1986 propose une définition à son article 1er des moyens de cryptologie considérés comme « matériels ou logiciels conçus soit pour transformer à l’aide de convention secrète des informations claires ou des signaux en information ou signaux inintelligibles, soit pour réaliser l’opération inverse ». Armes de deuxième catégorie depuis 197316, son régime d’autorisation reste très strict et la procédure mise en place par le décret de 1986 complexe. Méfiance renouvelée, l’article 6 de l’arrêté du 18 février 198617 limite l’autorisation spéciale d’acquérir, de détenir ou d’utiliser un moyen de cryptologie (ibid., article 5) quand l’usage est « destiné à dissimuler la teneur des communications échangées entre les stations radioélectriques privées de la troisième catégorie définie à l’article D. 464 du code des P.T.T. (radio amateur) ; les émetteurs-récepteurs utilisant les “canaux banalisés” ; toutes stations radio électriques privées non autorisées conformément à l’article L. 89 du code des P.T.T. » (article 6). Spécialisation croissante, il est notable que les demandes d’autorisation concernant les moyens de cryptologie passent sous l’égide du ministre chargé des P.T.T 18.
11Le développement de ce que l’on appelait alors les nouvelles technologies de l’information et de la communication fait réagir face à un régime juridique du chiffrement qui apparaît inadapté et inutilement lourd. La loi du 29 décembre 1990 sur la réglementation des télécommunications19 continue de s’inscrire dans une conception stricte de la cryptologie et fait montre d’une méfiance des pouvoirs publics à son égard, le chiffrement pouvant octroyer un avantage au codeur sur le décodeur. La loi crée deux régimes juridiques à travers son article 28 et différents textes réglementaires20. Les prestations de cryptologie sont définies comme « toutes prestations visant à transformer à l’aide de conventions secrètes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l’opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet »21.
12Si le régime strict d’autorisation préalable subsiste, la loi soumet à un régime plus souple de déclaration préalable l’utilisation ou la fourniture de moyens ou de prestations de cryptologie quand ils ne peuvent « avoir d’autres objets que d’authentifier une communication ou d’assurer l’intégrité du message transmis ». Ainsi, si la signature électronique est concernée, les moyens et prestations de cryptologie qui ont pour objet la confidentialité des communications restent soumis à un régime dissuasif. Ancêtre de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), un service dépendant du Premier ministre, le Service central de la sécurité des systèmes d’information (SCSSI) est en charge des autorisations et déclarations. Le SCSSI, créé en 198622, prend la suite du Service central du chiffre et de la sécurité des télécommunications et sera à son tour remplacé par la Direction centrale de la sécurité des systèmes d’information (DGSSI)23 en 2001 avant la création de l’ANSSI en 200924.
13Rares étaient alors les autorisations en matière privée. Ne restait que l’utilisation de produits agréés permettant un contrôle de l’État, interrogeant par là même la nécessaire évolution du régime25.
14La chute du mur de Berlin en 1989, la réunification allemande puis la signature du traité de Maastricht le 7 février 1992 instituant notamment une citoyenneté européenne et une monnaie unique achèvent de bouleverser les paradigmes issus de la Seconde Guerre mondiale. Le cadre juridique du chiffrement est critiqué tant en ce qu’il limite le développement économique, que la liberté d’expression et la protection de la vie privée à l’heure ou Internet commence à entrer dans les foyers. La méfiance à l’égard du chiffrement cède peu à peu face à la nécessité de protéger les communications électroniques dans un contexte de mondialisation. Dans un contexte libéral à l’égard du chiffrement dans les pays voisins, prohiber le chiffrement affaiblit tant les entreprises que les citoyens français.
15Le 11 septembre 1995, dans une recommandation adoptée par le Comité des ministres relative aux problèmes de procédure pénale liés à la technologie de l’information26, le Conseil de l’Europe précise qu’il est loisible de limiter l’impact du chiffrement sur l’enquête en matière pénale « sans toutefois avoir des conséquences plus que strictement nécessaires sur son utilisation légale »27, incitant les États membres à libéraliser son utilisation. Il était urgent de s’atteler à réformer.
Une libéralisation progressive
16Le débat se pose en ces termes : peut-on limiter la liberté de tous de se protéger de la scrutation d’autrui au prétexte des abus de certains ? Débat aussi vif qu’ancien entre intérêts privés et publics.
17Déjà en 1991, la loi du 10 juillet 199128 affirme dans son article 1 le principe de garantie par la loi du secret des correspondances émises par la voie des communications électroniques. Il « ne peut être porté atteinte à ce secret que par l’autorité publique, dans les seuls cas de nécessité d’intérêt public prévus par la loi et dans les limites fixées par celle-ci »29. Il faut également préciser que la France est l’un des membres fondateurs de l’arrangement de Wassenaar30 en décembre 199531 sur le contrôle des exportations d’armes conventionnelles et de biens et technologies à double usage qui mentionne la cryptologie imposant un contrôle de l’exportation en fonction de la taille de la clef 32. Cela limite la diffusion de chiffrement fort.
18Prenant acte, le législateur de 1996 à l’occasion de la nouvelle réglementation française des télécommunications décide d’un assouplissement progressif en matière de chiffrement. La loi du 26 juillet 199633 dans son article 17 commence par compléter l’article 28 de la loi du 29 décembre 1990 en apportant une définition des moyens de cryptologie34 – et non plus simplement des prestations de cryptologie.
19Le texte libéralise en partie le régime du chiffrement et précise viser la préservation des « intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État, tout en permettant la protection des informations et le développement des communications et des transactions sécurisées ».
20Nouveauté, la loi de 1996 reconnaît la liberté d’utilisation « d’un moyen ou d’une prestation de cryptologie », cela dans deux cas. D’une part, l’utilisation est libre, « si le moyen ou la prestation de cryptologie ne permet pas d’assurer des fonctions de confidentialité, notamment lorsqu’il ne peut avoir comme objet que d’authentifier une communication ou d’assurer l’intégrité du message transmis », mettant fin au régime de déclaration des moyens d’authentification. Une déclaration simplifiée auprès du SCSSI devra être réalisée par le fournisseur avant commercialisation. L’importation et l’exportation sont également libres. D’après le décret du 23 mars 199835, sous réserve de déclaration, l’utilisation et l’importation de moyens de cryptologie dont la clef de chiffrement est inférieure ou égale à 40 bits est libre. Au-delà de 40 bits, la fourniture, l’importation ou l’exportation restent soumises à autorisation. Il en est de même de l’utilisation, sauf remise des clefs de chiffrement au tiers de confiance. En d’autres termes, le texte substitue à l’autorisation un système de tiers de confiance. Cette notion de tiers de confiance jouant rôle de séquestre fait débat tant le régime est lourd comparé aux législations étrangères. L’utilisation d’un seuil pose en elle-même question à l’aune de l’évolution des techniques de chiffrement. PGP était disponible depuis 1991. Tenu au secret professionnel et à de strictes obligations, ce tiers de confiance conserve les clefs de chiffrement36. Il doit les remettre à la demande des autorités judiciaires ou habilitées, « ou les mettre en œuvre selon leur demande » sur réquisition du procureur de la République dans le cadre de l’enquête37 ou dans la mesure des interceptions prévues par la loi du 10 juillet 1991. L’équilibre recherché par la loi de 1996 repose en grande partie sur ces tiers de confiance, organismes agréés par le SCSSI qui gèrent les conventions secrètes38. La solution n’est pas satisfaisante tant il paraît improbable qu’un délinquant dépose ses clefs de chiffrement. Reste la sanction du défaut de remise.
21Au niveau international, les lignes directrices de l’Organisation de coopération et de développement économiques (OCDE) de mars 1997 visent à promouvoir l’utilisation du chiffrement afin de favoriser la confiance dans les infrastructures et de contribuer à la sécurité des données. Le conseil recommande en outre aux pays membres de « veiller à la levée, ou d’éviter de créer au nom de la politique de cryptographie, des obstacles injustifiés au commerce international et au développement des réseaux d’information et de communication »39. En France, le Conseil d’État insistait déjà en juillet 1998 sur la nécessité d’une confiance accrue des acteurs et sur l’importance de la confidentialité des échanges : « assurée par le chiffrement des messages, [elle] est également essentielle pour rassurer les acteurs »40. Le Conseil de rappeler « l’accueil réservé au nouveau dispositif légal » (ibid., p. 70-72) que nous avons présenté et l’opportunité de l’assouplir et de penser une harmonisation au niveau de niveau de l’Union européenne. Le Conseil d’État souligne également la « singularité de la position française » (ibid.) et propose plusieurs pistes de réflexion. Il propose notamment de réviser périodiquement la taille de la clef de chiffrement et d’alléger certaines obligations imposées aux tiers de confiance, comme supprimer la nécessité de l’habilitation « secret défense » ou permettre l’agrément d’un plus grand nombre d’organismes. En ce qui concerne la fourniture et l’importation de moyens de cryptologie avec séquestre de clefs, le Conseil d’État propose d’abandonner l’autorisation pour la déclaration simplifiée au SCSSI. Point notable, le Conseil mentionne l’importance de permettre au SCSSI de vérifier l’absence de faille technique et portes dérobées permettant des interceptions notamment au profit de services d’espionnage étrangers (back doors).
22Le développement rapide de la société de l’information amène un changement de priorité. Le 19 janvier 1999, à l’issue du second comité interministériel pour la société de l’information, le Premier ministre, alors Lionel Jospin, annonce une libéralisation de l’utilisation de la cryptologie, « moyen essentiel pour protéger la confidentialité des échanges et la protection de la vie privée » et le relèvement de 40 bits à 128 bits du seuil en deçà duquel l’utilisation du chiffrement est libre. Afin de renforcer la protection des réseaux de l’État, le Premier ministre annonce également la création du CERTA devenu en 2014 le CERT-FR41. Dans son rapport, la mission sur le développement technique de l’Internet – confiée à Jean-François Abramatic – recommande de « construire la confiance en s’appuyant sur la décentralisation des responsabilités »42 invitant à -clarifier le régime juridique du chiffrement afin de permettre le déploiement du commerce électronique, alors naissant.
23Afin d’adapter rapidement la législation, deux décrets43 et un arrêté44 sont pris le 17 mars 1999 qui allègent différentes obligations : dispense de formalité préalable, procédure de déclaration se substituant à celle d’autorisation. Ainsi, l’utilisation de moyens de chiffrement offrant un service de confidentialité dont la clef était comprise entre 40 bits et 128 bits devient libre sous réserve d’une déclaration préalable du matériel ou logiciel « par leur producteur, un fournisseur ou un importateur, soit que lesdits matériels ou logiciels soient exclusivement destinés à l’usage privé d’une personne physique »45. Au-delà de 128 bits, sont maintenus les tiers de confiance. Allègement des obligations, l’importation, l’exportation comme la fourniture de moyens de chiffrement sont dispensés de formalités préalables lorsqu’ils participent du fonctionnement d’autres équipements (télévision civile, téléphonie, équipement vidéo, distributeurs de billets et autres terminaux d’identification, etc.). Dans les autres cas subsiste le régime d’autorisation.
Le chiffrement du droit au code : des tensions à l’équilibre ?
24Internet, l’interconnexion des réseaux, emporte une mondialisation de l’espace public. La société de l’information se construit sur cet équilibre précaire de libertés.
Un régime de liberté sous réserve
25Le passage à l’an 2000 n’a pas épuisé la question du cadre juridique du chiffrement. Se doit-on de crypter un message pour en assurer la confidentialité à l’ère numérique ? Le secret des correspondances postule l’interdiction d’intercepter ou de détourner les correspondances émises ou reçues par voie des télécommunications (226-15 CP) ne laissant voie qu’aux écoutes judiciaires ou aux interceptions de sécurité. Pourtant, le chiffrement apparaît comme un outil essentiel pour assurer la confidentialité des échanges.
26Après un premier projet de loi avorté sur la société de l’information, la construction du cadre juridique aujourd’hui en vigueur s’est accélérée avec la loi relative à la sécurité quotidienne du 15 novembre 200146 puis à plus forte raison la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)47. Constatant l’enjeu de tirer parti des possibilités offertes par les technologies de l’information et de la communication (TIC), notons que du 10 au 12 décembre 2003, se déroule la première phase du Sommet mondial sur la société de l’information qui porte une vision d’ensemble pour favoriser le développement d’une société de l’information ouverte et inclusive48. La déclaration de principe adoptée le 12 décembre 2003 mentionne déjà la nécessité de renforcer le climat de confiance et la sécurité des TIC comme un préalable au développement de la société de l’information49.
27Dans une recherche ardue d’équilibre entre ordre public et confidentialité, peu après les attentats du 11 septembre 2001, la loi relative à la sécurité quotidienne intègre l’obligation pour les fournisseurs de prestations de cryptologie visant à assurer la confidentialité de remettre aux autorités « les conventions permettant le déchiffrement des données transformées au moyen des prestations qu’elles ont fournies » ou de les mettre eux-mêmes en œuvre sauf à démontrer « qu’ils ne sont pas en mesure de satisfaire à ces réquisitions » (ibid., article 31). Une nouvelle sanction pénale50 est également prévue « pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités ». L’infraction sanctionne ainsi un comportement négatif et s’applique largement tant à l’auteur suspecté d’une infraction qu’au fournisseur.
28C’est la loi pour la confiance dans l’économie numérique qui pose les bases du droit en vigueur en procédant à une large refonte du régime juridique du chiffrement. Le chapitre 1er du titre III intitulé « De la sécurité dans l’économie numérique » aborde la cryptologie dans les articles 29 à 40. Après une réécriture des définitions des moyens et prestations de cryptologie, l’article 30 énonce le principe suivant : « L’utilisation des moyens de cryptologie est libre ».
29Ainsi, le moyen de cryptologie désigne « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité ».
La prestation de cryptologie est définie comme « toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie »51.
30Avancée notable, le principe est posé d’une libre utilisation du chiffrement, sans s’attacher, ni à la taille de la clef, ni à la fonction ; confidentialité, authentification ou contrôle d’intégrité. Rappelons que le fournisseur d’un tel moyen de cryptographie doit l’avoir déclaré. Est également libre « la fourniture, le transfert depuis ou vers un État membre de la Communauté européenne, l’importation et l’exportation des moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité » (ibid.).
31Régime de liberté sous réserve, l’encadrement demeure en matière de fourniture de moyens et de prestation de cryptologie. Si la loi de 2004 pose un principe de liberté concernant la fourniture de « moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité » (ibid., article 30 II), un régime de déclaration préalable subsiste pour les moyens de cryptologie assurant une fonction de confidentialité52. Les modalités de cette déclaration, les exceptions53 de même que la forme du dossier sont fixées par le décret du 2 mai 2007 et l’arrêté du 29 janvier 201554. Ce régime déclaratif permet un recueil préalable de données, caractéristiques techniques, fonctionnalités crypto-graphiques notamment. En matière de fourniture de prestation de confidentialité, l’article 32 de la LCEN met en place une présomption de responsabilité « du préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions »55. L’acception est large et on peut s’interroger sur ses modalités d’application d’une telle responsabilité dans le cas d’une défaillance du système ou d’une faille découverte – comme à l’accoutumée – a posteriori.
32La libéralisation de l’utilisation du chiffrement s’accompagne de mesures visant à lutter contre son utilisation malveillante. Ainsi, l’utilisation d’un moyen de cryptologie pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission est une circonstance aggravante56.
33Alors que le numérique est au cœur de l’activité humaine, le chiffrement est essentiel afin d’assurer la sécurité des communications électroniques et des données numériques, devenant tant un outil de confiance que de protection des libertés et droits fondamentaux. Sécurité et liberté sont interconnectées, le chiffrement pouvant permettre d’opérationnaliser la liberté d’expression comme la protection de la vie privée. Les révélations du lanceur d’alerte Edward Snowden en 2013 mettent en lumière les moyens de surveillance et l’ampleur globale du phénomène, érodant la confiance des utilisateurs et montrant de fortes tensions avec le chiffrement.
34L’apparition de nouveaux acteurs, avec l’émergence de nouvelles technologies, telles que la chaine de blocs, et notamment le Bitcoin57 qui s’appuient sur le chiffrement et le concept de confiance décentralisée, ainsi que le développement de l’Internet des objets, ne font qu’accentuer ces tensions.
Un équilibre en devenir
35Si la surveillance des communications électroniques est licite, son étendue et les garanties qui l’entourent doivent faire l’objet d’une attention particulière face au risque d’atteinte aux droits et libertés fondamentaux58. La numérisation croissante de la société emporte une nécessaire maîtrise des données, comme le développement, au niveau national comme européen, d’une souveraineté technologique, de la puce à la gouvernance d’Internet. C’est tant le développement d’une hygiène numérique que le renforcement d’une cyberdéfense active.
36En France, la Commission de réflexion et de proposition sur les droits et les libertés à l’âge du numérique recommande d’encourager le recours au chiffrement de données afin de renforcer la confidentialité des communications, « dans le respect des compétences de l’autorité judiciaire en matière de lutte contre les activités et contenus illégaux »59. En ce sens, elle propose quatre conditions cumulatives, « la définition impartiale et indépendante de normes, critères, protocoles et niveaux de chiffrement des données de nature à prévenir toute corruption des données », la possibilité de recourir au chiffrement de bout en bout, l’enseignement du chiffrement à l’école et « le contrôle par l’usager de ses clefs de chiffrement » (ibid., p. 121).
37Au niveau européen, l’adoption après de longs débats du RGPD60 marque une avancée significative en matière de protection des données personnelles en créant un cadre harmonisé basé sur la conformité. La sécurité des données est l’un des piliers du RGPD imposant d’apprécier le risque afin de garantir un niveau de sécurité adapté. L’article 32 impose ainsi de mettre en œuvre « les mesures techniques et organisationnelles appropriées » dont le chiffrement fait partie. Le chiffrement devient également une brique de conformité aux principes de protection des données dès la conception et de sécurité par défaut, par nature évolutifs au gré de l’innovation.
38Le droit français permet la levée de confidentialité. L’article 230-1 du Code de procédure pénale permet à l’autorité judiciaire ou à l’officier de police judiciaire, sur autorisation du procureur de la République ou du juge d’instruction, de demander la mise au clair de données chiffrées61.
De même, « si la peine encourue est égale ou supérieure à deux ans d’emprisonnement et que les nécessités de l’enquête ou de l’instruction l’exigent » peut être prescrit « le recours aux moyens de l’État soumis au secret de la défense nationale » (ibid.), à savoir le recours au centre technique d’assistance de la Direction générale de la sécurité intérieure (DGSI).
De plus, l’article L. 871-1 du Code de la sécurité intérieure pose une obligation de coopération avec les autorités des fournisseurs de cryptologie visant à assurer une fonction de confidentialité. Ces derniers
[…] sont tenus de remettre dans un délai de soixante-douze heures […] les conventions permettant le déchiffrement des données transformées au moyen des prestations qu’elles ont fournies. Les agents autorisés peuvent demander aux fournisseurs de prestations susmentionnés de mettre eux-mêmes en œuvre dans un délai de soixante-douze heures ces conventions, sauf si ceux-ci démontrent qu’ils ne sont pas en mesure de satisfaire à ces réquisitions.
À déterminer comment l’établir.
39Comme évoqué, l’article 434-15-2 du Code pénal, issu de la loi pour la sécurité quotidienne, sanctionne, pour quiconque en ayant connaissance, le refus de remise aux autorités judiciaires ou de mise en œuvre d’une convention de déchiffrement d’un moyen de cryptologie. La loi du 3 juin 2016 était venue aggraver les sanctions encourues62. Le Conseil constitutionnel, saisi d’une question prioritaire de constitutionnalité, a validé la constitutionnalité du régime63. Le requérant interpellé pour détention de produits stupéfiants avait été placé en garde à vue, au cours de laquelle il avait refusé de fournir aux enquêteurs les codes de déverrouillage de ses téléphones portables. L’intéressé fait grief à l’article 434-15-2 du Code pénal de méconnaître le droit au silence et le droit de ne pas s’incriminer. Réfutant cette analyse, les sages considèrent d’une part que le législateur a bien suivi « les objectifs de valeur constitutionnelle de prévention des infractions et de recherche des auteurs d’infractions, tous deux nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle » (ibid., paragraphe 7). D’autre part, pour le Conseil constitutionnel, le refus de remise n’équivaut pas à des aveux ; les données chiffrées sont « déjà fixées sur un support », existant dès lors « indépendamment de la volonté de la personne suspectée ». La réquisition doit impérativement émaner de l’autorité judiciaire. La notion d’autorité judiciaire au sens des articles 64 et suivants de la Constitution devrait alors exclure les réquisitions de l’officier de police judiciaire pendant l’enquête de flagrance64.
40Dans la même espèce, l’affaire étant revenue devant les juges du fond après la décision du Conseil constitutionnel, la cour d’appel65 estime, infirmant sur ce point les juges du premier ressort, qu’aucune réquisition n’émane de l’autorité judiciaire de communiquer un code de déverrouillage. En outre, pour les juges d’appel, un tel code de déverrouillage d’un téléphone portable d’usage courant permet d’accéder aux données du dit téléphone mais ne permet pas de déchiffrer les données ou messages cryptés, ne constituant pas une convention de chiffrement d’un moyen de cryptologie. L’infraction n’est dès lors pas constituée. Le Conseil constitutionnel ne se prononçait pas directement sur ce point. On peut douter de la notion de « téléphone d’usage courant » dont la définition est incertaine. De même, cela fait inopportunément reposer l’infraction sur le chiffrement éventuel d’un téléphone portable. Pourtant dans une autre affaire, la chambre criminelle conclut en décembre 2019 à la conventionnalité de ces mêmes dispositions66 affirmant sans plus d’explication que le simple refus de remise du code de déverrouillage d’un téléphone portable était constitutif du délit.
41On peut s’interroger sur la question de savoir si le code d’accès d’un téléphone portable constitue une convention secrète de chiffrement d’un moyen cryptologie, d’autant face à un déverrouillage biométrique largement répandu. On peut également douter que l’intention du législateur ait visé un tel code, et autre mot de passe, tant dans la considération de circonstance aggravante de l’article 132-79 de Code pénal, que du délit de l’article 434-15-2. Sans doute faut-il en préciser le champ d’application. Dans un contexte de promotion du chiffrement comme levier de confiance et de sécurité, quid de l’accès à un service de messagerie et autres comptes protégés ?
42À l’aune d’un renforcement de la protection des mineurs sur Internet, de la lutte contre le terrorisme et le crime organisé, on assiste à une prolifération de textes rendant souvent malaisée la construction d’une vision d’ensemble. Si les autorités disposent d’autres techniques d’enquête – interceptions, captation de données, surveillance ciblée, etc. – le chiffrement de bout en bout est parfois perçu comme rendant inopérantes les techniques de déchiffrement. Régulièrement évoqués, l’affaiblissement du chiffrement et la création de portes dérobées67 permettant un accès facilité aux données sont vivement critiqués en ce qu’ils fragilisent tant la sécurité des utilisateurs que l’écosystème numérique tout entier68. En outre, une telle porte dérobée, qui constitue une faille de sécurité, est susceptible d’être détournée et utilisée par des acteurs malintentionnés. Proportionnalité, nécessité, dans une recherche d’équilibre, un chiffrement robuste contribue à l’exercice des libertés et droits fondamentaux, de même, comme le rappelle la CNIL qu’à « la résilience de nos sociétés numériques et de notre patrimoine informationnel »69.
43Passant du code au droit, la construction du droit français du chiffrement atteste de tensions persistantes tant au niveau international, qu’entre secret et manifestation de la vérité. À l’heure où nos existences se font beaucoup en ligne, d’un rapprochement du corps avec l’Internet des objets, du développement de l’informatique en nuage et du traitement de données massives, la confiance des citoyens numériques est un vecteur essentiel de démocratie et d’innovation. En cela, le chiffrement est un outil, qui du droit au code, participe à cette confiance dans la société numérique. Sapere aude !
Notes de bas de page
1 Sur le déchiffrement du linéaire B, voir : John Chadwick, The Decipherment of Libear B, Cambridge, Cambridge University Press, 1958.
2 Opération par laquelle on chiffre un message.
3 Voir Union internationale des télécommunications, Recommandation UIT-R M.1677-1 (10/2009), Code Morse international.
4 Digital in 2020 Report, We are Social. En ligne : [https://wearesocial.com/uk/blog/2020/01/digital-2020-3-8-billion-people-use-social-media/].
5 Organisme de normalisation ouvert présidé par Alissa Cooper.
6 Souvent désigné par le terme RFID (Radio Frequency Identification).
7 Dans une recommandation de 2012, l’Union internationale des télécommunications définissait l’Internet des objets comme une « infrastructure mondiale pour la société de l’information, qui permet de disposer de services évolués en interconnectant des objets (physiques ou virtuels) grâce aux technologies de l’information et de la communication interopérables existantes ou en évolution ». Union internationale des télécommunications, « Présentation générale de l’Internet des objets », UIT-T Y.2060, juin 2012.
8 Cet article a été rédigé en octobre 2020.
9 Voir Association française pour le nommage Internet en coopération, « 10 gestes barrières numériques pour garder un internet performant pendant la crise », 20 mars 2020.
10 Voir en ce sens Gilles Deleuze, Pourparlers (1972-1990), Paris, Minuit, 1990.
11 Sur les dynamiques de visibilité sur internet, se référer à Dominique Cardon, « Le design de la visibilité. Un essai de cartographie du Web 2.0 », Réseaux, no 152, 2008, p. 93-137. Concernant l’évolution des dispositifs de contrôle, voir : Aurélie Leclercq-Vandelannoitte et Henri Isaac, « Technologies de l’information, contrôle et panoptique : pour une approche deleuzienne », Systèmes d’information et management, no 2, 2013, p. 9-36.
12 Décret-loi du 18 avril 1939 fixant le régime des matériels de guerre, armes et munition, Journal officiel, 13 juin 1939 ; Décret du 14 août 1939 relatif à l’application de l’article 1er du décret du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions, Journal officiel, 19 août 1939. Voir également l’arrêté du 14 août 1939 fixant la liste des matériels de guerre et matériels assimilés soumis à une procédure spéciale d’exportation et les dérogations à cette procédure, Journal officiel, 19 août 1939. Voir également en 1935 la réglementation de l’exportation du matériel de guerre faisant mention des « machines cryptographiques » en catégorie A « armements terrestres, navals et aériens ».
13 Décret du 14 août 1939, déjà cité, article 1er, A 1re catégorie, 7°.
14 Article 15 du décret-loi du 18 avril 1939, déjà cité. Dérogation à l’article 18, décret du 14 août 1939, déjà cité.
15 Décret no 86-250 du 18 février 1986 portant modification du décret no 73-364 du 12 mars 1973 relatif à l’application du décret-loi du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions, Journal officiel, 26 février 1986.
16 Décret no 73-364 du 12 mars 1973 relatif à l’application du décret du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions, Journal officiel, 30 mars 1973.
17 Arrêté du 18 février 1986 relatif à la fabrication, au commerce, à l’acquisition, à la détention et à l’utilisation de moyens de cryptologie destinés à des fins professionnelles ou privées sur le territoire national, Journal officiel, 26 février 1986.
18 Décret no 86-250 du 18 février 1986, déjà cité, article 3.
19 Loi no 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, Journal officiel, 30 décembre 1990.
20 Décret no 92-1358 du 28 décembre 1992 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, Journal officiel, 30 décembre 1992.
21 Loi du 29 décembre 1990, déjà cité, article 28, I.
22 Décret no 86-318 du 3 mars 1988 portant création du Service central de la sécurité des systèmes d’information, Journal officiel, 8 mars 1986.
23 Décret no 2001-693 du 31 juillet 2001 créant au Secrétariat général de la défense nationale une Direction centrale de la sécurité des systèmes d’information, Journal officiel, 2 août 2001.
24 Décret no 2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », Journal officiel, 8 juillet 2009.
25 Olivier Itéanu, Internet et le droit : aspects juridiques du commerce électronique, Paris, Eyrolles, 1998.
26 Conseil de l’Europe, recommandation no R(95)13 du Comité des ministres aux États membres relative aux problèmes de procédure pénale liés à la technologie de l’information, 11 septembre 1995.
27 Ibid., Annexe, V. Utilisation du chiffrement.
28 Loi no 91-646 du 10 juillet 1991 relative au secret des correspondances émises par voie de télécommunications, Journal officiel, 13 juillet 1991.
29 Sur le courrier électronique, voir : Lucien Castex, « Le secret de la correspondance en ligne : dans le sillon des lettres missives », Revue lamy droit de l’immateriel, no 137, 2007, p. 46-54.
30 L’arrangement de Wassenaar prend la suite du Coordinating Committee for Multilateral Export Controls (COCOM).
31 L’accord d’établissement de l’Arrangement fut conclu le 19 décembre 1995. L’arrangement est opérationnel suite à la plénière des 11 et 12 juillet 1996.
32 Au-delà de 56 bits pour les algorithmes symétriques, 64 bits pour les logiciels commerciaux, cela auquel s’ajoutent différentes exceptions.
33 Loi no 96-659 du 26 juillet 1996 de réglementation des télécommunications, Journal officiel, 27 juillet 1996. Les décrets – et arrêtés – seront publiés en février et en mars 1998.
34 Ainsi, les moyens de cryptologie sont définis comme « tout matériel ou logiciel conçu ou modifié » dans l’objectif de transformer à l’aide de conventions secrètes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l’opération inverse.
35 Décret no 98-206 du 23 mars 1998 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable, Journal officiel, 25 mars 1998.
36 Sur les obligations, voir le décret no 98-102 du 24 février 1998 définissant les conditions dans lesquelles sont agréés les organismes gérant pour le compte d’autrui des conventions secrètes de cryptologie.
37 Dans le cadre des enquêtes menées au titre des chapitres premier et II du titre II du livre premier du Code de procédure pénale : « Crimes et des délits flagrants, enquête préliminaire ».
38 Contrôle plus strict, une habilitation « secret défense » est demandée aux employés dans le cadre de la remise des clefs de chiffrement.
39 Organisation de coopération et de développement économiques, recommandation du Conseil relative aux lignes directrices régissant la politique de cryptographie, 27 mars 1997.
40 Conseil d’État, Internet et les réseaux numériques, Paris, La Documentation française, 1998.
41 De l’anglais : Computer Emergency Response Team.
42 Mission confiée le 18 mars 1998 par Christian Pierret, secrétaire d’État à l’industrie.
43 Décret no 99-199 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d’autorisation, Journal officiel, 19 mars 1999 ; Décret no 99-200 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable, Journal officiel, 19 mars 1999.
44 Arrêté du 17 mars 1999 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d’autorisation relatives aux moyens et prestations de cryptologie.
45 Décret no 99-200, déjà cité, Annexe.
46 Loi no 2001-1062, 15 novembre 2001 relative à la sécurité quotidienne, Journal officiel, 16 novembre 2001.
47 Loi no 2004-575 pour la confiance dans l’économie numérique, 21 juin 2004, Journal officiel, 22 juin 2004.
48 Assemblée générale des Nations unies, Résolution 56/183, 21 décembre 2001.
49 Sommet mondial sur la société de l’information, Déclaration de principes, WSIS-03/GENEVA/DOC/4-E, 12 décembre 2003.
50 Nouvel article 434-15-2 du Code pénal. Sanction de trois ans d’emprisonnement et de 45 000 € d’amende, portée à cinq ans et 75 000 €, si la remise ou la mise en œuvre de la convention avait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets.
51 LCEN, déjà cité, article 29.
52 Ibid., article 30 III ; sur les exceptions, III b : « Les catégories de moyens dont les caractéristiques techniques ou les conditions d’utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État, leur fourniture, leur transfert depuis un état membre de la Communauté européenne ou leur importation peuvent être dispensés de toute formalité préalable ».
53 Décret no 2007-663 du 2 mai 2007 pris pour l’application des articles 30, 31 et 36 de la loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et relatif aux moyens et aux prestations de cryptologie, Journal officiel, 4 mai 2007.
54 Arrêté du 29 janvier 2015 définissant la forme et le contenu des dossiers de déclaration et de demande d’autorisation d’opérations relatives aux moyens et aux prestations de cryptologie, Journal officiel, 19 février 2015.
55 Voir l’article 33 LCEN pour les prestataires de services de certification électronique.
56 Article 132-79 du Code pénal.
57 Sur la blockchain et le Bitcoin, voir les travaux de l’ACPR (Autorité de contrôle prudentiel et de résolution) et Christiane Féral-Schuhl, Cyberdroit, le droit à l’épreuve de l’Internet, Paris, Dalloz, 2020, no 223.111 et suiv. et no 532.41 et suiv.
58 Voir en ce sens : Conseil d’État, Le numérique et les droits fondamentaux, étude annuelle 2014, La Documentation française, 2014, point 3.4.
59 Assemblée nationale, Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique, Rapport 3119, « Numérique et liberté́ : un nouvel âge démocratique », 2015, recommandation 51.
60 Règlement (UE) no 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, JOUE, L 119, 4 mai, p. 1.
61 Article 230-1 à 230-5 du Code de procédure pénale.
62 Loi no 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale, Journal officiel, 4 juin 2016. Les amendes prévues passent respectivement de 45 000 à 270 000 €, et de de 75 000 € à 450 000 €.
63 Conseil constitutionnel, 30 mars 2018, no 2018-696 QPC.
64 Voir ensemble les articles 53 et 60-1 du Code de procédure pénale.
65 Cour d’appel de Paris, 16 avril 2019, no 18/09267.
66 Cour de cassation, chambre criminelle, 10 décembre 2019, no 18-86.878.
67 On peut également citer la remise d’une clef-maître, la limitation de la taille de la clef de chiffrement ou encore la mise en place d’une certification obligatoire.
68 Voir en ce sens, Commission nationale consultative des droits de l’homme, Avis sur le projet de loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale, 17 mars 2016 ; Conseil national du numérique, Avis « Prédiction, chiffrement et libertés », 12 septembre 2017. Voir également la création de la Global Encryption Coalition initiée par l’Internet Society, le Center for Democracy and Technology et Global Digital Partners afin de promouvoir et défendre le chiffrement.
69 Commission nationale de l’informatique et des libertés, « Les enjeux de 2016 : quelle position de la CNIL en matière de chiffrement ? », 8 avril 2016.
Auteur
Lucien Castex est chercheur à l’université Sorbonne Nouvelle - Paris 3, co-coordinateur du groupe de recherche sur la Gouvernance et la régulation d’Internet (CIS GDR 2091, CNRS). Il a été nommé en avril 2019 au sein de la Commission nationale consultative des droits de l’homme (CNCDH). Il est également co-président du comité d’organisation du forum français sur la gouvernance de l’Internet et membre du Multistakeholder Advisory Group de l’Internet Governance Forum (Un IGF) au niveau international.
Le texte seul est utilisable sous licence Licence OpenEdition Books. Les autres éléments (illustrations, fichiers annexes importés) sont « Tous droits réservés », sauf mention contraire.
Libertés et libéralismes
Formation et circulation des concepts
Jean-Pierre Potier, Jean-Louis Fournel et Jacques Guilhaumou
2012
Pétrole et corruption
Le dossier Mi.Fo.Biali dans les relations italo-libyennes (1969-1979)
Marion Morellato
2014
Montchrestien et Cantillon
Le commerce et l'émergence d'une pensée économique
Alain Guery (dir.)
2011
Faire participer les habitants ?
Citoyenneté et pouvoir d'agir dans les quartiers populaires
Marion Carrel
2013
Entre conflit et concertation
Gérer les déchets en France, en Italie et au Mexique
Luigi Bobbio, Patrice Melé et Vicente Ugalde (dir.)
2016
La politique au quotidien
L’agenda et l’emploi du temps d’une femme politique
Laurent Godmer et Guillaume Marrel
2016
La République et ses autres
Politiques de l’altérité dans la France des années 2000
Sarah Mazouz
2017
Le territoire de l’expulsion
La rétention administrative des étrangers et l’État de droit en France
Nicolas Fischer
2017
Le savant, le langage et le pouvoir
Lecture du Livre du plaisir partagé en amitié (Kitāb al-imtāʿ wa-l-muʾānasa) d’Abū Ḥayyān al-Tawḥīdī
Pierre-Louis Reymond
2018
Gouverner la vie privée
L’encadrement inégalitaire des séparations conjugales en France et au Québec
Émilie Biland
2019
Libertés et libéralismes
Formation et circulation des concepts
Jean-Pierre Potier, Jean-Louis Fournel et Jacques Guilhaumou
2012
Pétrole et corruption
Le dossier Mi.Fo.Biali dans les relations italo-libyennes (1969-1979)
Marion Morellato
2014
Montchrestien et Cantillon
Le commerce et l'émergence d'une pensée économique
Alain Guery (dir.)
2011
Faire participer les habitants ?
Citoyenneté et pouvoir d'agir dans les quartiers populaires
Marion Carrel
2013
Entre conflit et concertation
Gérer les déchets en France, en Italie et au Mexique
Luigi Bobbio, Patrice Melé et Vicente Ugalde (dir.)
2016
La politique au quotidien
L’agenda et l’emploi du temps d’une femme politique
Laurent Godmer et Guillaume Marrel
2016
La République et ses autres
Politiques de l’altérité dans la France des années 2000
Sarah Mazouz
2017
Le territoire de l’expulsion
La rétention administrative des étrangers et l’État de droit en France
Nicolas Fischer
2017
Le savant, le langage et le pouvoir
Lecture du Livre du plaisir partagé en amitié (Kitāb al-imtāʿ wa-l-muʾānasa) d’Abū Ḥayyān al-Tawḥīdī
Pierre-Louis Reymond
2018
Gouverner la vie privée
L’encadrement inégalitaire des séparations conjugales en France et au Québec
Émilie Biland
2019
