Vous êtes sur la page 1sur 179

Universit Montpellier I

Facult de Droit, des Sciences conomiques et de Gestion


Institut de Recherche et d'tude pour le Traitement de l'Information Juridique

Droit de la cryptographie :
une approche pour la protection des informations
sur linternet

Mmoire de D.E.A Informatique et Droit


Sous la direction de M. le professeur J. FRAYSSINET
Par Yannick Spegels et Hughes-Jehan Vibert

Formation doctorale : Informatique et Droit


quipe de Recherche Informatique et Droit (E.A 718)
Section du CNU : 01 Droit priv et sciences criminelles.
71 Science de l'information et de la communication.

Universit de Montpellier 1
IRETIJ
39 rue de l'universit 34060 Montpellier CEDEX

Nous tenons remercier Monsieur le professeur Jean Frayssinet de l'Universit


d'Aix en Provence pour avoir accept d'tre le directeur de notre mmoire, ainsi
que pour ses conseils.

Nous remercions galement Monsieur le professeur Michel Bibent de l'Universit


Montpellier I ainsi que tous les enseignants et chargs de cours pour l'excellente
anne que nous avons pass dans le cadre du DEA Informatique et Droit de la
facult de droit de Montpellier

Monsieur le Professeur Daniel Poulin de l'Universit de Montral nous a donn


des conseils bibliographiques et nous l'en remercions vivement en regrettant de
ne pas avoir pu le rencontrer Montral.

Nous avons une pense particulire pour Romaric et Nicolas qui nous ont
gentiment permis de bnficier de leurs connexions l'internet.

Nous remercions Quicklaw system Inc. pour nous avoir permis dutiliser ses
bases de donnes juridiques au Canada ainsi que celles
de Westlaw pour les tats-Unis

Enfin, merci lUniversit du Qubec Montral et sa Facult de droit pour la


formation dispense par ses diffrents enseignants,
notamment en informatique juridique.

Sophie

Table des matires

Chapitre introductif

Section I- La cryptographie : une approche historique

I Dune cryptographie rudimentaire


A- Cryptographie naissante
B- Cryptographie applique

3
3
4

II une cryptographie plus tablie


A- La modernit naissante

5
5

B- La modernit en marche

Section II- La cryptographie: une approche "computerise"

I Le cryptage symtrique
A- Le DES (Data Encryption Standard)
B- L'IDEA (International Data Encryption)
II La cryptographie asymtrique
A- L'exemple du RSA
B- L'exemple du PGP

8
8
11
12
12
16

Chapitre I- La protection des informations face la raison dtat

20

Section I - la cryptologie considre comme une arme de guerre

21

I Des rglementations pour un contrle absolu


A- Les normes europennes
- La Belgique
- La France
- LEurope

21
23
23
27
34

B Les normes Nord-amricaines


- Les USA
- Le Canada
II face des revendications libertaires
A- La crainte du Big Brother
B- Et la recherche dune protection
- PGP et Zimmermann
- Les groupes de pressions

37
38
41
42
43
44
45
49

Section II- Le prsent : Les antagonismes en prsence

51

I La protection de ltat
A- La scurit extrieur
B- La scurit intrieure

51
52
53

II La protection de lindividu
A- La vie prive
B- La privacy

56
57
67

Section III- Le futur : La protection de le vie priv

70

I Laboutissement des nouvelles orientations normatives


A- Une libralisation totale
B- Une limitation persistante
- une rglementation communautaire
- l'arrangement de Wassennaar
II Les nouveaux rles de ltat
A- Vers des modes de contrle revisits
B- Vers une coordination mondiale

71
71
80
80
84
87
87
95

Chapitre II- La protection des informations face la raison commerciale

99

Section I- Avant lmergence dun besoin : une cryptographie usage


confidentiel
I Le secret lpreuve dune informatique mergente
A- la circulation du cryptographe :
B- La circulation des informations :
- une protection ncessaire
- une protection satisfaisante
II La preuve confronte une informatique mergente
A- Un contrat papier privilgi
B- La preuve (civile et commerciale)

99
100
100
104
104
105
106
107
110

Section II- La cryptographie, un outils ncessaire au dveloppement d un


besoin nouveau : le commerce lectronique

113

I Le secret lpreuve dune informatique installe


A- Lois franaises par rapport aux normes europenne
B- Les enjeux de la cryptographie en question ?
II La preuve confronte une informatique installe
A- La ncessit dune preuve lectronique
B- Susciter la confiance des utilisateurs

113
114
117
123
123
129

Section III- Une libert totale de la cryptographie : une solution adapte au


commerce lectronique.

132

I La libert du commerce et de lindustrie reconquise.


A- Les moyens de signature et la problmatique de leurs diffusions
B- Une solution d'autres problmes juridiques
II Des outils probatoires pertinents
A- Lautorit de certification
Pour un commerce scuris et anonyme

133
133
137
143
144
145

Conclusion

148

Rien nest plus digne dun capitaine que de savoir deviner les desseins de lennemi.

Machiavel,
Discours sur la premire dcade de Tite-Live
Livre troisime, chapitre XVIII

Chapitre introductif

Au nom de la raison dtat, Machiavel prconisait tout un arsenal de recettes utiles au


Prince pour que ce dernier se prserve et par l mme prserve sa principaut. Les
conspirations intrieures, les guerres furent autant de faits menaant la permanence de ltat et
ce, quelque soit son statut. Tout naturellement, les dmocraties comme les dictatures ont alors
dvelopps un arsenal pour se prserver. Se prserver pour elles mmes, contre les autres,
contre les menaces intrieures et extrieures. Le secret est devenu ainsi la cl de vote de tout
un arsenal militaire et administratif. Le secret est donc un enjeu pour les uns et un obstacle
pour les autres : un obstacle quil sagira, pour ces derniers, de renverser pour une stratgie qui
restera toujours la mme : sassurer un monopole, quelquil soit (savoir, pouvoir, religion).

Ds que les changes dinformation apparurent, le cryptage est devenu le plus sr moyen
de sassurer du secret entre deux personnes ou deux groupes de personnes, contre les tiers.
Notre sujet est relatif la cryptologie, du grec kryptos (cach) et logos (science), ce terme peut
tre assimil la science du secret 1 ou lart de coder un message de faon le rendre
incomprhensible sauf pour son destinataire. Si ce mmoire traitera de la cryptologie sous le
prisme dune rflexion juridique, il sera ncessaire de donner dans cette introduction une large
part une tude historique et contemporaine de la cryptographie (du grec graphein, crire), de
ces critures secrtes qui sont la base de cette cryptologie dont lactualit souligne
limportance. Cette tude faite, il sera galement utile de dcrire les moyens de cryptographie
moderne afin de pouvoir donner au lecteur tous les lments pour saisir laspect juridique de la
cryptologie.

La science du secret est aussi un domaine modulable selon les objectifs

atteindre, dailleurs pour Bruce Schneier,

il existe deux types de cryptographie dans le monde : la cryptographie qui empche


votre petite sur de lire vos fichiers, et la cryptographie qui empche les principaux
gouvernements de lire vos fichiers 2

STERN, Jacques, La science du secret, Paris, ditions Odile Jacob, 1998, 204 pages

SCHNEIER, Bruce, Applied Cryptography, New York, 2nd Ed., John Wiley & sons Inc., 1998
VIENNOT, Laurent, (trad.), Cryptographie applique, Paris, 2 me d., International Thomson Publishing France,
1997, 846 pages pour ldition francophone.

En effet, quelque soient les moyens utiliss, cest lobjectif de secret qui donne la
cryptographie tout son sens, la personne devant rester dans lignorance importe peut. Il existe
de multiples moyens pour sassurer du secret. Les chuchotements, les gestes, une connaissance
des langues trangres, ou mme les sanglots longs de la BBC avant le dbarquement
Allis en Normandie, sont autant de moyens qui nous loignent de limage du cryptanalyste qui
dcortique pniblement une masse de documentation illisible. Et pourtant nous sommes bien
devant une succession de faits, volontaires ou non, qui rendent linformation opaque ceux qui
en coute la reprsentation crypte .

Pour revenir notre propos, et selon lencyclopdie Universalis,

Tout systme de cryptage est compos dun algorithme de codage plus ou moins compliqu
utilisant ou non une ou plusieurs cls de scurit et il est, en principe, conu de manire tre
inviolable. En fait, un code peut tre cass soit par la technique dessai et erreur en se
laissant guider par certaines caractristiques du message cod, soit en tentant de retrouver
lalgorithme et/ou les cls utiliss pour le codage. Pour casser un code, un trs grand nombre
de tentatives doivent tre effectues et, depuis lutilisation dordinateurs par les casseurs de
code, on peut dire quaucun code nest inviolable, sauf ncessiter un nombre de tentatives tel
que le plus puissant des ordinateurs mettrait plusieurs centaines ou plusieurs milliers dannes
les raliser.

Bref, la cryptologie est un jeux qui se joue deux.

Nous verrons dans ce chapitre introductif la cryptologie sous une approche historique
(Section I) pour traiter ensuite dune approche moderne, une approche computerise
(Section II)

Section I : La cryptographie : une approche historique3


Historiquement la cryptographie peut sapprhender de plusieurs faon. En effet nous
sommes pass dune cryptographie tenant aux divinits une cryptographie tenant aux intrts
personnels et, plus tard tatiques; mais nous sommes galement passs dune cryptographie
mcanique une cryptographie mathmatique, ces lments se combinant parfois. Cela dit,
nous respecterons des rgles chronologiques classiques quand lapproche des sciences et
techniques, nous sparerons cette historique la fin de moyen ge pour voir que nous sommes
pass dune cryptologie rudimentaire (I), une cryptologie plus labore (II)

I - Dune cryptographie rudimentaire

Des lments pouvant se rapporter la cryptologie se retrouvent au cours de toute


lhistoire de lhumanit. Lart dinterprter les mystres, et donc de dcrypter le sens donn
tel ou tel vnement fantastique est le fondement de toutes les religions ayant accompagn
ltre humain dans son volution. Cette volution finalement conduit, les tats naissant
dvelopper leurs propres mystres pour leur scurit, une scurit parfois assure par
lagression. Nous passerons donc chronologiquement dune cryptographie naissante (A) une
cryptographie applique

A- Cryptographie naissante

Il ne semblerait pas absurde de faire remonter la cryptographie lre des hiroglyphes dont
certains furent utiliss sur des tombeaux alors que parfaitement inusits. Car le hiroglyphe
galement un aspect symbolique, et le sens donn certain signe nous chappe mais, semble
til chappait galement aux contemporains de ceux qui marquaient ainsi les pierres. Nous
entrons ainsi dans la phase mystique de la cryptologie. Le secret est en effet mystrieux et les
religions se nourrissent de mystre. La boucle est ainsi boucle.

Pour une approche historique complte voir KAHN, David, La guerre des codes secrets, Paris Interditions,
1980

Il nest donc pas surprenant de voir certains moyens de cryptographie repris dans la
Bible, ainsi la substitution qui par un systme hbraque traditionnel (le Atbash), permet de
remplacer chaque lettre le lalphabet par celle qui est dans le mme ordre si lon rcite
lalphabet lenvers (a=z, b=y, etc.), SHESHAK devenant ainsi BABEL.

Dans la Chine antique ont avait recours la stganographie qui vise dissimuler le
message secret. Les Chinois recouvraient de cire des messages que le porteur dissimulait sur lui
ou avalait. Ce procd se retrouvait galement en Grce o lon pouvait tout aussi
ingnieusement cacher lexistence dun message en tondant un hraut sur le crne duquel on
tatouait linformation. Une fois la repousse des cheveux faite, une seconde tonte tait
ncessaire pour que le destinataire du message soit inform. Les encres sympathiques furent
galement un autre moyen de dissimulation du message quil est inutile de dtailler ici.

B- Cryptographie applique
Cest sans doute Sparte que lon doit la premire utilisation militaire4 de la
cryptographie grce la scytale. Ce systme consistait en un axe de bois autour duquel on
enroulait, de faon le recouvrir, un ruban. Le texte tait crit dans la hauteur de l'axe sur le
ruban qui tait ensuite droul tel quel par le destinataire. Ce dernier renroulait la bande sur un
bton de mme diamtre que le premier et le message se reformait. Que le bton soit trop large
ou trop troit et le message devenait illisible. En dautre terme, cette scytale est une cl sans
laquelle il est impossible de dchiffrer un message, une cl la disposition des gnraux et haut
magistrats : nous sommes au cinquime sicle avant Jsus-Christ et cette cryptographie
rudimentaire est dj un symbole de pouvoir.

Jules Csar utilisait quant lui un procd de substitution rudimentaire : chaque lettre de
lalphabet tait dcale de 3 caractres par rapport lalphabet. Il sagit ici dun systme simple
qui sapparente nos cryptages modernes dans le sens o

[cette substitution] traite un message sous forme symbolique, cest dire comme une suite
de lettres, et quelle dfini une transformation sur ces lettres, que lon nomme un
chiffrement 5
4
5

Nous dvelopperons cet aspect militaire dans la partie consacre la raison dtat (I)
STERN, Jacques, La science du secret, Paris, ditions Odile Jacob, 1998, page 25

II - une cryptographie plus labore

La cryptologie est une science qui respecte son temps, cest donc tout naturellement que
la fin du moyen-ge annona larrive dune cryptographie entrant dans lre de la modernit.
On pourra remarquer que cette modernit fut dabord le fait dindividus alors que les initiatives
de lpoque contemporaine proviennent plutt des tats. Le caractre stratgique de la
cryptographie ne fut pourtant jamais ignor, cest en fait lacclration des progrs techniques
appliqus la guerre qui suscita ce dveloppement, littralement exponentiel en puissance, de
la cryptographie, un dveloppent suivant les mmes rgles que celui de larmement. Cest donc
toujours avec la mme approche chronologique que nous aborderons la priode de la modernit
naissante (A), pour voir ensuite celle de la modernit en marche (B)

A- La modernit naissante

Jusquau moyen ge lintrt pour la cryptographie nvolua pas et finalement, cest avec
une certain respect pour lair du temps quen 1477 un italien, Leon Batista Alberti, fit voluer
la science des critures secrtes en inventant la substitution polyalphabtique, procd
permettant la correspondance de nombreux alphabets crypts en un seul clair.

figure 1 : Le cadrant chiffrant dAlberti

Le procd consiste utiliser 2 disques : lun est mobile lautre tant fixe. Lutilisateur
recours une lettre indice prise dans le cercle interne mobile (ici x=v), il suffit de faire
communiquer les autre lettres entre elles. Il faut convenir d'une lettre indice dans le cercle
interne, k, avec le correspondant puis l'on peut dbuter le cryptogramme par la lettre de

l'anneau place en face de la lettre indice. Mais l o Alberti engage la cryptographie sur la
voie de la complexit, est quand il crit : Aprs avoir crit 3 ou 4 mots, je peux changer la
position de la lettre indice en tournant le disque de faon que k soit, par exemple, sous le D.
Donc dans un message, j'crirai un D majuscule et partir de ce point k ne signifiera plus B
mais D et toutes les lettres du disque fixe auront de nouveaux quivalents.
Alberti ira plus loin quand il compltera]sa dcouverte par une autre invention
dterminante dans l'histoire de la cryptologie : le surchiffrement codique. En effet il
constitua un rpertoire de 336 groupes de mots reprsents par toutes les combinaisons
allant de 11 4444. Mais le gnie d'Alberti tait trop en avance sur son temps et ce n'est que
400 ans plus tard que les puissances mondiales utiliseront ce procd de surchiffrement
codique mais bien plus simplement. 6

Les procds cryptographiques volurent pour arriver deux sicles plus tard faire de la
cryptologie une science de mathmaticiens

B- La modernit en marche

Cest un mathmaticien milanais, Jrme Cardant, qui le premier, dveloppa au XVIme


sicle, lide du systme de lautoclave qui consiste considrer le message en lui mme
comme la cl. On pourrait galement traiter de la substitution polyalphabtique mais il sera
plus intressant de se rfrer directement louvrage de David Kahn7 et, de la mme faon,
nous ferons un bond chronologique jusqu notre sicle puisque le rel dveloppement de la
cryptologie est venu avec le ncessaire traitement de donns transmettre en
quantitindustrielles : comme toutes les sciences, la cryptologie est troitement lie lair du
temps.

Lentre dans la modernit sest dveloppe de faon remarquable lissue des deux
conflits mondiaux. Chaque guerre apportant les enseignements ncessaires pour prparer la
suivante. Ainsi la clbre machine Enigma fut utilise (et casse) lors de la seconde guerre
mondiale et prpare lissue de la premire. La chance fut dans le camps de allie
puisquavant de saborder un sous-marin allemand quasiment dtruit, les anglais eurent la
prsence desprit de le visiter. Un exemplaire de la machine secrte fut trouv facilitant ainsi le
dcryptage des communications allemandes.
6

MARIE, Fabrice, Histoire de la cryptologie, http://wwwmutimania.com/marief

La machine Enigma ressemble une machine crire et fonctionne sur le principe du


rotor o 26 contacts apparaissent sur la face interne et sur la face externe et sont relies les uns
aux autres, elle est de plus compose de 3 rotor choisis parmi 5 ce qui permettait de dvelopper
un cryptage de plus dun millions de combinaisons. Le dcryptage consistant utiliser un
cheminement inverse.

Figure 2 : La machine Enigma


La guerre froide dvelopp tous ces systmes mcaniques et linformatique militaire
amlior les possibilits et la rapidit des outils de cryptographie.

KAHN, David, op. cit.

Section II - La cryptographie : une approche computerise 8


Computerise cest dire (vous excuserez langlicisme) que le cryptage ne peut plus
dsormais se passer dune utilisation de la puissance et rapidit de calcul des ordinateurs. Nous
sommes entr, dans cette matire aussi, dans un domaine qui dpasse les capacit danalyse de
ltre humain. La numrisation, en transformant toutes les informations (textes, images, sons)
en 1 et en 0 permet de rationaliser la cryptographie en donnant le mme outils pour toutes les
sortes de communication. Deux systmes de cryptage constituent la base de la cryptologie
moderne les cryptographies symtriques et asymtriques visent un change de cls.

Les cls de chiffrement sont bases sur la difficult de factoriser des grands nombres, il
est donc logique de voir ici que plus la cl est longue, plus le dcryptage devient complexe.
Nous allons dtailler ces notions grce aux deux grands systmes de cryptage : il sagit des
systmes de cryptage symtrique (I) et de type asymtrique (II). Diffrents, ces deux systmes
peuvent nanmoins tre complmentaires, il sagit prsent de les tudier.

I- Le cryptage symtrique

Deux exemples servirons dcrire cette forme de cryptage, ils obissent dailleurs aux
mmes rgles mais offrent des garanties de scurit diffrentes. Nous verrons ainsi
successivement le DES (A) et lIDEA (A)

A- DES (Data Encryption Standard)

Nous sommes au dbut des annes 1970, cette poque seule la cryptographie militaire
droit des budgets consquents. Cela dit pour des raisons de secret, rien ne transparaissait et
la cryptographie tait un espace protg. LAgence nationale de scurit amricaine (NSA pour
National Securiy Agency) nexistait mme pas pour le public, cet organisme navait donc
8

En plus dautre sources, louvrage de rfrence sera ici sans conteste celui de Schneier qui lavantage dtre
assez accessible pour celles et ceux qui ne sont pas mathmaticiens :
SCHNEIER, Bruce, Applied Cryptography, New York, 2nd Ed., John Wiley & sons Inc., 1998
VIENNOT, Laurent, (trad.), Cryptographie applique, Paris, 2me d., International Thomson Publishing France,
1997, 846 pages pour ldition francophone.

aucune existence officielle. La cryptographie non militaire tait quant elle parpille, il
nexistait aucune norme ou quasi norme dans ce domaine et, surtout, aucune garantie quant la
relle scurit de ces procds cryptographique. Selon un rapport du gouvernement des tatsUnis,
Les implications profondes du lien entre les diffrentes variantes de mcanismes de clefs,
ainsi que les principes de fonctionnement et la force relle des quipements de chiffrement et
dchiffrement taient, et sont encore, virtuellement inconnus de presque tous les acheteurs, et il
est trs difficile de faire des choix bien informs quant au type dquipement en ligne, hors
ligne, gnration de clef, etc.- qui satisfassent les besoins en scurit des acheteurs. 9

Il fut donc lanc un appel doffre pour dvelopper un algorithme standard de


cryptographie unique, susceptible de protger les donnes numrises tant lors de leurs
transmissions que lors de leurs stockages. Les conditions pour valider un tel standard devaient
tre un haut niveau de scurit, une facilit dutilisation, disponible tous les utilisateurs, une
scurit dpendant de la cl, adaptabilit diverses application (messageries, transferts
financiers), efficacit, exportabilit, rentable conomiquement.

Cest finalement IBM qui fut charg du dveloppement du DES par la NSA et le DES fut
adopt au niveau fdral le 23 novembre 1976. Le DES est un systme de cryptographie
symtrique cl secrte unique. Cette mme cl permet la fois de crypter et de dcrypter un
message.

Pour donner une brve description technique, le DES permet de dcouper un message en
tranches traits sparment. Contrairement un systme de type Enigma, lintrt est que le
programme de chiffrement nest pas secret, loutil importe peu car cest de la cl que dpend le
secret (et nous nous rapprochons finalement du systme de la scytale lacdmonienne dont le
secret dpendait du bton utilis). La confidentialit de ce systme repose sur lutilisation
dune cl secrte de 64 bits dont 56 sont utiliss lors de nombreuses oprations de manipulation
de donnes . [Le DES opre dabord un dcoupage du texte clair en segments de 64 bits].
lintrieur de ce segment, il permute les 32 premiers bits avec les 32 suivants 10 , suivent alors
de multiples permutations qui rendent le dcryptage impossible.

DAVIS, R.M., The Data Encryption Standard in perspective , Computer Security and the Data Encryption
Standar. National Bureau of Standards , Washington DC, fevrier 1978. Special publication 500-27, cit par
Schneier page 282.
10

Voir Pirate mag, hors srie n1, juillet 1999, p.17

Le DES est capable de rsister la plupart des attaques et en 1993 on estimait un cot
de un millions de dollars US le dveloppement dun ordinateur capable de casser la cl DES en
3 heures et demi. Le cot dun tel systme est donc prohibitif et ne rend le dcryptage possible
quaux tats ou aux grandes compagnies.

figure 3 : le systme DES

Reste quil faut sinterroger sur la fiabilit du DES de nos jours. Des rumeurs persistent
affirmer que la NSA aurait cach une brche secrte dans lalgorithme. Peut-tre Cela dit,
selon des estimations de 199711 , sil fallait trois millions de dollars amricains pour casser le
DES en 1993, les cots sont diviss par 5 tous les 10 ans. cela sajoute la rapidit croissante
des ordinateurs qui permettront rapidement de casser la protection des documents; enfin la
possibilit de mettre les ordinateurs en rseaux permettent damliorer encore ce rsultat. Il
nen demeure pas moins que le DES est une assez bonne protection contre les individus et

11

SCHNEIER, Bruce, op. cit., p 318

10

compagnies au budget plus modestes. Enfin, il est toujours possible de dmultiplier les
algorithmes.
En effet, la solution du triple DES semble satisfaisante, il sagit de chiffrer chaque bloc
du message sous 2 (deux) cls diffrentes de 56 bits : on chiffre par la premire, applique le
dchiffrement correspondant la seconde, et chiffre de nouveau avec la cl initiale 12 . Cela
tant de grands problmes demeures dans ce systme cl unique et ce quelque soit sa force:
-

lchange des cls est ncessaire comme pralable toute communication scurise
dun secret

Cet change se dmultiplie quant il sagit de communiquer plusieurs secrets diffrents


plusieurs personnes diffrentes. Dans ce cas il y a un srieux problme dans la gestion
des cls, moins de donner tous la mme cl au risque de tuer le secret, ce qui devient
absurde.
Contre les attaques plus puissantes, il est gnralement admis que le DES est prim ou,

tout au moins en voie de ltre. Pour Philip Zimmermann,


Mme les trs bons logiciels, qui utilisent le DES dans le mode dopration correct prsentent encore
des problmes. Le standard DES utilise une cl de 56- bit, ce qui est trop petit pour les normes actuelles, et
peut maintenant tre aisment casse par des recherches exhaustives de la cl sur des machines ultra
rapides spciales. Le DES a atteint la fin de sa vie utile, et voil pourtant encore des logiciels qui y font
appel. 13

Les systmes de cryptage asymtrique visent rgler ces problmes, mais un algorithme
comme IDEA rgle avec efficacit lobsolescence du DES

B- L'IDEA (International Data Encryption)

Si lIDEA est beaucoup moins populaire que le DES ou le RSA, il nen demeure pas
moins quil semble tre lalgorithme de cryptage le plus puissant et le plus sr14 . Son utilisation
est dailleurs popularise par PGP qui lutilise dans sa fonction de chiffrement. Pour lhistoire il
a t invent en 1990 par Xuejia Lai et James Massey. Si lon tarde pour remplacer le DES
12

STERN, Jacques, op. cit., page 176


ZIMMERMANN, Philip, Mode demploi de PGP freeware version, document pdf disponible cette adresse,
http://www.cl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm
14
Tout au moins selon Bruce Schneier, op. cit. p 339
13

11

pour lIDEA cela tient au fait quil soit brevet et ncessite une licence pour ses applications
commerciales
LIDEA dispose dune cl de 128 bits ce qui suppose 2128 chiffrements pour retrouver la cl15 :
Concevez une puce qui peut tester un milliard de cls par secondes et mettez en un milliard
la tche, cela prendrait 1013 annes, cest plus que lge de lunivers. Une matrice de 1024
puces pourrait trouver la cl en un jour mais il ny a pas assez datomes de silicium dans
lunivers pour construire une telle machine. 16

Il sagit donc dun des algorithmes les plus puissant qui soit. Il semble ainsi dmontr que
le cryptage sapproche dune certaine perfection puisque le dcryptage deviendrait impossible.

II- La cryptographie asymtrique (exemples du RSA et de PGP)

Lobjectif ayant conduit au cryptage asymtrique est de rgler le problme du transfert


des cls. Nous lavons vue implicitement plus haut : avec une mme cl symtrique il est
possible de dchiffrer et de dchiffrer. Aussi, Whitfield Diffie et Martin Hellman dcouvrirent
une solution simple : en cryptologie lintrt dest pas vraiment dempcher lennemi de
chiffrer (encore que, nous le verrons, les limitations lexportation des algorithmes de
chiffrement reviennent cette solution); en fait lintrt de cryptage est seulement dempcher
le seul dchiffrage. Nous dtaillerons donc le systme RSA qui reprend ce principe (A), pour
voir ensuite le systme PGP qui ne comprend pas seulement du chiffrement asymtrique mais
quil fallait toutefois dcrire puisquil semble constituer une norme de fait sur linternet.

A- L'exemple du RSA

Le systme RSA fut dvelopp lorigine aprs que ses auteurs saperurent quils
narriveraient pas dmontrer linfaillibilit de la thorie de Diffie et Hellman Le cryptage
asymtrique RSA (des professeurs Rivest, Shamir et Adelman) fonctionne sur le principe de
factorisation dentiers par des entiers premiers (divisibles uniquement par 1 et eux-mmes).
Globalement le systme de cryptage du RSA repose sur un postulat simple : sil est facile de
dterminer que 52 X 84 = 4368, il devient complexe de dterminer quels nombres aboutissent
15

peut prs 340 282 366 920 938 463 463 374 607 431 770 000 000 de chiffrements

16

SCHNEIER, Bruce, op. cit., p. 342

12

ce rsultat, qui plus est en factorisant des nombre premiers difficiles retrouver dans le cas de
grand nombres Pour la description technique il serait utile encore une fois de consulter les
documentations pertinentes17 . Nous dcrirons par contre concrtement le fonctionnement de ce
systme
Alice18 dsire communiquer avec Robert. Pour que leurs correspondances soient cryptes,
elle informe Robert de lexistence dune cl publique grce laquelle Robert pourra crypter son
message. Alice recevra le message crypt par la cl publique et le dcryptera grce sa cl
prive qui reste, quant elle, confidentielle.

Le systme fonctionne donc avec 2 cls complmentaires :

Figure 4 : le systme des cls RSA

Le procd reste confidentiel car la seule utilit de cette cl est de crypter un message.
Une fois en possession de la cl publique Robert na plus qu lutiliser pour transmettre un
message (figure 5) et, si possible, en profiter pour y insrer sa propre cl publique pour
quAlice puisse lui rpondre son tour en toute confidentialit :
17

SCHNEIER, Bruce, op. cit., p. 491, ou encore Pirate Mag, Hors-Srie n1, juillet 1999 qui reprend les mmes
explications pour seulement 12 francs
18
Parmi tous les ouvrages consults les prnoms Alice et Robert (ou Bob) reviennent systmatiquement. Nous
serons plus original la prochaine fois.

13

Lavantage du systme utilisant des cls asymtriques rside dans le fait que la cl prive
na pas besoin dtre connue par celui qui envoie un message. Il sagit donc dune srieuse
amlioration par rapport au systme DES. Par contre ce systme est lourd grer pour des
fichiers de grande taille ,
titre de comparaison, install sous forme de logiciel, le DES permet de raliser des
fonctions 100 fois plus rapidement que le logiciel RSA, alors que dans le cas du hardware ,
le DES savre cette fois de 1000 10000 fois plus rapide. 19

figure 5 : le systme RSA

Devant ces lenteurs, la solution consisterait utiliser conjointement les deux formats de
protection. En effet, il peut tre utile de combiner les avantages du RSA sur le secret des clefs
et ceux du DES (ou triple DES) pour la rapidit dexcution. Ainsi rien nempche de transfrer
une cl DES grce au RSA et de crypter ensuite le message grce lalgorithme DES. Ce

19

RSA, RSA, http://www.rsa.com/rsalabs/faq/faq_rsa.html, cit par Pierre Trudel : Trudel, Pierre et autres, Droit
du cyberespace, Montral, ditions Thmis, 1997, chap. 19, page 20

14

systme sappelle lenveloppe numrique . Cest dailleurs le type de systme quutilise


PGP en combinant lIDEA avec le RSA.

Mais le systme RSA permet galement une authentification de lexpditeur du message :


si Alice dcide de coder la signature de son message laide dun autre jeux de cls, elle sera la
seule pouvoir crypter des messages avec une cl de dchiffrage, il suffira alors aux
destinataires de vrifier lauthenticit de la signature laide de le cl de dcryptage que seul
Alice peut leur avoir donn. Les deux cls sont bel et bien complmentaires.

Lauthentification garantie, il importe galement de s'assurer que le document envoy na


pas t corrompus. En effet dans ce mmoire, nous traiterons de la cryptologie la lumire du
droit. La preuve lectronique entre tout naturellement dans le cadre de ce travail car la
cryptographie, laide des cls asymtriques, permet dempcher toute modification des
documents et ce dune faon plus sre quavec le format papier.

Lintgrit du document est assure grce la fonction de hachage qui tablit une
correspondance entre une chane binaire de longueur arbitraire et une chane binaire de
longueur fixe et qui a les proprits suivantes :

il est impossible sur le plan calcul de trouver une donne d'entre qui correspond une
donne de sortie prtablie;

il est impossible sur le plan calcul de trouver deux donnes d'entre distinctes qui
correspondent la mme donne de sortie.20

Par le hachage il est impossible de modifier un document sans modifier lemprunte du


message. Lintgrit du document est ainsi vrifie sans le moindre doute. Le systme
sapparente la cl des cartes bancaires qui se contente dattribuer une courte valeur la chane

20

Groupe de travail sur le commerce lectronique Industrie Canada, Politique cadre en matire de cryptographie
aux fins du commerce lectronique, Pour une conomie et une socit de linformation au Canada Politique
cadre en matire de cryptographie aux fins du commerce lectronique Fvrier 1998, http://strategis.ic.gc.ca/crypto
Lire aussi RIVEST, R.L., The MD4 Message digest Algorithm. , Advances in cryptology, CRYPTO90
Proceedings, p. 303-311 propos du logiciel MD4, spcifique au hachage par emprunte de la source de 128 bits

15

des chiffres composant le numro de la carte. Cette fonction est par contre amliore par la
fonction de hachage puisqu un document correspond une valeur de hachage bien prcise.

B- Le cas de PGP : Pretty Good Privacy (assez bonne confidentialit)

PGP tient sa principale qualit de sa grande popularit : il semble de facto tre devenu
une norme dans tout ce qui concerne lchange de courrier lectronique. Son fonctionnement
est semblable celui du RSA pour ce qui est de la gestion des cls :

PGPfreeware est bas sur un systme de cryptographie cl publique largement accept et


hautement prouv, comme montr dans la Figure 5, par lequel vous et les autres utilisateurs de
PGP gnrez une paire de cls consistant en une cl prive et une cl publique. Comme son nom
limplique, vous tes le seul avoir accs votre cl prive, mais de faon correspondre avec
les autres utilisateurs de PGP vous avez besoin dune copie de leur cl publique, et eux besoin
dune copie de la vtre. Vous utilisez votre cl prive pour signer les messages e-mail et les
fichiers attachs que vous envoyez aux autres et pour dcrypter les messages et fichiers quils
vous envoient. Inversement, vous utilisez les cls publiques des autres pour leur envoyer un email crypt et vrifier leurs signatures numriques. 21

PGP comprend galement un algorithme de cryptage sinspirant dIDEA, ce logiciel


crypte galement la cl priv de lutilisateur en utilisant plutt quun mot de passe une phrase
de passe Enfin, PGP dispose dune mthode originale de certification des cls distribues :
chaque utilisateur contribue promouvoir la certification des cls distribues (voir la figure 6)

La puissance de PGP semble dsormais admise : elle est considrable.


Si tous les ordinateurs personnels du monde 260 millions taient mis travailler sur un seul message
crypt avec PGP, cela prendrait encore un temps estim 12 millions de fois l ge de lunivers, en
moyenne, pour casser un simple message.

William Crowell, Directeur dlgu, National Security Agency, 20 Mars 1997.

21

Mode demploi de PGP freeware, disponible cette adresse :


http://wwwcl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm

16

Figure 6 : le systme de certification des cls publiques par PGP

17

Nous avons vu que la cryptographie est un jeux qui se joue deux. PGP est un logiciel
ouvertement destin contrer les attaques puissantes (et notamment gouvernementales). Nous
profitons donc de cette partie consacre ce logiciel pour parler de cette autre versant de la
cryptologie : le dcryptage agressif. Si aucun algorithme de cryptographie nest incassable, le
temps ncessaire dtruire sa rsistance est par contre un srieux lment de dissuasion. La
solution au dcryptage forc nest donc pas raisonnablement un seul travail de cryptographe.

Des moyens dtourns existent comme la contamination dun logiciel de cryptage par un
virus afin de pouvoir rcuprer les mots de passe de lutilisateur. Un autre moyen intressant
est le Tempest22 qui permet de capter distance les champs lectromagntique de tout appareil
lectrique. Ces appareils mettent des parasites, par exemple lcran de lordinateur se met
ainsi scintiller avant mme que la sonnerie dun tlphone cellulaire ne tinte. Lordinateur
rayonne comme un metteur radio. Il semble alors inutile de dpenser des fortunes et des
sicles dcrypter ce que lon peut lire en clair la source ou chez le destinataire, le cryptage
nest en effet quune phase intermdiaire23 . Des protections existent (tout local revenant
raliser une cage de Faraday) mais elles sont onreuses, de plus les fils lectriques constituent
autant dantennes propageant les signaux lectro-magntiques Toutes ces raisons sont
rsums par le nom mme de PGP, qui nassure quune assez bonne confidentialit dans le
cryptage pur, en attendant quun jour un cryptanalyste nen casse la cl.
-----BEGIN PGP PRIVATE KEY BLOCK----Version: PGPfreeware 6.0 for non-commercial use <http://www.pgp.com>
LQFvBDeIhYMRAwDGQFk9/InS6eFX1T1ct+pz2+azLjVowc46nZ6ge6QZ10oaw9eBZCK+iDMY89/VkMJqtURPbalNhBPHX/t3hPJWyJF
mAzMgtoCip50G+qSay2H0hBBMw+jUYq9hQqV9X60AoP/Y3ZXsHUFN9gRtuTj6cab4Ua91Av9c+0BGnjGGG1AVgl7G
4QKZYAg02wiFndzg2Qie4zDpfdVApSQz64pTX7i/ft9RPuuc1SthweAbqs0GJyEm2er+NhfWHuGppbA1y4cbaSmnGAn6me3DZiKgBn/Gh
0ZfjHMC/Asu41TzHEWe1TdixCQq4czgHugBR9r+GSKKRETuQkGdpEeLRkY5LrDBG+tH5JQLgF3YfnW97MNpZtI3
fU4SmwA1100NZMl0YjlD6Ncsg2aRBsJjMR3LfejdkGNmEpEepv8DAwIKoFAfj5rZV2BzHNFZ5UssZZqT9XxZ3BPgFPdOO73ws88CQt8
TefJ/PbQXdGVzdCA8dGVzdEBob3RtYWlsLmNvbT6dAQQEN4iFlBADAQEErx02pZsgEoJLDUV4PQ0QkgXYJ2hnqUC0
sc+3Zuc21ahzvE0qvvgvyqTP8sRwfMe2k66wu4hz5wpXmipD3pUvtN0h2UHmHwjlZlu3aN/5bKmW2Ij/tWPQpLTHSuzifr8AAgIC/0cFCM
+iDyTkAkp1ppsW47CxVC9vTZsMlyTOoFDarFvpRq/1ckK5Go8z9Kn1mSYKajfn8b/A5rF/a+bQzEp7ScNByaYq8FWf4j+6HUyG4jK+hIS
ACdAE1Grz2oLiB9096v8DAwLR+Lf6eLNCnmAxJrT8PO+O8RvX+noiU94H9Sfckm5GTDQyWeUxeUWSND3nbkuSIayB3w===fpfV
-----END PGP PRIVATE KEY BLOCK-----

22

Transient Electromagnetic Pulse Emanation Surveillance Technology (Technique de surveillance des impulsions
lectromagntique transitoires), voir le dossier sur le Hors srie de Pirates Mag op. cit, p. 10
23

Lire ltude de Ross J. Anderson, finance par Microsoft dans le but de pouvoir vrifier distance la validit des
licences des logiciels utiliss, http://www.cl.cam.ac.uk/~mgk25/ih98-tempest.pdf, visionn le 20 juillet 1999

18

-----BEGIN PGP PUBLIC KEY BLOCK----Version: PGPfreeware 6.0 for non-commercial use <http://www.pgp.com>
MQFCBDeIhYMRAwDGQFk9/InS6eFX1T1ct+pz2+azLjVowc46nZ6ge6QZ10oaw9eBZCK+iDMY89/VkMJqtURPbalNhBPHX/t3hPJWyJ
FmAzMgtoCip50G+qSay2H0hBBMw+jUYq9hQqV9X60AoP/Y3ZXsHUFN9gRtuTj6cab4Ua91Av9c+0BGnjGGG1AVgl7G4QKZYAg02wi
Fndzg2Qie4zDpfdVApSQz64pTX7i/ft9RPuuc1SthweAbqs0GJyEm2er+NHfWHuGppbA1y4cbaSmnGAn6me3DziKgBn/Gh0ZfjHMC/Asu4
1TzHEWe1TdixCQq4czgHugBR9r+GSKKRETuQkGdpEeLRkY5LrDBG+tH5JQLgF3YfnW97MNpZtI3fU4SmwA1100NZMl0YjlD6Ncsg2
aRBsJjMR3LfejdkGNmEpEeprQXdGVzdCA8dGVzdEBob3RtYWlsLmNvbT6JAEsEEBECAAsFAjeIhYMECwIDAQAKCRAHqW7IP8u1f
tDKAJ4mTnCsEyJ3T6ATCJcMZ0q/LhBkMgCePLq0zgKCNznA+1G90Q5FdqfPBVu5AM4EN4iFlBADAQEErx02pZsgEoJLDUV4PQ0Qk
gXYJ2hnqUC0sc+3Zuc21ahzvE0qvvgvyqTP8sRwfMe2k66wu4hz5wpXmipD3pUvtN0h2UhmHwjlZlu3aN/5bKmW2Ij/tWPQpLTHSuzifr8A
AgIC/0cFCM+iDyTkAkp1ppsW47CxVC9vTZsMlyTOoFDarFvpRq/1
ckK5Go8z9Kn1mSYKajfn8b/A5rF/a+bQzEp7ScNByaYq8FWf4j+6HUyG4jK+hISACdAE1Grz2oLiB9096okARgQYEQIABgUCN4iFlAA
KCRAHqW7IP8u1fnObAKDtMx+Nza/mDRNejN9TvePCekrpjQCgukc/5/e2brKsVIZvmMbTyGf8H5w==sjJo
-----END PGP PUBLIC KEY BLOCK-----

Figure 6 : Format de cls publique et prive PGP 768 bits

Dans ce long chapitre introductif nous avons dtaill la cryptographie dans toutes ses
approches, principalement historiques et techniques. Depuis une trentaine dannes la
cryptographie nest plus un domaine spcifiquement rserv aux gouvernements, les enjeux
commerciaux ont galement dvelopp la recherche du secret. Le dveloppement du commerce
lectronique et la mise disposition de linternet au grand public ont incontestablement cr un
besoin de confidentialit pour les donnes changes. Il apparat alors que deux ralits se
prsentent dans toute approche contemporaine de la cryptologie. En effet, la seule raison dtat
nest plus suffisante pour justifier un monopole gouvernemental dans lutilisation et le
dveloppement de moyens cryptographiques. La raison commerciale est dsormais une
justification devenue lgitime. Pour James Massey,

24

Ce nest que depuis 10 ans, en fait, que la recherche cryptographique ouverte (non militaire,
non secrte) se rpand. Il y a eu, et il continuera dy avoir, des conflits entre les deux
communauts de recherche. La recherche ouverte est une qute commune de la connaissance qui
dpend de faon vitale du libre-change des ides par le biais des prsentations lors des
confrences ou des publications dans les journaux scientifiques .

Une opposition sinstalle alors entre les intrts privs et les intrt gouvernementaux.
La cryptogologie est la science visant protger le secret des informations, aussi dans ce
mmoire, nous porterons notre intrt sur la protection des informations afin dexplorer le
double aspect raison dtat (chapitre I) et raison commerciale (chapitre II), le tout pris
dans une approche chronologique.

19

Chapitre I : La protection des informations face la raison


d'tat
Les annes 1990 sont marques par l'entre de la socit de l'information. Les rseaux
gnrent un grand nombre de donnes. Ces gisements dinformation, considrables et dtaills,
peuvent tre utiliss l'insu des personnes pour constituer des profils individuels ou surveiller
la navigation d'un internaute. L'exploitation des informations circulant sur Internet, ainsi que la
mmorisation des donnes peut transformer l'internaute en objet de surveillance, le citoyen en
individu pi.

"Peut-on admettre que le monde de l'Internet renvoie celui des Incas o portes et fentres
devaient tre en permanence ouvertes pour que les inspecteurs puissent voir tout instant ce qui
se passait l'intrieur des foyers ?25 "

Face ces caractristiques, s'oppose l'intrt de la nation. Le dsire d'couter tout


ce qui peut ce dire, prvenir l'imprvisible et protger l'tat contre toute agression.

La science du chiffrement est fortement marque par un pass militaire. D'ailleurs,


l'origine, il a t invent et dvelopp pour et par ces institutions militaires. La marque
du "secret-dfense" est prsente dans toutes rglementations concernant la cryptologie
(section I). Mais la communication des individus, se fait de plus en plus par
l'intermdiaire de rseaux complexes que l'individu ne matrise plus. Aussi, il ne peut
avoir confiance en ce qui se passe sur ces rseaux. Donc, il recherche un moyen de
protection adapt ces nouvelles circonstances et naturellement il se tourne vers la
cryptologie. Malheureusement, son utilisation par des particuliers n'est pas
favorablement perue par tous les Etats (section II). Mais, la protection de la sphre
prive de chacun passe par une ncessaire confidentialit (section III).

24

MASSEY, J.L., An introduction to contempory cryptology. Proceedings of the IEEE, vol. 76, n5, mai 1988, p.
533

20

Section I : La cryptologie considre comme une arme de guerre


Un des rles de l'tat est la dfense voire la promotion de certaines valeurs, mais aussi
assur le maintien des intrts de la scurit nationale. Contre cet intrt national, la cryptologie
reprsente un vritable danger. En effet, issu des mthodes militaires, popularis par le
dveloppement fulgurant de la puissance des ordinateurs, le cryptage garantit si bien la
confidentialit des changes qu'il met la police et les services de renseignement en difficult.
Trop puissant, il rend indchiffrable de manire exploitable, les messages lectronique.

En revanche, pour le particulier, la cryptologie constitue le premier outil de protection


efficace de sa vie prive. De mme, pour celui ayant des intentions malveillantes, c'est une
aubaine. La cryptologie permet d'chapper aux fameuses coutes et autres interceptions.

Aussi, rglementer la cryptologie met en prsence deux intrts antagonistes. Mais toute
rglementation est ncessairement un compromis entre les besoins de protection demands par
les utilisateurs des nouvelles technologies (II) et les ncessits de la scurit publique qui
rclame un contrle absolu (I).

I - Des rglementations pour un contrle absolu

Devenus accessibles au plus grand nombre, les outils cryptographiques sont trs vite
apparus comme le vhicule dune opposition entre ceux que lon appelle les crypto-anarchistes
(favorable une libert de laccs et de lutilisation des outils cryptographiques) et les autres,
plutt favorables un maintient de la tutelle tatique. Les lois et dcrets concernant la
cryptographie de tous les pays du monde sont devenus caractristiques dune certaine idologie
des tats ou de leurs responsables politiques.

Globalement trois grands soucis proccupent les partisans de la raison dtat ou, tout au
moins de la restriction dans lusage et dans la dissmination des outils cryptographiques. Dune
part, il y a principalement des raisons de scurit nationale, en effet, il y a un contrat social
entre ltat et ses sujets, ces derniers attendant de leur Lviathan paix, ordre et scurit. Or, si
25

18me rapport d'activit de la CNIL.

21

elle est libralise, la cryptographie, en empchant la lecture et lanalyse des communications


interceptes, rend le rle de ltat difficile tenir : le contrat social risque de ntre plus assur.
Dautre part, libraliser la cryptographie cest peut tre aussi le risque de voir se dvelopper
plus encore les cas de trafics financiers, de blanchiment dargent, lespionnage ou le
terrorisme ; nous pouvons dailleurs noter sur ce point que ces risques sont ceux gnralement
points du doigts lorsque lon traite habituellement des problmes tenant lapplicabilit du
droit sur linternet. Enfin, et dans une optique plus interne aux tats, la libralisation des outils
cryptographiques serait aussi le moyen de crer un crypto-terrorisme ou un crypto-chantage
contre les projets scientifiques publiques ou privs, en effet on peut imaginer une intrusion dans
certains systmes et un cryptage agressif des disques dur des ordinateurs. Tous ces cas ne sont
pas thoriques,

For exemple the Italian Mafia apparently uses PGP, as did an employee of a software
compagny who has been accused of stealing multimillion-dollar software. Also, Aldrich Ames,
while spying for the Soviet Union, used very weak encryption which was easily cracked 26 .

Les mmes auteurs donnent dailleurs sept autres exemples notamment celui de lattentat
de la secte Aun au gaz Sarin dans le mtro de Tokyo. Dans cette affaire les autorits japonaises
ont russis dcrypter des informations prvoyant un massif dploiement darmement contre le
Japon et les tats-Unis. Il est toutefois des cas o le dcryptage pose des problmes. Selon
Louis J Freeh27 , le directeur du FBI, il ny eu que peut de cas o le cryptage empch la
justice doprer, cela dit nous sommes dans un sujet sensible o le secret est la rgle.

Pour traiter des rglementations nationales, nous avons artificiellement dcoup cette
section entre lEurope (A) et lAmrique du Nord (B) du fait que ces deux zones regroupent
lessentiel des intermdiaires prenant part linternet. Il est noter que larticle de Wayne
Madsen pour lElectronic Privacy Information Center28 est une source intressante sur ltat du
droit en matire de cryptage, il donne ainsi un bref tat de la situation dans 76 tats du monde
en ajoutant un code de couleurs :
26

Pour des cas concrets : DENNING, D.E . et W.E. Baugh JR, Cases Involving encryption in crime and terrorism,
http://guru.cosc.georgetown.edu/~denning/crypto/cases.html, visionn le 20 juillet 1999
27

Cit par ACKERMAN, Wystan M., Encryption : a 21st century national security dilemma , International
review of law computer & technologie, volume 12, number 2, pages 371-394, 1998
28

http://www.epic.org

22

a "green" designation signifies that the country has either expressed support for the OECD
guidelines on cryptography (nous en reparlerons), which genaraly favor unnhindered legal use
of cryptography, or has no cryptography control. A "yellow" designation signifies that the
country has proposed new cryptography controls, including domestic use controls, or has shown
a willingness to treat cryptographic-enabled software as a dual-use item under the Waasenaar
Arrangement. A "red" designation denotes countries that have instituted sweeping controls on
cryptography, including domestic controls. Some countries do not fit neatly into one of the three
cathgories, but trends may show them as being bordeline, i.e., "yellow/red ". 29

A- Les normes europennes

Les mthodes cryptographique utilises ltaient surtout par des militaires ou des
diplomates

30

. Cest ce caractre darmes de guerre qui a valu la cryptographie dtre

rglemente de faon trs svre, notamment en France et au niveau europen. En revanche,


pour la Belgique, lapproche fut moins draconienne31 .

La rglementation belge :

Le 21 dcembre 1994, le lgislateur belge a vot une loi portant sur des dispositions
sociales et diverses32 . Au sein de cette loi, trois articles, assez nbuleux, taient censs
rglementer la matire de la cryptographie en Belgique.
Grce ces trois articles, la loi du 21 dcembre 199133 , dite loi portant rforme de
certaines entreprises publiques conomiques , a t enrichie dun nouvel article 70bis. Dautre
part, ce dernier est venu complter larticle 95 alina premier de cette mme loi. Cette dernire
rglemente le cadre lgal de toute la matire des tlcommunications diffuses partir

29

MADSEN, Wayne et aut, Cryptography and liberty : an international survey of encryption policy , The John
Marshall Journal of computer & information law, Chicago, spring 1998, p. 482
30
SYX, D : Vers de nouvelles formes de signature ? le problme de la signature dans les rapports juridiques
lectroniques, in Droit de linformatique, 1986/3, p133 et s.
31

BALTHAZAR Graldine, application et rglementation de la cryptologie en Belgique et en France


Wintersemester 1996-1997-seminarabeit.
32

Loi du 21 dcembre 1994, moniteur belge du 23 dcembre 1994 ; BONAVENTURE Olivier : encryptage en
Belgique : La loi , http://pgp.netline.be/cryptage/loi.html .
33

Loi du 21 mars 1991, MB du 27.03.1991 pp 6196-6197 et pp 6202-6203

23

dappareils terminaux34 . Certains politiciens ont considr que cette loi sappliquait galement
aux logiciels informatiques et par consquent linternet.

La loi du 21 mars 1991 a vu son article 95 alina 1 complt comme suit :


Le Ministre peut, sur proposition de lInstitut [Belge des services postaux et des
tlcommunications - IBPT] retirer un agrment ou imposer une interdiction de maintenir le
raccordement linfrastructure publique de tlcommunications lorsquil savre que
(...)
5 lappareil terminal rend inefficace les moyens permettant, dans les conditions prvues aux
articles 88bis et 90ter 90decies du Code dinstruction criminelle, le reprage, les coutes, la
prise de connaissance et lenregistrement des tlcommunications prives .

De ce fait, l'IBTP peut proposer des cls de cryptage au gouvernement. Donc, il na quun
rle de conseiller du gouvernement.

Le nouvel article 70bis fut rdig comme suit :


Le Roi fixe, par arrt dlibr en conseil des ministres, les moyens techniques par lesquels
Belgacom et les exploitants des services non rservs35 quil dsigne doivent permettre, le cas
chant, ventuellement conjointement, le reprage, les coutes, la prise de connaissance et
lenregistrement des tlcommunications prives dans les conditions prvues par la loi du 30
juin 1994 relative la protection de la vie prive contre les coutes, la prise de connaissance et
lenregistrement de communications et tlcommunications prives .

De cette faon, cet article prvoit que, moyennant un arrt dapplication dlibr en
conseil des ministres, lutilisation de dispositifs de cryptage, pourrait tre totalement interdite.
Donc, le gouvernement a le pouvoir d'interdire lutilisation dun mcanisme de cryptage, et ce
quel quil soit, quelque moment que ce soit et selon son bon vouloir.
tant donn les incertitudes engendres par cette loi, lIBTP36 , suivis par quelques auteurs37 , a
interprt cet article comme ne sappliquant pas aux logiciels. Mais ce nest quune
34

Dfinis dans la loi du 21 mars 1991 comme toutes installation qui peut tre raccorde directement
linfrastructure de tlcommunication par un point de raccordement pour transmettre, traiter ou recevoir les
informations vises au 4 .
35

Selon les articles 83 et 87 de la loi du 27 mars 1991, les services non rservs sont dfinis comme tant tous les
services de tlcommunications qui ne sont pas les services de tlphonie, les services de tlex, de mobilophonie et
de radiomessagerie, les services de commutation de donnes, le service tlgraphique et enfin, la mise
disposition de liaisons fixes.
36

IBTP, Avenue de lAstronomie, 14, B-1030 Bruxelles

37

DUMORTIER, jos, Cryptogrfie is niet verboden , http://www.kuleuven.ac.be/ck/archief/ck-73/forum/fforu.htm .

24

interprtation doctrinale conforte par aucun texte lgal. En effet, aucun arrt dapplication na
t pris depuis la promulgation de la loi.

Face cet aspect flou de larticle 70 bis, la classe politique a interrog directement le
ministre de la justice belge, sur lventualit dune prohibition totale de la cryptographie38 . Ce
dernier a rpondu que :
Rendre obligatoire le dpt des cls des terminaux auprs des autorits de manire pouvoir
lire en cas denqute des messages crypts ne rsoudra pas tous les problmes , dautant que
linterdiction de la cryptographie sest avre irralisable sur les plans juridique et technique
dans dautres pays 39 .

Ici, le ministre cest montr prudent. Au regard des enjeux conomiques, auxquels nuirait
linterdiction de tous procds de cryptage, et en pratique, cette interdiction est peu raliste sauf
si elle est suivis au niveau mondial. tant donn que linternet est un phnomne international,
sans une certaine cohrence entre les politiques nationales aucun rsultat tangible nest
ralisable. De plus, des arrts permettant daccder des informations touchant
essentiellement des liberts individuelles seraient contraire la constitution belge. Tout ceci
pourrait expliquer linterprtation de cette loi, selon laquelle elle ne sapplique pas aux
logiciels.

Mais, mme si lide dune prohibition totale de la cryptologie est exclue (pour des
raisons pratiques et juridiques), la rglementation de son utilisation reste une faon dviter des
abus ou au moins de les minimiser.
Pour cela, diverses propositions furent lances dont une pouvant apporter une solution
satisfaisante.

Parmi les propositions avances par les parlementaires, une envisageait la suppression
des articles posant problmes, en y substituant un nouveau rgime. Celle-ci adoptait lide
dune accessibilit maximale aux cls de cryptage. Mme Bribosia ( lorigine de cette
proposition) proposait de complter les dispositions du code dinstruction criminelle Belge, afin

38

Question pose au snat le 9 mai 1996, par Mme Bribosia-Picard (PSC) M. De Clerck, ministre de la justice
belge, http://pgp.netline.be/crytpage/question-complte-bribosia.html
39

Ibidem

25

de prvoir un cadre lgal laccs par les autorits judiciaires aux informations sur le rseau
Internet40 . Ce systme ressemblait fortement celui prvu en matire dcoutes tlphoniques,
mais adapt l'internet.
Ainsi, le juge dinstruction pourra obliger toute personne susceptible de laider le faire, dans
la mesure o cette aide est ncessaire pour son investigation. Il est ncessaire quil y ait des
indices srieux dune infraction grave et que les autres moyens dinvestigation ne suffisent pas
la manifestation de la vrit. Bien videmment, laide ne pourra tre demande et ordonne
qu lgard des messages envoys ou par des personnes souponnes, sur la base dindices
prcis, davoir commis linfraction, et lgard des messages envoys ou par des personnes
prsumes, sur la base de faits prcis, tre en communication rgulire avec un suspect.

Toute personne susceptible de laider sera donc cite en justice et sera tenue de
comparatre, dfaut de quoi elle se verra infliger une amende.
Les conditions du dcryptage seront trs strictes ; le juge ne pourra en faire usage que pour
procder au dcryptage des messages faisant lobjet de linstruction. Son mandat, cest--dire
son accs un site, ne sera valable que pour une priode dtermine qui ne pourra jamais
dpasser six mois. La conservation des messages ne pourra se faire que sous les conditions trs
strictes de larticle 90septies du Code dinstruction criminelle et le juge sera oblig de dtruire
la cl de cryptage une fois la priode de surveillance passe.

Dans lhypothse o la surveillance concerne des personnes ayant la qualit de mdecin


ou davocat, le respect du secret professionnel devra tre garanti. Dautre part, le btonnier ou
le reprsentant de lordre des Mdecins devra en tre averti. (Articles 91septies et 91octies)
Les sanctions qui toucheront les personnes refusant de cooprer seront des peines pnales
svres : emprisonnement dun cinq ans ou amende de 100 5.000 FB41 .

40

BONAVENTURE Olivier, Question pose par Mme Bribosia-Picard (PSC) M De Clerck, Ministre de la
Justice, question pose au snat le 9 mai 1996, http://pgp.netline.be/cryptage/proposition-Bribosia-100696bribosia.html
41

Au regard des peines demprisonnement qui sont galement prvues dans cet article, le montant des amendes
peut paratre drisoire mais il faut savoir que les montants des amendes pnales en droit belge doivent tre majors
de 1990 dcimes, montant prvu par une loi du 5 mars 1952, modifie la dernire fois par une loi du 24 dcembre
1993. En ralit donc, les peines varient dun montant denviron 20.000 FB 1.000.000 FB

26

Ainsi, la proposition de Mme Bribosia semblait une alternative srieuse mme si elle ne
prvoyait pas le cas dune fuite dinformation au niveau de ltat ou encore si le nom de la
personne susceptible daider le juge dinstruction tait lui-mme crypt. Mais cette proposition
nest toujours pas vote, et on peut supposer que la Belgique attend de consulter la position
europenne en la matire afin daligner ses textes sur celle-ci. Dans ce cas, il est fort probable
que la future rglementation belge sur la cryptographie sera certainement plus librale.

La rglementation franaise :

Depuis un dcret du 18 avril 1939, une prohibition de principe de la cryptographie tait


dicte. Mais, il prvoyait galement des possibilits dobtenir des drogations administratives
ponctuelles42 .

Face lapparition et au dveloppement de l'internet, cette lgislation s'est rvle


insuffisante (surtout au vu de la lourdeur administrative du rgime et de laccroissement de la
demande prive en produit de scurit). Aussi, une loi du 29 dcembre 199043 , est venu
simplifier et largir les procdures antrieures.

Mme si cette loi a t dicte dans le but de simplifier la procdure, larticle 28.I de cette
mme loi soumet lutilisation de toutes techniques de chiffrement des conditions trs
prcises : toutes utilisations, fournitures et exportations dun moyen de cryptographie devaient
tre prcdes de lobtention dune autorisation pralable, hormis certains cas prcis o une
dclaration pralable tait exige. Ces principes taient tellement stricts que la loi rservait ces
techniques aux militaires, policiers et dans une certaine limite aux banquiers. Le simple
citoyen, luniversit ou la petite entreprise taient exclus des utilisateurs potentiels, car pour
chaque utilisation de procd de cryptage, il tait ncessaire de passer par une procdure
administrative aussi rbarbative que dissuasive.

42

MEILLAN Eric, le contrle juridique de la cryptographie, Droit de linformatique & des tlcoms, 1993/1,
pp78 et s.
43

BORTMEYER Stphane, LUtilisation du chiffrement en France, http://web.cnam.fr/Network/Crypto/


(dcembre 1996); Loi 90-1170 du 29 dcembre 1990, Journal Officiel du 30 dcembre 1990 ; loi modifie par la
loi 91-648 du 11 juillet 1991, Journal Officiel du 13.7.91

27

Larticle 28 de cette loi dictait que les moyens ou prestations de cryptographie ayant
pour but dtre fournis ou utiliss par des particuliers, utiliss par des banques ou exports
ltranger taient soumis une dclaration pralable ou une autorisation pralable :

La dclaration pralable tait requise quand le moyen ou la prestation de cryptage

navait pour objet que dauthentifier une communication ou assurer lintgrit du message
transmis (exemple du code secret bancaire).
-

Lautorisation pralable, du Premier ministre, tait ncessaire dans les autres cas.

Cest dire pour tout ce qui sort du champ dapplication de lalina premier de larticle 28 de la
loi du 29 dcembre 199044 . (Exemple de particulier qui souhaite crypter ses messages.).

Mais certains outils de cryptage navaient pas besoin de dclaration ou dautorisation


pralable pour tre mis en circulation. Ainsi les cartes microprocesseur ne permettant pas le
chiffrement par elles-mmes taient totalement libres dusage. De mme pour les techniques
conues spcialement pour les logiciels qui ne permettent pas le chiffrement. Ils n'taient pas
considrs comme des moyens de cryptologie car, dans ces cas le codage nest connu que par le
fabricant (la cryptologie suppose une codification tenant lieu de convention secrte). Enfin, en
raison du caractre non rtroactif de la loi de 1990, les moyens qui taient permis, par
lintermdiaire dautorisations dlivres avant la publication de la loi taient dispenses dune
autorisation pralable. Elles conservaient leurs effets jusqu' lexpiration de leurs termes prvus
initialement.

A linverse, dautres outils de cryptographie ne pouvaient bnficier de ce rgime parce


quils taient interdits ou soumis dautres rglementations. Ainsi, aucune autorisation ntait
accorde pour un usage destin dissimuler la teneur des communications obtenues partir des
installations radiolectriques libres ou amateurs et des postes metteurs rcepteurs fonctionnant
sur des canaux banaliss (article 11 du dcret 92-135845 ).

44

Loi n 90-1170, Journal Officiel de la Rpublique franaise, 30 dcembre 1990, p16439,


http://www.urec.fr :80/Ftp/securite/Lois.France/90.12.30.crypto.txt
45

Dcret franais n92-1358 du 28 dcembre 1992, JO du 30 dcembre 1990

28

De plus, lexportation de matriel de cryptographie pouvait parfois tre rgie par un


systme autre que celui de la loi de 1990. Les moyens de cryptographie qui taient
spcialement conus ou modifis pour permettre ou faciliter lutilisation ou la mise en uvres
des armes relevaient du rgime visant le matriel de guerre, armes et munitions, prvu par les
articles 12 et 13 du dcret-loi du 18 avril 193946 .

Enfin, un rgime particulier tait dict pour les exportations des biens pouvant avoir une
utilisation civile et militaire (dit biens double usage). La loi du 31 dcembre 199247 a, dans
son article 2, trait du transfert de produits et technologie double usage au sein de la CEE48 .
Il y tait prcis que ces produits et technologies seraient soumis une autorisation pralable et
devraient toujours tre prsents aux douanes avant leurs expditions (article 2). Ici, le but
recherch tait de maintenir un contrle intrieur qui pouvait tre ventuellement assouplis49 .

Il existait donc trois rgimes distincts dexportation des moyens de cryptologie sous
lempire de la loi de 1990 (dclaration pralable, autorisation pralable et autorisation
dexportation de matriel de guerre).

Sous cette loi de 1990, deux institutions taient comptentes: la DISSI (Dlgation
Interministrielle pour la Scurit des Systmes dInformation) et le SCSSI (Service Central de
la Scurit des Systmes dInformations).

46

Dcret toujours en vigueur ; WARUSFEL Bertrand, exportation de cryptologie : des rgimes juridiques
difficiles concilier, Droit de lInformatique & des Tlcoms, 1993/1, pp.72 74 ; Article 2, 4d du dcret 95598 du 6 mai 1995
47

loi n92-1477 du 31 dcembre 1992 relative aux produits soumis certaines restrictions de circulation et la
complmentarit entre les services de police, de gendarmerie, et de douane, publie au journal officiel le 05
janvier 1993
48

Voir galement les textes : Dcret 95-613 du 5 mai 1995 relatif au contrle lexportation de biens double
usage, JO du 7 mai 1995, page 7547 ; Arrt du 5 mai 1995 relatif au contrle lexportation vers les pays tiers et
au transfert vers les tats membres de la Communaut europenne de biens double usage, Journal officiel du 7
mai 1995, page 7561 ; Arrt du 5 mai 1995 dfinissant la licence gnrale de G.502 dexportation des moyens de
cryptologie et fixant les modalits dtablissement et dutilisation de cette licence, JO du 7 mai 1995, page 7578
49

WARUSFEL, Bertrand, contrle des exportations de technologie double usage : le droit franais ragit face
au march unique, in Droit de lInformatique & des Tlcoms, 1993/2, p83 et s.

29

La DISSI fut cre par dcret le 3 mars 1986 et supprime en fvrier 1996. Elle fut
remplace par le SGDN (Secrtariat Gnral la Dfense Nationale50 ) dans ses
attributions. Elle tait comptente dans le domaine de la scurit des communications,
de la protection contre les rayonnements compromettant et la scurit logique (surtout
contre les intrusions). Ses fonctions taient la mise en uvre de la politique dfinie
par ltat, proposer des mesures dintrt gnrales et arbitrer les ventuels litiges en
la matire51 .

Le SCSSI tait le seul interlocuteur pour la procdure de demande dautorisation


pralable ou celle de la dclaration. Il apprciait le niveau de scurit des systmes,
valuait les procds cryptologiques et les autres procds (TEMPEST), faisait des
audits de scurit, formait des experts et entretenait des relations avec les industriels
concerns. En matire de cryptologie son rle fondamental tait surtout son
valuation de la teneur des procds de cryptographie52 . Pour cela, le dclarant ou
demandeur devait prendre

toutes les dispositions ncessaires afin que le SCSSI

puisse vrifier la concordance entre le dossier technique fourni est lobjet de la


dclaration ou de la demande.

En fonction de ce dossier et de ses annexes, le SCSSI dcidait davaliser ou non le


moyen objet de la demande. Mais les critres dacceptation ou de refus n'taient pas publics, ce
qui pouvait aboutir des refus abusifs de la part du SCSSI. Surtout quil semblerait que la
politique du SCSSI tait de nautoriser que des systmes de chiffrement peu fiables, afin
quune personne disposant de moyens importants puisse casser ce code et dchiffrer les
messages.

50

Le secrtariat du dpartement ministriel de la Dfense, dpendant directement du Premier ministre et du


ministre qui a la Dfense dans ses attributions
51

52

MALHEY Bruno, Lgislation sur la cryptographie, http://ns.urec.fr:70/00/Securite/Docs/Lois/chiffrement.txt


article 14 du dcret du 28.12.1992

30

Quel que soit lobjet de la demande (dclaration ou demande), le dbut de la procdure


tait la mme. Dans les deux cas (articles 1 3 ou 4 9 du dcret 92-1358 du 28 dcembre
1992) un dossier tait dpos au SCSSI qui en dlivrait rcpiss. Ce dossier tait divis en
deux parties, une administrative et une technique. Toutes deux devaient tre fournies en quatre
exemplaires selon une forme et un contenu fix par un arrt du 28.12.1992 :

La partie technique devait indiquer les objectifs de scurit et dcrire en dtails les
fonctions et les mcanismes de scurit.

La partie administrative permettait de s'assurer de lidentit du dclarant ou du


demandeur.

la vue de ce dossier le SCSSI pouvait demander des informations complmentaires


pendant toute la procdure. Si tel tait le cas, le dclarant ou le demandeur tait tenu de
cooprer avec le SCSSI afin que celui-ci puisse vrifier que le moyen ou la prestation de
cryptographie tait bien conforme au dossier fourni (article 14 du dcret du 28 dcembre 1992).
La suite de la procdure diffrait selon la demande.
Pour le rgime de la dclaration obligatoire53 , il existait trois types de dclarations
diffrentes selon que le but recherch tait lutilisation, lexportation ou la fourniture de
systme dencryption.

En premier lieu, la dclaration de fourniture devait tre effectue une seule fois, un
mois avant la premire livraison du systme.

Ensuite, la dclaration dutilisation devait tre effectuer par lutilisateur au moins un


mois avant la premire utilisation (article 2 alina 2). Mais un rgime de dclaration
simplifi a t institu par larticle 1er, alina 3 :

La dclaration de fourniture peut tre accompagne dune dclaration dutilisation gnrale54 , qui
prcise le domaine dutilisation prvu du moyen ou de la prestation ainsi que les ventuelles
catgories dutilisateurs auxquelles le moyen ou la prestation est destine.

53

Titre Ier du dcret 92-1358

31

Dans ce cas, la dclaration dutilisation gnrale dispensait lutilisateur dune


nouvelle dclaration.

Enfin, la dclaration dexportation requerrait le dpt dun dossier de dclaration de


fourniture en vue dexportation, un mois au minimum avant la premire prestation.
Une copie du rcpiss de cette dclaration devait tre prsente lors de chaque
exportation, ladministration des douanes (article3). Pour certains produits, toute
dclaration de fourniture tenait lieu de dclaration dexportation temporaire dun
chantillon. Donc ils n'taient pas soumis cette procdure, de mme pour la
dclaration concernant un usage strictement personnel (article 13). En effet, ce rgime
drogatoire, sexpliquait par la ncessit pour lutilisateur de pouvoir voyager hors de
ses frontires avec son ordinateur personnel et de continuer lutiliser.

Pour le rgime de lautorisation pralable 55 , il existait aussi une triple distinction suivant
qu'il tait recherch une utilisation, une exportation une fourniture de moyens de cryptage.

Ainsi, pour une autorisation de fourniture de moyens de cryptographie une


demande tait dpose auprs du SCSSI. Cette demande devait prciser la dure qui ne pouvait
excder cinq ans (article 4 du dcret du 28.12.1992). De plus la prestation fournie devait
satisfaire diverses obligations56 :
- Conformit aux normes nationales des interfaces avec les utilisateurs.
- Scurit de la gestion de la prestation.
- Conservation des lments secrets pendant 10 jours ouvrables pour une
communication prcise et ponctuelle, et 4 mois dans les autres cas.
- Amnagement de possibilits techniques pour faciliter les investigations judiciaires.
- Dclaration aux autorits de police judiciaire des accs illicites au systme de
gestion ou des atteintes sa scurit. Et dans ce dernier cas, le fournisseur devrait
aussi informer le SCSSI.

54

On entend par dclaration gnrale toute dclaration qui est formule par un fournisseur, a contrario de la
dclaration individuelle, manant d'un particulier
55

Titre II du dcret 92-1358 du 28 dcembre 1992

56

Arrt du 28.12.92

32

Dans le cas de lautorisation dutilisation, la demande tait dpose auprs du


SCSSI mais ici, la dure tait de 10 ans au maximum (article 6 alina 1et 4). La demande
pouvait tre gnrale ou personnelle.

- Quand elle tait gnrale, elle tait formule par le titulaire de lutilisation de fourniture
(rgime simplifi). Ce systme constituait une simplification pour les futurs utilisateurs
car ils taient dispenss du dpt dune demande dautorisation. Mais uniquement s'ils
remplissaient les conditions de lautorisation dutilisation gnrale. Par exemple, une fois
lautorisation obtenue, le banquier, auquel le fournisseur avait vendu le produit, navait
plus besoin de redemander une autorisation pour utiliser le produit.

- Quand lautorisation tait individuelle, elle tait demande par lutilisateur. Ctait une
situation exceptionnelle pour le cas dune absence dautorisation gnrale. De cette faon,
la fabrication ou lexportation ne valait que pour lutilisateur demandeur. Cette
autorisation pouvait tre assortie de conditions pour rserver lutilisation de ces moyens
ou prestations certaines catgories dutilisateurs (tlphone de voiture, produits
bancaires comme des distributeurs de billets automatiques). Mais cette autorisation
pouvait galement tre retire, de faon temporaire ou dfinitive, en cas de fausse
dclaration, faux renseignements, de modifications, de non-respect des rglementations
ou obligations prescrites par lautorisation (article 8 du dcret du 28.12.1992).

Enfin, une autorisation dexportation pouvait tre attribue. Dans ce cas, le dossier
de demande devait, en plus de la partie technique et administrative, comporter une demande de
licence dexportation dpose auprs de ladministration douanire (SE.TI.C.E). Cette licence
n'tait dlivre quaprs accord du Premier ministre.

Les sanctions taient diffrentes selon que lon contrevenait au rgime de dclaration ou
dautorisation. Elles taient constitues d'amendes de quatrime ou cinquime classe et de
peine d'emprisonnement pouvant aller jusqu' 3 mois.

Enfin, des peines complmentaires ventuelles pouvaient tre possibles (confiscation des
moyens de cryptologie, interdiction de solliciter une nouvelle autorisation).

33

Au travers toutes ces procdures nous pouvons remarquer que la rglementation franaise
tait extrmement restrictive en ce qui concernait la cryptographie et que tous manquements
ces prescriptions taient svrement sanctionns (dcret 92-1358 du 28 dcembre 1992).

La rglementation communautaire :

La cryptologie fut rglement au niveau europen sous trois aspects diffrents. Elle fut
rglemente comme outil pour la scurit des systmes dinformations, comme instrument de la
criminalit informatique et comme bien double usage (civil et militaire).

- Laspect scurit des systme dinformations a t abord par le Conseil de lunion


europenne dans sa dcision adopt le 31 mars 1992 57 . Cette dcision comprenait llaboration
de stratgies globales pour la scurit des systmes dinformation (plan daction) et la cration
dun groupe de hauts fonctionnaires (SOG-IS), dont le rle tait de conseiller la Commission
sur les actions entreprendre. Le but de cette dcision tait
la mise au point de stratgies permettant linformation de circuler librement lintrieur du
march unique, tout en assurant la scurit de lutilisation des systmes dinformation dans
lensemble de la Communaut 58 .

Par ce biais, le but tait de promouvoir une interoprabilit des systmes ainsi que rduire
les barrires existantes et viter lapparition de nouvelles entraves entre les tats membres et
les autres pays.

Avec laide du SOG-IS, la commission a pu mettre en place un plan daction cohrent qui
sest traduit par la publication de deux livres verts59 . Au travers de ces documents, il apparat
que le but recherch est la protection adquate des informations et des personnes physiques et
non une volont de rglementer la cryptographie ou de rduire son application. Cette vision se
trouve conforte par la directive du 24 octobre 1995 relative la protection des personnes
57

Dcision n 92/242/CEE en matire de scurit des systmes dinformations, JO L 123, 8 mai 1992, p19

58

Dcision du Conseil du 31 mars 1992, JOCE 92/242/CEE

59

the Green Book on the Security of Information Systems (18 octobre 1993) et, the Green Paper on Legal
Protection for Encrypted Services in the Single Market, (le 6 mars 1996) : http://info.risc.uni-linz.ac.at/1/miscinfo/crypto/green-paper.txt .

34

physiques lgard du traitement des donnes caractre personnel et la libre circulation de


ces donnes60 . En effet, le but est la protection des personnes par la cryptographie, et par-l
mme permettre la libre circulation des donnes concernes par cette directive.

Mais afin de limiter lutilisation des fins criminelles de la cryptologie, un compromis


est recherch et il semble se diriger vers la mise en place dun rseau de tiers de confiance, de
certification charge de la gestion des cls, de la certification, de la constitution de
rpertoire,. 61 . Cependant des divergences sont apparus au moment de dterminer qui seront
ces tiers de confiance. LAllemagne proposait un centralized escrow key from Brussel alors
que la France et le Royaume-Uni voyaient plutt des tiers privs. Choix qui a t privilgi par
la France62 .

- Laspect criminalit informatique au travers de la cryptologie a t lobjet de la


recommandation du 11 septembre 1995 concernant les problmes de procdure criminelle dans
le domaine de la technologie et de linformation63 . Ce texte recommande particulirement en
matire de cryptographie :
Measures should be considered to minimise the negative effects of the use of cryptography on the
investigation of criminal offenses, whitout affecting its legitimate use more than is stricly
necessary. 64

Au sein de cette recommandation il ny a aucune prcision sur les mesures ou sur


lquilibre quil faut trouver entre scurit publique et protection des individus. Selon le
Communication Weeks International , il faut interprter ce texte comme interdisant les

60

Directive 95/46/Ce du Parlement europen et du Conseil du 24 octobre 1995 relative la protection des
personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces
donnes, http://www2.echo.lu/legal/fr/dataprot/directiv/direct.html
61

62

KOOPS, Bert-Jaap, Crypto Law Survey, http://cwis.kub.nl/~frw/people/koops/lawsurvy-html


voir supra

63

Recommandation n R (95) 13 of the Commitee of Ministers to Member States concerning Problems of criminal
Procedure Law connected with Infornation Technology,
http://www.privacy.org/pi/intl_orgs/coe/info_tech_1995.html
64

Appendix to Recommandation n R (95)13, point V

35

moyens de cryptage trop performants, cest dire, ceux qui ne permettraient pas au
gouvernement daccder aux cls de cryptage65 .

- Enfin, une rglementation sur la cryptographie envisage en tant que bien double
usage (cest dire comme une arme de guerre), dcoule de deux textes communautaires. Ces
textes rglementent lexportation de biens double usage. Il s'agit du rglement66 et de la
dcision du 19 dcembre 199467 .
Le premier texte institue un rgime communautaire de contrle des exportations de biens
double usage et le second est relatif laction commune concernant le contrle des exportations
de biens double usage.
Le rglement dfinis les biens double usage comme :
les biens susceptibles davoir une utilisation tant civile que militaire 68

Le principe est que lexportation des biens double usage figurant sur l'annexe I de la
dcision du 19 dcembre 1994, est soumise autorisation individuelle. Celle-ci est octroye par
les autorits comptentes de ltat membre o est tabli l'exportateur (article 3 et 6). Mais les
tats membres peuvent accorder le bnfice de formalits simplifies dans diffrents cas :
- Une autorisation gnrale pour un bien ou un groupe de biens double usage.
- Une autorisation globale un exportateur spcifique pour un bien ou un groupe de biens
double usage qui peut tre valable pour les exportations destination dun ou de plusieurs
pays dtermins.
- Des procdures simplifies dans le cas dune exigence dautorisation de la part dun tat
membre au titre de larticle 5.

A contrario, un tat membre pourrait interdire ou soumettre autorisation lexportation


des biens double usage qui ne figure pas sur la liste de lannexe I (article 5).

65

Euro-clipper chip scheme proposed in Communications Week International, dat du 18 septembre 1995

66

Rglement du conseil n3381/94 du 19 dcembre 1994, JO CE L367/1 du 31 dcembre 1994

67

Dcision du conseil n94/942/PESC du 19 dcembre 1994, JO CE L 367 du 31 dcembre 1994 et notamment ses
annexes I (pages 109 111) et IV (pages 156 et 157)
68

Article 2, a) du rglement (ce) n 3381/94 du Conseil du 19 dcembre 1994, JOCE N L 367/1

36

De plus, pour garantir une application correcte de ce dernier, le rglement prvoit des
procdures douanires particulires lexportation de ces biens (articles 10 et 11) et des
mesures de contrles assez strictes (articles 14 et 15).

Enfin, un groupe de coordination est institu (compos dun reprsentant de chaque tat
et prsid par un membre de la Commission) afin dexaminer toute question concernant
lapplication du rglement ainsi que les mesures prendre pour informer les exportateurs de
leurs obligations (article 16).

Malgr tout, certains outils sont exclus du contrle communautaire par lannexe IV. Il
s'agit de tous les procds de cryptage utiliss dans des machines servant des transactions
bancaires ou montaires (distribution de billets automatiques.)69 . De mme sont exclus les
radiotlphones portatifs ou mobiles, les quipements de contrle daccs et les quipements
dauthentification des donnes70 .

tant donn que les instances europennes sont des institutions supranationales, le but
recherch au travers de la rglementation de la cryptographie, nest pas le mme que pour ses
tats membres. En effet, mme si ces instances considrent encore la cryptologie comme un
bien double usage, elles ne perdent pas de vue les liberts prsentes dans le trait de Rome ou
de Schengen notamment la libert de circulation (surtout en ce qui concerne les donnes). De
plus, mme si les instances europennes ne ngligent pas les dangers de la cryptologie, elles
noublient pas non plus limportance de lindividu et de ses droits au sein de lEurope.
Dailleurs en toute logique les rglementations franaises et belges devront saligner sur les
prescriptions europennes.

B- Les normes Nord-amricaines

Les normes Nord-amricaines ne sont pas uniformes dans leurs apprciations de la


cryptologie. Nous verrons principalement les tats-Unis et le Canada. Cela dit, et pour voquer
le cas du Mexique, cest linstitut du commerce extrieur qui rgit les importations et
69

70

Annexe IV, JOCE, N L 367/157


Ib.

37

exportations mexicaine. Or, il nexiste actuellement aucun contrle sur limportation et


lexportation des technologie de cryptage au Mexique.71

Les tats-Unis

En 1996, la responsabilit de lexportation de la cryptographie fut transfre du


Dpartement dtat au Dpartement de commerce. Cela dit la NSA (National Security Agency)
veille et conserve toutes ses prrogatives puisquelle dispose dune quipe prsente dans tous
les ministres et services administratifs travaillant de prs ou de loin sur le cryptage (Y compris
les Dpartement dtat et de la Justice).

On ne peut en effet parler de la cryptographie et oublier la NSA qui semble tre


lorganisme contre lequel tous les libralistes semblent sacharner. La NSA fut cre en 1952
par Henry Truman et son existence fut longtemps gard secrte. Lobjectif de la NSA est
dcouter (et de dcoder la cas chant) toutes les communications entrant et sortant des tatsUnis et susceptibles davoir de limportance au regard de la scurit de ce pays. Selon le
STOA,72
toutes les communication lectroniques, tlphoniques et toutes les tlcopies en Europe sont
quotidiennement interceptes par la National Scurity Agency Des tats-Unis, qui transfrent toutes les
informations provenant du continent europen via le centre statgique de Londres, puis par satellite vers
Fort Meade au Maryland via le centre crucial de Menwith Hill dans la rgion des North York Moors au
Royaume-Uni. Le systme a t mis jour pour la premire fois dans les annes soixante-dix par un
groupe de chercheurs au Royaume-Uni (Campbell, 1981). Des travaux mens rcemment par Nicky Hager
(Secret Power, Hager, 1996) fournissent des dtails extrmement prcis sur un projet nomm ECHELON.
Hager a interrog plus de 50 personnes travaillant dans le renseignement pour dcouvrir un systme de
surveillance qui s'tend au monde entier pour former un systme point sur tous les satellites cls Intelsat
utiliss pour transmettre l'essentiel des communications tlphoniques, Internet, le courrier lectronique,
les tlcopies et tlex transmis par satellite dans le monde entier. Les sites de ce systme sont bass
Sugar Grove et Yakima aux tats-Unis, Waihopai en Nouvelle-Zlande, Geraldton en Australie,
Hong Kong et Morwenstow au Royaume-Uni.

On peut alors facilement comprendre la puissance de cet organisme dont le budget,


secrtement gard, slverait 13 milliards USD par an pour un personnel qui serait compos
de seize mille personnes. Pour la NSA, la technologie cryptographique est vitale aux intrts

71

ibid., p 506

72

tude intrimaire STOA, Une valuation des techniques de contrle politique, rsum analytique disponible
cette adresse http://www.europarl.eu.int/dg4/stoa/fr/publi/166499/execum.htm , visit le 20 juillet 1999

38

nationaux de scurit. Ceux-ci comprennent les intrts conomiques, militaires et des affaires
trangres.

Le contrle lexportation des produits de cryptographie est rgi par le Arms Export
Control Act (AECA) qui donne un large pouvoir ladministration :

(a) (1) The President is authorized to designate thoses items which shall de considered as
defense articles and defense services for purposes of this section and to promulgate
regulations for the import and export of such articles and services. The items so designated
shall constitute the US Munitions List.
(2) Decisions on issuing export licences under this section shall be made in coordination with
the director of US Arms Control and Disarmament Agency, taking into account the Directors
assessment as to whether the export of an article would contribute to an arm race, aid in the
developpement of weapons of mass destruction, support international terrorism, increase the
possibility of outbreak or escalation of conflict, or prejudice the development of bilateral or
multilateral arms control or nonproliferation agreement or other arrangements. 73

Aux tats-Unis les outils de cryptographie sont regroups en cinq catgories qui
dterminent comment et quelle autorisation donner lexportation, cela dit, comme le dit
Schneier, toutes les autorisations lexportation sont faite aprs un avis de la NSA, avis
toujours suivi :

en ralit, la NSA le contrle de lexportation des produits cryptographiques. Si vous voulez


une "Commodity Juridiction" (CJ), vous devez soumettre votre produit lapprobation de la
NSA et soumettre votre demande de CJ au Dpartement dtat. Aprs avoir obtenu
lautorisation de Dpartement dtat, laffaire passe dans la juridiction du dpartement du
Commerce, qui ne sest jamais vraiment proccup de lexportation de la cryptographie.
Toutefois, le Dpartement dtat naccordera jamais une CJ sans lapprobation de la NSA et,
pour autant que lon sache, il na jamais refus une licence aprs lapprobation de la NSA 74

Concrtement les restrictions lexportation concerne les produits de chiffrement dune


puissance suprieure ou gale 56 bits qui doivent obtenir une licence dexportation. Les
produits dauthentification peuvent tre export aprs une seule approbation du Dpartement
dtat sans passer par les autres services. Cela tant il existe une exception rciproque entre les
tats-Unis et le Canada, puisque Les tats-Unis autorisent lexportation vers le Canada de toute
quantit de logiciels de chiffrement personnaliss ou de matriel comportant un logiciel de chiffrement
intgr.

73

22 US Code 2778 (1997)

74

ibid.

39

La NSA est aussi un organisme scientifique regroupant un nombre impressionnant de


cryptananalyste. Cest dans ses services quont t dvelopp certaines puces visant garantir
la scurit nationale et satisfaire les utilisateurs priv en permettant lutilisation doutils
cryptographique. Deux types de puces furent t ainsi crs :

La puce Clipper est ddie au chiffrement des conversations vocales. Le problme est
ici que cela revient dposer les cls au gouvernement qui aurait ainsi la possibilit
despionner les citoyens :

Chaque puce a un cl spciale, qui nest pas ncessaire pour les messages. Cette cl est
utilise pour chiffrer une copie de la cl utilise par chaque utilisateur pour chiffrer ses
messages. Lors du processus de synchronisation, la puce Clipper mettrice gnre et envoie un
champ daccs de respect de la loi (LEAF pour Law Enforcement Access Field) la puce
Clipper rceptrice. Le LEAF contient une copie de la cl de scance courante, chiffre avec une
cl spciale (la cl dunit). Ceci permet au Gouvernement (US) de dcouvrir la cl de sance et
ainsi dcouter le contenu de la conversation. 75

Cela dit, des erreurs ont t dcels dans le Clipper, et permettraient des pirates de
djouer le systme 76
-

La puce Capstone vise quant elle fournir les outils cryptographiques ncessaires
pour un commerce lectronique scuritaire. Ici galement les intrusions possibles du
gouvernement amricain dans la vie prive des citoyens sont perues par certain comme
inacceptable, lgitime pour dautre. Cela dit, Capstone nest applicable quau
gouvernement et aux entits prives prenant contact avec lui. Lutilisation de cette puce
entre personnes privs na aucun caractre obligatoire, ce qui donne ce systme une
constitutionnalit vidente mais un applicabilit plus que douteuse puisque les criminels
ne lutiliseront jamais.
Nous le voyons les tats-Unis constituent un intressant terrain dobservation, regroupant

en son sein une administration lourde en contrainte et les associations les plus radicales pour ce
qui est de la libralisation de la cryptographie. Cela dit, pour ce qui est de lutilisation de
75

Schneier op. cit., p 620 et s

76

KING, Henry R., Big Brother, the holding compagny : a review of Key-escrow Encryption Technologie
(1995) 21 Rutgers Comp. & Tech. L.J. 224, 234, cit par Pierre Trudel : Trudel, Pierre et autres, Droit du
cyberespace, Montral, ditions Thmis, 1997, chap. 19, page 20

40

moyens de cryptographie lintrieur de son territoire, les tats-Unis permettent une utilisation
de moyens puissant, il faut bien distinguer cette situation de celle qui existe en France o cet
usage interne de la cryptographie est rglement.

Le Canada
Le cas du Canada ressemble celui des autres pays signataires de lArrangement de Wassenaar. Ici
aussi la rglementation sur la cryptographie a t dicte par la raison dtat et ce pays procde un
contrle des exportations de la cryptographie en limitant lexportation du matriel ou des logiciels
personnaliss. Les lois concernant lexportation au Canada sont similaires celle des tats-Unis.
Cependant,
le 24 dcembre 1996, le Canada a modifi sa politique pour une priode dessai de 12 mois, et
autoris lexportation, vers la plupart des pays, de logiciels de chiffrement personnaliss de 56
bits et de matriel comportant un logiciel de chiffrement. Cette priode a t prolonge jusquau
30 juin 1998 []Lexportation de produits cryptographiques aux fins dutilisation par des
citoyens canadiens ou des firmes canadiennes ltranger, quoique contrle, est
habituellement autorise..77

Concernant les atteintes aux liberts, La Charte canadienne des droits et liberts78
justifierait une atteinte raisonnable dans le cadre dune socit libre et dmocratique :
1. La Charte canadienne des droits et liberts garantit les droits et liberts qui y sont noncs.
Ils ne peuvent tre restreints que par une rgle de droit, dans des limites qui soient
raisonnables et dont la justification puisse se dmontrer dans le cadre dune socit libre et
dmocratique.

Mais nous voyons au travers de cette Charte que tout lintrt dun individus sestimant
ls, sera dtablir que les agissements de ltat, coutes et surveillances en lespce, ne sont
pas conforme ce test constitutionnel.

II face des revendications libertaires

Le dveloppement exponentiel des tlcommunications et de linformatique depuis une


trentaine dannes a donn lindividu de nouveaux outils et ainsi, loccasion de dvelopper
77

Groupe de travail sur le commerce lectronique, Politique cadre en matire de cryptographie aux fins du
commerce lectronique, Pour une conomie et une socit de linformation au Canada, Industrie Canada, Fvrier
1998, http://strategis.ic.gc.ca/crypto, visionn le 20 juillet 1999

41

une cryptologie vocation civile. Les discours sur une autoroute de linformation annoncs il y
a 10 ans se sont effectivement raliss grande vitesse et ce principalement en Amrique du
nord. Il est dailleurs manifeste que ce soit dans ces pays que la raction des individus fut la
plus intransigeante contre les menaces portes contre la vie prive et/ou la privacy. Il semble en
effet que les citoyens europens nont pas pris conscience des enjeux de la cryptographie sur
les liberts individuelles. En effet, si le gouvernement Franais a assouplis ses lois sur la
cryptographie ce nest nullement suite une pression des citoyens franais mais plutt pour
rpondre aux inquitudes des socits intresss par le commerce lectronique face lavance
des pays nord amricains dans ce domaine. Cela dit nous voquerons cet aspect commercial
dans la seconde partie de ce mmoire.
Les tats-Unis ont incontestablement une approche quasi religieuse79 en matire de
libert individuelle et le premier amendement de la Constitution80 est un des enseignements de
base donn dans les petites classes. Il suffit davoir lesprit la port relative des scandales
dcoutes tlphoniques illgales faites par des prsidents franais et amricain pour
comprendre toute la nuance entre nos deux tats pour ce qui est de lapprciation de
lintolrable et de lexcusable.

Nous entrons ici dans la sphre purement individuelle de la cryptographie. La


cryptographie est en effet le moyen pour tout individu de se protger contre les tentatives de
ltat, de toute organisation ou de tout autre individu, davoir accs aux information quil
dsire garder secrtes. Nous nous porterons pour cette partie sur la protection contre les
instances tatiques mais il est bien entendu quau del du Roman de Georges Orwell81 , Big
Brother peut galement prendre une forme prive (A). Devant ltat des lieux que nous
proposons ici, il sera utile de traiter des tentatives raliss pour sassurer une assez bonne
protection. Nous sortirons donc ici du droit tel quil est pratiqu pour traiter plutt du droit tel
quil se construit (groupes de pression, ptitions lectroniques etc.) (B).
78

L.R.C. (1985), App. II, n44


Les notions de Pres Fondateurs de la Constitution amricaine comme la devise In God we trust sont
manifestes de ce caractre religieux.
79

80

amendement sur la libert dexpression, dont lapplication rend, par exemple, constitutionnels les excs
xnophobe dans la discours du Klu Klux Klan, ide impensable dans une Europe marque par la Shoah.
81

1984, Paris, 1984, ditions Folio

42

A- La crainte du Big Brother

Sans doute peut-on dire avec Pierre Trudel que les proccupations que prennent la vie
prive sont parfois dmesurs par rapport au nombre dincidents rapports82 . En effet, dans
lhypothse (vrifie selon le rapport du STOA, voir supra), o lensemble des informations
sont intercepts, il nen demeure pas moins quil est extrmement difficile de trier autant de
donnes.

Sur lInternet, les tats sont dans cette situation o ils ont exactement la mme possibilit
de diffuser de linformation que les individus. Il y a une certaine concurrence vidente entre
ltat et le particulier dans le cas doppositions exprime en ligne contre le pouvoir en place
dans des pays restreignant la libert dexpression : les deux entits disposent des mmes
moyens techniques et de diffusion. Ici rside une augmentation du pouvoir individuel sur tous
les autres pouvoirs. Concernant le pouvoir tatique, cela peut-tre intolrable.

Au sujet des pays dmocratiques, il est de leurs responsabilits dassurer les individus
contre toute drive futur dun rgime en place. La libert dexpression est une notion fluctuante
et relative chacun des pays, elle ntait pas la mme quaujourdhui sous Mac Carthy ou sous
Vichy. La cryptographie permet dviter toute analyse des contenus de messages qui
pourraient, le temps passant, ressortir et tre oppos certains individus.

La crainte dun tat observant les faits et gestes des individus nest pas infonde. Grce
linformatique et aux possibilits que cette outils permet dans le traitement et le croisement des
informations personnelles, lindividu peut-tre littralement suivis et observ. Techniquement,
lespace de relle confidentialit nexiste pratiquement plus. Un ensemble dlments recense
exhaustivement tous nos faits et gestes, par exemple :

82

Trudel, Pierre et autres, Droit du cyberespace, Montral, ditions Thmis, 1997, chap. 1, page 19

43

Laugmentation soudaine de la consommation lectrique suppose une prsence dans son


domicile de la personne, voir mme lheure de son rveil (consommation deau,
dlectricit encore).

Lutilisation des diffrentes cls daccs lectronique donnent ces mmes informations
la seconde prs.

Lutilisation des moyens de paiement autres que les espces permet dtre informer et
des dplacement et des types de consommations.

Les communications tlphoniques peuvent tre coutes, de mme que peut tre situe
la position gographique des correspondants dans le cas de lutilisation de tlphone
cellulaires

Bref, moins de vivre en dehors de son temps, tous les actes de la vie courante peuvent
tre autant dlments pour surveiller un individu. La cryptologie ne rgle pas tous ces
problmes et ne concerne lindividu que dans le cas dinformations que celui-ci dsire envoyer.

La crainte du Big Brother nest pas farfelue ni destine aux paranoaques pris de dlire.
Lhistoire rcente rvle souvent, aprs que les accs aux dossiers soient autoriss, des
pratiques rvoltantes que les politiques contemporains expliquent par le fait dune autre poque
et dautres ncessits ou murs sociales. En fait, moins dune rvolution dans la manire
daborder ltat, il ny a aucune raison pour que ces pratiques aient cess car la surveillance et
le renseignement sont des lments incontournables de la raison dtat.

B- Et la recherche dune protection

Il est incontestable que le dveloppement de linternet permis la mise disposition du


public de moyens de cryptographie qui ntait pas vraiment, avant cela, une proccupation pour
les individus. Dans son ouvrage, Jacques Stern voque ce rapport dune commission de la
chambre des reprsentants au tats-Unis dans lequel il a t dmontr quil ne fallait que 3
minutes et 14 secondes (!) pour localiser sur le rseau, la copie dun programme permettant
dexcuter lalgorithme de chiffrement DES 83 . Nous lavons vu, les craintes sont sans doute
dmesures mais il nen demeure pas moins que le droit de disposer et dutiliser les logiciels de
83

STERN, Jacques, op. cit. p.128

44

cryptographie est devenu un lment incontournable dun droit de linternaute du fait de la


rapidit des questions tournant autour de ces problmes de confidentialit. De par certaines
maladresse des tats (des tats-Unis, de la France, en fait de tous les tats tentant dimposer
certaines rgles) et de par la raction de certaines organisations prives ayant rapidement
compris les ralits de linternet, la cryptographie bnficie dune incroyable publicit. La
premire maladresse se nomme Philip Zimmermann, la premire raction fut lutilisation
judicieuse de linternet par des groupes de pressions.
PGP et Zimmermann

Nous lavons vu, Philip Zimmermann inventa un logiciel qui reprend certains lments
dautre algorithme de cryptage connus par ailleurs (RSA pour la gestion des cls, IDEA pour le
chiffrement et MD5 pour ce qui concerne la fonction de hachage sens unique). Il semble
lheure actuelle que PGP soit le logiciel de chiffrement grand public le plus proche de la classe
militaire. Nous avons hsit mettre lexplication des motivations ayant pouss Philip
Zimmermann dvelopper PGP dans le corps de ce mmoire plutt quen annexe, mais il
semble que son explication illustre parfaitement un certain tat desprit impensable en France et
il serait vain de chercher artificiellement rduire son propos. Sans doute lauteur dsire til se
fabriquer une lgende mais il faut garder lesprit les relles pression que le gouvernement
amricain lui a fait subir84 :

Quoi que vous ferez, ce sera insignifiant, mais il est trs important que vous le fassiez.
Mahatma Gandhi
Cest personnel. Cest priv. Et cela ne regarde personne dautre que vous. Vous
pouvez tre en train de prparer une campagne lectorale, de discuter de vos impts, ou davoir
une romance secrte. Ou vous pouvez tre en train de communiquer avec un dissident politique
dans un pays rpressif. Quoi quil en soit, vous ne voulez pas que votre courrier lectronique
(e-mail) ou vos documents confidentiels soient lus par quelquun dautre. Il ny a rien de mal
dans la dfense de votre intimit. Lintimit est dans le droit fil de la Constitution.
Le droit la vie prive est dissmin implicitement tout au long de la Dclaration
des Droits. Mais quand la Constitution des tats-Unis a t tablie, les Pres Fondateurs ne
virent aucun besoin dexpliciter le droit une conversation prive. Cela aurait t ridicule. Il
y a deux sicles, toutes les conversations taient prives. Si quelquun dautre tait en train
dcouter, vous pouviez aller tout simplement derrire la grange et avoir une conversation l.
Personne ne pouvait vous couter sans que vous le sachiez. Le droit une conversation
84

Les douanes amricaines se sont intresses Zimmermann pour exportation irrgulire par la biais de
linternet. Le dossier semble actuellement class du fait notamment du soutient et de la colre de nombreux
internautes.

45

prive tait un droit naturel, non pas seulement au sens philosophique, mais au sens des lois
de la physique, tant donne la technologie de lpoque.
Mais avec larrive de lge de linformation, commenant avec linvention du
tlphone, tout cela a chang. Maintenant, la plupart de nos conversations sont achemines
lectroniquement. Cela permet nos conversations les plus intimes dtre divulgues sans
que nous le sachions. Les appels des tlphones cellulaires peuvent tre enregistrs par
quiconque possde une radio. Le courrier lectronique, envoy travers Internet, nest pas
plus sr que les appels de tlphone cellulaire. Le-mail est en train de remplacer rapidement
le courrier classique, devenant la norme pour tout le monde, et non plus la nouveaut quil
tait dans le pass. Et le-mail peut tre systmatiquement et automatiquement fouill la
recherche de mots-cls, sur une grande chelle, sans que cela soit dtect. Cest comme la
pche aux filets drivants.
Peut-tre pensez-vous que le courrier lectronique que vous recevez est assez
lgitime pour que le cryptage ne se justifie pas. Si vous tes vraiment un citoyen au dessus de
tout soupon, pourquoi nenvoyez-vous pas toujours votre correspondance papier sur des
cartes postales? Pourquoi ne vous soumettez-vous pas aux tests de consommation de drogue
sur simple demande? Pourquoi exigez-vous un mandat de perquisition pour laisser la police
fouiller votre maison? Essayez-vous de cacher quelque chose? Si vous cachez votre courrier
dans des enveloppes, cela signifie-t-il que vous tes un [lment] subversif ou un trafiquant
de drogue, ou peut-tre un paranoaque aigu? Est-ce que les citoyens honntes ont un
quelconque besoin de crypter leurs e-mails?
Que se passerait-il si tout le monde estimait que les citoyens honntes devraient
utiliser des cartes postales pour leur courrier? Si un non-conformiste savisait alors dimposer
le respect de son intimit en utilisant une enveloppe, cela attirerait la suspicion. Peut-tre que
les autorits ouvriraient son courrier pour voir ce que cette personne cache. Heureusement,
nous ne vivons pas dans ce genre de socit car chacun protge la plupart de son courrier
avec des enveloppes. Aussi personne nattire la suspicion en protgeant son intimit avec une
enveloppe. La scurit vient du nombre. De la mme manire, ce serait excellent si tout le
monde utilisait la cryptographie de manire systmatique pour tous ses e-mails, quils soient
innocents ou non, de telle sorte que personne nattirerait la suspicion en protgeant lintimit
de ses e-mails par la cryptographie. Pensez le faire comme une forme de solidarit.
Jusqu aujourdhui, si le Gouvernement dsirait violer lintimit de citoyens
ordinaires, il devait consentir une certaine dpense dargent et de travail pour intercepter,
ouvrir et lire les lettres. Ou il devait couter et si
possible transcrire le contenu des conversations tlphoniques, du moins avant que la
technologie de la reconnaissance vocale automatique soit disponible. Cette mthode,
coteuse en travail, ntait pas praticable sur une grande chelle. Cela tait fait seulement
dans les cas importants, quand cela en valait la peine.
En 1991 aux tats-Unis, le projet de loi 266 du Snat, un texte anti-criminalit,
comportait une disposition troublante cache lintrieur du texte. Si cette rsolution tait
devenue une vritable loi, cela aurait contraint les fabricants dquipements de
communications scurises insrer des portes drobes spciales dans leurs produits, de
telle sorte que le gouvernement puisse lire les messages crypts par nimporte qui. Le texte
disait: La recommandation du Snat est que les fournisseurs de services de communications
lectroniques et les fabricants dquipements de communication lectronique devront
sassurer que les systmes de communication permettent au gouvernement dobtenir le
contenu en clair des communications vocales, des donnes, et des autres communications
dans les cas prvus par la loi. Ce fut cette loi qui ma conduit publier PGP
lectroniquement de manire gratuite cette anne-l, peu de temps avant que la mesure ne
soit retire aprs de vigoureuses protestations des
groupes de dfense des liberts civiles et des groupes industriels.

46

Le Digital Telephony bill de 1994 a fait obligation aux compagnies de tlphone


dinstaller des dispositifs dinterception distance dans leurs commutateurs centraux, crant
une nouvelle infrastructure technologique pour cette interception pointer-et-cliquer, de telle
sorte que les agents fdraux nauront plus sortir et attacher des pinces crocodiles sur les
lignes de tlphone. Maintenant, ils auront la possibilit de rester assis dans leur quartier
gnral Washington et dcouter vos appels tlphoniques. Bien sr, les lois requirent
encore une rquisition judiciaire pour une interception. Mais alors que les infrastructures
technologiques peuvent durer pendant des gnrations, les lois et politiques changent du jour
au lendemain. Une fois que linfrastructure des communications est optimise pour la
surveillance, une modification dans les conditions politiques peut conduire abuser de ce
pouvoir fond sur de nouvelles bases. Les conditions politiques peuvent se modifier avec
llection dun nouveau gouvernement, ou peut-tre mme de manire plus abrupte aprs
lattentat la bombe contre un immeuble fdral.
Un an aprs que le Digital Telephony bill de 1994 soit pass, le FBI dvoila des
plans pour exiger des compagnies de tlphone dintgrer dans leurs infrastructures la
capacit dintercepter simultanment 1 % de tous les appels tlphoniques dans toutes les
grandes villes amricaines. Cela reprsenterait une multiplication par plus de mille par
rapport au niveau prcdent dans le nombre dappels qui peuvent tre intercepts. Dans les
annes prcdentes, il y avait eu seulement peu prs un millier de rquisitions
dinterceptions judiciaires par an aux tats-Unis, la fois au niveau fdral, au niveau des
tats et au niveau local. Il est difficile de savoir comment le gouvernement pourrait ne seraitce quemployer assez de juges pour signer assez dordres dinterception pour intercepter 1 %
de tous les appels tlphoniques, encore moins embaucher assez dagents fdraux pour
sasseoir et couter tout ce trafic en temps rel. La seule faon plausible de traiter toute cette
quantit de trafic est une application massivement Orwellienne de la technologie de
reconnaissance vocale pour passer au crible tout cela, la recherche de mots cls intressants
ou de la voix dun interlocuteur particulier. Si le gouvernement ne trouve pas la cible dans le
premier chantillon de 1 %, les interceptions peuvent tre tendues un 1 % diffrent jusqu
ce que la cible soit trouve, ou jusqu ce que la ligne de tlphone de chacun ait t
inspecte la recherche de trafic subversif. Le FBI dit quils ont besoin de cette capacit pour
prvoir le futur. Ce plan a provoqu un tel scandale quil a t retir au Congrs, en peu de
temps, en 1995. Mais le simple fait que le FBI ait t jusqu demander ces pouvoirs largis
rvle leur programme. Et la dfaite de ce plan nest pas si rassurante quand vous considrez
que le Digital Telephony bill de 1994 avait aussi t retir la premire fois quil a t
introduit, en 1993.
Les avances technologiques ne permettent pas le maintien du statu quo, partir du
moment o la vie prive est concerne. Le statu quo est instable. Si nous ne faisons rien, des
nouvelles technologies donneront au gouvernement des nouvelles capacits de surveillance
dont Staline naurait jamais pu rver. La seule faon de garder la haute main sur la vie prive
dans lge de linformation est la cryptographie sre.
Vous ne devez pas avoir vous mfier du gouvernement pour vouloir utiliser de la
cryptographie. Vos affaires peuvent tre interceptes par les concurrents, le crime organis,
ou des gouvernements trangers. Plusieurs gouvernements, par exemple, admettent utiliser
leurs services dcoutes contre les compagnies dautres pays pour donner leurs propres
socits un
avantage sur la concurrence. Lironie est que les restrictions du gouvernement des tats-Unis
sur la cryptographie ont affaibli les dfenses des entreprises amricaines contre les services
de renseignement trangers et le crime organis.
Le gouvernement sait quel rle pivot la cryptographie est destine jouer dans le
rapport de force avec son peuple. En Avril 1993, lAdministration Clinton dvoila une
audacieuse nouvelle initiative dans la politique cryptographique, qui avait t prpare
lAgence de Scurit Nationale (National Security Agency NSA) depuis le dbut de
lAdministration Bush. La pice centrale de ce dispositif est le microprocesseur construit par
le gouvernement et appel puce Clipper, contenant un algorithme de la NSA class top

47

secret. Le gouvernement est en train dencourager lindustrie prive linsrer dans leurs
quipements de communications scurises, comme les tlphones scuriss, les fax
scuriss, etc. AT&T insre ds prsent la Clipper dans ses quipements vocaux
scuriss. Ce que cela cache: au moment de la fabrication, chaque puce Clipper sera
charge avec sa propre cl, et le gouvernement en gardera une copie, place entre les mains
dun tiers. Il ny a pas sinquiter, cependant: le gouvernement a promis quil utiliserait ces
cls pour lire le trafic des citoyens uniquement dans les cas dment autoriss par la loi. Bien
sr, pour rendre la Clipper compltement efficace, la prochaine tape devrait tre de mettre
hors-la-loi toute autre forme de cryptographie.
Le gouvernement avait dclar au dbut que lutilisation de Clipper serait volontaire,
que personne ne serait forc de lutiliser la place dautres types de cryptographie. Mais la
raction du public contre le Clipper a t forte, si forte que le gouvernement a anticip.
Lindustrie informatique a affirm de manire monolithique son opposition lusage de
Clipper. Le directeur du FBI, Louis Freeh, rpondit une question lors dune confrence de
presse en 1994 en disant que si Clipper narrivait pas obtenir le soutien du public, et que les
interceptions du FBI taient rduites nant par une cryptographie non contrle par le
gouvernement, son Bureau naurait pas dautre choix que de chercher une solution
lgislative. Plus tard, dans les suites de la tragdie dOklahoma City, M. Freeh tmoignant
devant la Commission Judiciaire du Snat, dclara que la disponibilit publique de
cryptographie sre devait tre restreinte par le gouvernement (bien que personne net
suggr que la cryptographie avait t utilise par les auteurs de lattentat).
LElectronic Privacy Information Center (EPIC) a obtenu des documents rvlateurs
par le biais du Freedom of Information Act [loi sur la libert de linformation]. Dans un
document de travail intitul Encryption: The Threat, Applications and Potential Solutions
[Cryptage: la menace, les applications, et les solutions possibles], et envoy au Conseil
national de scurit en Fvrier 1993, le FBI, la NSA, et le Ministre de la Justice (DOJ)
concluaient que Les solutions techniques, telles quelles existent, marcheront seulement si
elles sont incorpores dans tous les produits de cryptage. Pour sassurer que cela a lieu, une
loi obligeant lutilisation de produits de cryptage approuvs par le Gouvernement ou
ladhsion aux critres de cryptage du Gouvernement est requise.
Le Gouvernement a eu un comportement qui ninspire pas confiance dans le fait quil
nabuseront pas de nos liberts civiles. Le programme COINTELPRO du FBI avait cibl les
groupes qui sopposaient aux politiques du Gouvernement. Ils ont espionn les mouvements
pacifistes et le mouvement des droits civils. Ils ont intercept le tlphone de Martin Luther
King Jr. Nixon avait sa liste dennemis. Et ensuite il y a eu la pagaille du Watergate. Le
Congrs parat maintenant prt faire passer des lois restreignant nos liberts civiles sur
Internet. A aucun moment dans le pass la mfiance envers le Gouvernement na t si
largement partage sur tout le spectre politique quaujourdhui.
Si nous voulons rsister cette tendance inquitante du gouvernement pour rendre
illgale la cryptographie, une mesure que nous pouvons adopter est dutiliser la cryptographie
autant que nous le pouvons actuellement pendant que cest encore lgal. Quand lutilisation
de cryptographie sre devient populaire, il est plus difficile pour le gouvernement de la
criminaliser. Par consquent, utiliser PGP est bon pour prserver la dmocratie.
Si lintimit est mise hors la loi, seuls les hors-la-loi auront une intimit. Les agences de
renseignement ont accs une bonne technologie cryptographique. De mme les trafiquants
darmes et de drogue. Mais les gens ordinaires et les organisations politiques de base
navaient pour la plupart pas eu accs une technologie cryptographique de qualit
militaire abordable.

48

Jusqu prsent. PGP donne aux gens le pouvoir de prendre en main leur intimit. Il y a
un besoin social croissant pour cela. Cest pourquoi je lai cr. 85

Aujourdhui, PGP est le standard en matire de protection du courrier lectronique.

Les groupes de pression

Cette pression est le fait de plusieurs organisations. Elle nest pas seulement amricaine
aussi nous tiendrons compte des avis de la CNIL sur la cryptologie.

Les groupes de pression amricains

LElectronic Frontier Foundation est devenu rapidement un acteur incontournable pour ce


qui est de la protections des droits civils dans le cyberespace. Ils sont dailleurs lorigine de
la campagne du ruban bleu qui illustrait (et illustre encore) de nombreux sites de la Toile.

Pour lEFF, lutilisation et laccs linformation relative la cryptographie est un droit


fondamental dans lequel le gouvernement na pas intervenir. Avec le Digital Privacy and
Security Working Group quelle a organis, lEFF fait opposition contre le projet de loi sur
le tlphone digital et la puce Clipper que lEFF considre comme une machine coute
tlphonique.

En dehors de son aspect de groupe de pression, lEFF est toujours reprsent dans les
procs relatif au contrle de lexportation des outils de cryptographie. Inutile de prciser que
son soutient Philip Zimmermann fut total.
Selon le Monde diplomatique86 , lEFF dispose dune influence relle auprs des membres
du Congrs. Les bureaux de lEFF sont dailleurs situs Washington87 ce qui illustre trs
85

ZIMMERMANN, Philip, Pourquoi jai crit PGP , Mode demploi de PGP freeware version,
http://www.cl.cam.ac.uk/~fapp2/pgpenfrancais/doc.htm
86

EUDES, Yves, Bataille pour la libert sur les rsaux , Le monde diplomatique, hors srie, collection manire
de voir, Octobre 1996, p.37
87

Electronic Frontier Foundation, 1001 G Street NW, Suite 950E, Washington D.C. 20001, USA,
http://www.eff.org

49

justement son activit. Quant au budget de cette fondation, il est assur par de nombreuses
socits impliques dans la cration informatique comme Microsoft, IBM, AT&T, APPLE88 .
Le paradoxe est ici intressant puisque Microsoft nest pas vraiment en phase avec la privacy
quant ses logiciels et quAT&T est la premire socit introduire la puce Clipper dans le
dispositif de scurit du tlphone TSD (Telephone Security Device) modle 3600
LElectronic Privacy Information Center89 (EPIC) est galement un groupe actif,
poursuivant les mmes objectifs que lEFF et localis lui aussi Washington

La France, La Commission Nationale Informatique et Liberts

Autorit administrative indpendante, il semble en effet indiscutable quen matire de


cryptographie, la CNIL a exerc ce qui pourrait sapparenter des pressions sur les derniers
gouvernements. En effet, ds 199690 la CNIL estimait que

l'laboration d'un cadre juridique protgeant le droit de l'individu au respect de sa vie prive
et de l'anonymat s'avre indispensable, notamment par la cration de procdures de cryptage
fiables, lesquelles ncessiteront des directives europennes et des dispositifs de certification
l'chelle europenne.

En 1996 les procds de cryptage navaient rien de fiable puisque les dcrets
dapplication de la Loi de rglementation des tlcommunications91 ne sont sortis quen 1998,
ils taient donc tout simplement interdits en France sauf un avis favorable du SCSSI, organisme
militaire qui na pas dsir rpondre nos appels.

Autorit indpendante, la CNIL nen est pas moins respectueuse des lois. Peut-tre avec
le recul il semble clair que la Commission a fait preuve dironie en soulignant le rle exagr
que la Loi donnait au SCSSI. Elle tenta toutefois la concertation dans le cas dun projet
tlmdecine via linternet.
88

TORRS, Astrad, Faut-il brler Internet , Le monde diplomatique, hors srie, collection manire de voir,
Octobre 1996, p.57
89
http://www.epic.org
90

CNIL, 17me rapport dactivit 1996, Documentation Franaise, ISBN : 2 11 003757-1.

91

Loi n 96-659 du 26 juillet 1996, JO 27 juill. 1996, p. 11384

50

Aussi, la CNIL na-t-elle dlivr un avis favorable quaprs stre assure de lefficacit des
solutions de scurit proposes. Aussi, aprs concertation avec le Service central de la scurit des systmes
d'information (SCSSI), comptent pour autoriser lventuel chiffrement des donnes, la CNIL a estim que
le recours la cryptologie tait indispensable pour assurer une protection efficace des donnes caractre
personnel circulant sur les rseaux. Il en rsulte quil doit tre procd au chiffrement des donnes
transmises par Internet, par un algorithme de cryptage autoris par le SCSSI. 92

Autorit administrative, la CNIL est, contrairement aux groupes de pression amricain,


labris des politiques industrielles et commerciales.

Section II : Le prsent : Les antagonismes en prsence


Les rseaux informatiques ont cr de nouvelles possibilits en ce qui concerne les
communications personnelles et commerciales. Mais cela n'a pas t sans rpercussions
nfastes sur la capacit des organismes d'application des lois de protger le public. La nouvelle
technologie galement produit de nouvelles faon de commettre d'anciens crimes et de
nouvelles faons de dissimuler des preuves. Son utilisation soulve des inquitudes (I) mais elle
peut contribuer protger l'individu (II).

I- La protection de ltat

La scurit publique, la lutte contre la criminalit, la scurit nationale et la conformit


aux rglements, exigent une rglementation adapte. La justification dune rglementation
svre, nest pas moins que de :
"prserver les intrts de la dfense nationale et de la scurit intrieure ou extrieure de l'tat"
(article 28 alina 2 de la loi du 26 juillet 1996).

En effet, le maintien de lordre public est une des rationalits les plus anciennes du droit.
Cette notion dordre public peut tre comprise comme lensemble des normes et valeurs
perues comme fondamentales au sein dune socit et dont la protection et le maintien
incombent une autorit publique dtenant un pouvoir de coercition. Ce sont des normes qui ne
peuvent tre transgresses sans quil ny ait sanction (relle ou apprhende)93 . Ainsi, le thme

92
93

CNIL, 18me rapport dactivit 1997, Documentation Franaise, ISBN : 2 11 004033-5.


Trudel, Pierre et autres, "Droit du cyberespace", Montral, ditions Thmis, 1997, p.54

51

de la scurit est impliqu deux niveaux : la scurit publique qui est une volont de
maintenir lordre public (B) et la scurit nationale qui concerne la protection contre les
menaces extrieures (invasion ou terrorisme) (A).

A- La scurit extrieure
La scurit nationale vise assurer la scurit des tats et des institutions publiques. De
tous temps, les services secrets ont utilis toutes sortes de codages et de moyens
cryptographiques pour communiquer entre agents et gouvernements, de telle sorte que les
ennemis ne puissent pas comprendre les informations changes. La cryptologie a alors
volu dans ces milieux ferms qu'taient les gouvernements, les services secrets et les armes.
Aussi, trs peu de gens, voire personne n'utilisait la cryptographie des fins personnelles. C'est
pourquoi, pendant tant d'annes, la cryptologie est reste une science discrte. La cryptologie
fut longtemps considre comme un instrument de scurit et de protection pour les tats
Nations.

Le droit de la cryptologie opposait les libraux et les scuritaires . Le principe de


libert triomphait dans la majorit des pays membres des organisations internationales, mais
pas dans l'ex-URSS et aux tats-Unis, o les exportations taient svrement limites.

En France, le bien du pays est mis en avant afin de protger ltat-Roi . Pour cela
l'tat se rserve le droit dintervenir tout moment et de contrler tout ce qui se passe sur son
territoire. Mais, la France ne se borne pas intercepter et dchiffrer les messages d'autrui,
comme le font d'autres pays. Elle se particularise par une interdiction assez stricte de crypter
tout message, d'user, fournir et exporter tout moyen de cryptologie. Ainsi, la France est l'un des
pays les plus scuritaires en cryptologie, cela est conforme sa tradition juridique et militaire.
Depuis la loi du 26 juillet 199694 , ainsi que des dcrets95 et des arrts de 199896 , le

94

Loi n96-659 du 26 juillet 1996 sur la rglementation des tlcommunications

95

Dcret n98-206 du 23 mars 1998 relatif aux oprations dispenses de toute formalit pralable, JO du 25 fvrier
1998, p.4448 et 4449
96

Arrt du 13 mars 1998 fixant la forme et le contenu du dossier de demande des organismes grant pour le
compte dautrui des conventions secrtes. , JO du 15 mars 1998, p.3886 3891

52

chiffrement est libre en France pour l'utilisation des clefs d'une longueur infrieure ou gale
40 bits. Mais, un rgime de dclaration ou d'autorisation s'applique dans la plupart des cas.

Cela est justifi par le fait que les procds de cryptage inviolables peuvent tre utiliss
par des gouvernements ou d'autres organisations hostiles pour cacher des informations
subversives. ce titre ils constituent une menace potentielle pour la scurit nationale97 , ils
peuvent encourager le terrorisme et faire craindre des agissements perfides d'tats trangers ou
de groupes organiss.

Ainsi, l'tat invoque le fait qu'il doit avoir accs certains types d'informations pour
pouvoir contrer les rseaux terroristes et les autres types d'activits illgales98 . En effet, les
tats craignent les actions de "crypto-anarchistes"99 , militants purs et durs d'une gnralisation
et d'une libert totale de la cryptographie. Aussi, bien videmment, l'tat cherche ralentir ou
stopper la diffusion de cette technologie, invoquant les impratifs de scurit nationale. Mais
cette position semble extrmiste car les terroristes, les trafiquants d'armes et les espions n'ont
pas attendu la cryptographie pour prosprer.
B- La scurit intrieure
La scurit publique doit protger les valeurs reconnues comme fondamentales au sein
dune socit. Or, pour les tats, une protection trop forte de l'information porte atteinte leurs
scurits et profite au crime organis. Cela constitue ce titre une menace potentielle pour
l'ordre public.

97

Livre Vert de la Commission europenne, La scurit des systmes dinformation, DG XIII 4/1994, points
4.2.5.1 et 5.1.3.
98

GUISNEL Jean, "Guerres dans le cyberespace", ditions la Dcouverte, p. 31 et s. 69 et s.

99

TIMOTHY C.May, "The Crypto Anarchist Manifesto" disponible :


http://www.quadralay.com/Crypto/crypto-anarchist.html ; Sur le sujet voir : GUISNEL Jean, "Guerres dans le
cyberespace", ditions la Dcouverte, p.57.

53

L'tat avance le fait qu'il doit avoir accs certains types d'informations pour pouvoir
contrer la mafia, les narco-trafiquants, le blanchiment de l'argent sale et d'autres types
d'activits illgales100 .D'ailleurs, pour l'Amricain James Kallstrom, agent du FBI :
"Nous ne voulons pas crer de sanctuaire pour les criminels" ou encore : "Un cryptage
inviolable aurait pour seul effet d'assurer l'impunit aux criminels"101 .

En effet, l'efficacit des organismes chargs de dtecter l'activit criminelle, mener leurs
enqutes et poursuivre les dlinquants, dpend souvent de leur capacit d'assurer une
surveillance lectronique des communications et de perquisitionner dans des endroits o
certaines informations pertinentes peuvent tre conserves. Dans de nombreux cas, la rapidit
d'accs l'information est indispensable pour mener bien des enqutes. Cette observation est
particulirement valable pour les systmes informatiques, qui peuvent tre utiliss pour
dplacer, dissimuler ou effacer d'importantes quantits d'informations par une simple pression
sur une touche. Dans certains cas, c'est la rapidit d'action qui peut permettre d'empcher qu'un
crime ou un acte terroriste soit commis.

L'essor des tlcommunications a cr de nouvelles possibilits d'infractions ainsi que de


nouveaux obstacles l'efficacit des contrles. La possibilit d'avoir recours des
tlcommunications protges facilitera toute forme d'activit illgale. En effet, l'ordinateur et
les tlcommunications peuvent tre utiliss des fins de transfert illgal ou de trafic de
stupfiants, d'armes et autres produits dangereux ou illgaux et faire l'objet de poursuites. De
mme, ces nouvelles technologies peuvent permettre le blanchiment de fonds provenant
d'activits criminelles ou encore le transfert illgal d'informations (comme la pornographie
infantile, la propagande haineuse, la proprit intellectuelle, les secrets commerciaux ou d'tat).
Les dlinquants peuvent utiliser les ordinateurs et la technologie des rseaux pour commettre,
sous une nouvelle forme, des crimes qui existaient dj. Or, l'efficacit des organismes chargs
de la scurit public peut tre entrave par un usage libre de la cryptographie.

100

GUISNEL Jean, "Guerres dans le cyberespace", ditions la Dcouverte, p. 31 et s. 69 et s.

101

ZIMMERMAN Philip, "Vie prive, vie crypte", Libration, cahier multimdia, 23 fvrier 1996.

54

Le point V. (Use of Encryption) de la Recommandation du 11 septembre 1995 relative


aux problmes de procdure pnale lis la technologie de l'information est le signe de cette
dfiance des tats vis vis de la cryptographie :
"Des mesures pour minimiser les effets ngatifs de l'utilisation de la cryptographie dans
l'investigation des crimes et dlits doivent tre envisages, sans prjudicier son usage lgitime
plus qu'il n'est ncessaire" 102 .

En effet :
la technologie informatique est sur le point de fournir aux individus et aux groupes la
possibilit de communiquer et d'interagir les uns avec les autres d'une manire totalement
anonyme, et ces dveloppements vont compltement modifier la nature de la rglementation
tatique, la possibilit de taxer et de contrler les interactions conomiques, la possibilit de
garder l'information secrte, et affectera mme la notion de confiance, de rputation...
la crypto-anarchie pourrait permettre le libre commerce de secrets nationaux et la
commercialisation de produits illicites ou vols. Un march informatique anonyme rendrait
mme possible l'mergence de marchs d'assassinats et d'extorsions. Divers lments criminels
et trangers seront des utilisateurs actifs du CryptoNet . Mais cela n'empchera pas la
progression de la crypto-anarchie. 103

L'utilisation de la technologie par les trafiquants de drogue, pour la fraude fiscale, pour le
crime (organis ou non) peut soulever le spectre de la crainte de la dsintgration sociale. De
plus, ct de la lutte contre la mafia et la drogue, la petite et moyenne dlinquance est
galement au cur des proccupations gouvernementales. Or l'usage de la cryptographie peut
empcher l'application de la loi et de raliser des interceptions lgales.

Aussi, Le Conseil de l'Europe a adopt une recommandation le 11 septembre 1995 qui


valorise le concept libral tout en proclamant la ncessit de s'opposer la criminalit induite
par la cryptographie. Un comit d'experts du crime dans le cyberespace, tabli en janvier 1997,
envisage les diverses formes de coopration pour limiter les dlits, les atteintes la scurit et
au patrimoine104 .

102

Recommandation du comit du Conseil de l'Europe n R(95)13, disponible :


http://www2.echo.lu/legal/en/crime/crime.html.
103

C.MAY Timothy, "The Crypto Anarchist Manifesto"disponible : http://www.quadralay.com/Crypto/cryptoanarchist.html ; Sur le sujet voir : GUISNEL jean, "Guerres dans le cyberespace", ditions la Dcouverte, p.57.
104

GUERRIER Claudine, Matre de confrences, spcialise dans le droit des TIC,"Le droit actuel de la
cryptologie est-il adapt aux utilisateurs d'Internet ?" , Lex Electronica - ISSN 1201-7302 - Vol.4 No.1, INT
(Institut National des Tlcommunications)Rue Charles Fourier 91011 Evry, France, 1998.

55

Ainsi, le dveloppement des rseaux informatiques voit merger de nouvelles


proccupations : la scurit informatique, la protection des donnes, la preuve. La
cryptographie, mme si elle n'est pas la solution tous ces problmes en reprsente nanmoins
un pivot essentiel et indispensable. Donc, dans le contexte d'Internet, le droit de la cryptologie
est appel voluer. En effet, pour beaucoup dhabitus des rseaux 105 (y compris des rseaux
ouverts comme linternet) renforcer la scurit nest pas un problme techniquement dlicat. Il
suffirait de pouvoir chiffrer ses donnes avec un algorithme maison, dont la complexit pourrait
varier en fonction du degr de sensibilit des informations qui sont envoyes. Lide, est que
lon ne scurise plus le rseau, accessible tous, mais les informations qui y transitent. Il sagit
dun renversement de lapproche traditionnelle de la scurisation. Malheureusement, aussi
simple que soit cette mthode, comme dans beaucoup dautres tats, chiffrer ses donnes
savre difficile. En effet, le SCSSI a toujours tendance considrer le chiffrement comme une
arme de guerre. Ainsi, ltat estime quil doit tre en mesure de surveiller les communications
qui transitent sur son territoire pour des impratifs dordre public. Ceci afin dviter, en thorie,
des activistes sur coute dlaborer un plan linsu des services de surveillance.
II- La protection de lindividu
Le respect de la vie prive est une des proccupations majeures lencontre des
environnements lectroniques. Mme si le mythe du Big Brother est souvent dmesur si lon
se rfre au faible taux dincidents rapports ou de violation effective. De plus, dans la ralit
actuelle des rseaux de communication, il semble impossible (sinon par des moyens
dmesurs) de contrler le flux dinformations106 . Mais la ncessit de protger la vie prive,
lhonneur et la rputation des individus au sein des environnements lectroniques semble faire
un consensus gnral107 .

105

BLANCHARD Philippe , "Pirates de linformatique, enqute sur les Hackers franais", France, dition Addison
Wesley, juillet 1995.
106

KATSH Ethan, "law in a Digital World", New York, Oxford University Press, 1995

107

Confrence ministrielle du G-7 sur la socit de linformation, conclusions de la prsidence, Bruxelles, 27


fvrier 1995, http://info.ic.gc.ca/ic-data/ppd/g7/concluding.remarks.txt et Commission europenne, livre blanc :
croissance, comptitivit, emploi, les dfis et les pistes pour entrer dans le XXI e sicle, Bruxelles, 1994

56

A- La vie prive

Actuellement le droit la vie prive et les droits qui y sont rattachs sont assurs par
plusieurs normes. La notion de vie prive est apparue comme une catgorie juridique autonome
vers le 19e sicle. Son importance sest accrue dans plusieurs systmes juridiques comme
consquence de la multiplication des technologies permettant de traiter plus dinformations et
de ce fait rendant des intrusions ou des divulgations plus faciles.

La premire reconnaissance de la vie prive comme un droit de lhomme, se trouve dans


la dclaration universelle des droits de lHomme108 . Depuis, ce droit a t reconnu la fois par
la convention europenne de sauvegarde des droits de lHomme et des liberts
fondamentales109 , par le pacte international relatif aux droits civils et politiques110 et par la
convention amricaine relative aux droits de lHomme111 .

Malgr la reconnaissance de la protection de la vie prive, ses contours restent flous. La


plupart des auteurs constate quil est impossible darriver une dfinition qui fait
lunanimit112 . En gnral, la vie prive est entendue comme tant une notion qui participe aux
principes dautonomie de la personne. Normalement elle est dfinie de deux faons : le droit
de vivre en paix sans intrusion ni interruption et le droit de contrler les renseignements qui
touchent sa personne 113 . Pour tablir sil y a atteinte la vie prive, il est ncessaire de
dterminer si une divulgation dinformation porte sur un lment de la vie prive.

108

Article 12 de la Dclaration universelle des droits de lHomme, proclam le 10 dcembre 1948 par lassemble
gnrale des Nations Unis.
109

Article 8 de la Convention europenne de sauvegarde des droits de lHomme et des liberts fondamentales,
signe le 4 novembre 1950, entre en vigueur le 3 septembre 1953
110

Article 17 du Pacte international relatif aux droits civils et politiques, adopt le 16 dcembre 1966 par
lassemble gnrale des Nations Unis.
111

Article 11 de la convention amricaine, adopte le 22 novembre 1969.

112

LINDON Raymond, protection de la vie prive : champ dapplication , 1971, 2, JCP.6734

113

Industrie Canada, la protection de la vie prive et lautoroute canadienne de linformation : une nouvelle
infrastructure de linformation et des tlcommunications, Ottawa, 1994, p5.

57

La vie prive comprend deux grands axes principaux qui permettent de lidentifier. En
premier, la vie prive soppose la vie publique. Ce sont des informations qui ont pour
caractristique didentifier un sujet. Ici, il y a un rattachement la notion dintimit. Ensuite, il
existe un axe contextuel. Le champ de protection de la vie prive varie en fonction des
personnes et des poques. En effet, ce qui est une information assimilable un aspect de la vie
prive pour un inconnu, ne le sera peut tre pas pour une personnalit publique114 .

En France, le droit au respect de la vie prive est reconnu au travers de larticle 9 du Code
civil. Il est constitu de lidentit, du domicile, de la vie sentimentale, de la vie familiale. Mais
de temps en temps, un dbat resurgit afin de dterminer si la notion de vie prive sentend
comme un tout ou juste lintimit de la vie prive. En effet, alors que lalina premier de
larticle 9 du Code civil parle de vie prive, lalina second semble ne prendre en compte que
lintimit de la vie prive. Mais la plupart des tribunaux franais ne font pas la diffrence et
visent aussi bien lune que lautre de ces notions, en les assimilant toutes les deux. En effet, la
Cour de cassation a une jurisprudence assez fluctuante sur la notion. Tantt elle se rfre
lintimit de la vie prive dans un but restrictif115 , tantt elle se rfre la notion de vie prive
sans autre prcision116 . Afin de permettre une prvention des atteintes la vie prive des
utilisateurs denvironnement lectronique, le lgislateur franais a assoupli sa rglementation
en matire de cryptologie.
La loi du 26 juillet 1996117 a introduit des cas o l'usage de la cryptographie peut tre
libre, et o les formalits de dclaration et d'autorisation sont allges. Cependant, un examen
des nouvelles dispositions et de leurs implications pratiques montre qu'en ralit, le systme qui
existe depuis 1990 n'est pas boulevers dans ses fondements. Dsormais, l'utilisation de
procds de cryptographie des fins d'authentification et d'intgrit est libre.

114

MICHAUD Martin, Le droit au respect de la vie prive dans le contexte mdiatique : de Warren et Brandeis
linforoute, Montral, Edition Wilson &Lafleur, 1996, pp.45 et s.
115

Arrt de la 1er chambre civil du 20 octobre 1993, B.I, n295, relatif la publication de renseignements relatifs
aux revenus
116

117

Arrt du 13 avril 1988, B.I, n98, relatif limpratrice dIran.


Loi n96-659 du 26 juillet 1996 sur la rglementation des tlcommunications

58

Il y a toutefois une prcision importante: le procd de cryptographie ne devrait pas


permettre d'assurer des fonctions de confidentialit. Pour assurer la confidentialit l'usage de la
cryptographie est libre, condition que les conventions secrtes soient gres selon certaines
procdures et par un organisme agr : le tiers de confiance . L'instauration de ce que l'on
appelle les tiers de confiance est la principale innovation de la loi.

Ce tiers de confiance est un organisme auquel l'utilisateur confie sa cl prive de cryptage


et qui en cas de ncessit remet ladite cl l'autorit judiciaire ou la police. Les Anglo-saxons
dsignent ce systme sous le terme de "key-escrow" ou de "GAK" pour Gouvernement Access
to Keys (Accs du Gouvernement aux Cls). Dans le systme imagin par le lgislateur
franais, le tiers de confiance ne se limite pas tre le dpositaire des cls prives, il en assure
la gestion pour le compte de l'utilisateur : cest en fait un tiers de squestre.
L'organisme passe un contrat avec l'utilisateur et lui transmet les cls utiliser pour chiffrer son
information. Le tiers de confiance devient le garant de la fiabilit des moyens de cryptographie
utiliss. L'utilisateur n'est donc pas autoris utiliser des logiciels qui lui permettent de gnrer
lui-mme sa cl prive.

Ces tiers de confiance devront tre agrs par le 1er Ministre. Le dcret du 23 mars
1998118 , complt par un arrt du 13 mars 1998119 , dfinit les conditions dans lesquelles sont
agrs les organismes grant pour le compte dautrui des conventions secrtes de cryptologie.
La France est le premier pays au monde se doter dun tel systme (et le seul jusqu prsent).
Un tiers de confiance120 est un organisme charg de grer les cls prives de chiffrement (les
conventions secrtes) utilises pour garantir la confidentialit dune information, les
transmettre lutilisateur et qui doit remettre ladite cl lautorit judiciaire ou aux services
chargs des coutes administratives dans les cas prvus par la loi du 10 juillet 1991 relative au
secret des correspondances mises par la voie des tlcommunications.

118

Dcret n98-206 du 23 mars 1998 relatif aux oprations dispenses de toute formalit pralable, JO du 25
fvrier 1998, p.4448 et 4449
119

Arrt du 13 mars 1998 fixant la forme et le contenu du dossier de demande des organismes grant pour le
compte dautrui des conventions secrtes, JO du 15 mars 1998, p.3886 3891
120

La loi emploie le terme dorganisme agr.

59

La notion de gestion exclut que lon puisse utiliser des logiciels qui permettent de gnrer de
manire autonome sa propre cl prive : cest le tiers de confiance qui transmet lutilisateur
les cls utiliser pour chiffrer ses donnes. Dailleurs, larticle 10 du dcret indique bien que
lorganisme dlivre copie de ses conventions secrtes lutilisateur.

Lorganisme sera agr par le Premier ministre, dans les conditions fixes par le dcret
du 24 fvrier 1998. Il devra notamment remettre un cahier des charges conforme au modle
fix par larrt du 13 mars 1998 et dcrivant ses obligations et notamment, dtaillant les
mesures prises en matire de scurit. Les mesures de scurit concernent aussi bien les
prestations offertes, que le personnel, les locaux physiques, et la scurit informatique.
Lorganisme agr devra compter un nombre suffisant de personnes habilites, pour tre en
mesure de connatre les informations classes, intressant la dfense nationale et la sret de
ltat121 . Les personnes appeles remettre, (cest--dire dlivrer les conventions secrtes
une autorit habilite) ou mettre en uvre (cest--dire restituer en clair des donnes
fournies chiffres par une autorit habilite), les conventions secrtes doivent tre habilites au
niveau secret-dfense, et doivent tre deux disponibles 24 H/24 pour la remise des cls.
Lagrment sera accord aprs avis de 4 ministres (dfense, intrieur, industrie,
tlcommunications) et pourra tre refus pour des motifs lis aux intrts de la dfense
nationale ou de la scurit intrieure ou extrieure de ltat : autant dire que ltat dispose dun
large pouvoir discrtionnaire. Il est possible, mme si les rfrences la nationalit qui
figuraient dans le projet de dcret ont t enleves, que seules des entreprises franaises en
outre dj agres secret-dfense puissent remplir les conditions exiges. Lorganisme
agr devra exercer ses activits sur le territoire national (article II de la loi). Il devra disposer
dune infrastructure en moyens humains, matriels et logistiques importants pour tre en
mesure de satisfaire aux conditions requises par larrt : procdures administratives et
techniques de scurit dcrites dans des guides et manuels de la scurit, dsignation dun
responsable de la scurit, personnel habilit techniquement et soumis des obligations strictes
de respect du secret professionnel et des correspondances prives, activits relatives aux
conventions secrtes exerces dans des locaux zone accs contrl, utilisation dun systme
informatique ddi la gestion des conventions secrtes (ce qui signifie notamment que ce
systme ne devra pas tre reli un rseau dordinateur ou de tlcommunication donc

60

Internet). Aucune personne ne doit dtenir directement laccs aux conventions secrtes, le
dchiffrement devant soprer avec un dispositif dtenu par des oprateurs diffrents. Or, dans
un systme informatique classique, ladministrateur systme a en principe accs toutes les
donnes, cela est inhrent la technique. La seule exception concerne les systmes militaires
hautement scuriss. Dune manire gnrale, cest bien une scurit de type militaire que
devra mettre en uvre lorganisme agr. Enfin, le contrle des mesures et procdures de
scurit prises est assur par le SCSSI (article 15 du dcret).

Entre le tiers de confiance et lutilisateur un contrat sera pass. A la diffrence des


questions relatives la scurit et la remise de conventions secrtes, la question des
obligations du tiers de confiance envers ses clients est voque de manire trs gnrique dans
le dcret et larrt qui renvoient au contrat entre lutilisateur et lorganisme. Cependant, les
obligations la charge du tiers de confiance en matire de scurit sont prcises dans le
dcret. Il est prvu notamment que le contrat comprend un engagement de lorganisme relatif
la scurit des conventions secrtes quil gre dont la porte nest toutefois pas prcise. Les
mesures ncessaires doivent tre prises par lorganisme agr pour prserver la scurit des
conventions secrtes, afin dempcher quelles ne puissent tre altres, endommages,
dtruites ou communiques des tiers non autoriss. Lorganisme agr doit prendre toutes
dispositions, notamment contractuelles, vis--vis de son personnel, de ses partenaires, clients et
fournisseurs, afin que soit respecte en permanence la confidentialit des informations de toute
nature dont il a connaissance. Les mesures prises pour prserver la scurit des conventions
secrtes doivent tre notifies au SCSSI par le tiers de confiance.

Le contrat doit contenir galement les modalits selon lesquelles lutilisateur ou une
personne mandate par lui, pourra se faire dlivrer copie de ses conventions secrtes durant son
contrat ou aprs son terme (article 10 3 du dcret), et selon larticle 9 du modle de cahier des
charges: les rgles du moyen demploi et des conventions secrtes distribues, les sanctions
encourues par le client en cas de mauvais usage ou de dtournement du moyen, les sanctions
encourues par le gestionnaire en cas de perte, vol ou altration des conventions secrtes.

121

Article 4 du dcret renvoyant au dcret n81-514 du 12 mai 1981, abrog et remplac par le dcret n98-608 du
17 juillet 1998 relatif la protection des secrets de la dfense nationale.

61

Bien que la loi indique que lutilisation de moyens de chiffrement fournie par un tiers de
confiance est libre, les utilisateurs de ces produits sont suivis par ladministration. En effet,
le dcret indique que le tiers de confiance doit tenir jour et communiquer au moins deux fois
par an au SCSSI une liste de ses clients. Des dispositions techniques doivent tre prises afin de
permettre pour chaque message ou communication protge laide dune convention secrte,
didentifier lorganisme agr et lutilisateur concern. La valeur de lidentifiant permettant
cette identification doit galement tre communique au SCSSI pour chaque client.

Mais lobligation principale du tiers de confiance est la remise des cls prives aux
autorits habilites. Il doit maintenir un service permanent de mise en uvre ou de remise des
conventions secrtes au profit des autorits. Il doit tenir jour deux registres distincts : lun
concernant les demandes prsentes par les autorits judiciaires, lautre concernant les
demandes effectues dans le cadre du titre II de la loi du 10 juillet 1991 (interceptions de
scurit dites coutes administratives), et class secret dfense. Les deux registres doivent tre
conservs dans une armoire forte place dans la zone daccs contrl. Les modalits pratiques
de remise des conventions secrtes ou de mises en uvre sont classifies, ce qui sexplique par
les mesures de contrle daccs exiges, mais pourrait tre de nature gner lexercice des
droits de la dfense.

En ce qui concerne les moyens de cryptographie, un dcret fixe les conditions dans
lesquelles sont souscrites les dclarations et accordes les autorisations :

a) un rgime simplifi de dclaration ou d'autorisation pour certains types de moyens ou


de prestations ou pour certaines catgories d'utilisateurs. Cette disposition concerne
par exemple les banques qui bnficient dj d'autorisations pour assurer la scurit
de leurs transactions financires ou encore les services de l'tat comme l'arme ou la
police.

b) la substitution de la dclaration l'autorisation pour les oprations portant sur des


moyens ou des prestations de cryptologie, dont les caractristiques techniques ou les
conditions d'utilisation, tout en justifiant, au regard des intrts sus mentionns, un
suivi particulier, n'exigent pas l'autorisation pralable de ces oprations.

62

c) la dispense de toute formalit pralable pour les oprations portant sur des moyens ou
des prestations de cryptologie, dont les caractristiques techniques ou les conditions
d'utilisation sont telles que ces oprations ne sont pas susceptibles de porter atteinte
aux intrts mentionns au deuxime alina.

Les intrts auxquels ces textes font rfrence sont les intrts de la dfense nationale et
de la scurit intrieure et extrieure de l'tat. Il sera intressant de connatre les procds de
cryptographie dont les caractristiques techniques ou les conditions d'utilisation sont telles que
ces oprations ne sont pas susceptibles de porter atteinte aux intrts prcits, c'est--dire les
procds de chiffrement aisment cassables par les services de renseignement franais.

Ensuite, cette rglementation (loi du 26 juillet 1996) aggrave les peines de prison
encourues qui passent de 3 6 mois et l'importation d'un produit de cryptologie venant d'un
pays n'appartenant pas la Communaut europenne est dsormais passible de sanctions
pnales, ce qui n'tait pas le cas auparavant (cette nouvelle incrimination ne va pas manquer de
poser certains problmes d'application. En effet, on peut tlcharger sur l'Internet des logiciels
incorporant des fonctionnalits de cryptage qui n'ont pas t autoriss en France, mais qui
peuvent tre utiliss et fournis dans d'autres pays. Or les sites qui proposent ces logiciels
peuvent tre indiffremment situs dans des pays de lunion europenne comme la Sude, ou
dans des pays n'appartenant pas lunion comme la Norvge.).

La loi cre galement le dlit d'exercice illgal d'une activit de tiers de confiance :
"Le fait de grer, pour le compte d'autrui, des conventions secrtes de moyens ou de prestations
de cryptologie permettant d'assurer des fonctions de confidentialit sans avoir obtenu l'agrment
est puni de deux ans d'emprisonnement et de 300 000 francs d'amende".
Enfin, "le fait de fournir, d'importer de pays n'appartenant pas la Communaut europenne,
d'exporter un moyen ou une prestation de cryptologie en vue de faciliter la prparation ou la
commission d'un crime ou d'un dlit est puni de trois ans d'emprisonnement et de 500 000 francs
d'amende".

Finalement, le texte prvoit que le tiers de confiance est soumis au secret professionnel.
Les dispositions de l'article 226-13 du Code pnal qui prcisent que :

63

"la rvlation d'une information caractre secret par une personne qui en est dpositaire soit
par tat ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie
d'un an d'emprisonnement et de 100 000 francs d'amende."

Ces dispositions pourront donc tre invoques. En revanche, l'article 432-9 sur l'atteinte
au secret des correspondances qui punit de trois ans d'emprisonnement le fait par une personne
dpositaire de l'autorit publique, l'exploitant d'un rseau de tlcommunications ou le
fournisseur d'un service de tlcommunications, agissant dans l'exercice de ses fonctions
d'ordonner, de commettre ou de faciliter, hors les cas prvus par la loi, l'interception ou le
dtournement des correspondances, ne semble pas applicable, sauf considrer que le tiers de
confiance est dpositaire de l'autorit publique ou charg d'une mission de service public.

En cas de non respect de ses obligations, le tiers de confiance risque toujours le retrait de
lagrment et la cessation dactivit. Lagrment peut tre retir tout moment en cas de non
respect des conditions fixes dans le cahier des charges. Le titulaire de lagrment dispose dun
trs court dlai (8 jours) pour faire ses observations, dlai qui peut tre supprim en cas
durgence. En cas de cessation dactivit ou de retrait dagrment, lorganisme doit
communiquer ses clients la liste des organismes agrs offrant les mmes services afin de
pouvoir leur confier les conventions secrtes. Les dlais et les difficults pour changer
dorganisme ne sont pas voqus. Que se passe-t-il par exemple si les moyens proposs par les
tiers de confiance ne sont pas compatibles avec les moyens du nouveau tiers de confiance ?
Dans une telle hypothse, il ny aurait sans doute pas dautre possibilit que de dposer les cls
auprs du SCSSI, organisme dsign par arrt pour recevoir les cls lissue dun dlai de 4
ans compter de la date de signature du contrat ou en cas de dfaut de choix dun nouvel
organisme par lutilisateur en cas de cessation dactivit ou de retrait

Malgr les allgements annoncs, la cryptographie restait en France trs svrement


rglemente. Les peines ont t aggraves et de nouvelles infractions ont t cres. En
revanche, la cl prive restait en possession de l'utilisateur. Ainsi, la cryptographie n'est plus
rserve aux seuls militaires. En effet, ses applications civiles sont aujourd'hui indispensables
au dveloppement des rseaux. L'article 28 modifi de la loi fait lui-mme rfrence " la
protection des informations et le dveloppement des communications et des transactions
scurises".

64

Ainsi, en rnovant sa politique en matire de cryptographie, le lgislateur franais, na fait


quharmoniser sa rglementation avec les politiques en matire de cryptologie de lunion
europenne et de lOCDE.

Au niveau europen, la Commission europenne estime que les considrations en matire


de protection de la vie prive ne limitent pas lusage de la cryptographie en tant que moyen
dassurer la scurit des donnes et la confidentialit. En effet le droit fondamental la
prservation de la vie priv doit tre assur, mais peut tre limit pour dautres raisons
lgitimes, telles que la sauvegarde de la scurit nationale ou la lutte contre le crime, si ces
restrictions sont appropries, efficaces, ncessaires et proportionnes afin datteindre ces autres
objectifs. De cette faon, la Directive communautaire sur la protection des donnes122
harmonise les conditions selon lesquelles laccs aux donnes personnelles, leurs traitements et
leurs transferts vers un pays tiers sont lgales.

En ce qui concerne la scurit des donnes, la directive oblige les tats membres
assurer quun contrleur de donnes

mette en uvre des mesures techniques et

organisationnelles appropries, afin de protger les donnes contre une destruction accidentelle
ou illgale, une perte accidentelle, une altration, une rvlation ou un accs non autoris (en
particulier quand le traitement ncessite la transmission de donnes sur des rseaux) et contre
toute autre forme illgale de traitement.

La cryptographie est un moyen technique important permettant dassurer lintgrit des


donnes et leur confidentialit. Afin dassurer galement la circulation de donnes personnelles
dans le March intrieur, de tels moyens techniques doivent pouvoir voyager avec les
informations personnelles quils protgent. Ainsi, toute rglementation entravant lusage de
produits et de services de chiffrement travers le March intrieur entrave donc la circulation

122

Directive 95/46/CE du 24.10.95 relative la protection des personnes physiques lgard du traitement des
donnes caractre personnel et la libre circulation de ces donnes ; JO L 281/31 du 23.11.95. Voir aussi la
Position Commune 57/96 du 12.9.96 visant ladoption dune Directive du Parlement europen et du Conseil
concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des
tlcommunications, en particulier des rseaux numriques intgration de services (RNIS) et des rseaux mobiles
numriques publics (JO C315 du 24.10.96), qui tabli les rgles spcifiques pour la protection des donnes et le
droit la vie priv en rapport avec les rseaux de tlcommunications.

65

scurise et libre des informations personnelles, et la fourniture des biens et services qui y sont
lis.

De mme, lOCDE au travers de ses lignes directrices, sur une politique de


cryptographie123 , reconnat que les droits fondamentaux des individus au respect de leur vie
prive, notamment au secret des communications et la protection des donnes de caractre
personnel, devraient tre respects dans les politiques nationales lgard de la cryptographie
et dans la mise en uvre et lutilisation des mthodes cryptographiques. En effet, lOCDE
admet que ces mthodes peuvent tre un instrument prcieux pour protger la vie prive,
notamment en ce qui concerne tant la confidentialit des donnes et les communications que la
protection de lidentit des personnes. Ainsi, pour cette organisation, la cryptologie offre aussi
de nouvelles possibilits de limiter le recueil de donnes personnel, en permettant des
paiements, transactions et changes srs mais anonymes. Cette prise de conscience nest pas
rcente, lOCDE avait dj, en 1980124 et en 1992125 mis en vidence des besoins de moyens
techniques, pour assurer la protection des donnes personnelles et de la vie prive ainsi que la
scurit des systmes dinformation. Depuis 1989 le comit de la politique de linformation, de
linformatique et des communications (PIIC) de lOCDE a inclus les technologies et politiques
de cryptographie dans ses travaux sur la scurit et la vie prive. Cette prise de conscience, de
limportance de la cryptographie dans la protection de la vie prive des individus, a abouti les
27 et 28 fvrier 1997 llaboration de ces lignes directrices en matire de cryptographie. Et
aprs soumission au conseil celui-ci a adopt ces lignes directrices en tant que recommandation
du conseil relative aux lignes directrices rgissant la politique de cryptographie du 27 mars
1997.

Mais, la notion de vie prive na pas une signification unanime dans le monde et la vision
franaise de cette notion nest peut tre pas celle qui parat la plus adapte un environnement
lectronique.
123

" La politique de cryptographie : les lignes directrices et les questions actuelles "(les lignes directrices rgissant
la politique de cryptographie de lOCDE et le rapport sur la politique de cryptographie : contexte et questions
actuelles), OCDE/GD (97) 204, le 27.03.1997
124

Lignes directrices rgissant la protection de la vie prive et les flux transfrontires de donnes de caractre
personnel
125

Lignes directrices rgissant la scurit des systmes dinformation

66

B- La privacy

La notion de privacy est beaucoup plus large que notre notion de vie prive. Il peut tre
intressant de se pencher ici sur le Qubec qui est une socit distincte du reste du Canada non
seulement de part sa langue officielle mais aussi de part son Code civil. Cela dit, isol dans un
espace trs majoritairement anglo-saxon, le Qubec est influenc par des rgles de common law
et dequity. Enfin il y a un rle unificateur de la Cour suprme du Canada dans lequel 9 juges
(dont trois qubcois) unifient, en tenant compte des particularismes (du droit civil mais aussi
des droit amrindiens et de linfluence des tats-Unis) pour lensemble du Canada .

Le juge Baudoin de la Cour dappel du Qubec nous a donn une illustration de cette
diffrence par rapport linterprtation de la Charte qubcoise des droits et liberts126 qui,
dans son article 5 dispose que toute personne droit au respect de sa vie prive :
c) Le respect de la vie prive (art. 5)
Le contenu exact de ce qu'est la vie prive, selon l'article 5 de la charte, reste encore dfinir.
Plusieurs auteurs se sont efforcs d'en prciser l'tendue et les contours.
Il convient toutefois, contrairement ce qui a t plaid oralement devant nous, de ne pas
confondre le droit la vie prive, concept de droit civil, et le "Right of Privacy", notion de
common law et plus particulirement du droit amricain. Au primtre beaucoup plus large et
dont les tribunaux des U.S.A. et des autres provinces canadiennes se sont servis pour dfinir non
seulement le droit l'intimit stricto sensu, mais aussi certaines liberts publiques. 127

La notion de privacy ne peut pas vraiment tre cern sous une dfinition stricte et fige :
ce concept volue en permanence avec le dveloppement des techniques (et la cryptographie
usage prive est un exemple flagrant de cette volution), mais galement avec le
dveloppement des mentalits, cela dit cette volution sest toujours faite vers une meilleure
garantie offerte aux individus.

Pour illustrer ce propos nous traiterons de larrt Reine c. Edwards de la Cour suprme du
Canada (annexe 5) relatif une affaire stant droule dans la province anglophone de
lOntario. Cet arrt concerne les fouilles et le respects du domicile et on peut facilement ici
faire une analogie avec la cryptologie qui, prcisment limite lefficacit de ce pouvoir de
126

Charte des droits et liberts de la personne, L.R.Q., C-12

127

Godbout c. Longueuil (ville de). C.A. [1995] R.J.Q. p. 2569.

67

ltat rgalien. Par ailleurs cet arrt illustre bien la richesse de la notion de privacy, il mrite
donc de figurer intgralement en annexe de ce mmoire.
Ainsi, le juge Cory de la Cour suprme du Canada, propos des droits quun accus de
contester ladmission dlments de preuve obtenus la suite dune perquisition dans des lieux
occups par un tiers sest pench sur lapplication donner larticle 8 de la Charte canadienne
des droits et liberts128 qui dispose que chacun droit la protection contre les fouilles, les
perquisitions ou les saisis abusives . Pour la Cour suprme du Canada,

Un examen des arrts rcents de notre Cour et de ceux de la Cour suprme des tats-Unis, que
j'estime convaincants et applicables bon droit la situation dont nous sommes saisis, indique
qu'il est possible de dgager certains principes quant la nature du droit la protection contre
les fouilles, les perquisitions ou les saisies abusives, garanti par l'art. 8. J'estime qu'ils peuvent
tre rsums de la faon suivante:
1.

Une demande de rparation [] ne peut tre prsente que par la


personne dont les droits garantis par la Charte ont t viols. Voir R. c.
Rahey, [1987] 1 R.C.S. 588, la p. 619.
Comme tous les droits garantis par la Charte, l'art. 8 est un droit
personnel. Il protge les personnes et non les lieux. []
Le droit d'attaquer la lgalit d'une fouille ou perquisition dpend de la
capacit de l'accus d'tablir qu'il y eu violation de son droit personnel
la vie prive. []
En rgle gnrale, deux questions distinctes doivent tre poses
relativement l'art. 8. Premirement, l'accus pouvait-il raisonnablement
s'attendre au respect de sa vie prive? Deuximement, si tel est le cas, la
fouille ou la perquisition a-t-elle t effectue de faon raisonnable par la
police? []
L'existence d'une attente raisonnable en matire de vie prive doit tre
dtermine eu gard l'ensemble des circonstances. []
Les facteurs qui peuvent tre pris en considration dans l'apprciation de
l'ensemble des circonstances incluent notamment:

2.
3.

4.

5.
6.

(i)
(ii)
(iii)
(iv)
(v)
(vi)
(vii)

la prsence au moment de la perquisition;


la possession ou le contrle du bien ou du lieu faisant l'objet de la
fouille ou de la perquisition;
la proprit du bien ou du lieu;
l'usage historique du bien ou de l'article;
l'habilit rgir l'accs au lieu, y compris le droit d'y recevoir ou d'en
exclure autrui;
l'existence d'une attente subjective en matire de vie prive;
le caractre raisonnable de l'attente, sur le plan objectif.

Voir United States c. Gomez, 16 F.3d 254 (8th Cir. 1994), la p. 256.
7.

128
129

Si l'accus tablit l'existence d'une attente raisonnable en matire de vie prive, il


faut alors, dans un deuxime temps, dterminer si la perquisition ou la fouille a t
effectue de faon raisonnable. 129

L.R.C. (1985). App. II, n44


R. c. Edwards, [1996] 1 R.C.S. 128, 45

68

Les juges de la Cour suprme sexpriment nominalement130 . Il est alors intressant de


constater que si ces juges ne contestent pas les conclusions de la majorit, ils peuvent prouver
la ncessit de se manifester pour donner des nuances ou exprimer une dissidence. Les
dcisions tant rendue la majorit des juges. Le juge La Forest argumenta contre
linterprtation faite par le juge Cory sur la port de larticle 8 de la Charte canadienne.
[son] avis, le texte de l'art. 8 ne limite pas la protection qu'il garantit aux fouilles ou
perquisitions dans des lieux sur lesquels un accus possde un droit personnel la vie prive, au
sens qu'il existe un lien direct de contrle ou de proprit. La disposition vise plutt nous
protger tous contre l'intrusion de l'tat ou de ses reprsentants par des fouilles, perquisitions
ou saisies abusives; elle ne vise pas seulement protger les criminels, quoique la rparation la
plus efficace -- et c'est le prix payer pour assurer la libert de tous et chacun -- protgera
invitablement le criminel. 131 [nous soulignons]

Le contrle consiste ici apprcier si, dans une situation donne, le droit du public de ne
pas tre importun par le gouvernement doit cder le pas au droit du gouvernement de
simmiscer dans la vie prive des particuliers afin de raliser ses fins et, notamment, dassurer
lapplication de la loi. En fait, il ny a pas interdiction des fouilles mais plutt une garantie
offerte aux individus dtre protg contre les fouilles. Dailleurs dans larrt R. c. Dyment132 ,
le juge La Forest estime avec le reste de la Cour suprme de Canada que
Le point de vue qui prcde est tout fait appropri dans le cas d'un document constitutionnel enchss
une poque o, selon ce que nous dit Westin, la socit a fini par se rendre compte que la notion de vie
prive est au cur de celle de la libert dans un tat moderne; voir Alan F. Westin, Privacy and Freedom
(1970), aux pp. 349 et 350. Fonde sur l'autonomie morale et physique de la personne, la notion de vie
prive est essentielle son bien-tre. Ne serait-ce que pour cette raison, elle mriterait une protection
constitutionnelle, mais elle revt aussi une importance capitale sur le plan de l'ordre public. L'interdiction
qui est faite au gouvernement de s'intresser de trop prs la vie des citoyens touche l'essence mme de
l'tat dmocratique.

Pour cet arrt Canadien, et pour viter lambigut, nous rappelons que la vie priv dont il
est question est, dans la version anglaise de larrt, la privacy. Ces articles des chartes
qubcoise et canadienne regroupent des notions galement prsentes dans le quatrime
amendement la Constitution Des tats-Unis qui assure le droit des citoyens dtre garantis
dans leurs personnes, domicile, papiers et effet, contre des perquisition et saisies
draisonnables . Nous le voyons, les notions de privacy dgags ici sont pertinentes par

130

les seuls cas o les arrts ne portent aucune mention des juges sont les dcisions qui auraient de trs fortes
consquences politique (comme sur la scession du Qubec ou sur la politique linguistique au Manitoba)
131
R. c. Edwards, [1996] 1 R.C.S. 128, 59
132
[1988] 2 R.C.S. 417

69

rapport au sujet de ce mmoire : la cryptographie permet aux individus dassurer pour eux
mme le respect de leur privacy.

De part le nombre dutilisateurs, linternet est domin par les anglo-saxons et donc,
indirectement, les notions nord amricaines tendent simposer comme de vritables normes
sur linternet. La notion de privacy commence apparatre dans nos raisonnement
continentaux. On traite ainsi de plus en plus souvent dun critre de raisonnabilit dans les
matires du droit de linformatique comme solution aux problmes133 . Ainsi on pourrait
considrer comme raisonnable le fait de dcrypter ou dcouter les conversations dune
personne srieusement souponne de terrorisme mais compltement hors de proportion, le fait
despionner les conversations dune actrice sans justification aux yeux de lintrt de ltat

Sans aucun doute la notion de privacy est importante dans toute approche juridique de la
cryptologie. Son importance correspond, en France, un lgitime soucis de comprendre la
philosophie de linternet. Elle correspond surtout un lgitime soucis des individus dassurer
leur panouissement labris des coutes indiscrtes. Ce droit est donc devenu, ou deviendra
invitablement, celui de linternaute et, peut-tre par un effet de mimtisme, celui de
lutilisateur des autres outils de tlcommunication puisque les algorithmes de cryptages
sappliquent galement toutes les communications134 .

Section III : Le futur : La protection de la vie prive


Confront au phnomne socitaire rvolutionnaire que reprsente les rseaux,
notamment la dislocation des frontires, de l'espace et du temps, le droit tatique, expression de
la rgulation sociale des comportements, est prsent. Ce droit ne peut se contenter de dplorer
la difficult de son application. Il doit trouver dans une expression normative plurielle la
manire adquate d'agir. Le lgislateur doit peser le pour et le contre de chaque mesure prise.

133

VIVANT, Michel et Christian LE STANC, Lamy droit de linformatique, 1998

134

Voir par exemple le logiciel net2phone (http://www.net2phone.com), permet de tlphoner partout dans le
monde via linternet, ou les logiciels de visioconfrences, qui peuvent ou pourront galement tre crypts lorsque
les ordinateurs et dbits de communication seront assez rapides pour que napparaisse aucune attente dans les
communications.

70

En effet, il revient aux tats de raliser les adaptations juridiques ncessaires pour que les
individus puissent voluer dans un cadre inspirant confiance. L'utilisation de la cryptologie
oscille entre deux mondes : celui des liberts sans contrle et celui fond sur les lois (l'intrt
de l'tat). C'est en tenant compte de ces deux paramtres que le rle essentiel du droit ralisera
sa fonction rglementaire pour le maintien d'une socit libre. Pour cela, le lgislateur a adopt
une nouvelle politique normative (I) qui va engendrer un nouveau rle pour l'tat (II).

I- Laboutissement des nouvelles orientations normatives

La ncessit de dvelopper, pour des raisons de protection de la vie prive, le droit de


l'utilisateur d'utiliser des techniques d'anonymisation de ses transmissions amne l'tat viter
un excs de rglementation (A). Mais, l'heure de la mondialisation des rseaux, il doit veiller
ce que sa politique nationale ne soit pas isole (B).

A- Une libralisation totale


Derrire la grande rforme de la scurit sociale annonce par le Premier ministre, se
profile un grand chantier informatique. L'axe principal, en sera le "codage" des actes, des
pathologies et des mdicaments, qui devrait permettre de mieux cerner les dpenses de sant.
Un codage qui ncessitera une numrisation des prestations mdicales, d'o la cration d'une
multitude de rseaux informatiques entre les diffrents acteurs de la

scurit sociale. Le

problme, est que sur ces rseaux vont transiter des informations sensibles lies au secret
mdical.

Pour assurer sa confidentialit, il faudra sans nul doute utiliser un chiffrement puissant.
C'est dire, un chiffrement suffisamment puissant, pour que le gouvernement ne puissent pas
espionner. Ainsi, entre en scne le SCSSI, le service de Matignon charg de distribuer (avec
parcimonie) les autorisations de cryptage des donnes.
Pour prparer ce passage linformatique, toute la sant publique, mdecins, pharmaciens,
responsables ministriels, de la scurit sociale et des caisses d'assurance maladie, ainsi que les
industriels et vendeurs de carte puce, se sont retrouvs pendant deux jours pour un colloque
organis l'htel Mridien de Paris (Economie et Sant, 21 et 22 novembre 1995).

71

Il en ressort que tous les remboursements s'effectueront par tltransmission. Quen est-il
de la garanti du secret mdical ? Du risque d'intrusion informatique ? Du risque de contrle des
assurs en fonction de leur pathologie ?

En effet, les rseaux numriques de prestations sociales existent dj. Dailleurs dans un
des ateliers, un reprsentant des pharmaciens est venu dire l'audience qu'un grand nombre des
officines taient dj connects leur caisse primaire pour enregistrer les transactions de
remboursement. Questionn en priv aprs le dbat, cet expert a pris soin de souligner que tout
cela tait scuris : une enveloppe lectronique scelle l'opration de manire ce que l'on
sache si quelqu'un l'a modifi. Mais, est-ce rellement une scurit ? C'est plutt ce qu'on
appelle une signature lectronique : l'intgrit du message est respecte, mais pas sa
confidentialit. Donc, ce nest pas vraiment une scurit.

Tout cela ft confirm par un reprsentant de la branche sant du groupe Schlumberger.


Toutes ces transmissions ne sont pas scurises. Dailleurs, un reprsentant de la CNIL a
confirm que seules certains types d'changes taient vraiment scuriss. Le reste passe presque
en clair, donc avec la mme scurit (c'est dire aucune) que sur support papier.

Ainsi, si la liste des mdicaments que lon achte peut tre considre comme sensible,
que dire de notre fiche d'identit thrapeutique appele le carnet mdical . C'est l'autre
lment sensible avanc par le gouvernement, la mise en place terme, du carnet mdical sur
support informatique. Ce carnet , qui retracera tout le parcours mdical et thrapeutique du
patient, se retrouvera sur une carte individuelle. Cela recoupe le projet de carte SesamVitale , qui fait l'objet de tests et d'essais entre professionnels et assurs. Le but est dobtenir
une carte pour l'assur, une autre pour le mdecin, le pharmacien, le laboratoire d'analyse ou
l'infirmire en ambulatoire ; Un lecteur de carte ; un PC ; et l'acte mdical est inscrit sur les
deux supports ; puis transmis par rseau au centre de remboursement d'assurance maladie. Le
carnet mdical devrait tre confondu avec la carte de scurit sociale puce de l'assur.
Alors il faudra scuriser cette information numrique, dans le stockage et la transmission. Il
faut reconnatre que la notion de vie prive fut mise en avant par la plupart des intervenants.
Aussi, le chiffrement parat rsoudre une partie du problme. Mais de quels degrs de scurit

72

le secret mdical est-il cens bnficier ? Le SCSSI135 avait, seulement, accept de constituer
un groupe de travail avec certains conseils de l'ordre (dont celui des mdecins), l'assurance
maladie et la CNIL pour rflchir des solutions acceptables pour tout le monde. Mais l'tat
va-t-il se rserver une possibilit afin dintercepter les communications ?

L'exemple britannique peut laisser prsager le pire: en octobre 1995, la British Medical
Association annonait qu'elle boycotterait le futur rseau de la scurit sociale de Sa Majest (le
National Health Service). En effet, le gouvernement, sous la pression du Gnral
Communications Headquarters (GCHQ), l'quivalent du SCSSI, a dcid d'interdire l'usage du
chiffrement sur ce rseau.

Ce dtail inquite les informaticiens de l'assurance maladie. Notamment le CESSI


(curieusement absent du colloque), le Centre d'tude et de scurit informatique de la CNAM,
charg de construire le rseau interne qui connectera l'ensemble des caisses primaires. Ainsi, un
responsable du CESSI fit cette rflexion :
"Nous ferons tout pour obtenir le plus haut degrs de scurit dans la transmission, le stockage
et le traitement des informations mdicales pris en charge par la CNAM. La notion de secret doit
rester intacte. Il est pour moi hors de question que les cls des serrures qui protgeront ce secret
soient mis entre les mains d'organismes du type du GCHQ britannique..."136 .

Mais la mise en place de ces rseaux constitue pour la CNIL une de ses proccupations
majeures. Surtout s'il est question dutiliser un rseau ouvert tel que Internet. Aussi, le 4 fvrier
1997, la CNIL adoptait une recommandation de porte gnrale sur le traitement des donnes
de sant caractre personnelles137 . La CNIL exige :
le chiffrement des donnes de sant caractre personnel circulant sur les rseaux, par un
algorithme de cryptage autoris par le SCSSI. 138

135

Le service central de la scurit des systmes d'informations, service de Matignon charg de donner des
autorisations tout systme de cryptage des donnes.
136

" Le secret mdical la merci du SCSSI", netizen - 22 nov. 1995, ngroups : fr.network.divers,
fr.comp.infosystemes
137

138

J.O du 12 avril 1997.


18e rapport dactivit de la CNIL, cahiers Lamy droit de linformatique et des rseaux, N105, juillet 1998

73

De cette faon, le niveau de scurit des donnes mdicales est encore soumis
lapprciation du SCSSI donc du gouvernement.

De plus, la CNIL rappelle entre autre, lobligation de scuriser les messageries mdicales
professionnelles et de chiffrement des donnes de sant nominatives transfres139 .

La politique franaise de cryptographie ne pouvait pas rester en ltat. Elle devait


sadapter aux nouveaux besoins de notre socit de linformation. Surtout que cette ncessit
ntait pas que nationale mais aussi communautaire. La Directive europenne sur les
traitements de donnes caractre personnel140 requiert que les tats membres protgent les
droits et les liberts des personnes physiques l'gard du traitement des donnes caractre
personnel, notamment le droit au respect de leur vie prive, pour assurer la libre circulation des
donnes caractre personnel dans la Communaut.

Larticle 17 de la directive indique que le responsable dun traitement doit mettre en


uvre les mesures techniques et dorganisation appropries pour protger les donnes
caractre personnel contre la destruction, la perte, laltration, la diffusion ou laccs non
autoris, notamment lorsque le traitement comporte des transmissions de donnes dans un
rseau. Larticle prcise que :
Ces mesures doivent assurer, compte tenu de ltat de lart et des cots lis leur mise en
uvre, un niveau de scurit appropri au regard des risques prsents par le traitement et de la
nature des donnes protger.

Les rgimes tablis pour lutilisation et la fourniture des moyens et des prestations de
cryptographie pourraient affecter lapplication de la directive, dans la mesure o, selon la
Commission :

les moyens appropris ncessaires pour scuriser les donnes personnelles ne seraient pas
disponibles en France et/ou ne pourraient pas voyager avec les donnes quelles scurisent
provenant dautres tats membres .

139

ibidem

140

Directive n95/46 du 24 octobre 1995, JOCE 23/11/95 L 281/30.

74

De mme, les rgimes dautorisation et dintervention de tiers de confiance risquent


dentraver lutilisation et la libre circulation des moyens de chiffrement appropris aux risques
pour les donnes.

Une autre directive du 15 dcembre 1997 concernant le traitement des donnes


caractre personnel et la protection de la vie prive dans le secteur des tlcommunications141
prvoit que les tats membres garantissent, au moyen de rglementations nationales, la
confidentialit

des

communications

effectues

au

moyen

d'un

rseau

public

de

tlcommunications ou de services de tlcommunications accessibles au public.

Les deux directives prvoient que des limitations puissent tre portes des obligations et
des droits institus par lesdites directives, lorsque ces limitations constituent une mesure
ncessaire pour sauvegarder la sret de l'tat, la dfense, la scurit publique, la prvention, la
recherche, la dtection et la poursuite d'infractions pnales. La

mesure ncessaire fait

rfrence au principe de proportionnalit.

La lgislation franaise est videmment justifie par des motifs de scurit publique
(article 36 du Trait de Rome). Mais prend-elle suffisamment en compte les besoins lgitimes
de chiffrement et remplie-t-elle le test de proportionnalit ?

La loi franaise ne remplie certainement pas ce test de proportionnalit dans la mesure o


elle peut tre considre comme trop limitative de droits garantis par le Trait de Rome et la
directive sur les donnes personnelles. Les limitations prvues par l'tat franais ne peuvent pas
tre considres comme appropries, efficaces et ncessaires au regard des objectifs poursuivis.

En effet, la libralisation franaise de lutilisation des procds de cryptologie dcoulant


de la loi de 1996 ne parat pas suffisante. Cette loi permettait lutilisation du chiffrement des
fins de confidentialit, condition de passer par un tiers de confiance . Or, ce systme de
tiers de confiance est-il rellement compatible avec les rglementations sur la vie prive ?
Les traits internationaux, la Convention Europenne des Droits de lHomme et les lois
garantissent le droit fondamental la vie prive, y compris le caractre secret des
141

Directive n97/66/CE du 15/12/97, JOCE 30/01/98 L24/1.

75

communications. Le recours la confidentialit contribue la libert de communication, droit


galement garanti par les traits internationaux et la Constitution.

Dautres lois garantissent le secret de certaines informations. On peut citer le secret


mdical ou le secret professionnel.

En consquence, dans le contexte du passage vers la circulation de linformation en ligne,


le public doit avoir accs des outils techniques lui permettant une protection efficace de la
confidentialit des donnes et des communications contre les intrusions arbitraires. Le
chiffrement des donnes est trs souvent le seul moyen efficace, et dun bon rapport cotefficacit, pour rpondre ces exigences. Si lon reconnat limportance du droit la vie prive
et la libert de communication, on doit reconnatre galement la possibilit den assurer
leffectivit.

Or, si le systme des tiers de confiance nest pas dun bon rapport cot-efficacit, il
empche lapplication effective dautres droits garantis par la loi.

Et lexamen du dcret sur les tiers de confiance montre que lobligation principale qui
pse sur le tiers de confiance est dassurer laccs aux cls prives. Donc, toute communication
protge par une convention secrte doit permettre didentifier lorganisme agr et lutilisateur
concern.

Aussi, lconomie gnrale du dcret sur les tiers de confiance cre un sentiment de
suspicion lgard de la confidentialit. Or, ce systme qui touche lexercice de liberts
publiques nest pas transparent quant son dispositif opratoire. Par exemple, les modalits
pratiques de remise des cls prives aux autorits ou de leur mise en uvre font lobjet dune
annexe classifie qui ne pourra donc pas tre communique.

76

LOCDE dans ses lignes directrices sur la cryptographie indiquait sur ce point que :
le processus par lequel laccs lgal est obtenu devrait tre consign, afin que la divulgation
des cls cryptographiques ou des donnes puisse tre vrifie ou examine dans le respect des
dispositions du droit national. Les modalits de laccs lgal devraient tre nonces
clairement, et publies de telle manire quelles soient aisment disponibles pour les utilisateurs,
dtenteurs de cls et fournisseurs de mthodes cryptographiques.142

Il peut arriver que la rgularit des enregistrements dcoutes tlphoniques soit conteste
et une expertise doit alors pouvoir tre ordonne afin de rechercher si des manipulations ont t
pratiques143 . Or ceci est impossible si les modalits de remise ou de mise en uvre des
conventions secrtes sont classifies.

Larticle 8-2 de la Convention europenne des droits de lhomme admet que lon peut
prvoir des exceptions au droit au respect la vie prive et de sa correspondance pour des
motifs lis la scurit publique et nationale, condition que les ingrences de lautorit
publique soient prvues dans la loi (entendue au sens large). Comme pour le droit
communautaire, les exceptions de larticle 8-2 sont dinterprtation troite et doivent tre
proportionnes au but lgitime poursuivi. Selon la jurisprudence de la Cour europenne des
droits de lhomme, la pratique et la lgislation doivent offrir des garanties adquates et
suffisantes contre les abus : il doit exister des contrles destins garantir les droits individuels.
Cest en application de ces principes que la France avait t condamne dans un arrt Kruslin144
du 24 avril 1990 dans une affaire dcoutes tlphoniques.

Alors que lusage des communications lectroniques est appel se dvelopper, il ne


faudrait pas que la loi sur la cryptographie et son application restreigne le champ de la
protection de la confidentialit.

Face ces difficults poses par la lgislation sur la cryptographie, comme elle tait
rgie par la loi de 1996, le gouvernement franais a adopt un vritable tournant dans son
attitude envers la cryptographie.

142

Point 6 accs lgal .

143

Jur. Classeur Proc. Pn. Art. 100 100-7 n122

144

CEDH, Kruslin, srie A, n176 A ; D. 1990 p.353 note PRADEL

77

Le 19 janvier 1999, Monsieur Lionel JOSPIN, Premier ministre, l'issue du comit


interministriel pour la socit de l'information, fit une confrence de presse. Au cours de celleci, il devait constater, qu'avec la gnralisation progressive de l'usage des technologies et
des rseaux d'information, les conditions de garantie de la protection de la vie prive et de la
scurit des transactions deviennent dterminantes. Elles supposent, comme l'a soulign le
remarquable rapport rcent du Conseil d'tat145 , une adaptation de notre droit. 146

Pour ce faire un ensemble de propositions et d'engagements ont t annonc ce jour l.


Entre autres mesures, une concernait plus particulirement la cryptologie. Ainsi, le
gouvernement franais reconnaissait que la cryptologie apparaissait comme un moyen essentiel
pour protger la confidentialit des changes et la protection de la vie prive. Et de ce fait, il
reconnaissait que la lgislation de 1996 n'tait plus adapte. Donc, une srie de mesures, pour
un changement radical d'orientation de la lgislation franaise en matire de cryptologie, fut
annonce par le gouvernement :

- offrir une libert complte dans l'utilisation de la cryptologie ;


supprimer le caractre obligatoire du recours au tiers de confiance pour le dpt des clefs de
chiffrement ;
complter le dispositif juridique actuel par l'instauration d'obligations, assorties de sanctions
pnales, concernant la remise aux autorits judiciaires, lorsque celles-ci la demandent, de la
transcription en clair des documents chiffrs. De mme, les capacits techniques des pouvoirs
publics seront significativement renforces et les moyens correspondant dgags.

Ici, la politique franaise en matire de cryptage passait d'un encadrement strict une
utilisation future totalement libre. En attendant la mise en place de cette nouvelle politique, le
Premier ministre proposait de relever le seuil de cryptographie, dont l'utilisation libre tait de
40 bits 128 bits. En effet, ce niveau est considr par les experts comme assurant une grande
scurit.

Le 17 mars 1999, le gouvernement franais joignait les actes la parole. Lors d'une
intervention, M. Lionel JOSPIN, Premier ministre, l'occasion de la fte de l'Internet,
annonait la publication de dcret relevant de 40 128 bits le seuil en de duquel l'utilisation
145

CONSEIL D'TAT, Section du rapport et des tudes Internet et les rseaux numriques, Etude adopte par
l'Assemble gnrale du Conseil d'tat le 2 juillet 1998, 2me partie Favoriser les changes par une confiance
accrue des acteurs
146

http://www.intrenet.gouv.fr/francais/frame-actualit.html

78

des moyens de cryptologie est entirement libre147 . Cette tape, n'est que la premire qui
amnera la France vers une libralisation totale de la cryptologie.

Le 19 mars 1999, deux dcrets et un arrt ont t publis au journal officiel. Ces textes
ont pour but d'assouplir les conditions d'utilisations des moyens ou des prestations de
cryptologie.
Le dcret n99-199148 numre une srie de matriels, de logiciels ou d'quipements de
cryptologie pour lesquels la procdure de dclaration pralable est substitue la procdure
d'autorisation149 .
Ensuite, le dcret n99-200150 numre les catgories de moyens ou de prestations de
cryptologie pour lesquels il y aura, dsormais, dispense de toute formalit pralable151 . Enfin,
l'arrt du 17 mars 1999152 dtermine la forme et le contenu des dossiers concernant les
dclarations ou demandes d'autorisation (partie administrative et partie technique) et fournit un
modle en annexe153 .

Mme s'il reste des efforts fournir avant de rendre la cryptologie totalement libre, La
France montre des signes de bonne volont et lie les actes au discours. Mais cette politique
nationale risque de se confronter un obstacle persistant que reprsentent les rglementations
internationales.

147

op. cit

148

Dcret n99-199, 17 mars 1999 : JO 19 mars 1999, p. 4050 ; JCP G 1999, III, 20059, et
http://www.internet.gouv.fr/francais/textesref/cryptodecret99199.htm
149

Voir annexe 3

150

Dcret n99-200, 17 mars 1999 : JO 19 mars 1999, p. 4051 ; JCP G 1999, III, 20060, et
http://www.internet.gouv.fr/francais/textesref/cryptodecret99200.htm
151

Voir annexe 2

152

Arrt du 19 mars 1999 : JO 19 mars 1999, p. 4052 ; JCP G 1999, III, 20061, et
http://www.internet.gouv.fr/francais/textesref/cryptoarrete4.htm
153

Voir annexe 1

79

B- Une limitation persistante

Le constat est le suivant : la scurit des transmissions lectroniques ne peut tre garantie
que par une cryptographie forte. Or le dveloppement de ces transmissions (comme pour le
commerce lectronique qui par sa nature est international), suppose la possibilit de pouvoir
importer et exporter librement des donnes cryptes.

Les normes techniques doivent tre reconnues sur le plan international et permettre
linteroprabilit des systmes.

Toutefois, ces besoins se heurtent diverses restrictions la libre exportation des


produits de chiffrement. En effet, les produits de cryptographie font partie dans le commerce
international des biens considrs comme sensibles ou dit double usage , c'est--dire
les biens susceptibles davoir une utilisation tant civile que militaire. Le rgime de la
cryptographie franaise concernant limportation et lexportation sinscrit dans une
rglementation internationale et europenne.

Une rglementation communautaire :


Un rglement communautaire du 19 dcembre 1994154 institue un rgime communautaire
de contrle des exportations de biens double usage afin dtablir des normes communes dans
le cadre de la ralisation du march commun. En revanche, le rglement ne prvoit pas de
restrictions dans le domaine de lutilisation ou de limportation des produits de cryptographie.
Mais la politique gnrale tend vers un certain assouplissement des contrles lexportation
des produits dits

sensibles . Cet assouplissement est justifi par les progrs de la

technologie et par la forte pression des industries exportatrices europennes et des pays tiers.
Lobjectif de ce texte est de crer une procdure de contrle harmonise pour les
exportations hors de lUnion et ddicter un principe gnral de libre circulation des biens
154

Rglement (CE), n3381/94 du Conseil, du 19.12.1994, instituant un rgime communautaire de contrle des
exportations de biens double usage, JOCE, nL367/1, du 31.12.1994 ; modifi par le rglement Conseil CE
n837/95 du 10.04.1995, JOCE du 21.04.1995,nL90 ; dcision du Conseil du 16.02.1996,JOCE du
1.03.1996,nL52 ;dcision du Conseil du 22.10.1996,JOCE 30.10.1996,nL278 ; JOCE du 28.02.1997,n)C64 p.1 ;
dcision du Conseil du 20.01.1997,JOCE 4.02.1997, nL34

80

double usage dans la Communaut. Le rglement europen repose sur la mise en place dune
barrire extrieure commune par ladoption dune liste identique de biens et de technologies
double usage dont lexportation est soumise autorisation (liste commune).

Ce rgime, applicable depuis le 1er juillet 1995, est marqu par les principes directeurs
du march commun, notamment celui de libre circulation des biens lintrieur du march
commun ainsi que celui de reconnaissance mutuelle des licences dexportation entre les tats
membres. Nanmoins, des restrictions temporaires aux transferts intra-communautaires
subsistent pour certains biens considrs comme particulirement sensibles, parmi lesquels
figurent les produits et logiciels de cryptographie.

Les produits concerns sont numrs dans lannexe I du texte communautaire. En ce qui
concerne la cryptologie, sont ainsi viss les tlcommunications, logiciels et matriels
informatiques de haute technologie et la scurit de linformation155 .
Toutefois, les logiciels qui sont couramment la disposition du public cest--dire qui rendus
accessibles sans quil ait t apport de restriction leur diffusion ultrieure ne sont pas
soumis au contrle lexportation, prvus par la rglementation europenne. Tel est le cas,
galement, des radiotlphones mobiles destins lusage civil ou de certains quipements
assurant la scurit de linformation tels que les cartes microprocesseurs ou encore des
quipements dauthentification des donnes, sans permettre de les chiffrer, des quipements
cryptologiques spcialement conus, mis au point ou modifis pour servir dans des oprations
bancaires ou financires.

Pour faire respecter cette rglementation, des modalits de contrle ont t institues.
Elles varient selon que les exportations concernent un tat membre ou un tat tiers l'Union
europenne.

155

La catgorie 5 tlcommunications de lannexe I comprend une partie 2 scurit de linformation dfinie


comme tous les moyens et toutes les fonctions rglant laccessibilit ou assurant la confidentialit ou lintgrit
de linformation ou des tlcommunications, lexclusion des moyens et des fonctions prvues pour la protection
contre les dfaillances . Par consquent, sont compris la cryptologie, la crypto-analyse, la protection contre les
manations compromettantes et la scurit des ordinateurs.

81

- Au niveau intra-communautaire, le principe est celui de la libre circulation des


marchandises156 . Cependant, pendant une priode transitoire de trois ans, lexportation des
biens figurant sur la liste de lannexe IV du rglement, qui inclut les produits et logiciels de
cryptographie, restent soumis autorisation. Cette priode est acheve depuis le 1er juillet
1998. Le chiffrement apparat donc comme une exception au principe de libre circulation des
marchandises pos par le Trait.

- Vers les pays tiers

tous les biens viss lannexe I du rglement sont soumis

autorisation dexportation, quel que soit le pays tiers de destination. Les formalits peuvent tre
allges pour certains produits (article 3 du rglement). Lexportation est dfinie par le
rglement comme :
"le rgime permettant la sortie temporaire ou dfinitive de marchandises communautaires du
territoire douanier de la communaut conformment larticle 161 du Code des douanes
communautaires ; ce rgime inclut la rexportation, cest--dire lopration au sens de larticle
182 dudit code consistant en la sortie du territoire douanier de la Communaut de marchandises
non communautaires".

Les quipements de scurit de linformation et les logiciels de chiffrement ne peuvent


donc pas tre exports hors de la communaut sans licence157 .

Actuellement, ce rglement est en cours de rvision par les institutions communautaires.


En effet, depuis le 1er juillet 1998, les exportations des produits de chiffrement destination
de lUnion Europenne auraient du tre libres.
La Commission a prsent le 15 mai 1998, un rapport158 dressant le bilan de lapplication
du rglement du 19.12.1994 et une proposition159 de rglement visant remdier aux lacunes
156

Larticle 9 du Trait Rome dispose que La Communaut est fonde sur une union douanire qui stend
lensemble des changes de marchandise, et qui comporte linterdiction, entre les tats membres, des droits de
douanes limportation et lexportation ()
157

De faon gnrale, les tats membres ne respectent pas cette procdure de licences. Tel est le cas notamment
du Royaume-Uni qui a rcemment modifi sa lgislation dans ce domaine.
158

Selon larticle 18 du rglement du 19.12.1994, la Commission adresse tous les deux ans au parlement
europen et au Conseil un rapport concernant lapplication du rglement
159

Proposition de rglement du Conseil, 15 mai 1998, COM(98)257 final, instituant un rgime communautaire de
contrle des exportations des biens double usage, JOCE, 15.05.98, nL257.

82

recenses dans le rglement prcit. La Commission reconnat quil a contribu faciliter les
changes intra-communautaires. En effet, le rgime mis en place en 1994 a permis de rduire
les formalits dexportation et de faciliter la libre circulation de la quasi-totalit des biens
double usage dans la Communaut. Cependant, il existe un manque de convergence et de
cohrence entre les diffrentes politiques et pratiques nationales.

La France ne respecte pas encore le principe communautaire de la reconnaissance


mutuelle, du fait de la survivance de rgimes dautorisations et de la difficult des
reconnaissances entre tats membres, alors que ladministration des douanes devrait tre
capable de reconnatre et daccepter les autorisations dlivres par les autres tats membres. Il
persiste donc une entrave aux principes de reconnaissance mutuelle et de libre circulation des
marchandises.

Dans la proposition faite par la commission en ce qui concerne les produits de


cryptologie, les restrictions existantes aux transferts intra-communautaires seraient supprimes,
et remplaces par la procdure de notification (ce qui ncessiterait de modifier la loi franaise
qui ne distingue pas entre les exportations vers des pays membres et des pays non-membres).
Dans ces conditions, un paradoxe risque d'apparatre, les exportations de produits de
chiffrement destination de lUnion europenne seraient libres, alors que la fourniture en
France des mmes produits resterait soumise aux formalits de dclaration.

Enfin, la priode transitoire tant arrive chance il y a un an, et le nouveau rglement


nayant pas encore t adopt, doit-on considrer que les transferts intra-communautaires des
biens de lAnnexe IV sont dsormais libres ou au contraire quils restent soumis licence ? Le
rglement europen nest pas vraiment explicite sur ce qui se passe la fin de la priode
transitoire et reste ouvert interprtation divergente160 .

Mais, il ne faut pas perdre de vue que la proposition de rglement mise par la
Commission, sinscrit dans un cadre densemble dune politique communautaire quil convient
de garder lesprit. En effet, lUnion sest fixe comme objectif de parvenir en lan 2000 au
160

Le rglement dit bien que les restrictions ont une dure limite et sont transitoires, mais larticle 19-5 du
rglement indique : La ncessit des mesures prvues par le prsent article est rexamine dans un dlai de

83

dveloppement dune politique de libre circulation des produits et services de cryptographie


ainsi qu la cration dune zone homogne de scurit lintrieur de lUnion161 .

Mme, si la France doit respecter une rglementation europenne commune aux 15 tats
membres, elle doit aussi remplir ses engagements internationaux et notamment, l'Arrangement
de Wassenaar.

L'Arrangement de Wassennaar.

Ces dernires annes, le contexte international a connu de grands bouleversements, dune


part sur le plan politique, suite la fin de la guerre froide; dautre part, pour des raisons
conomiques avec la volont de faciliter les changes commerciaux.

Dans ce contexte, les contrles lexportation des biens dits sensibles nont pas t
oublis. Ainsi, la fin de la guerre froide a entran la disparition du COCOM162 (Coordinating
Committee for Multilateral Export Controls) qui tait une organisation internationale
permettant le contrle et la surveillance mutuelle des exportations concernant les biens
stratgiques et les donnes techniques destination de pays tiers. Le but de la rglementation
COCOM tait dviter, de prvenir lutilisation, lexportation des produits sensibles dans des
pays ennemis .

Le COCOM a disparu en mars 1994, et a t remplac en 1995 par lArrangement de


Wassenaar sur les contrles lexportation pour les armes conventionnelles, les biens et
technologies double usage. Le but de cet accord est de prvenir la paix internationale et
rgionale, en limitant l'acquisition de moyens double usage pour des pays qui reprsentent

trois ans compter de la date dentre en vigueur du prsent rglement.


161

Voir Communication de la Commission europenne, Assurer la scurit et la confiance dans la


communication lectronique , COM (97) 503.
162

Ses membres taient pour lessentiel les pays membres de lOTAN ainsi que dautres pays tels le Japon et
lAustralie.

84

une menace pour la scurit mondiale. (suite cet accord, il est par exemple plus difficile de
vendre et d'exporter des moyens de cryptographie vers l'Iran, la Libye163 .)
Laccord dit de Wassenaar164 adopt dfinitivement les 11 et 12 juillet 1996 prvoit
linstar de la rglementation du COCOM une politique axe sur la destination finale. Ainsi,
sont toujours en vigueur des listes de contrle de ces biens et de leurs utilisations, des
procdures concernant linformation lors de lexportation dun des produits hors des pays
membres de laccord (dont fait partie la France).

Les trente-trois tats signataires de Wassenaar cherchent assurer que le transfert


d'armes conventionnelles et de produits et technologies double usage ne viennent pas, par
accumulation, produire un effet dstabilisateur au niveau mondial. Cet arrangement n'est pas
dirig l'encontre d'un tat prcis et donc, il n'empche pas des transactions civiles menes de
bonne foi. Mais depuis l'application des arrangements de Wassenaar, tous les produits conus
ou modifis pour utiliser une mthode de cryptographie de n'importe quelle longueur de cl, en
vue d'assurer la scurit de l'information, ont t contrls, moins qu'ils ne relvent d'une
exemption particulire ou de note gnrale sur les logiciels.

Or, afin de suivre la technologie et le commerce lectronique tout en conservant une


bonne scurit, les tats signataires de Wassenaar ont dcid lors de la runion de Vienne le 3
dcembre 1998, de modifications concernant l'exportation de produits et technologies de
cryptographie165 . Ces modifications apportent des assouplissements en tablissant une
quivalence pour les produits matriels et logiciels, imposent des contrles sur certains produits
de trs grande diffusion et suppriment les contrles sur une srie de produits.

163

The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and
Technologies , http://www.acda.gov/wmeat95/wasarr95.htm (fvrier 1997), pp32-33.
164

Le texte de lArrangement est disponible : http://ideath.parrhesia.com/wassenaar/ et le site en ligne du


secrtariat qui se trouve : http://www.wassenaar.org/.
165

Dtails sur, http://www.wassenaar.org

85

Ainsi, les contrles sont supprims, entre autres, sur :


-

les produits qui excutent la fonction d'authentification de donnes.

les produits qui excutent la fonction de signature de donnes.

Les produits utilisant un algorithme symtrique d'une longueur de cl ne dpassant


pas 56 bits

Donc, mme si les signataires de l'Arrangement de Wassenaar ont adopt un


inflchissement de leurs politiques envers la cryptographie, cette libralisation n'est que
modre. En effet, la suppression des contrles sur un algorithme, ne concerne que ceux d'une
longueur de 56 bits, ce qui n'est pas trs fiable166 .

De plus, mme si les tats parties cet arrangement, se sont entendus pour accorder, ds
que possible, une licence gnrale d'exportation pour les logiciels de trs grande diffusion
utilisant un algorithme asymtrique d'une longueur de cl ne dpassant pas 128 bits , pour le
moment, l'exportation de tels produits est soumise contrle.

Or, si en France, l'utilisation de moyen de cryptographie est autorise jusqu' 128 bits, il
n'existe pas encore de produits, sur le march national, permettant de chiffrer ce niveau167 . Il
est donc possible de se fournir qu' l'tranger, cela sous-entend une exportation. Mais, si les
industriels capables de fournir ce matriel se situent dans un pays refusant l'exportation de
moyen de cryptographie, ce droit de crypter des informations jusque 128 bits n'est que
thorique. Par exemple, les programmes de cryptage, suprieurs 56 bits, de Nestcape ou
Microsoft sont interdits d'exportation par le gouvernement amricain168 , donc thoriquement
inaccessible en France.

166

Le DES 56 bits bris en 56 heures , Revue expertises, p.286, octobre 1998

167

DELBECQ Denis , Comment cacheter les e-mails , le monde interactif, le 03.02.1999,p.VI

168

Quand le 128 bits se rduit 56 bits , le monde interactif, le 03.02.1999, p14

86

II Les nouveaux rles de ltat

Pour toutes les raisons vues auparavant, il existe des motifs lgitimes d'assurer, dans
certains cas, l'tat un accs des donnes chiffres. Dans les faits, pour assurer cet accs, on
peut gnralement limiter l'utilisation de produits cryptographiques ceux qui peuvent tre
dchiffrs et lus au besoin ou exiger de ceux qui possdent les cls, qu'ils dchiffrent les
messages sur demande. Les solutions politiques fondamentales et les moyens pratiques de les
mettre en uvre soulvent des proccupations concernant les droits fondamentaux,
principalement en ce qui a trait la vie prive. En fin de compte, il convient d'valuer les cots
et les avantages de chaque politique possible en matire de cryptographie. Surtout en ce qui a
trait aux droits fondamentaux, aux intrts commerciaux, la scurit publique et la lutte
contre la criminalit. De cette faon, il faudra valuer quels seront les avantages de la limitation
du chiffrement sur le plan de la scurit et dterminer si elle l'emporte sur des dommages
susceptibles d'tre causs par la non-rglementation du chiffrement. Mais, il est difficile de
savoir si ces mesures permettent une application de la loi et un maintien de la scurit. Au
cours des dernires dcennies, les nouvelles technologies ont sensiblement amlior la capacit
technique d'assurer diverses formes d'accs lgitime. Aussi, les mode contrle des tats doivent
s'adapter (A) et leurs politiques doivent se mondialiser(B).

A- Vers des modes de contrle revisits

Aujourd'hui, personne ne peut tre totalement empch de chiffrer des messages et


notamment pas les criminels ou les terroristes qui peuvent galement avoir recours au
chiffrement dans leurs activits. L'accs aux logiciels de chiffrement est relativement ais,
par exemple en les chargeant simplement partir d'Internet. En effet, aujourd'hui, chacun
peut se procurer sur linternet le logiciel PGP (Pretty Good Privacy), rput inviolable.
Peut-on imaginer srieusement que la mafia ou un rseau pdophile utilisera un logiciel de
cryptage fourni par un centre de confiance et de plus, lui remettre spontanment des
clefs de codage qu'il ne changera jamais ? De plus, la circulation des informations
concernant la cryptologie ne peut tre empche, sachant en outre que des livres sur le
thme sont en vente libre, y compris en France.

87

De mme, profitant du fait que l'exportation de la version imprime de codes sources


de produit de cryptographie n'est pas soumise aux mme restrictions l'exportation que la
mme version sous forme numrique, des hackers, l'occasion d'une confrence
internationale qui se tenait en Europe, ont emport le code source de la dernire version de
PGP, qui aprs avoir t scanne et compile est dsormais disponible en Europe, y compris
sur des sites situs dans des pays de l'Union europenne169 . D'ailleurs, divers procs en
inconstitutionnalit de la loi amricaine l'exportation sont actuellement en cours devant
les tribunaux amricains, ce qui pourrait encore augmenter la disponibilit de produits de
cryptographie sur Internet, selon le rsultat de ces procdures.
Ensuite Il est, difficile de prouver qu'une personne dtermine a envoy un message
chiffr non-autoris. Le contrle du respect de la loi supposerait d'intercepter des volumes
d'informations considrables, selon des protocoles varis, dans lesquels la prsence d'une
information chiffre n'est pas facilement dcelable.
De plus, il est mme possible de dissimuler une information chiffre de manire ce
qu'elle semble anodine, travers les mthodes stganographiques. Ces mthodes permettent
de cacher un message dans d'autres donnes (par exemple une image), de telle manire que
l'existence mme d'un message secret, et donc du recours mme au chiffrement, ne puisse
tre dtecte.
Le systme des tiers de confiance pouvait sembler un pas dans la bonne direction,
mais on peut rester sceptique sur la possibilit d'une mise en uvre qui offre toutes les
garanties de scurit souhaitable, qui permette de rpondre rapidement l'volution des
besoins, qui soit compatible avec les communications internationales, et d'un cot
abordable.
Le systme projet risque bien de n'tre mis en uvre que par les citoyens honntes,
vis vis desquels les autorits n'auront justement jamais besoin de dcrypter les messages.
Il est revanche fort parier que ce systme entranera de nouvelles formalits et surtout de
nouveaux cots pour les particuliers ou les entreprises. En revanche, restreindre l'usage du
chiffrement pourrait en ralit empcher les entreprises et les citoyens respectueux des lois
de se protger des criminels.
169

Voir le site : The international PGP Home page, http://www.ifi.uio.no/pgp/

88

En fait, on ne peut rellement empcher les criminels d'avoir accs un chiffrement puissant et
de contourner le chiffrement avec dpts des cls prives obligatoire. Si des mesures de
contrle peuvent rendre le recours au chiffrement des fins criminelles plus difficiles, les
bnfices de la rglementation en termes de lutte contre la criminalit sont difficiles valuer,
et sont souvent exprimes en termes gnraux.

Pour la Chambre de Commerce Internationale, la limitation de l'utilisation du chiffrement


en raison de la lutte contre la grande criminalit est sujette caution, car les auteurs d'actes
dlictueux ne se sentiront pas obligs de se plier aux rglements applicables la communaut
conomique170 .

De plus, en l'absence d'tude sur la question de l'interception de communication, on


ignore leur effectivit et leur utilit relle. L'ampleur des coutes illgales, manant tant de
personnes prives que de fonctionnaires outrepassant leurs pouvoirs, est dnonce dans les
rapports de la CNCIS. L'tat n'est pas une entit abstraite, mais un organisme compos
d'individus qui ont leurs faiblesses et leurs tentations. L'objectif des administrations charges de
la lutte contre la dlinquance et le crime n'est pas seulement d'avoir accs aux cls, mais d'avoir
accs un texte non-chiffr, en temps rel, de manire discrte. Or la mise en uvre dans un
cadre lgal de ce type d'accs en temps rel dans le cadre des nouvelles formes de
communication, est rendu plus difficile en pratique par la multiplicit des intervenants : les
services concerns n'ont plus affaire un oprateur unique organisme de service public (France
Tlcom).

L'interception des communications doit tre considre au regard des autres moyens
d'investigation pouvant tre mis en uvre dans la lutte contre la dlinquance : analyse du
trafic et des informations diffuses en clair (surveillance des forums et listes publiques par
exemple). En effet, comme le recours aux tlcommunications lectroniques et aux
radiocommunications ainsi que la capacit technique de les surveiller ont volu, on a
reconnu dans l'ensemble des pays industrialiss la ncessit lgitime pour les organismes de
l'tat d'tre autoris surveiller les communications, pour autant que des mcanismes de
170

Prise de position de la CCI sur une politique internationale du chiffrement, Droit de l'informatique et des
tlcoms, 1994/2 p.70.

89

protections judiciaires et lgales soient en place. Ainsi, en France, la loi du 10 juillet


1991171 reconnat le secret des correspondances mises par voie de tlcommunications
(donc, celles mises par Internet). Mais dans son article premier, elle admet une drogation
en permettant de porter atteinte ce secret que par l'autorit publique, dans les cas de
ncessit d'intrt public prvus par la loi et dans les limites fixes par elle-mme . Mais,
bien que l'on puisse obtenir des autorisations judiciaires afin d'intercepter les
renseignements chiffrs, ceux qui les interceptent se rvlent parfois incapable de les lire.
Donc deux difficults se posent :
- Il pourrait devenir difficile, voire impossible de dterminer si l'information
intercepte est vraiment vise par l'autorisation qui a t donne de l'intercepter
- Il pourrait devenir difficile pour les autorits de dchiffrer l'information ou encore
de le faire temps pour l'utiliser efficacement.
Donc, Un systme de contrle, a posteriori, serait beaucoup plus simple et beaucoup
moins coteux mettre en place. En effet, parfois l'information, mme chiffre des fins de
communication, peut souvent tre trouve non-chiffre la source, comme dans les formes
de communication traditionnelles, par exemple auprs des banques, magasins et agences de
voyage qui sont parties prenantes dans une communication avec un suspect ou certaines
tapes d'une communication. De plus, les cls prives des produits de chiffrement puissants
sont difficilement mmorisables et doivent tre conserves quelque part. D'ailleurs,
l'efficacit des autorits judiciaires dtecter l'activit criminelle, mener leurs enqutes et
poursuivre les dlinquants dpend souvent de leur capacit d'assurer une surveillance et
de perquisitionner dans des endroits o de l'information pertinente peut-tre conserve. De
cette faon, les fouilles et les perquisitions, la source des informations, peuvent permettre
de retrouver en claire les donnes recherches. Mais des mcanismes de protection
judiciaires doivent s'appliquer aux fouilles et aux inspections des lieux, qui s'tendent
maintenant la fouille ou l'inspection d'ordinateur et des rseaux, afin de respecter les
droits fondamentaux des individus172 .

171

Loi n 91-646 du 10 juillet 1991 relative au secret des correspondances mises par voie des
tlcommunications, JO du 13 juillet 1991
172

Pour la France, articles 56 s., 76 s. et 92 s. du Code de procdure pnale.

90

Ainsi, on pourrait laisser la libert de crypter aux

utilisateurs en leurs laissant,

surtout, le choix des moyens, en compensant par l'obligation de communiquer les systmes
et cls de cryptage la requte de toute autorit judiciaire. Le refus explicite de
communiquer serait trs svrement rprim, comme la perte ou l'oubli des cls, qui
seraient prsums de mauvaise foi. Donc, il parat ncessaire d'adapter notre lgislation
pnale afin de compenser une libralisation totale de la cryptologie tout en permettant
notre justice de rester efficace. Cette optique, fut celle choisit par le gouvernement canadien
qui propose une modification de son code criminel et d'autres lois pour :
-

Criminaliser la divulgation illicite des cls ;

Dcourager l'utilisation du chiffrement des fins criminelles ;

Dcourager l'utilisation de la cryptographie pour dissimuler des lments de


preuve

Appliquer au contexte de la cryptographie les procdures existantes


d'interception, de recherche, de saisie et d'aide.

Enfin, les services spcialiss du renseignement disposent d'autres moyens d'investigation


qui sont soit plus classique (comme la surveillance, lanalyse des indices, le recours des
informateurs), soit plus sophistiqus (ex : interception du rayonnement lectromagntique
moyens de surveillance lectronique sophistiqus, en passant par les rseaux de surveillance
par camra, les appareils permettant de dtecter des conversations distance ou derrire des
vitres fermes, la camra stroboscopique danoise Jai capable de prendre des centaines de
photographies en quelques secondes et les systmes de reconnaissance automatiques de
vhicule. Le Parlement europen sest mme inquit rcemment des risques que font peser ces
systmes de surveillance sur les liberts publiques et sur la ncessit de mettre en place des
procdures de contrles173 ).

Pour le Canada article 1, 8 et 24 (2) de la charte canadienne qui autorise les fouilles, les perquisitions et les
saisies dans des limites qui soient raisonnables et dont la justification puisse se dmontrer dans le cadre
d'une socit libre et dmocratique" et qui permet l'utilisation des preuves," sauf si leurs utilisations est
susceptible de dconsidrer l'administration de la justice .

173

la Fondation Omega de Manchester, Une valuation des techniques de contrle politique , PE 166.499,
rsum analytique est disponible :
http://www.europarl.eu.int/dg4/stoa/en/publi/166499/execsum.htm

91

En ralit, la loi a sans doute pour but que les systmes non dcryptables ne se rpandent
dans le grand public : s'il n'existe pas d'outils conviviaux commercialiss, il faut faire plus
d'effort pour se procurer les outils non commercialiss et les utiliser. Mais, l'utilisation d'outils
cryptographiques semble ncessaire la protection de l'individu sur les rseaux. Aussi, le rle
de l'tat n'est-il pas galement d'apporter une certaine garantie de scurit quant a l'utilisation
de la cryptographie ?

En effet, l'utilisation croissante de la cryptographie robuste engendrera certains avantages


sur le front de la lutte contre la criminalit en assurant une protection technique des
renseignements. Dans un contexte o les changes dinformation dmatrialiss se
dveloppent, il est indispensable de pouvoir bnficier de systmes scuriss pour protger les
donnes caractre personnel ou confidentiel, assurer la scurit des transactions financires et
commerciales.

Il ne faut pas perdre de vue que lutilisation dun rseau de communication expose les
changes certains risques, qui ncessitent lexistence de mesures de scurit adquates. Il est
donc ncessaire davoir accs des outils techniques permettant une protection efficace de la
confidentialit des donnes et des communications contre les intrusions arbitraires. Le
chiffrement des donnes est trs souvent le seul moyen efficace pour rpondre ces exigences.
Les technologies cryptographiques sont ainsi reconnues comme tant des outils essentiels de la
scurit et de la confiance dans les communications lectroniques. Elles vont tre amenes
jouer un rle croissant en matire de protection contre la fraude informatique, de scurit des
donnes, de protection de la confidentialit des correspondances, de protection du secret
professionnel et de commerce lectronique. Encore faut-il que ces moyens de protection soient
fiables.

Un des problmes voqus par les techniciens est celui de l'valuation de la scurit du
produit de cryptage offert. Les procdures et algorithmes offerts la vente sont la proprit du
fournisseur. Donc, il ne sera donc pas possible pour le public et les experts en cryptographie
d'apprcier le degr de fiabilit du logiciel de cryptage, ni le risque qu'il soit cass par un
professionnel du chiffre, comme cela peut se faire pour des logiciels dvelopps partir de
systmes connus comme RSA ou DES. Aussi, une des solutions serait de passer par un tiers de

92

confiance. En effet, il doit recevoir l'agrment du SCSSI et ce, selon des conditions strictes.
L'organisme qui souhaite devenir tiers de confiance174 adresse une demande auprs du Service
Central de la scurit des systmes d'information. L'agrment est accord intuitu person par le
Premier Ministre ou son reprsentant, pour une dure de quatre ans, avec possibilit de
renouvellement. Ce parrainage devrait impliquer une certaine confiance dans le produit
fourni par ce tiers de confiance. Mais, Le rapport de force international semble moins favorable
aux tiers de confiance et des utilisateurs potentiels mettent des rserves.

Les protagonistes du lobbyng tiers de confiance perdent en crdibilit. Certains


membres de l'excutif amricain ont fait savoir que les techniques de squestre de cls
par un tiers de confiance sont plus chres et moins efficaces que les produits sans squestre.
Les adversaires des tiers de confiance ont dvelopp une thmatique fdratrice. D'ailleurs,
La Commission europenne finalise en 1998 un projet, de directive sur les signatures
digitales et la scurit des communications lectroniques, o elle exclut le recours aux tiers
de confiance, ainsi qu'au squestre ou la rcupration des cls de chiffrement. La
Commission est persuade que le systme des tiers de confiance n'est pas fiable.
En effet, Les tiers de confiance vont tre chargs de grer pour le compte d'autrui les
cls de chiffrement, et vont donc avoir accs potentiellement de nombreuses donnes
confidentielles. Aussi, le systme de squestre peut devenir une cible privilgie des
espions industriels et du crime conomique et une analogie avec les banques peut tre faite
ce titre. Il y a des risques physiques, logiques et humains qui impliquent que la scurit
tant intrieure qu'extrieure, soit contrle tous les niveaux.
En France, le dcret et larrt de 1998175 montrent que des conditions administratives
et techniques strictes sont imposes aux tiers de confiance (personnel habilit secretdfense , cahier des charges contraignant, politique de scurit dordre quasi-militaire,
mesures de contrles par le SCSSI, notification des mesures prises pour prserver la
scurit).

174

Le premier tiers de confiance agr en France fut Trithme , une filiale de Thomson-CSF, Revue Expertises,
novembre 1998, p.323.
175

Ibidem

93

Donc, sauf diminuer la scurit, des conditions administratives et techniques strictes sont
imposes aux tiers de confiance, ce qui va se traduire en terme de cots. En effet, Ces
contraintes, qui se justifient du point de vue de la scurit, vont ncessiter une organisation
rigoureuse et vont avoir des rpercussions directes sur les cots des produits proposs.

Les auteurs du rapport The Risks of key recovery, key escrow and trusted party
Encryption176 indiquent que le dploiement d'infrastructures de tiers de confiance va avoir pour
rsultat des sacrifices en terme de scurit et un cot accru pour l'utilisateur final. Construire
un tel environnement pourrait s'avrer d'une norme complexit et ncessiter un haut degr de
confiance dans les personnes charges de grer le systme.

Un autre problme voqu par les experts est celui de lvaluation de la scurit du
produit offert par le tiers de confiance. Le tiers de confiance est le garant de la fiabilit des
moyens de cryptographie utiliss.

Or, les procdures et algorithmes utiliss seront propritaires, et par consquent, ils ne
seront connus que du tiers de confiance (et du SCSSI). Et donc, ici aussi il ne sera pas possible
dapprcier le degr de fiabilit du logiciel de cryptage, ni le risque quil soit cass par un
professionnel du chiffre ( titre de comparaison, les sources de PGP sont publiques). Sous la
rglementation franaise, ce point est laiss lapprciation du SCSSI, qui indique cependant
avoir mis au point des procds dvaluation et de certification des produits scuriss.

L'apparition de la cryptographie en dehors du milieu militaire redfinis le rle de l'tat.


Celui-ci voit ses possibilits de contrle restreinte mais en parallle une nouvelle responsabilit
apparat. Cette dernire ne s'arrte pas garantir des moyens fiable de cryptage mais elle
s'tend aussi au niveau international.

176

op. cit.

94

B- Vers une coordination mondiale

La France a adopt une nouvelle loi de tlcommunications, lAllemagne une loi sur les
signatures numriques177 et lItalie une loi sur lusage des documents et des contrats
lectroniques178 . Le gouvernement britannique a lanc une consultation publique sur la
rglementation des tiers de confiance. Le gouvernement nerlandais a cre un groupe de travail
(task force) interministriel179 . Le Danemark et la Belgique180 prparent galement des
propositions de lgislation sur les signatures numriques. Quant au gouvernement sudois, il a
organis une audition publique en juin 1997.

Si nous pouvons qu'encourager ces volutions vers un cadre juridique clair, la diversit
des approches suivies ou labsence de tout cadre rglementaire dans dautres tats membres,
pourrait constituer une barrire srieuse au commerce et la communication lectronique au
sein de lUnion europenne. Ceci empcherait la libre circulation de la cryptologie, des
produits et services qui y sont lis dans le March intrieur, ainsi que le dveloppement de
nouvelles activits conomiques lies au commerce lectronique. Un cadre communautaire est
donc requis durgence afin de stimuler le commerce lectronique et la comptitivit de
lindustrie europenne, ainsi que pour abolir les obstacles la libre circulation et pour faciliter
lusage trans-frontalier des signatures numriques.

Mais, la communication lectronique ne se limite pas au territoire de lUnion europenne.


Un cadre doit donc tre dvelopp, dans les domaines appropris, au niveau international, une
fois quune position communautaire aura t arrte. Cela ncessite la participation de lEurope
(tant au niveau communautaire quau niveau des tats membres) des initiatives ou des
instances internationales.

177

Gesetz zur digitalen Signatur (SigG), 1.8.97; http://www.iid.de/rahmen/iukdgbt.htm#a3

178

Schema di Regolamento Atti, documenti e contratti in forma elettronica, appouv apr la Conseil des ministres
italien le 5.8.97
179

Staatscourant nr. 54, 18.3.97

180

Voir http://www.agoraproject.org/

95

Beaucoup de ces initiatives internationales ont t lances des niveaux diffrents. Des
discussions bilatrales (UE/USA, UE/Japon) et multilatrales (par exemple lUNCITRAL181 )
ont dmarr. LUNCITRAL a achev son travail sur un modle de loi pour le commerce
lectronique182 et a rcemment lanc un travail subsquent visant la prparation de rgles
uniformes sur les signatures numriques et les services (trans-frontaliers) (Autorit de
Certification) qui y sont lis. Les travaux sur les Directives en matire de politique
cryptographique se poursuivent dans le cadre de lOCDE. Dautres organisations
internationales, telle que lOMC (Organisation Mondiale du Commerce), pourraient tre
impliques pour viter de nouveaux obstacles au commerce, pour dautres aspects lis leurs
domaines de comptence ainsi que dans le cadre dexpertises spcifiques.
Aux tats-Unis183 , pratiquement tous les tats ont soit commenc laborer, soit ont dj
une lgislation sur les signatures numriques. Des agences, telles que la Federal Food and
Drug Administration, ont promulgu des rglementations spcifiques leur domaine de
responsabilit184 . Au niveau fdral, le Congrs examine plusieurs initiatives lgislatives. Au
Japon, certaines activits techniques et rglementaires dans les domaines de lauthentification
et des transactions lectroniques ont t lances.

Au niveau commercial, lAmerican Bar Association a labor des Directives pour les
signatures numriques185 (Digital Signature Guidelines) et le Internet Law and Policy Forum
(ILPF) travaille sur le rle des Autorits de certification dans les transactions impliquant les
consommateurs186 .

Aussi, au vue de ces activits la communaut europenne doit prendre des initiatives afin
de faire tomber les barrires existantes et crer un cadre international compatible pour le
181

United Nations Commission on International Trade Law

182

http://www.un.or.at/uncitral/index.html

183

Une mise jour du statut de la lgislation des USA peut tre trouve http://www.mbc.com/ds_sum.html

184

http://www.fda.gov/cder/esig/part11.htm

185

186

http://www.abanet.org/scitech/ec/isc/dsg_tutorial.htm
http://www.ilpf.org/work/ca/draft/htm

96

commerce lectronique, en particulier pour tablir des normes techniques et juridiques


communes. Si des restrictions nationales sont tablies, elles doivent rester compatibles avec la
lgislation communautaire. D'ailleurs la commission au parlement europen a considr que les
divergences dans les approches lgales et techniques en matire de cryptographie constituent un
obstacle au march unique et un obstacle au dveloppement de nouvelles activits conomiques
lies au commerce lectronique187 .

Ainsi la France, qui est un des rares pays dans lequel le libre usage de la cryptographie
forte est interdit, se trouve dans une position de plus en plus difficilement compatible avec son
appartenance l'Union europenne et son statut international. D'ailleurs, le Conseil d'tat a
propos de dvelopper la coopration entre tats pour faire respecter le droit sur les rseaux
numriques ainsi que de dfinir des orientations stratgiques communes afin d'assurer la
cohrence des positions franaises dans les diverses ngociations internationales concernant
Internet et les rseaux numriques188 .

Donc, compte tenu de la nature universelle de la communication et du commerce


lectronique, une fois quun systme harmonis aura t mis en place, des accords
internationaux pourraient savrer ncessaires entre la Communaut et dautres pays. Le but de
ces accords devrait tre de lever les obstacles existants de manire crer un cadre
international compatible pour le commerce lectronique, en particulier pour ltablissement de
normes techniques.

D'ailleurs, L'OCDE recommande aux pays membres de rpondre au besoin de solutions


pratiques et oprationnelles dans le domaine de la politique internationale de cryptographie. De
plus, elle demande :

187

Communication de la Commission au Parlement europen, au Conseil, au Comit conomique et social et au


Comit des rgions, COM (97) 503 en date du 8 octobre 1997, Assurer la scurit et la confiance dans la
communication lectronique disponible http://www2.echo.lu/legal/fr/internet/actplan.html.
188

Conseil d'tat, Section du rapport et des tudes, Internet et les rseaux numriques, tude adopte par
l'Assemble gnrale du Conseil d'tat le 2 juillet 1998

97

de veiller la leve ou d'viter de crer au nom de la politique de cryptographie, des obstacles


injustifis au commerce international et au dveloppement des rseaux d'information et de
communication. 189

Ainsi, si les pays partent de situations diffrentes (absence de rglementation pour


l'Allemagne, rglementation trs restrictive l'origine pour la France), il y a un consensus au
niveau international sur la ncessit de trouver un quilibre entre les contraintes industrielles
commerciales et de vie prive, et celles lies l'ordre public et la scurit des tats190 .

Malgr ce consensus, un reproche peut tout de mme tre fait l'ensemble de ces
rglementations

ou

propositions

(qu'elles

soient

nationales,

communautaires

ou

internationales): c'est la myopie des projets. En effet, la vision restrictives des approches
actuelles montrent que les tats n'ont pas encore pris conscience que les dispositions relatives
l'usage des cryptotechnologies, aux coutes, aux tiers de confiance, l'interoprabilit
internationale et la valeur des documents lectroniques forment un tout indissociable. Ainsi,
quoi sert de dfinir la signature lectronique si ce n'est pas pour donner une valeur celle-ci ?
A quoi sert de permettre le scellement d'un document lectronique si ce n'est pour lui donner
une valeur de preuve convenable ? Ainsi, seule l'Allemagne semble par plusieurs textes sur les
tiers de confiance, la protection des donnes nominatives et la signature lectronique, avoir pris
une mesure relative du caractre insparable de ces composantes.

Les administrations europennes ne semblent pas apprcier leurs justes valeurs le poids
de leurs dcisions de repousser des textes, mme imparfaits. En effet, une anne sur Internet
reprsente sept ans dans le reste des activits191 . Aussi, pour chaque dcision retarde, se sont
des projets qui ne voient pas le jour, des chiffres d'affaire qui s'installent ailleurs. Donc, il est
urgent que les institutions organisent une runion afin que les tats acceptent de mettre en
place des exprimentations globales et programment l'laboration d'un trait commun.

189

Recommandation du conseil de l'OCDE du 27 mars 1997 relative aux lignes directrices rgissant la politique de
cryptographie
190

Rp. Min. n13318, JOANQ 29 juin 1998, p.3614.

191

ROS de LOCHOUNOFF Nicolas, chiffrement, tiers de confiance, signature lectronique et interceptions : les
gouvernements et les internautes sont-ils myopes. , revue expertises n211, janvier 1998, p.417.

98

Chapitre II : La protection des informations face la raison


commerciale

En 1994 un avocat de San Francisco spcialis en droit de linformatique voyait la


communaut lectronique dans un dilemme classique :

the tug-of-war between the desire for a free flow of information, and need for privacy. The
problem can be recast as the pull between freedom of access on the one hand, and, on the
other, what might be thought of as the right of self-determination and control over the
dissemination of information 192

Nous traiterons dabord dune priode o les Autoroutes de linformation commenaient


devenir une ralit. une priode o lElectronic Frontier Foundation et les autres groupes
de pression nexistaient pas encore pour rveiller les consciences sur les dangers que peuvent
supposer un libre flux dinformation sans contrle. Cela dit, nous verrons dans cet partie
laspect commercial de la cryptologie et nous traiterons, tout aussi chronologiquement le
passage dun aspect confidentiel (section I) celui comme solution un besoin nouveau
(section II) et, mme, comme une solution ncessaire (section III).

Section I : Avant lmergence dun besoin : une cryptographie usage


confidentiel
Le commerce est depuis des sicles une activit humaine universelle. Son exercice ne
posait que peu de difficults tant que les relations commerciales ncessitaient un contact
physique. En effet, les informations changes, au cours de ces contacts commerciaux,
nimpliquaient que peu de moyens techniques afin de conserver leurs confidentialit. Avec
l'apparition du commerce lectronique les donnes du problme ont t accentues (I). De plus,
une approche classique du commerce ne soulve pas les mme difficults, en matire de
preuves, que lors d'changes commerciaux dmatrialiss (II).

192

KARNOW, Curtis E.A., The encrypted self : fleshing out the rights of electronic personalities , The John
Marshall journal of computer and information law, Vol. XIII, n1, october 1994

99

I- Le secret lpreuve dune informatique mergente

L'utilisation de la cryptographie est ncessaire au dveloppement du commerce et la


circulation des informations sur le rseau. En effet, sans protection, les informations circulant
lectroniquement seraient trop vulnrables. Or, pour cela, la commercialisation des moyens ou
prestations de cryptologie est une condition premire leurs utilisations(A). Enfin, la notion de
preuve, comme nous la percevons actuellement, n'est peut tre plus adapte au commerce
lectronique (B).
A- La circulation du cryptographe :
La circulation des moyens de cryptologie doit s'inscrire dans une optique de libert de
commerce et d'industrie. En effet, si la protection des informations passe par des moyens de
cryptologie, il faut que ceux-ci puissent tre dvelopps et distribus sans entraves.
L'tude de la libert du commerce et de l'industrie doit tre analyse en fonction du principe de
libert mais aussi de ses limitations.

Le principe de la libert du commerce et de l'industrie trouve sa premire expression, en


France, dans le dcret d'Allarde des 2 et 17 mars 1791. Aujourd'hui, toutes ses dispositions ont
t abroges l'exception de son article 7 au terme duquel :

Il sera libre toutes personnes de faire tel ngoce ou d'exercer telle profession, art ou mtier
qu'elle trouve bon .

Ces fondements juridiques sont parfois considrs comme dpasss en raison de la


raffirmation du principe en droit interne mais aussi communautaire193 .
Plusieurs textes ont rformul le principe de manire directe194 . D'ailleurs, le Conseil
d'tat reconnat aussi cette libert du commerce et de l'industrie comme une libert publique195 ,

Ce paragraphe a t modifi par rapport la version originale du prsent mmoire tant donn que lannonce du
plan a t malencontreusement oublie
193
AZEMA J., Droit de la concurrence, PUF, Thmis, p.27
194

Loi Royer du 27 dcembre 1973, article 1er : la libert et la volont d'entreprendre sont les fondements des
activits commerciales et artisanales , M.GUIBAL, REP. com. Dalloz V Commerce et industrie, 1994,n55.

100

ainsi que le Conseil constitutionnel. En effet celui-ci estime que la libert du commerce et de
l'industrie fait partie des liberts :
Qui ne peuvent s'exercer que dans le cadre d'une rglementation institue par la loi 196

De plus il a rcemment confr une valeur constitutionnelle cette libert en soulignant


que :

La libert qui aux termes de l'article 4 de la Dclaration (des droits de l'homme et du citoyen),
qui consiste pouvoir faire tout ce qui ne nuit pas autrui, ne saurait elle-mme tre prserve
si des restrictions arbitraires ou abusives taient apportes la libert d'entreprendre 197

Le droit communautaire a galement reconnu ce principe de libert du commerce et de


l'industrie. Ce principe dcoule directement de la conception librale de l'activit conomique
qui imprgne l'ensemble des dispositifs europens: Trait de Rome, Acte unique europen,
Trait de Maastricht.

Ainsi, au sein de ces documents se trouvent affirmes la libert de circulation des


marchandises198 , des personnes199 , des services200 , ainsi que la libert d'tablissement et
d'activits non salaries201 . En effet, au niveau intra-communautaire, le principe est celui de la
libre circulation des marchandises, c'est dire, les transferts effectus d'un tat membre un
autre (ne sont pas considrs comme transferts, les envois de marchandises ayant dj fait
l'objet de formalits d'exportation vers les pays tiers dans un tat membre et empruntant le
territoire d'un autre pour sortir de la Communaut).

195

CE, 28 octobre 1960, de LABOULAYE, AJDA 1961, 20 ; CE 9 janvier 1981, St Claude publicit, D. 1981, IR
113, obs. DELVOLE ; CE 22 mars 1991, AJDA 1991, 650
196
197

Dcision du 27 juillet 1982, Rev. Dr. Pub. 1983, 333, obs. L. FAVOREU.
Dcision du 16 janvier 1982, D. 1983, 169, note L. HANON .

198

Trait de Rome, art. 30

199

Trait de Rome, art. 48

200

Trait de Rome, art 59 et 60.

201

Trait de Rome, art. 52.

101

Ces normes europennes sont d'application directe, comme l'a soulign la Cour de justice
des Communauts europennes l'occasion d'espces concernant, de manire gnrale, la
libert d'tablissement laquelle on peut rattacher la libert du commerce et de l'industrie202 .

En consquence, ces liberts ont plein effet sur le territoire franais et le principe de droit
communautaire prvaut sur notre droit interne. Cette solution a t affirme, par la cour de
Cassation dans l'arrt Jacques Vabre du 24 mai 1975203 , la Cour de justices des Communauts
europennes le 9 mars 1978204 et par le conseil d'tat dans l'arrt Nicolo du 20 octobre 1989205 .

Cette libert du commerce et de l'industrie comprend la libert d'entreprendre et


d'exploiter, qui en sont le prolongement conomique. Ainsi, toute personne physique ou morale
peut s'installer en crant ou en acqurant une entreprise et exercer l'activit de son choix. En
effet, en France, il n'existe pas de dterminations limitatives des types ou modes d'activits
commerciales ou industrielles autorises. Donc, cette libert d'exploiter emporte la possibilit
pour toute personne de grer son entreprise sa guise, c'est dire la possibilit de choisir ses
partenaires, ses fournisseurs, ses clients

La libert du commerce et de l'industrie est issue des premiers pas de la Rvolution


franaise. Mais, elle a t vite contredite par des mesures restrictives comme la loi sur la
taxation du pain et de la viande206 .

Il est vrai qu'une libert, quel que soit son objet, ne saurait tre absolu et doit trouver sa
limite dans le respect de la libert des autres ou de l'intrt gnral. Ainsi, aprs avoir affirm
que toutes personnes bnficiaient du rgime de la libert du commerce et de l'industrie,
l'article 7 du dcret d'Allarde ajoutait :
202

Arrt REYNES, CJCE 21 juin 1974, REC. 631, RTD europ. 1975, p.561, application de l'article 52 analys
cependant comme un prolongement de l'article 7 du Trait de Rome qui pose le principe de non-discrimination en
fonction de la nationalit.
203

D.1990, 497, concl. A. TOUFFAIT.

204

Arrt Simmenthal, Rec.269

205

206

D. 1990, 57, note R. KOVAR.


Loi 19-22 juillet 1791

102

Mais elle sera tenue de se conformer aux rglements de police qui pourront tre faits

D'ailleurs, le Conseil constitutionnel a jug que la libert du commerce et de l'industrie


relve de ces liberts qui :

Ne sont ni gnrales, ni absolues et qui ne peuvent s'exercer que dans le cadre d'une
rglementation institue par la loi. 207

Mais, si la libert du commerce et de l'industrie ne saurait s'imposer de manire absolue


au lgislateur, ce dernier ne pourra, toutefois, la restreindre de manire abusive ou arbitraire. Il
devra invoquer des impratifs de scurit, moralit publique, des exigences d'ordre public ou de
protection.

Or, l'origine la cryptologie a t classifie comme une arme de guerre. En France, par
exemple, la cryptologie tait considre comme du matriel de guerre de deuxime catgorie
(dcret du 18 avril 1939)208 . Plus tard, la lutte contre la criminalit et la ncessit de pouvoir
intercepter des messages chiffrs ont justifi une politique restrictive en matire de cryptologie.
En fait, sous des couverts de scurit nationale ou de protection de l'ordre public, l'tat a
toujours eu une bonne raison pour restreindre la libre commercialisation et l'utilisation de
moyens ou de prestations de cryptographies.

Mais, actuellement ces considrations ne sauraient tre privilgies face la libert du


commerce est de l'industrie. En effet, sous la pression d'une conomie librale, cette libert est
de plus en plus souvent invoque et protge notamment contre l'interventionnisme des
autorits publiques internes et communautaires.

207

Cons. Const. 27 juillet 1982, Rev. Dr.pub. 1983, 333, obs. L. FAVOREU.

208

MEILLAN Eric, Le contrle juridique de la cryptographie , droit de l'informatique & des Tlcoms, 1993/1,
p.78 et s.

103

B- La circulation des informations

La circulation des informations est aussi une circulation ayant un potentiel conomique
important. Par exemple, dans une situation dachat de marchandises, des changes financiers
interviennent de faon massive tel point que certaine cargaisons peuvent changer plusieurs
fois de propritaire entre le dpart et larriv dune marchandise. Ces changes immatriels
constituent un important transfert financier qui semble faire la joie des spculateurs au dpend
des producteurs. En dehors de toute polmique, et dans la situation qui prvalait avant
lutilisation des outils cryptographique et des changes lectronique, une protection se rvle
ncessaire , cette protection tait relativement assure .

Une protection ncessaire et lgalement reconnue

Comme tout bien, les informations obissent aux rgles commerciales notamment pour ce
qui trait la libert du commerce et de lindustrie. Ceci dit, le Conseil constitutionnel jug
que cette libert nest ni gnrale, ni absolue [ne pouvant sexercer] que dans le cadre dune
rglementation institue par la loi 209 . Le refus de la France dadhrer lAMI (Accord
Multilatral dInvestissement) rejoint cette position qui prserve les biens culturels dune
normalisation qui, sans cela aurait t invitable et dommageable dans ce domaine. La loi antitrust aux tats-Unis veille galement viter certaines de ces situations en effet, trop de libert
conomique nuisent lconomie, ainsi la libert de constituer un monopole empcherait la
concurrence et freinerait ainsi la libre entreprise.

La libert de la concurrence revient au droit pour lentrepreneur duser de moyens loyaux


pour exercer son activit et rechercher une clientle. Le parasitisme est ainsi une pratique
condamne210 .

Cela tant, le secret est un moyen de conserver une certaine avance dans certains
domaines amens devenir conomiques et de prvenir ainsi tout recours en cas de

209

Cons. Const. 27 juillet 1982, Rev. Dr. Pub., 1983, 333, obs L. Favoreux

210

VIVANT, Michel, et Christian LE STANC, Lamy droit de linformatique et des rsaux, Paris, Ed. Lamy, 1998,
n276

104

parasitisme. La recherche et dveloppement occupe ainsi une par importante des


investissements de certaines entreprises et, pour reprendre Michel Vivant,

adopter la voie du secret, cest faire un choix dans une stratgie dentreprise, largement
tributaire de donnes telles que le secteur dactivit, le caractre obsolescent ou non des produits,
ltat de la concurrence, la taille de lentreprise
titre dexemple, le brevet supposant une divulgation, il peut tre prfrable pour une entreprise
qui estime navoir pas la surface financire ncessaire pour le dfendre et donc ne saurait en tirer
profit, dopter pour le secret. Ce peut tre la voie raisonnable 211

Mais le secret vise garantir dautres objectifs comme vis--vis de la clientle, pour la
conserver et pour la protger le cas chant. La Loi relative linformatique, aux fichiers et aux
liberts212 vise indirectement et directement rgler ces questions en France.

Le secret est donc un lment important dans toute stratgie dentreprise, il importe de
voir prsent que cette protection est, au stade dmergence de linformatique, relativement
bien assure.

Une protection satisfaisante ?

Le secret se gre en premier lieux par des moyens physiques qui continuent tre un
minimum essentiel et qui assure une protection efficace : une protection qui , selon les moyens
mis en uvre, reste inviolable. Le problme rside au moment o linformation sors des
coffres.

Avec linformatique le problme de scurit des informations est plus complexe. Dune
part, les informations sont faciles recopier, dautre part les rseaux internes sont fragiles et
peuvent tre la proie des intrusions. Le principal facteur de risque ne tient dailleurs pas
linformatique mais le plus souvent aux utilisateurs : les mots de passes sont nots ou prts, les
systme de pare-feu (firewalls) sont mal configurs ou inexistant et permettent ainsi les
intrusions externes Autant de problmes que linformatique ne pourra pas rgler. Le secret

211

ib. p. 17

212

Loi n 78-17 du 6 janvier 1978

105

est avant tout une question de responsabilit et, de la mme manire, lutilisation des outils
cryptographiques est une question qui ne pourra tre lude par les entreprises srieuses.

Concernant les donnes personnelles, un avocat de San Francisco spcialis en droit de


linformatique voyait en 1994 la communaut lectronique dans un dilemme classique :

the tug-of-war between the desire for a free flow of information, and need for privacy. The
problem can be recast as the pull between freedom of access on the one hand, and, on the other,
what might be thought of as the right of self-determination and control over the dissemination of
information 213

La science du secret applique linformatique entre donc tout naturellement dans un


dbat sur la protection des informations

II La preuve confronte une informatique mergente


La promotion du commerce lectronique est devenue l'un des enjeux conomiques
majeurs du XXIme sicle. Encore faut-il lui assurer un cadre juridique adquat. Valrie
Sdaillan exprime cette ide dans la formule suivante :

Dans le contexte d'une socit ou les changes d'informations numriques se dveloppent, il


est indispensable de pouvoir bnficier de systmes scuriss pour protger les donnes
caractre personnel confidentiel, assurer la scurit des transactions financires et
commerciales, passer des contrats en l'absence de support papier 214

Le dveloppement d'un vritable march lectronique rpond essentiellement des


exigences de scurit (juridique) et d'authentification. Les acteurs du commerce lectronique
souffrent constamment des incertitudes lies la dmatrialisation des changes de donnes.
L'crit n'existe plus et les moyens de preuves actuels ne sont peut tre plus adapts ce monde
lectronique. Le Code civil franais dtermine cinq modes de preuve215 et il fixe leur
213

Op. cit. note 192

214

SEDAILLAN, Valrie, Les enjeux et l'tat de la lgislation franaise , la lettre de l'Internet, 31 juillet 1997,
http://www.argia.fr/lij/tatcrypto.html
215

L'crit, les tmoins, les prsomptions de fait, l'aveu et le serment.

106

admissibilit en fonction de l'objet de cette preuve. En matire commerciale, la preuve peut


varier selon les personnes concernes (B). En gnral elle passera par un contrat (A).

A- Un contrat papier privilgi


La numrisation des informations ou la signature numrique entranent des consquences
juridiques importantes216 . En effet, habituellement les contrats passs en matire commerciale
sont surtout des actes sous seing priv (c'est dire sous signature prive).

Pour cela,

une seule condition indispensable de forme est prescrite : la signature

manuscrite.
Donc cela ne fait pas de doute, la signature est intimement lie l'crit. De nombreux textes
prescrivent d'tablir certains actes juridiques par crit ou par un crit sign217 . Pour D.
PONSOT, la signature se dfinis comme :

tant une inscription (ou un graphisme) originale, personnelle, habituelle et notoire, par
laquelle un individu manifeste son consentement au contenu d'un crit

Comme la loi ne dfinie pas ce qu'il faut entendre par le terme signature , la
jurisprudence et la doctrine ont tabli son rgime juridique. Pourtant, le code civil mentionne
plusieurs reprises l'obligation d'une signature. Ainsi, l'article 1322 du code civil sur les actes
sous seing priv prescrit une signature manuscrite218 . A ct de la signature manuscrite, en
pratique, il peut tre utilis le sceau, la griffe219 , voire des moyens lectroniques l'instar des
cartes bancaires.
En matire probatoire, si l'article 1341 du code civil consacre la prminence de l'crit,
ses dispositions ne sont pas d'ordre public et les parties ont le droit d'y renoncer220 . En
216

D.SYX, Vers de nouvelles formes de signature. Le problme de la signature dans les rapports lectroniques ,
DIT 1986/3, p.133 s.
217

D.PONSOT, La signature en droit priv : Dr. Informatique et tlcoms 1996/4, p14 s.

218

Une simple croix n'est pas suffisante , Cass. 1er civ, 15 juillet 1957, Bull civ. I, n331. L'engagement du
reprsentant lgal d'une socit anonyme par une signature ou un paraphe ne permettant pas de l'identifier , Petite
affiche, 22 aot 1997, p.10
219

Cour d'appel de Paris, 19 dcembre 1958, JCP G, 1960, I, 1579

220

Cass. 3me civ, 16 novembre 1977, Bull civ, III, n393.

107

consquence la solution consisterait laborer un vritable formulaire lectronique sur le plan


contractuel. De cette faon, les parties peuvent carter les exigences de l'article 1341 et dcider
que la preuve des contrats conclus s'effectuera par d'autres moyens que l'crit et ceci au moyen
d'une convention de preuve.

La jurisprudence a reconnu la validit de telle convention portant sur la signature


informatique en matire de paiement par cartes bancaires (arrts Crdicas221 ). La Cour de
cassation a jug que le litige portait sur :

des droits dont les parties ont la libre dispositions" et que "ces conventions relatives la
preuve sont licites

Selon la Cour de cassation, les parties peuvent par contrat accorder une valeur probante un
document dpourvu de signature, au sens classique du terme. C'est dire manuscrite.

Dans son rapport annuel pour 1989, la Cour de cassation a estim que :

ce procd moderne prsente les mmes garanties que la signature manuscrite, laquelle peut
tre imite tandis que le code secret n'est connu que du seul titulaire de la carte222

Toutefois, sauf faire intervenir un tiers certificateur qui apporte toutes les garanties de
scurit et de confiance dans le systme, on peut s'interroger sur la validit de la signature
numrique ralise en dehors de toute convention sur la preuve223 .

Une remarque doit tre formule quant l'admission de la validit de la signature


numrique. Le systme d'information utilis doit tre fiable et son efficacit informative

221

Cass. 1er civ., 8 novembre 1989, Bull. civ. I, n342. Dalloz 1990, p.369, note C.Gavalda

222

Paris, la documentation franaise, 1990, p.32.

223

Plaidoyer pour un droit conventionnel de la preuve en matire informatique , Expertises, juillet- aot 1987,
p.260 s.

108

crdible. Donc, si comme le dit M. CABRILLAC : la scurit du tlexe milite galement en


faveur de l'intgration de la cl informatique dans le formalisme cambiaire ft ce avec
quelques prcautions ou prcisions 224 , la cryptographie en apportant la scurit ncessaire
la signature peut militer en faveur d'une valeur probante de la signature numrique.

Si la signature est la condition indispensable du contrat papier, son obstacle pourrait tre
franchi par le truchement de la cryptographie. En revanche, des conditions supplmentaires de
formes peuvent devenir plus difficiles contourner.

Un contrat commercial (par exemple un contrat de vente) est souvent un contrat de type
synallagmatique. Or, l'article 1325 du Code civil dicte la formalit du double :

autant d'originaux qu'il y a de parties ayant un intrt distinct.

Sinon, l'acte juridique n'est pas nul, mais il ne peut servir de preuve. Il pourra toutefois
servir de commencement de preuve. Or,

les contrats commerciaux passs sur le rseau

regroupent bien deux cocontractants. Chacun possde un intrt distinct (chacun attend la
prestation de l'autre). Donc, la formalit du double (original) devrait tre effectue sous peine
de n'avoir qu'un commencement de preuve. Mais, sur le rseau les cocontractants ne se
rencontrent pas. Donc, le seul exemplaire papier du contrat qu'ils peuvent obtenir, est celui qui
apparatra sur leurs imprimantes. Peut-on considrer ce papier comme un original ?

En fait, la problmatique est autre. La vritable difficult rside dans ce que l'on peut
considrer comme l'original dans ce genre de transaction ? En effet, le seul contrat original
qui est pass entre deux internautes, est celui qui apparat sur l'cran. Mais, ce contrat l n'est
pas papier. Donc, devons-nous considrer que toutes les impressions du contrat pass sur un
cran sont des originaux ?

Nous pouvons considrer que, soit l'original se situe uniquement au sein de l'unit
centrale de l'ordinateur, et dans ce cas, il n'y a pas de preuve crite, soit nous pouvons
224

M.CABRILLAC, Chron. De lgislation et de jurisprudence franaise : RTD com. 1997, p. 120

109

considrer que seules certaines impressions sont originales. Dans ce dernier cas, il parat
insurmontables de dterminer quels sont les vritables originaux .

Heureusement, il existe des tempraments cette formalit du double :

L'crit devient inopposable en tant que preuve pour celui qui a excut la convention.

La formalit est rpute accomplie si un seul exemplaire est rdig mais dpos entre
les mains d'un tiers. Cette solution pourrait voir une adaptation au travers des tiers de
confiance.

La rgle est inapplicable aux actes commerciaux. Mais, il ne faut pas oublier que si le
contrat est conclu entre un commerant et un non commerant, l'acte n'est pas
considr comme commercial pour celui qui n'est pas commerant.

Aussi, mme si dans un certains nombres de cas le problme de la valeur probante du


document ne se posera pas, la preuve du contrat, sous sa forme actuelle, ne semble pas
totalement adapte au commerce lectronique. En fait, tout dpendra du type de preuve qui sera
appliqu : la preuve civile ou la preuve commerciale.

B- La preuve (civile et commerciale)


Comme nous l'avons vu prcdemment, l'admissibilit de la preuve de l'acte pass peut
dpendre selon que nous nous situons dans un acte commercial, civil ou mixte. Deux rgimes
sont concevables : soit le rgime de libert de la preuve, soit celui de sa lgalit.

Dans le premier cas, tous les modes de preuves sont admis et le juge apprciera librement
leurs valeurs pour former sa conviction.

Dans le second cas, c'est la loi qui dterminera les modes de preuves recevables et qui
fixera leur force probante.

En droit civil, pour les actes juridiques, le principe est celui de la lgalit de la preuve
(contrairement au droit pnal ou administratif). En effet, le lgislateur a estim qu'il tait
possible de se prconstituer une preuve. Donc, il existe une supriorit de l'crit en matire

110

contractuelle. En effet, cet crit semble plus objectif et plus durable que les autres modes de
preuves.

Selon l'article 1341 du Code civil, la preuve par crit est obligatoire :

Il doit tre pass acte devant notaire ou sous signatures prives de toutes choses excdant une
somme ou une valeur fixe par dcret mme pour dpts volontaires, () le tout sans prjudice
de ce qui est prescrit dans la loi relative au commerce

La somme vise par cet article a t fixe par dcret 5000 FF225 . Pour tout contrat dont
la somme dpasse 5000FF, la preuve par crit est ncessaire. Mais l'article 1341 du Code civil
n'impose pas la preuve crite systmatiquement.

Tout d'abord, en matire commerciale, pour des motifs de rapidit des transactions
commerciales, il est possible de prouver par tous moyens. Ainsi, l'article 109 du code de
commerce dispose :

A l'gard des commerants, les actes de commerce peuvent se prouver par tous moyens
moins qu'il n'en soit autrement dispos par la loi.

Cette rgle s'applique mme si la somme en question dpasse le seuil des 5000 FF. Mais,
il existe des limites cette libert de la preuve. Si le contrat est purement commercial (c'est
dire entre deux commerants), cette libert s'applique pleinement. En revanche, dans le cas d'un
contrat mixte (c'est dire entre un commerant et un non commerant), la libert de la preuve
n'est possible qu' l'encontre de la partie commerante. A l'encontre de la partie non
commerante, c'est la lgalit de la preuve qui devra tre mise en uvre. Cette obligation de se
prmunir d'une preuve crite l'encontre de la partie non commerante, peut engendrer une
inscurit juridique pour le commerant. En effet, comme nous l'avons vu prcdemment, en
matire de commerce lectronique, la constitution de cette preuve crite soulve des difficults.

225

Dcret n80-533 du 15 juillet 1980

111

Ensuite, en matire civile, l'article 1341 du code civil fixe une limite de 5000 FF pour la
ncessit de se prmunir d'un crit. Donc, a contrario, si la somme dont il est question est
infrieure ce seuil, l'obligation de procurer une preuve crite n'existe pas. Dans ce cas, la
libert de la preuve jouera pleinement son rle et il sera possible de prouver les obligations
prisent par tous moyens.
Enfin, toujours en matire civile, l'article 1341 du code civil n'est pas d'ordre public. En
effet, c'est une rgle protectrice des simples intrts privs. Donc, les parties un acte juridique
peuvent renoncer l'exigence de la preuve crite, soit au moment de la conclusion de l'acte, soit
au cours du procs.

Une autre possibilit peut galement tre prise en compte. Dans le cas du commerce
lectronique, ne pouvons nous pas considrer que nous nous trouvons devant un cas
d'impossibilit de se prconstituer ou de produire une preuve crite. En effet, l'article 1348 du
code civil dispose :
Les rgles ci-dessus (dont l'article 1341 du code civil) reoivent exception lorsque () l'une
des parties, soit n'a pas eu la possibilit matrielle ou morale de se procurer une preuve littrale
de l'acte juridique, ()
Elles reoivent aussi exception lorsqu'une partie ou le dpositaire n'a pas conserv le titre
original et prsente une copie qui en est la reproduction non seulement fidle mais aussi
durable. Est rpute durable toute reproduction indlbile de l'original qui entrane une
modification irrversible du support.

Dans le cas de la prconstitution, elle pourrait dcouler des usages appliqus dans le
cadre du commerce lectronique. La distance entre les deux cocontractants pourrait crer une
nouvelle forme d'usage, propre ce type de commerce, empchant la prconstitution d'un
original du contrat.

Ensuite, dans le cas de la production de la preuve crite, si nous supposons que l'original
du contrat n'est autre que ce qui apparat sur l'cran, le fait d'imprimer cet cran constitue une
reproduction durable est fidle du titre original.

Malgr tout, il apparat que le rgime actuel de la preuve est adapt un monde physique.
Cela soulve des difficults d'application lorsque nous passons dans un monde dmatrialis.
Pour rpondre au nouveau besoin que cre le dveloppement du commerce lectronique, la
cryptographie peut tre un outil trs utile.

112

Section II : La cryptographie, un outil ncessaire au dveloppement d'un


besoin nouveau : le commerce lectronique
tant donn qu'un nombre croissant de transactions se font non plus sur un rseau ferm
mais sur un rseau ouvert226 , la cryptographie devient indispensable au commerce lectronique.
Par le pass, le commerce lectronique, comme l'change de donnes informatises (EDI) ou le
transfert lectronique de fonds, s'effectuait en grande partie sur des rseaux ferms. Dans le
contexte commercial mondial, on ne pourra tirer pleinement parti du commerce lectronique
que si l'on passe par des rseaux ouverts.

Toutefois, ces rseaux posent divers problmes, en ce qui concerne l'authentification des
parties communiquant, l'intgralit des documents, la confidentialit des renseignements et
l'assurance que les transactions ont t autorises par les utilisateurs lgitimes.

Sans la cryptologie pour assurer cette fiabilit, nous risquons de ne pas pouvoir rgler ces
problmes.

Avec le dveloppement croissant de l'informatique, tous les chelons de notre socit, la


protection des informations communiques fait l'objet de nouveaux dfis (I). De mme, la
notion de preuve ncessite une remise en question (II).

I- Le secret lpreuve dune informatique installe

La circulation d'informations sur un rseau ouvert soulve des questions quant leurs
niveaux de confidentialit. Mme si des textes franais prennent dj en compte ce paramtre,
leurs confrontations avec les normes europennes peuvent voir surgir des oppositions (A).
Mais, en dehors de cet aspect de confidentialit, le commerce lectronique rclame toujours
une certaine scurit juridique quant aux transactions passes sur le rseau (B).

226

Le rseau ferm, relie des utilisateurs entretenant dj une relation contractuelle et se font mutuellement
confiance. Par comparaison, Internet constitue l'exemple le plus connu de rseau ouvert. Il s'agit d'un vaste rseau
interconnect compos de milliers de rseaux.

113

A- Lois franaises face aux normes europennes


Au niveau europen, un rglement communautaire du 19 dcembre 1994227 institue un
rgime de contrle des exportations de biens double usage (en revanche, il ne prvoit pas de
restrictions dans le domaine de lutilisation ou de limportation des produits de cryptographie).
Mais la politique gnrale tend vers un certain assouplissement des contrles lexportation
des produits dits sensibles. Cet assouplissement est justifi par les progrs de la technologie
et par la forte pression des industries exportatrices europennes et des pays tiers.

Ce rgime, applicable depuis le 1er juillet 1995, est marqu par les principes directeurs
du march commun, notamment celui de libre circulation des biens lintrieur du march
commun ainsi que celui de reconnaissance mutuelle des licences dexportation entre les tats
membres.

Nanmoins, des restrictions temporaires aux transferts intra-communautaires subsistent


pour certains biens considrs comme particulirement sensibles, parmi lesquels figurent les
produits et logiciels de cryptographie. Ainsi, sont viss les tlcommunications, logiciels et
matriels informatiques de haute technologie et la scurit de linformation.228
Au niveau intra-communautaire, le principe de la libre circulation des marchandises
persiste229 . En revanche, pour les pays tiers, les quipements de scurit de linformation et les
logiciels de chiffrement ne peuvent pas tre exports hors de la communaut sans licence 230 .

227

Rglement (CE), n3381/94 du Conseil, du 19.12.1994, instituant un rgime communautaire de contrle des
exportations de biens double usage, JOCE, nL367/1, du 31.12.1994 ; modifi par le rglement Conseil CE
n837/95 du 10.04.1995, JOCE du 21.04.1995,nL90 ; dcision du Conseil du 16.02.1996,JOCE du
1.03.1996,nL52 ; dcision du Conseil du 22.10.1996,JOCE 30.10.1996,nL278 ; JOCE du 28.02.1997,nC64 p.1;
dcision du Conseil du 20.01.1997,JOCE 4.02.1997, nL34.
228

La catgorie 5 tlcommunications de lannexe I comprend une partie 2 scurit de linformation dfinie


comme : tous les moyens et toutes les fonctions rglant laccessibilit ou assurant la confidentialit ou
lintgrit de linformation ou des tlcommunications, lexclusion des moyens et des fonctions prvues pour la
protection contre les dfaillances ; . Par consquent, sont compris la cryptologie , la cryptanalyse , la
protection contre les manations compromettantes et la scurit des ordinateurs.
229

Larticle 9 du Trait Rome dispose que La Communaut est fonde sur une union douanire qui stend
lensemble des changes de marchandise, et qui comporte linterdiction, entre les tats membres, des droits de
douanes limportation et lexportation () .

114

La compatibilit de la loi franaise avec la lgislation communautaire est aborde dans la


communication de la Commission europenne sur la scurit et la confiance dans la
communication lectronique231 . Pour elle :

Une rglementation limitant lusage de produits et de services de chiffrement dans le march


intrieur constitue un obstacle la libre circulation des informations personnelles et la
fourniture de biens et de services qui y sont lis, et sa justification doit tre examine la
lumire du Trait (de Rome) et de la directive communautaire sur la protection des donnes
personnelles.

Indpendamment de la compatibilit de restrictions avec les dispositions du Trait en matire de


libre circulation des biens et des services, des contrles nationaux spcifiques pourraient
galement avoir des effets secondaires sur la libre circulation des personnes similaires ceux
identifis par le Comit Veil.

Larticle 9 du Trait de Rome a institu le principe de libre circulation des marchandises.


Larticle 30 interdit galement les mesures dites deffet quivalent. Donc, en principe, une
marchandise lgalement produite dans un tat membre doit pouvoir tre produite et
commercialise sur le march des autres tats membres.
Le droit communautaire garantit galement la libert dtablissement, la libre circulation
des personnes et des services (articles 52 et 59 du Trait de Rome). Une discrimination contre
un prestataire de service qui serait fonde sur sa nationalit ou sur la circonstance quil rside
dans un tat membre autre que celui o la prestation doit tre fournie, est interdite.

Larticle 36 prvoit quil peut tre fait exception ces principes notamment pour des
raisons dordre public et de scurit publique.

230

Lexportation est dfinie par le rglement comme le rgime permettant la sortie temporaire ou dfinitive de
marchandises communautaires du territoire douanier de la communaut conformment larticle 161 du Code
des douanes communautaires ; ce rgime inclut la rexportation, cest--dire lopration au sens de larticle 182
dudit code consistant en la sortie du territoire douanier de la Communaut de marchandises non
communautaires.
231

Voir Communication de la Commission europenne, Assurer la scurit et la confiance dans la


communication lectronique , COM (97) 503.

115

Cependant, larticle 36 est dinterprtation stricte et la restriction invoque doit respecter


le principe de proportionnalit, cest--dire que la mesure doit tre approprie, efficace, et ne
pas aller au-del de ce qui est strictement ncessaire pour atteindre lobjectif poursuivi.

La France est le seul pays de lUnion europenne disposer dune lgislation restreignant
sur son sol le libre usage et la fourniture de la cryptographie. Cela engendre une impossibilit
de fait, pour un ressortissant communautaire voyageant en France, dutiliser des produits de
chiffrement suprieur 128 bits, autoriss dans son pays (il devrait dposer un dossier
dclaration). Or, les moyens techniques devraient tre en mesure de circuler avec les
informations personnelles quils protgent.

De plus, les organismes agrs doivent exercer leurs activits sur le territoire franais, ce
qui est un obstacle la libre prestation de services et un obstacle la libre circulation des
marchandises.

En effet, un produit librement commercialis dans un autre pays de lUnion est soumis
autorisation pour pouvoir tre fourni en France. Donc, il y a entrave aux changes de produits
lgalement fabriqus et commercialiss dans dautres pays de lUnion europenne.
La Directive europenne sur les traitements de donnes caractre personnel232 requiert
que les tats membres protgent les droits et les liberts des personnes physiques l'gard du
traitement des donnes caractre personnel, et notamment le droit au respect de leur vie
prive, afin d'assurer la libre circulation des ces donnes dans la Communaut.

Larticle 17 de cette directive indique que le responsable dun traitement doit mettre en
uvre les mesures techniques et dorganisation appropries pour protger les donnes
caractre personnel contre la destruction, la perte, laltration, la diffusion ou laccs non
autoriss, notamment lorsque le traitement comporte des transmissions de donnes dans un
rseau. Larticle prcise que :

232

Directive n95/46 du 24 octobre 1995, JOCE 23/11/95 L 281/30.

116

Ces mesures doivent assurer, compte tenu de ltat de lart et des cots lis leur mise en
uvre, un niveau de scurit appropri au regard des risques prsents par le traitement et de la
nature des donnes protger.

Les rgimes tablis pour lutilisation et la fourniture des moyens et de prestations de


cryptographie pourraient affecter lapplication de la directive, dans la mesure ou selon la
Commission :

les moyens appropris ncessaires pour scuriser les donnes personnelles ne seraient pas
disponibles en France et/ou ne pourraient pas "voyager" avec les donnes quelles scurisent
provenant dautres tats membres.

De mme, les rgimes dautorisation et dintervention de tiers de confiance risquent


dentraver lutilisation et la libre circulation des moyens de chiffrement appropris.

B- Les enjeux de la cryptographie en question ?

Le commerce lectronique se caractrise par l'abolition des distances gographiques.


C'est d'ailleurs cette mme distance qui entrane une perte de confiance entre les diffrents
protagonistes de ces changes. Il existe un impratif, qui est de connatre l'identification des
individus ou organisations avec qui nous contractons.

L'essor du commerce lectronique repose sur la confiance que les utilisateurs accorderont
au systme. En terme de scurit, des incertitudes demeurent. Il faut en effet pouvoir
transmettre des informations dans des conditions techniques qui garantissent l'identit et le
consentement de l'metteur, la teneur des messages et leurs rceptions. Or, par nature, la
scurit constitue le point faible des rseaux ouverts.

Il est possible d'imaginer qu'un cocontractant refuse d'honorer ses engagements, voire
mme qu'une personne mal intentionne intercepte le message, ce qui lui donnerait accs des
informations relevant du secret des affaires ou de la vie prive. Cette personne aurait mme la
possibilit de modifier ces informations.

117

De mme, il faut pouvoir s'assurer que l'information concernant l'identification tire des
transactions ralises, ne soit pas ambigu, errone ou incorrecte. Cela pourrait galement
amener la connaissance d'un identifiant par un tiers, comme par exemple, un numro de
carte de crdit. Une mthode d'identification qui suscite un bon degr de confiance est donc
essentielle233 . Aussi, comment se prmunir contre de tels risques ?

Cette question de la scurit transactionnelle et de l'identification individuelle peut tre


un frein au commerce lectronique. Dans le cadre de transactions, les usagers sont appels
fournir des renseignements personnels comme le numro de carte de crdit ou leur
identification. Ici, la question pose est de savoir par quels mcanismes il est possible de
garantir que les renseignements personnels ne seront pas intercepts ?

La confidentialit des changes ne concerne pas uniquement des intrts individuels. Un


des intrts protger, de manire gnrale, est tout ce qui relve du secret commercial. Il est
ais de comprendre que parmi les messages changs, certains peuvent avoir une importance
capitale pour les entreprises de telle sorte que leurs dtournements, ou pis encore leurs
diffusions, pourraient avoir des consquences extrmement fcheuses. Sur ce point, le fait que
l'change de donnes se fasse de manire lectronique ne change pas les principes mmes de la
protection de ce type de secret. Le problme tient de la vulnrabilit des transmissions par voie
de tlcommunications, qui sont une proie facile pour l'espionnage. Il en rsulte un besoin de
recourir des rgles de protection pour assurer la confidentialit des changes.

Ainsi, quatres catgories de risques peuvent tre lies l'change de documents et la


signature:

- La premire catgorie est la non-identification de l'expditeur. L'usurpation d'identit,


reprsente un risque important dans toutes transactions. Elle rsulte de l'appropriation non

233

R. CLARKE et autres, The Scope for Transaction Annymity and Pseudnymity , prsent dans le cadre du
Fifth Conference on Computers, Freedom, and Privacy, Confrence organise par le Board of Trustees de
l'Universit Leland Stanford, juin-juillet 1994, p.108 ; http://www-techlaw.stanford.edu/CFP95.Program.html.

118

autorise d'un identifiant ou de simulation d'un identifiant appartenant autrui. Ce type de


risque est proportionnel l'accessibilit du rseau234 .

Les consquences de cette usurpation doivent tre considres comme non ngligeables.
Ainsi, en absence d'une identification formelle :

un concurrent pourrait utiliser l'EDI pour obtenir, par exemple, une liste de prix ou
d'informations confidentielles concernant les plans de productions. Une banque pourrait agir
sur la base d'instruction qui semblent provenir d'un client, mais qui, en ralit, sont mises par
un pirate.235

La catgorie suivante est l'altration des donnes. L'intgrit des donnes reprsente

l'une de proccupations principales quant la scurit de l'information. Les donnes d'un


message peuvent tre modifies, supprimes ou insres, lors de transmission, de faon
accidentelle ou du fait de la malveillance de personnes non habilites.

Les consquences dcoulant de l'altration des donnes qui composent un message


peuvent tre importantes, particulirement lorsque le message comporte une autorisation ou est
accompagn d'une signature. Dans le cas de la signature, toute modification non autorise du
contenu du message qui survient aprs la signature aurait pour effet de vici l'objet du contrat.

Ensuite, il existe le risque de divulgation non autorise des donnes. La

confidentialit peut s'avrer trs importante lors de transit de donnes caractre personnel ou
comportant une valeur conomique. Pour tre efficace, la confidentialit de donnes doit tre
prserve toutes les tapes. C'est dire tant la transmission, qu' la rception. De plus, pour
viter tous risques d'observation pendant le flux des donnes, la confidentialit de toute la
transmission doit tre galement effectue. Ainsi :

234

PARISIEN, Serge et Pierre TRUDEL, l'identification et la certification dans le commerce lectronique ,


Rapport final, Montral, Centre de recherche en droit public, avril 1996, p.84
235

Commission des communauts europennes, EDI et scurit : Comment grer le problme ? , rapport
prpar par KPMG dans le cadre du programme TEDIS, 1992, p.10.

119

le niveau d'activit conomique d'une entreprise peut tre dtermin en comptant le nombre de
messages envoys et reus, mme si la teneur des messages reste secrte. 236

Les atteintes la confidentialit peuvent dcouler du dysfonctionnement du rseau de


communication (entranant l'acheminement erron des donnes) ou d'actes de piratage.

Enfin, la dernire catgorie de risque est la rpudiation. Elle dsigne la situation

dans laquelle un metteur nie, en tout ou partie, l'mission d'un message. La rpudiation peut
tre la consquence d'une erreur, d'un acte de piratage ou d'un refus de l'expditeur d'endosser
la paternit et la responsabilit d'un message. Cette rpudiation peut tre aussi le fait du
destinataire. En effet, ce dernier peut nier la rception d'un message ou son contenu. Les
consquences de la rpudiation ne sont pas ngligeable. Ainsi, une entreprise qui ralise un
produit sur demande devra, suite la rpudiation du message de commande, supporter les cots
de fabrication du produit tout en tant prive des revenus tirs de sa vente.

Ainsi, utiliser des rseaux ouverts suppose que l'on mesure les risques de faon pouvoir
y apporter une double scurit technique et juridique237 . Sous cet angle, il est classique
d'associer les outils cryptographiques la scurit. L'utilisation de la cryptographie permet
d'assurer des fonctions juridiques fondamentales :

- d'authentification, c'est dire l'identification d'une tiers personne (en principe, le


terme authentification employ par le lgislateur peut surprendre certains
juristes. Il est classique de dfinir l'authentification, en droit civil, comme tant une
opration ralise par un officier public des fins probatoires et qui consiste
confrer l'authenticit un acte238 )
- d'intgrit

236

Commission des communauts europennes, EDI et scurit : Comment grer le problme ? , rapport
prpar par KPMG dans le cadre du programme TEDIS, 1992, p.11.
237

V. I. De LAMBERTERIE, la valeur probatoire des documents informatiques dans les pays de la CEE : RID
comp. 1992, n3, spc. P.64 et E-A. CAPRIOLI, contribution la dfinition d'un rgime juridique de la
conservation des documents : du papier au mesurage lectronique : Dr. Informatique et Tlcoms 1993/3, p.5s.
238

G.CORNU (SS dir. De), Vocabulaire juridique, Paris, PUF, 1987, V authenticit et authentification. Une autre
acceptation existe, mais elle a pour vacation de vrifier l'authenticit.

120

- de non-rpudiation
- de confidentialit

En principe, ce sont des tiers prestataires de services ( valeur ajoute), dits autorit de
certification , qui rempliront ces fonctions239 .

Par ailleurs, la confidentialit des donnes nominatives impose des obligations issues
principalement de la Loi relative l'informatique, aux fichiers et aux liberts240 et de la
directive europenne relative la protection des personnes physiques l'gard du traitement
des donnes caractre personnel et la libre circulation de ces donnes241 . Mais, mme si la
directive a vocation s'appliquer de faon plus tendue au niveau international (elle concerne
tous les tats membres de l'Europe la diffrence de la loi franaise qui ne concerne que l'tat
franais), le territoire d'application de ces deux textes est relativement restreint dans une
optique de commerce l'chelon mondial. Aussi, une garantie des individus dans le cadre de
relations commerciales est ncessaire.

Dans cette optique, la France, dans un Memorandum prsent aux tats membres de
l'Union europenne, a dgag un certain nombre d'orientation afin tablir la confiance dans les
instruments et les rseaux de commerce lectronique242 .

En effet, les technologies sres, telles que les signatures numriques et les moyens de paiement
lectronique protgs sont disponibles, pour la plupart, et de plus en plus utiliss
commercialement. Cependant, le cadre indispensable l'usage de ces technologies reste
imprcis. Donc il est ncessaire dadapter les rgles commerciales la ralit du commerce
lectronique.
239

Voir supra.

240

Loi n78-17 du 6 janvier 1978, JO du 7 janvier 1978

241

Directive 95/46/CE du parlement et du conseil, JOCE nL281/31, 23 novembre 1995.

242

Memorandum prsent par la France aux tats-membres de l'Union europenne lors des Conseils du 26 fvrier
1998 (Tlcommunications) et du 9 mars (Ecofin), Crer un environnement communautaire et international pour
dvelopper le commerce lectronique.

121

En effet, en ce qui concerne la protection des donnes personnelles et de la vie prive, des
diffrences significatives en matire de protection des donnes entre les tats pourraient
entraver les changes lectroniques.

De plus, l'Union europenne a adopt une directive sur la protection des personnes
physiques lgard du traitement des donnes caractre personnel et de la libre circulation
des donnes. Cette directive, dont la transposition dans le droit des tats membres aurait du tre
acheve en octobre 1998, rglemente notamment les transferts de donnes destination des
tats tiers. Donc, la prise en compte des effets de cette directive sur les changes lectroniques
avec les tats qui ne disposent pas de protection des personnes physiques aussi labore, doit
tre examine la lumire des dveloppements rcents du commerce lectronique.

Ensuite, pour la France, afin dencourager les possibilits de personnalisation de l'offre


que permet le commerce lectronique, il convient de favoriser les systmes technologiques
permettant de dissocier l'tablissement du profil des consommateurs de, leur identification, qui
elle, doit demeurer protge.

Enfin, la scurit des transactions devrait faire l'objet d'effort concert au niveau
communautaire afin d'aboutir un compromis entre les besoins de protection demands par les
acteurs conomiques et les ncessits de la scurit publique. Cet effort est ncessaire pour
fluidifier les changes lectroniques mondiaux. Un effort de concertation et d'changes doit tre
men au sein de lUnion europenne afin de permettre un minimum d'interoprabilit et de
confiance mutuelle, dans une optique de respect des rglementations nationales.

Mais, une fois la confiance suscit au sein des utilisateurs du commerce lectronique, un
cadre juridique de la preuve doit tre dvelopp afin qu'il puisse s'adapter aux changes
lectroniques.

122

II La preuve confronte une informatique installe


Force est de constater que nous sommes entr dans une socit de linformation ou,
plutt, que cette situation sest acclre depuis le dbut des annes 1990. Devant cet tat de
fait, les changes de documents lectroniques se sont acclrs et sont devenu le quotidien de
nombreux services. La raison en est bien simple, lEDI (lchange de donnes ou
dinformation) est pratique, il allie souplesse et rapidit. Les applications sont ici nombreuses
et, pour certaines, elles facilitent considrablement le travail de nombreux secteurs dactivit.

Cela tant, en matire contractuelle comme en matire factuelle, le document crit, sur
lequel est appos une signature manuscrite possde une valeur de preuve qui demeure lorsque
le document est sous forme numrique dans les changes de type commerciaux (supra). La
validit dune inscription informatise pour prouver un acte ou un fait juridique pose des
problmes. Pour cela, il est ncessaire de dvelopper un systme de preuve lectronique (A)
afin de susciter la confiance des utilisateurs (B).
A- La ncessit dune preuve lectronique
Les diffrentes initiatives en cours dans les tats membres conduisent une situation
juridique trs htrogne. Bien que les tats membres semblent se concentrer sur les mmes
questions (notamment les exigences imposes aux prestataires de services et aux produits, les
critres qui dtermineront leffet juridique des signatures lectroniques, et la structure des
rgimes daccrditation), il est vident que la diversit des rglementations respectives ou leur
inexistence sera telle, que le fonctionnement du march intrieur dans le domaine des
signatures lectroniques sen trouvera menac.
Toute divergence dans les rgles dfinissant leffet juridique attribu aux signatures
numriques est particulirement prjudiciable au dveloppement futur du commerce
lectronique.
Des incertitudes peuvent galement rsulter des rgimes diffrents en matire de responsabilit
et du risque dincohrences de la jurisprudence en cette matire. De plus, il est probable que les
critres techniques en fonction desquels les signatures lectroniques seront considres comme
sres varieront dun tat membre lautre.

123

Donc, lhtrognit de la situation, en entravant lutilisation et la fourniture de services


lis aux signatures lectroniques et en freinant le dveloppement de nouvelles activits
conomiques en rapport avec le commerce lectronique, risque de constituer un srieux
obstacle la communication et aux affaires par rseaux ouverts dans lUnion europenne.
Aussi, un besoin d'harmonisation se fait ressentir au niveau europen. En effet, plusieurs tats
membres ont dj pris des initiatives lgislatives dtailles en ce qui concerne les signatures
lectroniques243 .

Dans sa communication du 16 avril intitule : une initiative europenne dans le domaine


du commerce lectronique244 et adresse au Parlement europen, au Conseil, au Comit
conomique et social et au Comit des rgions, la Commission reconnaissait que les signatures
numriques constituaient un moyen essentiel dassurer la scurit et de dvelopper la confiance
sur les rseaux ouverts. Dans la Dclaration ministrielle de Bonn245 , les signatures numriques
apparaissaient galement comme une question prioritaire pour le commerce lectronique.

Dans un premier temps, la Commission a prsent au Parlement europen, ainsi qu'au


Conseil, au Comit conomique et social et au Comit des rgions, une communication
intitule assurer la scurit et la confiance dans la communication lectronique : vers un cadre
europen pour les signatures numriques et le chiffrement246 . Dans cette communication, elle
soulignait la ncessit dune approche cohrente dans le domaine de la signature numrique.

Ainsi, une proposition de directive instituant un cadre juridique pour l'utilisation des signatures
lectroniques a t prsente par la Commission europenne247 . Lobjectif de la proposition de
directive vise permettre lusage des signatures lectroniques dans un espace sans frontires

243

Voir annexe n4

244

COM(97) 157 final du 16.4.1997.

245

Confrence ministrielle europenne, Global information networks : realising the potential, Bonn 6-8.7.1997.

246

COM(97) 503 final du 8.10.1997.

247

Proposition de directive du parlement europen et du conseil sur un cadre commun pour les signatures
lectronique , prsente par la Commission, Bruxelles, le 13.05.1998 COM(1998) 297 final, 98/0191 (COD).

124

en se concentrant sur les obligations essentielles pour les services de certification, et laisse les
dtails de la mise en uvre la discrtion des tats membres.

En instituant des rgles minimales en matire de scurit et de responsabilit, cette


proposition garantira la reconnaissance juridique des signatures lectroniques dans toute
l'Union europenne sur la base des principes de libre circulation des services et du contrle par
le pays d'origine rgissant le march unique. Elle crera un cadre pour des transactions en ligne
sres dans tout le march unique et ainsi favorisera l'investissement dans les services de
commerce lectronique. Pour M. Bangemann :

la scurit des transactions est capitale si l'on veut que ce potentiel (du commerce
lectronique) puisse tre exploit en Europe. Une fois adopte, cette directive supprimera l'un
des principaux obstacles qui continuent d'entraver un dveloppement grande chelle du
commerce lectronique.

Cette proposition arrive avant que les tats membres mettent en place un cadre lgislatif
rgissant les signatures lectroniques. Elle garantira donc, ds le dbut, un cadre juridique
harmonieux pour le march unique et vitera de devoir lutter contre des initiatives nationales
n'allant pas forcment dans le mme sens.

Cette proposition dfinie des exigences essentielles pour les certificats attestant la
signature numrique et les services de certification, afin de garantir un niveau minimal de
scurit et permettre la libre circulation des certificats et des services dans le march unique.
Ces exigences porte notamment sur la fiabilit des prestataires et sur l'utilisation de systmes
dignes de confiance.

De plus, cette proposition fixe des rgles minimales en matire de responsabilit des
prestataires de services notamment en ce qui concerne la validit du contenu du certificat. Cette
approche permettra de gagner la confiance des consommateurs, et encouragera les oprateurs
concevoir des systmes et des signatures srs.

Aucune discrimination juridique ne devra s'exercer l'encontre d'une signature


lectronique pour la seule raison qu'elle se prsente sous une forme lectronique, car il est

125

essentiel pour la mise en place d'un systme ouvert et fiable de signatures lectroniques que ces
signatures aient des effets juridiques. Les signatures lectroniques, doivent tre considres
comme l'gale des signatures manuscrites. Ainsi, elles pourront tre acceptes comme preuve
dans une procdure judiciaire. tant donn le rythme de l'innovation technologique, la
reconnaissance juridique des signatures lectroniques existera indpendamment de la
technologie utilise (par exemple les signatures numriques reposant sur la cryptographie
asymtrique).

Mais cette proposition concerne uniquement la fourniture au public de certificats visant


identifier l'expditeur d'un message lectronique. En effet, elle n'a pas s'appliquer aux groupes
ferms d'utilisateurs, tels que les intranets ou les systmes bancaires, dans lesquels une relation
de confiance existe dj. Par consquent, il n'existe pas de besoin manifeste de rglementation
dans ce domaine.

La proposition obligera donc les tats membres revoir leurs lgislations nationales pour
en liminer toute interdiction ou restriction pesant sur l'utilisation de moyens lectroniques
pour la conclusion de contrats. En effet, toute directive communautaire entrane une obligation
de mise en conformit du droit interne avec les dispositions europennes. Ce texte n'est pour
l'instant qu'une proposition et le Parlement europen ou le Conseil peuvent toujours l'amender.
Mais aprs son vote, la mise en conformit des lgislations nationales devra intervenir. Cette
directive devrait occasionner, en France, des travaux lgislatifs en matire de signature.

La signature numrique, s'inscrit dans le cadre plus gnral de la signature lectronique.


Cette dernire comprend plusieurs technologies qui permettent de raliser, dans un
environnement lectronique, les fonctions de la signature manuscrite (l'identification du
signataire de l'acte ou du document et l'expression de la volont d'adhrer au contenu de l'acte).
Dans cette perspective d'approche fonctionnelle et de convention de preuve, l'article 7 de la loitype de la commission des Nations Unies pour le droit commercial international (CNUDCI) sur
le commerce lectronique peut tre une orientation :

Lorsque la loi exige la signature d'une certaine personne, cette exigence est satisfaite dans le
cas d'un message de donnes :

126

a)

Si une mthode est utilise pour identifier la personne en question et pour indiquer
qu'elle approuve l'information contenue dans le message de donnes ;

b)

Si la fiabilit de cette mthode est suffisante au regard de l'objet pour lequel le


message de donnes a t cr ou communiqu, compte tenu de toutes les circonstances, y
compris de tout accord en la matire (). 248

Ainsi, l'tat franais dispose dj d'un texte qui suit l'approche de l'quivalence
fonctionnelle de la signature249 , tout en tant acceptable par notre systme juridique. Donc,
pour la scurit juridique des transactions et autres enregistrements lectroniques, il semble
important de modifier le Code civil franais en introduisant expressment les notions de preuve
informatique et de signature numrique250 . Dans cette optique, l'exemple qubcois ne semble
pas dnu d'intrt.

Le Code civil du Qubec prvoit des dispositions gnrales sur la preuve lectronique,
et en plus, il introduit une dfinition de la signature qui largit ainsi les formes extrieures de
la signature au- del de la simple transcription du nom. 251

Le Code civil du Qubec aborde en effet la notion de signature de faon originale. La


jurisprudence et la doctrine ont traditionnellement adopt, vis--vis de cette notion, une
approche dogmatique hostile l'ide que de nouvelles formes de signature puissent constituer
une alternative valable la signature manuscrite252 .

248

Rapp. Comm. Nations Unies pour le droit commercial international sur les travaux de sa 21me session, 28 mai 14 juin 1996, Assemble gnrale, Documentation officiels, 51me session, suppl. n17 (A/51/17), V. p.77.
249

L'quivalence avec l'crit a dj t consacre par plusieurs textes lgislatifs franais. Par exemple, l'article 47
de la loi de finance rectificative pour 1990 en matire de dductibilit de la TVA lorsqu'une facture numrise est
mise, tenant lieu de facture d'origine
250

Groupe de travail l'crit et les nouveaux moyens technologique au regard du droit de la mission de
recherche droit et justice, V. l'interview du Pr A. LUCAS in Expertises 1997, p.222.
251

Art 2827 C.c.Q ; Pierre TRUDEL, Guy LEFEBVRE et Serge PARISIEN, La preuve et la signature dans
l'change de documents informatiss au Qubec, Qubec, Publication du Qubec, 1993, p.65. cit dans Trudel,
Pierre et autres, Droit du cyberespace, Montral, ditions Thmis, 1997.
252

Dirk SYX, Vers de nouvelles formes de signatures ? Le problme de la signature dans les rapports juridiques
lectroniques , droit de l'informatique, 133, 1986.

127

Les codificateurs qubcois se sont tourns vers une approche plus pratique en largissant
la notion de signature au-del de la simple transcription d'une marque personnelle utilise de
faon courante par une personne pour manifester son consentement :

La signature consiste dans l'apposition qu'une personne fait sur un acte de son nom ou d'une
marque qui lui est personnelle et qu'elle utilise de faon courante, pour manifester son
consentement. 253

Du fait de cette formulation large, rien ne s'oppose l'utilisation de signatures


lectroniques. Il apparat lgitime de soutenir qu'une signature lectronique constitue bel et bien
une marque dont le caractre personnel se trouve par ailleurs assur par le haut niveau de
confidentialit qui entoure gnralement les mcanismes de signature lectronique. Par ailleurs,
l'utilisation du terme marque apparat significative. Rien ne suppose en effet qu'une marque
soit numrique. Il apparat vident que celle-ci ne peut exister que sous forme lectronique
dans le cadre d'un environnement informatis.

La recevabilit de la signature lectronique par le lgislateur qubcois semble confirme


par le fait que le Code civil qubcois reconnat la validit du document informatis comme
moyen de preuve. De plus, lors de la rforme du Code civil du Qubec, les codificateurs ont,
estims qu'il n'tait pas ncessaire de dfinir la notion de signature sauf l'largir. En effet,
l'absence de cette dfinition dans le Code civil du Bas-Canada, n'a donn lieu, aprs environ
125 ans d'exprience, aucun contentieux. Donc, si le but est d'enfermer la notion de signature
dans une signature manuscrite, il n'est pas ncessaire de la dfinir.

C'est en n'excluant pas les nouvelles formes de signature que le Code civil du Qubec
admet la signature lectronique254 . Tous les mcanismes de signature qui remplissent les deux
fonctions de base de la signature (identification et manifestation de la volont du signataire
d'adhrer au contenu de l'acte ou du message sign) sont admis.

253

Art 2827 C.c.Q

254

La signature lectronique est rgie par l'article 1827 du C. c Q. portant sur la signature. Donc, la preuve de son
authenticit doit se faire selon les rgles gnrales de la preuve. Le fardeau de la preuve incombe celui qui
invoque l'acte sign (2829 C. c. Q).

128

L'exemple qubcois semble une alternative qui peut tre suivie par le lgislateur
franais. Mais la reconnaissance juridique de la signature numrique ne suffira pas, elle seule,
susciter la confiance des utilisateurs.

B- Susciter la confiance des utilisateurs


La signature numrique ne suffit pas en tant que telle certifier quelle personne se situe
derrire cette signature. Pour cela, il est ncessaire de passer par un tiers. Ces tiers sont des
autorits de certifications qui assurent plusieurs fonctions, dont une essentielle : formaliser le
lien qui existe entre une personne physique ou morale et une paire de cls asymtriques. Une
autorit de certification est donc :

une autorit charge par un ou plusieurs utilisateurs de crer et d'attribuer leur cl publique et
leur certificat 255

Certains ont rapproch les tiers certificateurs des notaires en les appelant les
cybernotaire. Mais, ces tiers se distinguent des notaires dans la mesure o ils n'ont pas pour
mission d'tablir, de dater et de conserver des actes juridiques conformment aux prescriptions
lgales256 .

Les autorits de certification doivent non seulement apporter aux utilisateurs toutes les
garanties d'intgrits et de scurit, mais aussi que ces qualits leurs soient reconnues. Il semble
donc indispensable d'assurer une protection des utilisateurs. Or, la multiplication des tiers et
une concurrence anarchique risquent de nuire au suivi de spcifications minimales communes,
spcialement en matire d'introprabilit des autorisations et d'usage de profils de scurit257 .
Il est impossible de douter que le niveau de confiance dpendra du niveau de scurit.
255

Recommandation n509 de l'IUT-T, Annuaire, Cadre d'authentification, Fasc. VIII. 8, 1988, art. 10.1.1

256

V. A. GOBIN, pour une problmatique notariale des autoroutes de l'information : JCP N 1995, n 50-51, p.
1749s.
257

Cosiform, Recommandation relative l'utilisation de profils de protection dans les changes informatiss entre
l'administration et ses partenaires et usagers, nR 96.02, 19 juin 1996, http://www.cerf.gouv.fr

129

La fonction de l'autorit de certification qui consiste remettre les certificats est


fondamentale. Ce certificat est un message lectronique dlivr par un tiers de confiance qui a
pour fonction d'tablir un lien entre une personne physique ou morale dment identifie et une
paire de cls (prive et publique). Il permet donc l'identification du titulaire de la cl prive
correspondant la cl publique mentionne dans le certificat pour la signature.

En principe, le certificat contient une srie d'informations relatives l'utilisateur (nom,


adresse,), au nom du tiers certificateur, la cl publique de l'utilisateur, au numro de srie,
ses dates de dlivrance et d'expiration. Il est entendu que les donnes nominatives doivent tre
soumises aux prescriptions lgales. De plus, les autorits certificatrices authentifient ellesmmes les certificats en y apposant leur signature numrique.

Avec ce certificat, un destinataire qui se fie une signature numrique cre par la
personne nomme dans ledit certificat, peut utiliser la cl publique mentionne dans celui-ci
afin de vrifier que la signature numrique a bien t cre avec la cl prive correspondante. Si
cette vrification est positive, le destinataire a la certitude que la signature numrique mane
vritablement du titulaire de cette cl publique. De plus, il a la garantie que le message n'a pas
t modifi depuis la cration de la signature (grce la fonction de hachage).

Les autres activits de l'autorit de certification sont : les fonctions relatives l'archivage,
les informations relatives la signature numrique, la cration de cls asymtriques
indispensables pour la signature, l'horodation des signatures, la vrification des signatures
numriques et se prononcer sur leurs validits, l'intgrit et la non-rpudiation du message par
le biais de la fonction contrle ou hachage.

Pour remplir toutes ces fonctions, le systme d'information utilis par l'autorit de
certification doit tre fiable, c'est dire que le matriel, les logiciels et les procdures doivent
rpondre des critres stricts :

Une scurit suffisante contre toutes intrusions et mauvaises utilisations.

Un niveau raisonnable de disponibilit, d'intgrit et de services.

130

tre suivis pour excuter les fonctions prvues.

Adhrer des principes de scurit gnralement accepter258 .

Ainsi, un systme fiable poursuit des objectifs de confidentialit, d'intgrit, de


disponibilit et d'utilisation lgitime.

Le systme de la signature numrique est bas sur la confiance envers les autorits
certificatrices. Donc, en contrepartie, il doit exister des garanties juridiques pour les cas o les
autorits certificatrices manqueraient leurs obligations.

Les utilisateurs doivent pouvoir compter sur les comptences techniques de celui qui
met les cls et/ou les certificats. cette fin, il convient d'examiner attentivement les contours
des engagements souscrits par le tiers, notamment en ce qui concerne son obligation de scurit
du systme mis en place et les certificats qu'il met. Cela est particulirement sensible lorsque
la confidentialit des cls de certification est compromise ou bien lorsque le certificat est
partiellement ou totalement erron. La mise en jeu de la responsabilit aura galement trait la
gestion des certificats mis, spcialement quand ils font l'objet de suspensions ou d'annulations
(ou rvocations).

Il faudra veiller ce que le tiers soit responsable en cas de dommage dcoulant d'un
manquement quelconque ces obligations. Il peut mme tre envisager la constitution d'un
fond de garantie collectif.

La responsabilit du tiers dcoule pour partie du contenu du certificat. Quant elles


existent les procdures d'agrment ainsi que le cahier des charges respecter constituent des
instruments intressant pour viter tout dbordement.

En ce qui concerne les infrastructures de certification et leurs contrles, plusieurs options


sont possibles. Ce peut tre une implication forte de l'tat (autorisation dlivre par l'tat) ou
une absence de ce dernier (le march de la certification s'autorgule)259 . Ainsi, la mise en uvre
258

Point 4 du guide de l'ABA


PARISIEN, Serge, Pierre TRUDEL, Vronique WATTIEZ-LAROSE (Centre de Recherche en Droit Public de
l'Universit de Montral), Options relatives aux pratiques communes de certification au Qubec , tude mene
259

131

juridique des tiers peut s'effectuer soit par voie lgislative ou rglementaire, soit par voie
contractuelle. Pour la phase de dveloppement du march, un systme de contrle minimum
manant des pouvoirs publics semble plus adapt. En effet, ce systme semble plus mme
d'assurer la cration et le respect des pratiques de certification. En dfinitif, la confiance des
utilisateurs dpendra du niveau de fiabilit requis.

Le dveloppement du commerce lectronique passe par la confiance des utilisateurs


potentiels. Cette confiance ne peut s'acqurir, uniquement si les utilisateurs se sentent en
scurit lors de l'utilisation de rseau ouvert pour leurs oprations d'achat-vente. Or, cette
scurit qui est rclame passe aujourd'hui par l'utilisation de moyens de cryptographie.

Section III : Une libert totale de la cryptographie : une solution adapte au


commerce lectronique.
Le commerce lectronique est devenu une ralit sur linternet, les butineurs les plus
populaires (Netscape et Internet explorer) intgrent dailleurs lalgorithme brevet260 de RSA
Data Security Inc. Pour information, ces butineurs sont donns sous une version 40 bits et seuls
les utilisateurs rsidents des tats-Unis ou du Canada peuvent utiliser la version 128 bits (aprs
un questionnaire, et une vrification de la localisation du fournisseur daccs du demandeur
ladresse IP donnant ces informations- et, enfin tldchargement du complment). Il y a alors
un dcalage dans le commerce lectronique via linternet : les europens nont pas accs la
mme scurit dans les transactions que les Nord amricains du fait des restrictions apports
lexportation des outils cryptographiques dans ces pays (et leur importation en France). Cela
dit, nous sommes dans une hypothse o ces moyens cryptographiques sont libres et puissant,
au train o vont les choses, cette hypothse reste hautement probable.

pour le compte du secrtariat du conseil du trsor du Qubec, juin 1997, cit dans : Pierre Trudel : Trudel, Pierre et
autres, Droit du cyberespace, Montral, ditions Thmis, 1997.
260

On peut dailleurs sinterroger sur la brevetabilit dun tel algorithme Lamy Droit de l'informatique, op. cit.
104, arrt Schlumberger canadien et franais

132

I La libert du commerce et de lindustrie reconquise.

La transmission de donnes sous forme numrique a de nombreux avantages compare


aux mthodes traditionnelles. Les documents peuvent tre disponibles pratiquement
instantanment, en nimporte quelle quantit, et constituent une matire sur laquelle le
destinataire peut travailler directement. Lenvoi est considrablement moins cher et plus rapide.
Les documents peuvent tre transmis en tout point du globe, en quelques secondes, sans dlai.
Toutefois, les services dauthentification et dintgrit sont ncessaires la scurit et la
confiance dans la transmission de donnes sur les rseaux ouverts.
La vitesse du progrs technologique implique que beaucoup de nouveaux domaines
dapplication pour les services dauthentification et dintgrit sont difficiles dterminer. Ces
nouveaux domaines dapplication (par exemple: la protection des droits de proprit
intellectuelle, les donnes stockes, la scurit des rseaux ou la monnaie lectronique) sont en
dveloppement continus. Les signatures numriques sont considres comme jouant un rle
important, en particulier pour la communication lectronique. Mais les cantonner uniquement
au commerce lectronique serait avoir une vision rductrice de leurs applications (B).
Malheureusement, ces moyens de signature ne sont pas toujours disponible (A).
A- Les moyens de signature et la problmatique de leurs diffusions.
Il existe diffrentes mthodes pour signer un document lectroniquement. Les signatures
numriques peuvent varier dune mthode trs simple (par exemple, linsertion dune image
numrise dune signature faite la main dans un document ralis par traitement de texte),
des mthodes trs avances (par exemple la cryptographie). Les signatures numriques bases
sur la cryptographie cl publique sont appeles signatures numriques. Elles sont
considres comme cruciales pour diverses applications.

Techniquement, les signatures numriques sont cres et vrifies par des techniques
cryptographiques similaires celles utilises pour le chiffrement. Deux cls complmentaires
sont gnres et assignes un utilisateur. Lune delles, la cl de signature, reste prive ( cl
priv ), alors que lautre, la cl de vrification de signature, est rendue publique
videmment essentiel que la cl prive ne puisse tre calcule partir de la cl publique.

133

Il est

Diffrents

mcanismes

permettent

l'identification

des

intervenants

dans

un

environnement dmatrialis.

- La premire technique est la signature fonde sur la cryptographie asymtrique


(RSA). Cette cryptographie dite cl publique ou encore signature numrique est
couramment utilise dans le cadre du commerce lectronique. Elle prsente, outre
l'identification des parties, l'avantage d'assurer l'intgrit du message. Elle permet galement au
titre de la confidentialit, de garantir que seul le systme informatique du destinataire est en
mesure de lire le message transmis. Il s'agit d'avantages indniables (inexistant dans un
environnement papier), qui permettent de rpondre aux plus hautes exigences en matire de
scurit.

Dans un systme cl publique, la ralisation des diffrentes fonctions d'identification


suppose qu'une personne dispose de deux cls mathmatiques complmentaires : une cl
prive, dont le caractre secret est prserv, et une cl publique, qui peut tre librement
distribue.

La cl prive permet de signer le message. L'opration de dcodage s'effectue, quant


elle, selon le principe de la complmentarit des cls : un message encod avec une cl priv ne
peut tre dcod qu'avec sa cl publique complmentaire.

Nous l'avons vu dans l'introduction, la principale application de signature cl publique


(numrique) est celle propose par la firme RSA. Sa fiabilit et son haut degr de scurit en
font un standard en matire de commerce lectronique261 . Cette technologie, fait partie
intgrante de diffrents standards officiels dans le monde. Par exemple, il figure dans la norme
9796 de l'ISO titre d'algorithme compatible.

La technologie RSA est brevete depuis 1983 par la firme Public Key Partners (PKP)
de Sunnyvale en Californie262 . Ce brevet expirera en l'an 2000. L'obtention d'une licence est
261

RSA, RSA's FAQ About Today's Cryptography, http://www.rsa.com/rsalabs/faq/faq_rsa.html

262

Ibidem.

134

donc ncessaire afin d'utiliser ou vendre RSA. Nanmoins PKP autorise de manire gnrale,
l'utilisation non commerciale de sa technologie, des fins personnelles, acadmiques ou
intellectuelles263 . Le gouvernement amricain bnficie d'un droit d'utilisation illimit et gratuit
de RSA puisque la recherche qui a permis cette technologie a t partiellement finance par
celui-ci.

- La seconde technique est l'algorithme de signature spcifi dans le DSS qui est
le Digital Signature Algorythm (DSA). Il peut tre utilis pour les messageries lectroniques,
le transfert de fonds lectronique, l'EDI (l'Echange de Donnes Informatises), l'archivage ou
plus gnralement pour toute application ncessitant une assurance quant l'intgrit et
l'origine des donnes transmises264 . Cet algorithme est mis gratuitement la disposition du
public.

Le DSA utilise une cl prive dans le but de raliser une signature et une cl publique
complmentaire afin de la vrifier. Il est bas sur un cryptosystme propos par EL GAMAL265 .
A la diffrence de la technologie RSA, le DSA n'est pas rversible et ne peut tre utilis afin de
chiffrer un message. C'est l'une des raisons pour lesquelles le processus de slection d'un
algorithme de signature a t si dur.

Le DSA a reu un accueil mitig de la part du secteur priv. Beaucoup prfre le


standard RSA, qui lui est rversible. D'autres critiques ont t adresses au DSA, entre autre,
une relative la signature. Bien que la ralisation de la fonction de signature soit plus rapide
sous DSA, la vrification de la signature s'effectue quant elle de faon plus rapide sous RSA. Il
semble que cette dernire caractristique soit plus recherche par l'industrie que la capacit
signer un document266 .

263

RSA, Miscellaneous, http://www.rsa.com/rsalabs/faq/faq_misc.html#misc.10

264

United States Of Technology Assessment (OTA), Information Security and Privacy in Network Environments,
Annexe C : Evolution of digital signature standard, 15 septembre 1994, http://otabbs.ota.gov/E511T93
265

US Patent 5,231, 668. Voir T. EL GAMAL, A public-key cryptosystem and a signature scheme based on
discrete logartithms , IEEE transactions on Information Theory, vol IT-31, 1985, p.469-472. Cit dans : E-A.
Caprioli, Commerce lectronique : Scurit et confiance dans le commerce lectronique - Signature et autorit de
certification , JCPG, 1 avril 1998, n14, I, 123, p.583 s.
266

RSA, Capstone, Clipper and DSS, http://www.rsa.com/asalabs/faq/faq_ccd.html#ccd.3.

135

Mais la critique la plus srieuse l'encontre du DSA, a trait la scurit. Le DSS autorise
l'utilisation de cls algorithmiques pouvant aller jusqu' 1024 bits267 . Selon l'avis d'experts en
cryptographie, la cration du DSA demeure trop rcente et n'a pas fait l'objet d'un nombre
suffisant d'tudes pour que les utilisateurs puissent s'y fier268 . En rgle gnrale, un
cryptosystme doit tre disponible sur le march durant plusieurs annes avant que les
invitables erreurs de conception puissent tre identifies et adquatement corriges. Dans ce
sens et comme pour le DES, des chercheurs ont mis en garde les utilisateurs du DSA contre
l'existence de portes caches permettant de percer les dfenses de ce dernier plus
aisment269 .

Contrairement la cryptographie utilise des fins de confidentialit, les signatures


numriques sont annexes aux donnes et laissent le contenu (par exemple du document sign
lectroniquement ou de la transaction lectronique) intact. Evidemment, le message peut en
plus tre chiffr. C'est cette double capacit qui cre un obstacle la diffusion des moyens de
cryptographie des fins de signatures.

nouveau, une rglementation restrictive concernant la circulation des produits


cryptographiques, limite la diffusion des produits de signature numrique270 .

En effet, la

conception par des industriels de ces systmes de signature lectronique, n'est faite que dans un
but lucratif. Or, les restrictions poses par l'Arrangement de Wassenaar et le rglement
communautaire du 19 dcembre 1994271 , limitent les possibilits de diffusion des outils
cryptographiques et portent un frein au commerce de ces produits. Donc, il existe un rel risque
de ralentir leurs diffusions et par consquent leurs utilisations. De plus, la perspective d'un

267

United States Office Of Technology Assesment (OTA), Information Security and Privacy in Network
Environments , Annexe C : Evolution of Digital Signature, 15 septembre 1994, http://otabbs.oat.gov/E511T93
268

M.E SMID et D.K BRANSTAD, Respons to comments on the NIST proposed Digital Signature Standard ,
Advances Cryotlogy - Crypto'92, Network, Springer_Verlag, 1993, cit dans E-A. Caprioli, Commerce
lectronique : Scurit et confiance dans le commerce lectronique - Signature et autorit de certification , JCPG,
1 avril 1998, n14, I, 123, p.583 s.
269

Ibidem.

270

Voir supra.

271

Op. cit.

136

march restreint, n'encourage pas les initiatives industrielles permettant de dvelopper de


nouveaux systmes.

Mais, l'utilisation de ces technologies cryptographiques n'est pas cantonne qu'au


commerce lectronique.

B- Une solution d'autres problmes juridiques


Que l'internet ne soit plus un lieu d'change d'ides mais devienne de plus en plus une
place commerciale n'est plus dmontrer. Mais les systmes de cryptographie et de signature
ne sont pas l'apanage du commerce lectronique mais s'adaptent galement la protection des
uvres. De manire plus gnrale, les systmes technologiques (tatouage, etc.) permettent de
contrler l'accs et l'utilisation d'informations enfermes dans des banques de donnes mieux
que des coffres-forts.

Le terrain d'entente du cryptage et du droit d'auteur rside dans le monde numrique. Le


milieu numrique nivelle tout lment communicable, qu'il soit texte, image ou son. La
numrisation

contracte

le

temps
272

tlcommunications se confondent

et

l'espace.

L'informatique,

l'audiovisuel

et

les

. L'uvre ne peut chapper cette dynamique.

La capacit technique permet donc de numriser indiffremment des uvres de toute nature.
Textes, sons, et images protgs sont convertibles en langage binaire. La numrisation conduit
le professeur Andr LUCAS constater qu'elle aboutit une dmatrialisation qui :

ne peut que brouiller les concepts juridiques sur lesquels s'est difi le droit de la proprit
littraire et artistique. 273
272

Il y a donc un mariage entre les diffrents mdiums qui fait place une vritable polygamie technique. Il
n'existe actuellement qu'un rgime de cohabitation qui repose sur la distinction entre rgime des
tlcommunications et celui de la communication audiovisuelle (distinction instaure par la loi n90_1170 du 29
dcembre 1990, JCP 191, d. G, III, 64426). Cette cohabitation semble devoir se lgaliser dans un avenir proche
par l'avnement d'une lgislation portant drglementation. Voir F. OLIVIER et E.BARBY, Des rseaux aux
autoroutes de l'information : Rvolution technique ? Rvolution juridique? 1- de l'utilisation des rseaux , JCPG
1996, I, 3926.
273

A.LUCAS, Nouvelles technologies et modes de gestion , L'avenir de la proprit intellectuelle, IRPI n11,
Le droit des affaires, Proprit intellectuelle, p.26 , cit dans : Romain Leymonerie, cryptage et droit d'auteur ,
Les cahiers de proprit intellectuelle, janvier 1998, volume 10 n2, p.417 460, dition Yvon Blais inc., Canada

137

Le droit d'auteur c'est bti sur un monde analogique et le phnomne numrique a une
influence sur celui-ci.

Le droit d'auteur est :

une institution juridique complexe qui peut tre apprhende comme l'ensemble des
prrogatives, d'ordres morales et d'ordre patrimonial, reconnues aux auteurs d'uvres de
l'esprit.274

Le cryptage permet la protection et une meilleure exploitation des uvres, ainsi qu'un
meilleur respect de l'tendue de l'autorisation donne par l'auteur pour exploiter ses uvres. Le
cryptage permet aussi, le tatouage, marquage ou la signature numrique. Il permet
l'identification de l'uvre et de l'utilisateur, l'intgrit de l'uvre et le suivi la trace275 des
trafics illicites. Avant il y avait le sigle physique visible sur les supports de l'uvre, dsormais
il peut y avoir une signature lectronique ou un nombre qui garantit l'authenticit de l'uvre.
Seul l'auteur est capable de calculer ce nombre mais tout le monde peut vrifier l'authenticit.
Ce sceau lectronique est diffus en parallle avec l'uvre et non par-dessus, la nonsparabilit tant obtenue par une technique mathmatique et non physique276 .

Comme le souligne le professeur A.LUCAS :

274

A.LUCAS et H.J.LUCAS, Trait de proprit littraire et artistique , Litec 1994, p.1.

275

dit aussi le tracking .

276

La classification des techniques de marquage se fait au moyen de plusieurs critres :


la dpendance par rapport un code secret du signataire.
La ncessit de la comparaison de l'image initiale vierge avec celle signe
La tolrance vis--vis des manipulations de l'image et la survivabilit du code enfoui.
L.LABORELLI, tatouage des images et des sons : techniques cryptographiques d'authentification et contrle du
copyright , Expertise des systmes d'information, dcembre 1995, p.428 et s.

138

les auteurs seront prts jouer le jeu du dveloppement des rseaux que si la rgle inclut des
parades techniques propres conjurer le risque d'une vaporation de leurs investissements.277

Face cette inquitude des auteurs, la technique du cryptage intervient. Une des atteintes
majeures porte au droit d'auteur, concerne la diffusion des uvres sur les rseaux du type
Internet.

La technique du cryptage permet d'interdire l'accs l'uvre. Par le jeu du marquage, les
uvres peuvent porter en leur sein les moyens de se dfendre. Avec un code cach et
indlbile, qu'elles contiendront, elles pourront se voir facilement traces et transmettre leurs
informations propres. Elles pourront mme commander l'interdiction de leur reproduction,
voire limiter le nombre de ses reprsentations en agissant directement sur le matriel de lecture.

Le cryptage semble donc constituer une arme particulirement adapte au contexte actuel
d'utilisation massive de l'uvre, dont doit pouvoir jouir l'auteur. Le double but du cryptage est
de limiter l'accs l'uvre et contrler son utilisation.

Le cryptage constitue un outil technique au service de la prrogative majeure du droit


d'auteur qu'est le monopole de l'auteur. Dans sa fonction d'interdiction d'accs, le cryptage peut
s'appliquer tout type de forme de l'uvre, ds lors qu'elle est diffuse par le biais d'un moyen
technique. Il ne peut s'appliquer que lors de la diffusion de cette uvre et/ou lors de sa
rception par le biais de moyens techniques tel qu'un terminal informatique ou un cran de
tlvision. Il convient dans ce cas de parler de tldiffusion .

En effet, l'article L.122-2 du CPI dispose que la reprsentation consiste :

dans la communication de l'uvre au public par un procd quelconque et notamment () par


tldiffusion.

277

A.LUCAS, protger l'information : de la cryptologie la stganographie , les dossiers de la semaine


juridique, n hors srie, fvrier 1996.

139

Dans son alina 2, l'article L.122-2 du CPI donne comme dfinition de la


tldiffusion :

la tldiffusion s'entend de la diffusion par tout procd de tlcommunication de sons,


d'images, de documents, de donnes et de message de toute nature.

Ainsi, sont viss les procds de tlcommunication par voie hertzienne, le cble, le
satellite et la tlmatique278 (donc, les rseaux du type Internet). Le cryptage dans cette fonction
spcifique, est donc cantonn aux transmissions et retransmissions de l'uvre. La consultation
directe et physique lui chappe.

Le cryptage, dans sa fonction tatouage de l'uvre, ne peut s'appliquer que sur une uvre
numrise. Toutefois, cette limite n'en est plus vraiment une, le tout numrique tant une
ralit palpable.

Le march des appareils et des supports de reproduction possde une fonction permettant
de violer le monopole de l'uvre. La numrisation permet facilement les copies serviles,
vritables clones de l'uvre qui peuvent tre l'origine d'un vritable march pirate.

Contre cela, le cryptage et les techniques de cryptographie sont la base des systmes de
protection allant de l'identification de l'uvre, du contrle et du maintien de son intgrit,
l'interdiction d'y accder, en passant par la facult d'interdire certaines utilisations de l'uvre.

- Les outils d'identifications de l'uvre comportent des lments pour identifier la


localisation de l'enregistrement, sa date de fixation et le nom de l'artiste (de nombreux projets
sont l'tude279 ). En matire de logiciel, l'Organisation Mondiale de la Proprit Intellectuelle
(OMPI) tudie avec l'Agence pour la Protection des Programmes (APP) un systme
d'identification internationale. Ce code identifiera l'uvre et donnera aux utilisateurs des
informations sur les utilisations autorises. Ces techniques d'identification permettent un
278

J.HUET, droit de l'informatique; le rgime juridique de la tlmatique interactive , JCP 1984, I, 3147, cit
dans : Romain Leymonerie, cryptage et droit d'auteur , Les cahiers de proprit intellectuelle, janvier 1998,
volume 10 n2, dition Yvon Blais inc., Cowansville (Qubec), p.417 460

140

traage de l'uvre et couples avec un systme de reprage, elles laissent esprer une meilleure
gestion des droits affrents son utilisation.

- Les outils protgeant l'intgrit de l'uvre sont composs d'un systme de cl ou


de signature numrique qui garantie la conservation de l'uvre. Ds qu'une modification
intervient au sein du support numrique de l'uvre, la vrification choue et avertit de cette
modification.

- Les outils de protection contre les copies illicites sont des systmes de prvention
intgrs dans le matriel de lecture de l'uvre. Ils n'autorisent qu'une seule copie numrique.

- Les outils d'interdiction d'accs l'uvre utilisent, soit un brouillage des


impulsions dit de synchronisation qui empchent toute lecture comprhensible du son et de
l'image, soit la mthode de la rotation active des lignes ou de mlange des lignes. Dans ce
dernier cas, les lignes restent leur place sur l'cran de rception, mais elles sont coupes au
hasard et les parties finales sont interverties (par exemple, les systmes Video Crypt, Syster,
Eurocrypt). Actuellement il existe, en matire de logiciel, des systmes qui proposent l'uvre
l'utilisateur sous forme crypte (par exemple : Software Envelop System). Ds son adhsion aux
conditions d'utilisation et au prix, un programme de dcryptage lui est transmis.

Le cryptage est une des voies techniques, parmi les plus efficaces qui permet de renforcer le
monopole de l'auteur.

Mais, la volont des auteurs n'est pas de freiner le processus de diffusion de leurs uvres.
Le but serait plutt de matriser et de percevoir une juste rmunration en contre partie de leurs
investissements. Dans ce sens, le cryptage participe de la nature mme du monopole de l'auteur.
Ainsi, le cryptage constitue le mode de protection actif du monopole et la contrefaon est le
mode ractif de sa protection.

279

Par exemple, le MPPBD pour Music Program Production Block

141

Le cryptage est donc le relais technique aux dispositions lgales de protection du


monopole du droit d'auteur. Des outils juridiques prexistent, mais au lieu de rechercher la
punition et le contentieux, le cryptage apporte une protection prventive.

Le droit moral de l'auteur sur son uvre permet de le protger au travers d'une uvre
dtermine, indpendamment de tout acte d'exploitation. Le droit moral contient quatre
attributs280 : Le droit de divulgation, le droit la paternit, le droit l'intgrit et le droit de
repentir ou de retrait.

En ce qui concerne le droit la paternit, par les procds de cryptographie de tatouages,


le nom de l'auteur sera indissociable de l'uvre numrise, d'o une garantie d'effectivit de ce
droit.

Le cryptage, par le biais de la signature lectronique, offre une garantie sur l'authenticit
et l'intgrit de l'uvre. De plus, il est possible de verrouiller l'uvre contre toute tentative de
modification.

Ces techniques renforcent le droit moral mais ne le remplacent pas. Elles prolongent
l'effectivit

du droit. Ces techniques dpassent les frontires.

Elles peuvent contrer les

atteintes au droit moral dans une sphre prive, ce qui tait impossible avant car ce droit se
heurtait, dans la pratique, la barrire de l'intimit et du respect de la vie prive de l'utilisateur.
Ainsi, le cryptage remet en cause la libert d'agir de l'utilisateur comme il l'entend au sein
mme de son intimit. En effet, il peut limiter les possibilits d'effectuer des copies prives. De
mme, le droit la courte citation281 peut se voir restreint par un accs limiter d au cryptage.
Mais au contraire, par sa fonction d'authentification, le cryptage peut, surtout faciliter le droit
de courte citation. En effet, il permet de rsoudre le problme d'identification de la source.
L'article L122-5-3 du CPI exige que la citation indique clairement le nom de l'auteur et la
source. Par l'intermdiaire du cryptage, le plagiat sera plus facile dceler de faon
lectronique. Il sera possible de vrifier l'existence dans l'uvre conteste de squences
extraites de l'uvre originale.
280

Articles L.121-1 et L. 121-2 du CPI et l'article 6 bis de la Convention de Berne.


Article L. 122-5-3 CPI autorise un droit limit de courte citation dans un but ducatif, scientifique ou titre
d'information.
281

142

Finalement, le cryptage offre une effectivit relle au monopole de l'auteur sur son uvre
et il encourage un plus grand respect de ses droits moraux.

II Des outils probatoires pertinents

Nous sommes conscient que lun des atouts du commerce lectronique rside dans sa
facilit dutilisation : acheter des livres282 , des logiciels ou faire son picerie283 est dsormais
la port de tout internaute. De par sa souplesse, lachat en ligne permet au mme instant au
commerant davoir, en plus dune clientle, une tude sur la faon de consommer pour un
individu ou un autre. Les tris et croisements de fichiers ne peuvent que sacclrer au dtriment
de lindividu. La CNIL, telle quelle fonctionne actuellement, ou tout autre organisme national
ny changeront rien, et nous renvoyons ici aux problmes dapplicabilit des lois dans une
situation transnationale o il est vident que les tats-Unis ont une certaine avance. Cela tant,
la CNIL jout dun prestige et pour le Conseil dtat, dans le rapport sur linternet et les
rseaux numriques,

la dimension internationale de linternet et l'extrme varit des pratiques des acteurs


ncessitent un changement profond des modes de rgulation. L'approche rglementaire doit se
combiner avec les diverses pratiques d'autorgulation des acteurs et la Commission nationale de
l'informatique et des liberts (CNIL) doit avoir pour nouvelle mission d'assurer le suivi de cellesci : information et conseil sur les dispositifs techniques, labellisation des codes de dontologie et
de conduite, des contrats... C'est ce partage des missions d'encadrement entre acteurs publics
et privs qui garantira une protection efficace et lgitime.

La raison commerciale est aussi une raison et il est vident que les pressions contre les
Big Brother tatiques sappliquent avec la mme force contre les pouvoirs conomiques et
obligent ces derniers ragir : la privacy est devenu un argument commercial affich sur les
pages de la Toile marchande les plus populaires. Largument tient de laxiome mais, il semble
bien que si en 1995 les revendications des internautes se portaient principalement pour la

282

par exemple : http://www.amazon.com

283

par exemple http://www.iga.net

143

libert dexpression284 , il est certain que le mme type de ractions sapplique dsormais pour
le respect de la vie prive.

Lautorgulation semble bien tre la seule solution envisageable aux problmes tenant
la scurit des informations mais, dans le cadre du cryptage, cela suppose tout de mme une
autorit de certification (A), ici nous naborderont pas laspect technique de la certification et
des tiers de confiance mais plutt des considrations que doivent apprhender les personnes
dsirant avoir recours la preuve lectronique. En effet, il nexiste pas en une seule mais
plusieurs procdures de certification. Il sagira alors aux partenaires ou cocontractant de choisir
entre ces procdures. Enfin nous prendrons le partis que cette autorit veille un commerce la
fois scuris et, si tel est la volont du cocontractant, anonyme (B).

A- L'autorit de certification

La certification est llment essentiel toute approche juridique de la cryptologie. Nous


lavons vu, elle consiste lintervention dun tiers (on parle le plus souvent de tiers de
confiance ou, pour linstant en France de tiers de squestre puisque la fonction est plus large)
pour garantir en son nom (nom personnel ou nom dun organisme) la conformit avec les
exigences attendues par les parties demandant un certain service. En clair, le rle du tiers est de
garantir la scurit des changes informatis grce au systme des cls publiques. Cette scurit
tant modulable selon les attentes des intervenants.

En Illinois, il existe 3 mthodes pour tablir des procdures de certifications appropries :

284

authorised by this Act, or


previously agreed to by the parties, or
certified by the secretary as being capable of creating an electronic signature that :
is unique to the signer within the context in which it is used
can be used to promply and objectively identify the person signing the electronic record
was reliably created by such identified person, such as because somme aspect of the
procedure involves the use of a means or method that is under the sole control of such
person, and
is created, and is linked to the electronic record to witch it relates, in a manner such that if
the record or the signature is changed after signing the electronic signature is
invalidated 285

voir le ruban bleu de lEFF

144

De la mme faon, quen France, les parties peuvent faire des conventions de preuve286 ,
une autorit de certification pourrait tre librement choisis. Il est peut tre utile de rappeler que
le logiciel PGP permet une certification par rputation, soit une auto rgulation au sens le plus
large du terme et sans autorit officielle.

Par ailleurs, la loi de lIllinois sur la scurit et le commerce lectronique, comme celle
de Californie287 et dautres aux tats-Unis288 , dcrit les exigences attendre de la preuve
lectronique. Cest lautorit de certification de vrifier que les conditions de validit de la
signature lectronique sont raliss.

B- Pour un commerce scuris et anonyme

Nous lavons vu, la cryptographie est la solution idale pour assurer une certain
anonymat et la confidentialit. Cette possibilit est la solution aux diffrentes craintes
concernant la privacy ou latteinte la vie prive puisque le fichage des got et habitudes des
utilisateurs deviendrait, sans anonymat, une ralit facile exploiter. Ici rside un des lments
qui doivent entrer dans toute approche pralable au recours une autorit de certification.

Mais lanonymat peut supposer galement certaines drives qui reviendrait permettre
des pratiques financires douteuses. Ici la raison conomique se joint la raison dtat. et la
possibilit de dsanonymisation par le tiers est avanc par certains.

Pierre Trudel dcrit le procd de la signature aveugle qui permet de raliser des
paiements anonymes :

285

Illinois Electronic Commerce and Security Act, H.R. 3180, 90th Leg., 1997-98 Reg. Sess. 302 (b)

286

Cass. civ. 1re, St Crdicas 8 nov. 1989

287

California Government Code 16.5 (1995)

288

lUtah fut le premier tat amricain lgifrer exclusivement sur la signature numrique avec lUtah Digital
Signature Act, en vigueur depuis le 1er mai 1995.

145

La signature aveugle reprsente une variante de la signature lectronique cl publique, et


t cre spcifiquement afin dassurer lanonymat et le respect de la vie prive des utilisateurs
de mcanismes de paiement lectronique. Ainsi, avant de transmettre une unit la banque pour
que celle ci la signe, le logiciel du consommateur multiplie le numro de srie auquel elle est
associe par un nombre choisi au hasard. Lorsque la banque signe lunit, elle ne connat pas le
numro de srie mais reste tout de mme assure de lidentit de lutilisateur grce la
signature lectronique. De cette manire, il est impossible didentifier lutilisateur et la
transaction. 289

Cela dit, dans le cas du commerce en ligne, except dans le cas de tldchargement de
produits immatriels, lanonymat na pas de sens sauf imaginer, pour les plus paranoaques,
une centrale de redistribution. Lanonymat est toutefois utile dans les cas de transferts
financiers. Cet anonymat existe dj puisqu lheure actuelle 90 % des transactions travers
le monde sont faites en argent contant, et sont donc largement non auditable 290 . De fait,
largent lectronique peut permettre un anonymat pour le seul expditeur de lordre, il est
vident que celui qui reois de largent laisse des traces, le simple dpt en banque par
exemple.

Tous ces procds suppose un dpt des cls un organisme de certification. Le principal
problme rside alors sur la fiabilit de ces organismes. On parle souvent de tiers de confiance
au sujet des tiers certificateurs.

Un avis intressant est celui de Bruce Schneier sur le dpt des cls contre lequel il
soppose farouchement :

Le dpt de clef a de considrables dsavantages. Lutilisateur dot faire confiance lagent


de scurit des dpts, ainsi qu lintgrit des personnes impliques dans la procdure. Il doit
croire que les agents de dpts ne changeront pas leur politique, que le gouvernement ne
changera pas ses lois et que ceux qui ont toute autorit pour obtenir ses clef le fasse dans le
cadre de la loi 291

Enfin, nous avons vu que le principal danger en matire de secrets rside le plus souvent
dans les utilisateurs des systmes. Il y a des garanties de scurit apporter mais le risque dun
oublis ou nimporte quel vnement faible en probabilit est susceptible dintervenir. Aussi,
que ce soit en matire commerciale ou non, le dpt de cls revient ajouter un risque dans le
289
290
291

Trudel, Pierre et autres, Droit du cyberespace, Montral, ditions Thmis, 1997, chap. 19, page 37
ib. page 36
SCHNEIER, Bruce, op. cit. p 105

146

caractre confidentiel des informations cryptes changes. Ds lors un ensemble de questions


restent en suspend: la responsabilit du tiers de confiance peut certes tre engage mais les
dommages peuvent tre irrparables ou le tiers insolvable, ce sujet, sans fond de garantie, le
tiers de squestre ne pourra jamais tre un particulier ou un cyber-notaire.

147

Conclusion : vers une cryptologie citoyenne?

Nous avons essay d'exposer ici un ensemble exhaustif du droit de la cryptographie. En


effet, nous avons bien tablis que la cryptologie est un sujet intressant les tats et le monde
des affaires et, aux travers eux, les individus confronts la socit de linformation.

Il ne faut toutefois pas oublier que les questions entre la libert individuelle et la
cryptographie ne sont pertinentes que pour les pays dvelopps, et pour tre plus prcis, pour
les personnes disposant des moyens dutiliser une technologie dont le dveloppement acclr
laisse de ct, pour une dure de plus en plus longue, une tranche de plus en plus importante de
la population mondiale. La libert dexpression, chre aux ayatollah de PGP, na pas vraiment
t applique dans les rcentes manifestations tudiantes en Iran alors que la Guerre du Kosovo
vu un dveloppement important de lopposition aux dirigeants serbes grce linternet; la
Chine a galement t tmoins de faits similaires contre les rpressions de son gouvernement. Il
ne sagit pas dune critique : nous avons dans ce mmoire pris position pour lutilisation libre
de ces outils cryptographique. Il sagit juste de relativiser : comme linternet, la question de la
cryptographie domestique est une question qui intresse ceux que lon peut appeler les
inforiches, ayant accs lalphabtisation, au tlphone et llectricit.

Pour retourner notre sujet, nous dvelopperons ici en guise de conclusion une
application de la cryptologie qui, notre avis, deviendra lobjet de dbats multiples que notre
expos pourtant tent de rgler.

En plus dtre un outils pour le secret, la cryptographie permet dobtenir en de nombreux


points des applications plus satisfaisantes que le simple envoie de documents manuscrits. Nous
avons ainsi vu que si une signature peut tre contrefaite et un dossier modifi par lajout de
lignes, la cryptographie, par le hachage permet dassurer une parfaite intgrit dun documents
et, par la certification une certitude quant la personne qui la ralis.

De plus, la cryptographie usage domestique permis de dvelopper de nouvelles


garanties pour les individus, des garanties tenant des valeurs constitutionnelles comme le

148

respect de la vie prive ou de la privacy. Ces garanties ne sont dailleurs pas applicable par les
individus contre les seuls gouvernement mais galement contre toute forme de pouvoirs,
comme celui, par exemple, des socits tendance monopolistiques et les multinationales. En
effet, la cryptographie libre est un des moyen de la personne pour se prmunir de lespionnage
aux fins de fichage, il est aussi un moyen pour lindividu de se prserver un certain espace de
libert dans le monde du travail. Possdant les moyens de cryptage des tats les plus puissant,
lindividu est dsormais labris dun certain paternalisme : matre de ses secrets, il smancipe
un peu plus des diffrentes formes de pouvoirs.

Il est une question encore hypothtique qui ne manquera pas d'impliquer la cryptologie:
le vote lectronique. Pour ce qui est des lections, Bruce Schneier parle de protocoles
sotriques292 , mais il nen demeure pas moins que permettre le vote lectronique est un dfi
que de nombreux cryptanalystes293 ont relev. Pour raliser des lections sres, il sagit dviter
la tricherie et de garantir la confidentialit. Pour Schneier, le protocole idal

au minimum les 6 caractristiques suivantes :


123456-

seules les personnes autorises voter peuvent voter.


Personne ne peut voter plus dune fois.
Personne ne peut dterminer pour qui quelquun dautre vot.
Personne ne peut dupliquer le vote de quelquun dautre. (il savre que cette exigence est la
plus difficile remplir).
Personne ne peut modifier le vote de quelquun dautre sans tre dcouvert
Tous les votants peuvent vrifier que leur vote bien t pris en compte dans le dcompte
final.

Nous manquons bien sr dlments et de comptences en cryptanalyste pour offrir dans


cette conclusion des rponse concrtes. Il nen demeure pas moins que le vote lectronique
deviendra sans doute une des applications les plus courantes de la cryptographie. Le seul
problme rside dans lapplication de cette facult grande chelle. petite chelle (vote
dactionnaires ou conseil dadministration dans le cadre dune visio-confrence), le vote
lectronique deviendrait un instrument pratique qui susciterait moins de craintes quun vote
politique, qui utiliserait pourtant les mmes outils avec les mmes garanties.

292

op. cit., p135 et s.

149

Avec des applications aussi diverses et des perspective dapplication aussi proche des
citoyens, avec une popularit grandissante auprs du grand public, la cryptographie est
dsormais entre lge de la maturit. Ce mmoire eu notamment pour objectif den
persuader le lecteur.

293

ib.

150

Annexes
ANNEXE 1 : dcret n99-199

MOYENS OU PRESTATIONS

OPRATIONS pour lesquelles la


dclaration se substitue
l'autorisation

1. Matriels ou logiciels offrant un service de confidentialit F


mis en uvre par un algorithme dont la clef est d'une
longueur infrieure ou gale 40 bits.

2. Matriels ou logiciels offrant un service de confidentialit F, U, 1 (1)


mis en uvre par un algorithme dont la clef est d'une
longueur suprieure 40 bits et infrieure ou gale 128
bits.

3. Equipements conus ou modifis pour utiliser la


cryptologie faisant appel des techniques analogiques tels
que :

a) Equipements utilisant des techniques de mlange de


bandes " fixes " ne dpassant pas 8 bandes et o les
changements de transposition ne s'effectuent pas plus d'une
fois toutes les secondes ;
b) Equipements utilisant des techniques de mlange de
bandes " fixes " dpassant 8 bandes et o les changements de
transposition ne s'effectuent pas plus d'une fois toutes les dix
secondes ;
c) Equipements utilisant l'inversion frquence "fixe " et o
les changements de transposition ne s'effectuent pas plus

d'une fois toutes les secondes ;


d) Equipements de fac-simil,
e) Equipements de radiodiffusion pour audience restreinte
f) Equipements de tlvision civile.

(1) L'utilisation et l'importation ne sont soumises dclaration que si elles concernent un


matriel ou un logiciel qui n'a pas fait l'objet pralablement d'une dclaration par leur
producteur, un fournisseur ou un importateur, et si ledit matriel ou ledit logiciel n'est pas
exclusivement destin l'usage priv d'une personne physique.

(*) F : fourniture ; U : utilisation ; E : exportation ; 1 : importation.

ANNEXE 2 : dcret n99-200

MOYENS OU PRESTATIONS

OPRATIONS (*) dispenses


de toutes formalits pralables

1. Matriels ou logiciels offrant un service de confidentialit

U, I

mis en uvre par un algorithme dont la clef est d'une longueur


infrieure ou gale 40 bits.

2. Matriels ou logiciels offrant un service de confidentialit

U, I

mis en uvre par un algorithme dont la clef est d'une longueur


suprieure 40 bits et infrieure ou gale 128 bits,
condition, soit que lesdits matriels ou logiciels aient
pralablement fait l'objet d'une dclaration par leur producteur,
un fournisseur ou un importateur, soit que lesdits matriels ou
logiciels soient exclusivement destins l'usage priv d'une
personne physique.

3. Equipements conus ou modifis pour utiliser la cryptologie U, E, I


faisant appel des techniques analogiques tels que :

a) Equipements utilisant des techniques de mlange de bandes


" fixes " ne dpassant pas 8 bandes et o les changements de
transposition ne s'effectuent pas plus d'une fois toutes les
secondes ;
b) Equipements utilisant des techniques de mlange de bandes
" fixes " dpassant 8 bandes et o les changements de
transposition ne s'effectuent pas plus d'une fois toutes les dix
secondes;
c) Equipements utilisant l'inversion frquence , "fixe" et o
les changements de transposition ne s'effectuent pas plus d'une

fois toutes les secondes;


d) Equipements de fac-simil;
e) Equipements de radiodiffusion pour audience restreinte;
f) Equipements de tlvision civile.

4. Cartes microprocesseur personnalises ou leurs

F, U, E, I

composants spcialement conus, incapables de chiffrer le


trafic de messages ou les donnes fournies par l'utilisateur ou
leur prestation de gestion de clef associe.

5. Equipements de rception de tlvision de type grand

F, U, E, I

public, sans capacit de chiffrement numrique et o le


dchiffrement numrique est limit aux fonctions vido, audio
ou de gestion.

6. Radiotlphones portatifs ou mobiles destins l'usage civil F, U, E, I


qui ne sont pas en mesure de procder au chiffrement de bout
en bout.

7. Equipements autonomes de lecture de disques vido

F, U, E, I

numriques, de type grand public, sans capacit de


chiffrement, o le dchiffrement est limit aux informations
vido, audio, informatiques et de gestion.

8. Moyens matriels ou logiciels spcialement conus pour


assurer la protection des logiciels contre la copie ou
l'utilisation illicite, dont les fonctions de dchiffrement ne sont

F, U, E, I

pas accessibles l'utilisateur.

9. Equipements de contrle d'accs, tels que machines

F, U, E, I

automatiques de distribution de billets, imprimantes libreservice de relevs de compte ou terminaux de points de vente,
protgeant les mots de passe, numros d'identification
personnels ou autres donnes similaires empchant l'accs non
autorise a des installations, mais ne permettant pas le
chiffrement des fichiers ou des textes, sauf lorsqu'il est
directement lie la protection des mots de passe ou des
numros d'identification personnels.

10. Moyens ou prestations conus pour protger des mots de

U, E, I

passe, des codes d'identification personnels ou des donnes


d'authentification similaires, utiliss pour contrler l'accs
des donnes, des ressources, des services ou des locaux,
sous rserve qu'ils ne permettent de chiffrer que les fichiers de
mots de passe ou de codes d'identification et les informations
ncessaires au contrle d'accs.

11. Moyens ou prestations conus pour laborer ou protger


une procdure de signature, une valeur de contrle
cryptographique, un code d'authentification de message ou une
information similaire, pour vrifier la source des donnes,
prouver la remise des donnes au destinataire, ou bien dtecter
les altrations ou modifications subreptices portant atteinte
l'intgrit des donnes, sous rserve qu'ils ne permettent de
chiffrer que les informations ncessaires l'authentification ou
au contrle d'intgrit des donnes concernes.

U, E, I

12. Systmes de gestion de facturation inclus dans les

F, U, E, I

dispositifs de relevs de compteurs dont les fonctions de


chiffrement sont directement lies au comptage.

13. Equipements dots de moyens de cryptologie lorsqu'ils

U, E, I

accompagnent les personnalits trangres sur invitation


officielle de l'tat

14 Stations de base de radiocommunications cellulaires

F, U, I

commerciales civiles prsentant toutes les caractristiques


suivantes:
a) Limites au raccordement de radiotlphones qui ne
permettent pas d'appliquer des techniques cryptographiques au
trafic de messages entre terminaux mobiles, sauf sur les liens
directs entre radiotlphones et stations de bases (connues
sous le nom d'interface radio) ;
b) Et ne permettant pas d'appliquer des techniques
cryptographiques au trafic de messages sauf sur l'interface
radio.

(*) F : fourniture ; U, : utilisation ; E, : exportation ; 1 : importation.

ANNEXE 3 :
PREMIER MINISTRE
SERVICE CENTRAL DE LA SECURITE
DES SYSTEMES D'INFORMATION
18, rue du Docteur-Zamenhof, 92131 Issy-les-Moulineaux Cedex
(tlphone : 01-41-46-37-00, Fax : 01-41-46-37-01)
Numro de dossier (*) : ....................
Dclaration/Demande d'autorisation
concernant un moyen ou une prestation de cryptologie
PARTIE ADMINISTRATIVE
Cocher la ou les cases correspondantes :
Dclaration
simplifie
de fourniture
en vue de l'utilisation gnrale
en vue de l'exportation
d'importation en provenance de : ....................
d'utilisation personnelle
Demande d'autorisation
de fourniture pour une dure de : .................... (cinq ans maximum)
d'un moyen ou d'une prestation qui n'utilise que des conventions secrtes gres par un
organisme agr
de fourniture pour une dure de : .................... (cinq ans maximum)
en vue de l'utilisation gnrale
en vue de l'utilisation collective
d'exportation pour une dure de : .................... (cinq ans maximum)
d'importation en provenance de : ....................
d'utilisation personnelle pour une dure de : ....................
(dix ans maximum)
(*) Rserv l'administration.
A. - Dclarant ou demandeur d'autorisation
A.1. Socit
Nom : ....................

Raison sociale : ....................


Nationalit : ....................
Numro SIRET : ....................
Adresse : ....................
....................
Numro de tlphone : ....................
Numro de tlcopie : ....................
Adresse du courrier lectronique : ....................
Personne charge du dossier administratif
Nom et prnoms : ....................
Adresse : ....................
....................
Numro de tlphone : ....................
Numro de tlcopie : ....................
Adresse du courrier lectronique : ....................
A.2. Particulier
Nom et prnoms : ....................
Nationalit : ....................
Adresse : ....................
....................
Numro de tlphone : ....................
Adresse du courrier lectronique : ....................
B. - A renseigner selon les cas suivants
B.1. Demande d'autorisation de fourniture d'un moyen ou d'une prestation qui utilise des
conventions secrtes gres par un organisme agr
Rfrence de(s) organisme(s) agr(s) : ....................
....................
....................
B.2. Demande d'autorisation de fourniture
en vue de l'utilisation collective
Catgories ventuelles d'utilisateurs auxquels le moyen ou la prestation est destin :
Administrations ( prciser) : ....................
Grandes entreprises (prciser secteur d'activits) : ....................
Etablissements de crdit : ....................

PME (prciser secteur d'activits) : ....................


Autres ( prciser avec secteur d'activits) : ....................
B.3. Demande d'autorisation d'utilisation personnelle
Besoins justifiant la demande : ....................
....................
....................
....................
Lieux d'utilisation du moyen de cryptologie : ....................
....................
....................
....................
Le cas chant, rseaux de tlcommunications employs : ....................
....................
....................
....................
C. - Moyen ou prestation auquel s'applique
la dclaration ou la demande d'autorisation
C.1. Moyen ou prestation de cryptologie
Rfrence commerciale : ....................
Rfrence constructeur : ....................
Version : ....................
Description succincte : ....................
....................
....................
....................
....................
Rfrence de l'agrment du moyen s'il a t soumis au ministre charg des
tlcommunications : ....................
C.2. Fabricant du moyen ou fournisseur de la prestation
Nom : ....................
Raison sociale : ....................
Adresse : ....................
....................
Numro de tlphone : ....................

Numro de tlcopie : ....................


Adresse du courrier lectronique : ....................
C.3. Personne charge du dossier technique
Nom et prnoms : ....................
Adresse : ....................
....................
Numro de tlphone : ....................
Numro de tlcopie : ....................
Adresse du courrier lectronique : ....................
C.4. Divers
Si le moyen ou la prestation utilise des moyens ou prestations pralablement dclars ou
autoriss, prciser, pour chacun d'eux, leur identification, rfrence et date de notification de
dclaration ou d'autorisation : ....................
....................
C.5. Services de cryptologie fournis
Authentification (*) : ....................
Contrle d'accs (*) : ....................
Signature (*) : ....................
Intgrit (*) : ....................
Confidentialit (*) : ....................
tlphone
tlcopie
messagerie
transmissions
de donnes (prciser le(s) type(s) de donnes chiffres, par exemple donnes caractre
financier, mdical, de gestion,...) : ....................
autre(s) ( prciser) : ....................
Autre(s) ( prciser) (*) : ....................
C.6. Installation des algorithmes
Logiciel.
Matriel ( prciser) : ....................
(*) Prciser le(s) nom(s) de(s) algorithme(s) utilis(s).
D. - Attestation
Je soussign (nom, prnoms)....................

agissant en qualit de....................


reprsentant le fournisseur - exportateur - importateur - utilisateur (*) certifie que les
renseignements figurant sur cette dclaration - demande d'autorisation (*) sont exacts et ont t
tablis de bonne foi, toute fausse dclaration ou tout manquement aux engagements souscrits
m'exposant aux sanctions prvues par l'article 28 de la loi no 90-1170 du 29 dcembre 1990
modifie et par le dcret no 98-101 du 24 fvrier 1998.
Date :....................
Signature :
(*) Rayer les mentions inutiles.
PARTIE TECHNIQUE
A joindre au dossier de dclaration ou de demande d'autorisation concernant les moyens et
prestations de cryptologie (1)
La partie technique comporte les informations suivantes :
La rfrence commerciale du produit :
- nom ;
- numro de la version ;
La description gnrale du produit, le manuel utilisateur ;
La description des services offerts par le produit ;
La description des fonctions de cryptologie offertes par le produit (chiffrement, signature,
gestion de cls) ;
Soit la description complte des procds de cryptologie employs, sous la forme d'une
description mathmatique et d'une simulation dans un langage de haut niveau, type C ou pascal,
soit la rfrence un dossier pralablement dpos pour un produit usant du mme procd de
cryptologie, soit la rfrence un standard reconnu, non quivoque, et dont les dtails
techniques sont accessibles aisment et sans condition ;
La description de la gestion des cls mises en uvre par le moyen, incluant au moins :
- le mode de distribution ;
- le procd de gnration des cls ;
- le format de conservation des cls s'il y a lieu ;
- le format de transmission des cls s'il y a lieu ;
La description des mesures techniques mises en uvre pour empcher l'altration du procd
de chiffrement ou de la gestion de cls associe (2) ;
La description des prtraitements subis par les donnes claires avant leur chiffrement
(compression, formatage, ajout d'un en-tte, etc.) ;

La description des post-traitements des donnes chiffres, aprs leur chiffrement (ajout d'un entte, formatage, mise en paquet, etc.).
(1) Conformment au troisime alina de l'article 1er de l'arrt ci-dessus, la partie technique
doit tre accompagne de deux exemplaires du matriel concern ou bien d'un exemplaire du
logiciel concern.
(2) A fournir dans le cas d'une demande d'autorisation seulement.

ANNEXE 4 :

tat membre

tat davancement du processus lgislatif

Allemagne

Loi et dcret sur les signatures numriques adopts : conditions dans


lesquelles les signatures numriques sont juges sres; accrditation
volontaire des prestataires de services;

Etablissement du catalogue des mesures de scurit adaptes ;

Consultation publique en cours sur les aspects juridiques des signatures


numriques et des documents lectroniques signs numriquement.

Autriche

Travaux prparatoires.

Belgique

Loi sur les tlcommunications : rgime volontaire de dclaration


pralable pour les prestataires de services ;

Projet de loi sur les services de certification relatifs aux signatures


numriques ;

Projet de loi modifiant le Code civil en ce qui concerne les preuves


lectroniques.

Elaboration dune loi sur lusage des signatures numriques pour la


scurit sociale et la sant publique.

Danemark

Projet de loi sur lutilisation sre et efficace des communications numriques.

Espagne

Circulaires de la direction des Douanes sur lutilisation des signatures


lectroniques ;

Rsolution dans le domaine de la scurit sociale rgissant lutilisation des


moyens lectroniques ;

Lois et circulaires dans le domaine des hypothques, de la fiscalit, des


services financiers et de lenregistrement des entreprises autorisant
lutilisation de procdures lectroniques ;

Loi de finances de 1998 mandatant le ministre de lIntrieur agir


comme prestataire de service de certification.

Finlande

Projet

de

loi

sur

lchange

lectronique

dinformations

dans

ladministration et les procdures judiciaires administratives ;

Projet de loi sur le statut du centre de recensement de la population en tant


que prestataire de service de certification.

France

Loi sur les tlcommunications (dcrets sur les autorisations et


exemptions) :

fourniture de produits de signature lectronique soumise une


procdure dinformation ;

libert dutilisation, dimportation et dexportation des produits et


services de signature lectronique.

Lgislation concernant lutilisation des signatures numriques pour la


scurit sociale et la sant publique.

Italie

Loi gnrale sur la rforme du service public et la simplification


administrative adopte : principe de la reconnaissance juridique des
documents lectroniques ;

Dcret sur la cration, larchivage et la transmission des documents et


contrats lectroniques ;

Dcret en prparation sur les exigences relatives aux produits et services ;

Dcret en prparation sur les obligations fiscales dcoulant des documents


lectroniques.

Pays-Bas

Rgime volontaire daccrditation en prparation pour les prestataires de


services ;

Loi sur la fiscalit prvoyant la soumission des dclarations de revenus par


voie lectronique ;

Royaume-Uni

Projet de loi modifiant le Code civil en prparation.

Prparation dune loi concernant laccrditation volontaire des prestataires de


services de certification et la reconnaissance juridique des signatures
numriques.

Sude

Travaux prparatoires.

ANNEXE 5 :

R. c. Edwards
Calhoun Edwards, appelant;
c.
Sa Majest la Reine, intime.
[1996] 1 R.C.S. 128
[1996] A.C.S. no 11
No du greffe: 24297.

Cet arrt est disponible cette adresse :

http://www.droit.umontral.ca/doc/cscscc/fr/pub/1996/vol1/1996rcs1_0128.html

Bibliographie1
Documents Officiels :

Loi n78-17 du 6 janvier 1978 dit "fichier informatique et libert", JO du 7 janvier 1978

Loi sur la cryptographie,(Article 28 de la loi du 29 dcembre 1990, modifi par la loi n 91-648 du 11 juillet
1991 et la loi n 96-659 du 26 juillet 1996)
http://www.internet.gouv.fr

loi no 90-1170 du 29 dcembre 1990 sur la rglementation des tlcommunications


http://www.internet.gouv.fr/francais/textesref

loi n92-1477 du 31 dcembre 1992 relative aux produits soumis certaines restrictions de circulation et
la complmentarit entre les services de police, de gendarmerie, et de douane, publie au journal officiel le
05 janvier 1993

Loi n 96-659 du 26 juillet 1996, JO 27 juill. 1996.

Dcret franais n92-1358 du 28 dcembre 1992, JO du 30 dcembre 1990

Dcret 95-613 du 5 mai 1995 relatif au contrle lexportation de biens double usage, JO du 7 mai 1995

Dcret n 98-101 du 24 fvrier 1998


http://www.internet.gouv.fr/francais/textesref/cryptodecret9801.htm

Dcret no 98-102 du 24 fvrier 1998


http://www.internet.gouv.fr/francais/textesref/cryptodecret98102.htm

Dcret n 98-207 du 23 mars 1998


http://www.internet.gouv.fr/francais/textesref/cryptodecret98207.htm

Dcret n 98-206 du 23 mars 1998


http://www.internet.gouv.fr/francais/textesref/cryptodecret98206.htm

Dcret n 99-199 du 17 mars 1999


http://www.internet.gouv.fr/francais/textesref/cryptodecret99199.htm

Dcret n 99-200 du 17 mars 1999


http://www.internet.gouv.fr/francais/textesref/cryptodecret99200.htm

Arrt du 5 mai 1995 relatif au contrle lexportation vers les pays tiers et au transfert vers les Etats
membres de la Communaut europenne de biens double usage, Journal officiel du 7 mai 1995.

Arrt du 5 mai 1995 dfinissant la licence gnrale de G.502 dexportation des moyens de cryptologie et
fixant les modalits dtablissement et dutilisation de cette licence, JO du 7 mai 1995.

Arrts du 13 mars 1998


http://www.internet.gouv.fr/francais/textesref/cryptarrete1.htm

Arrts du 17 mars 1999


http://www.internet.gouv.fr/francais/textesref/cryptarrete4.htm

Nouveau Code pnal franais (articles : 226-1, 226-15, 432-8, 432-9, 432-17)

Les sites internet ont tous t consults entre les mois de dcembre 1998 et mai 1999. Une vrification de leur
prsence sur la Toile t faite au dbut du mois de juillet 1999.

Code de procdure pnale franais (articles : 56 et s., 76 et s., 92 et s.)

Article 9 du Code Civil franais

Code de la Proprit Intellectuelle (articles : L122-2, L121-1, L 121-2, L122-5-3)

Loi n91-646 du 10 juillet 1991, relative au secret de correspondances mises par voie de
tlcommunications, JO du 13 juillet 1991 ; Rect, JO 10 aot.

Rp. Min. n13318, JOANQ 29 juin 1998, p.3614.

Code civil du Qubec (articles : 1827, 2827, 2829)

la dclaration universelle des droits de lhomme, proclam le 10 dcembre 1948 par lassemble gnrale
des nations unis.

la convention europenne de sauvegarde des droits de lhomme et des liberts fondamentales, signe le 4
novembre 1950, entre en vigueur le 3 septembre 1953

pacte international relatif aux droits civils et politiques, adopt le 16 dcembre 1966 par lassemble
gnrale des Nations Unis.

"The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and
Technologies".
http://www.wassenaar.org

La politique de cryptographie : les lignes directrices et les questions actuelles (les lignes directrices
rgissant la politique de cryptographie de lOCDE Rapport sur la politique de cryptographie : contexte et
questions actuelles), OCDE/GD (97) 204, le 27.03.1997

Trait de Rome du 25 mars 1957 instituant la communaut conomique europenne (articles : 9, 30, 48, 52,
59, 60)

Dcision n 92/242/CEE en matire de scurit des systmes dinformations, JO L 123, 8 mai 1992

Dcision du conseil n94/942/PESC du 19 dcembre 1994, JO CE L 367 du 31 dcembre 1994

Rglement (CE), n3381/94 du Conseil, du 19.12.1994, instituant un rgime communautaire de contrle des
exportations de biens double usage, JOCE, nL367/1, du 31.12.1994.

Directive 95/46/Ce du Parlement europen et du Conseil du 24 octobre 1995 relative la protection des
personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces
donnes.
http://www2.echo.lu/legal/fr/dataprot/directiv/direct.html

Commission propose une directive sur les signatures electroniques DN: IP/98/423
Date: 1998-05-13.
http://europa.eu.int/comm/dg15 et http://www.ispo.cec.be/eil

LES TECHNOLOGIES DE L'INFORMATION LA REGLEMENTATION FRANCAISE EN MATIERE


DE CRYPTOLOGIE Juin 1998 ,Annexe 8 : Modle de cahier des charges des tiers de squestre, Modle
de cahier des charges dun organisme agr grer des conventions secrtes pour le compte dautrui.

Proposition de DIRECTIVE DU PARLEMENT EUROPEEN ET DU CONSEIL, sur un cadre commun


pour les signatures lectroniques(prsente par la Commission), Bruxelles, le 13.05.1998, COM(1998) 297
final, 98/0191 (COD).

Proposition de rglement du Conseil, 15 mai 1998, COM(98)257 final, instituant un rgime communautaire
de contrle des exportations des biens double usage, JOCE, 15.05.98, nL257.

Ouvrages :

AZEMA J., Droit de la concurrence, Paris, PUF, Thmis, 1998


BENSOUSSAN, Alain, Le commerce lectronique : aspects juridiques, Edition Hermes 1998.
BERTOLUS, Jean-Jrome et Renaud de la BAUME, Les nouveaux matres du monde, Paris, Edition
Belfond, 1995.
BLANCHARD, Philippe, Pirates de linformatique enqutes sur les Hackers franais, Paris, Edition
Addison Wesley, Frane, S.A 1995.
CORNU, G (SS dir. De), Vocabulaire juridique, Paris, PUF, 1987.
GUISNEL Jean, Guerres dans le cyberespace, Paris, ditions la Dcouverte, 1998
KATSH Ethan, Law in a Digital World, New York, Oxford University Press, 1995
LUCAS Andr et H.J.LUCAS, Trait de proprit littraire et artistique, Paris, Litec 1994, p.1.
SCHNEIER, Bruce (VIENNOT, Laurent, (trad.)), Cryptographie applique, Paris, 2me d., International
Thomson Publishing France, 1997, 846 pages pour ldition francophone
STERN, Jacques, La science du secret, Paris, ditions Odile Jacob, 1998.
TRUDEL, Pierre et autres, Droit du cyberespace, Montral, ditions Thmis, 1997.
VIVANT, Michel et Christian LE STANC, Lamy, droit de linformatique, Paris, 1998
STERN, Jacques, La science du secret, Paris, ditions Odile Jacob, 1998
KAHN, David, La guerre des codes secrets, Paris Interditions, 1980
COURBE Patrick, "Introduction gnrale du droit", mmentos DALLOZ srie droit priv, 2dition
DALLOZ,4me dition, 1995.
DUPONT DELESTRAINT Pierre et COURBE Patrick, "droit civil, les personnes, la famille, les incapacits",
mmentos DALLOZ, dition DALLOZ, 15me dition, 1994.
CABRILLAC Rmy, FRISON-ROCHE Marie-Anne, REVET Thierry, "Droits et liberts fondamentaux",
dition DALLOZ, 3me dition, 1996.

Revues :

BREBAN, Yann et Isabelle POTTIER, Les dcrets et arrts cryptologie : la mise en uvre effective de
lassouplissement des dispositions antrieures. , Gazette du palais, 19 au 21 avril 1998.
CABRILLAC, M., Chron. De lgislation et de jurisprudence franaise : RTD com. 1997, p. 120
GOLLIARD, Franois, Tlcommunication et rglementation franaise du cryptage , Recueil Dalloz
1998, 11 cahier, chronique.
GUIBAL, M., REP. com. Dalloz V Commerce et industrie, 1994,n55.
LEYMONERIE, Romain, Cryptage et droit d'auteur , Cowansville, Les cahiers de proprit
intellectuelle, janvier 1998, volume 10 n2, dition Yvon Blais inc., Canada. p.417 460,
MASSE, David G. Le cadre juridique en droit civil qubcois des transactions sur l'inforoute , (1997) 42
R.D. McGill 403
MASSEY, J.L., An introduction to contempory cryptology. Proceedings of the IEEE, vol. 76, n5, mai 1988
RIVEST, R.L., The MD4 Message digest Algorithm. , Advances in cryptology, CRYPTO90 Proceedings

V. I. De LAMBERTERIE, la valeur probatoire des documents informatiques dans les pays de la CEE ,
RID comp. 1992, n3, spc. P.64
Juris Classeur Procdure Pnale Art. 100 100-7 n122

1.
2.
3.
4.

Bulletin dactualit Lamy droit de linformatique et des rseaux :


Juillet 1998, n105, D.
Aot-septembre 1998, n106, E.
Octobre 1998, n107,F.
Janvier 1999 ,n110, I.

JCP dition gnrale:

1.

LINDON Raymond, "protection de la vie prive : champ dapplication ", 1971, 2, JCP.6734

2.

GOBIN, V. A., Pour une problmatique notariale des autoroutes de l'information : JCP N 1995, n50-51,

p. 1749s.
3.

BARBRY, E. et F. OLIVIER, Cryptologie des dcrets tant attendus : quel droit pour la cryptologie , 1 avril

1998 n14, I, 124.


4.

CAPRIOLI, E-A., Commerce lectronique : Scurit et confiance dans le commerce lectronique

Signature et autorit de certification , 1 avril 1998, n14, I, 123, p.583 s.


5.

Commerce lectronique- Conditions de licit de l'utilisation des moyens et prestations de cryptologie ,

actualit, 31 mars 1999 n13, p609.


6.

ESPAGNON, Michel, Le paiement d'une somme d'argent sur internet : Evolution ou rvolution du droit des

moyens de paiements ? , 21 avril 1999, n16-17, I, 131, p.787

La revue expertise :

1.

Anonyme, Plaidoyer pour un droit conventionnel de la preuve en matire informatique , juillet- aot 1987,

p.260
2.

LABORELLI, L., Tatouage des images et des sons : techniques cryptographiques d'authentification et

contrle du copyright , dcembre 1995, p.428 et s


3.

DEBOUZY, Olivier et Thaima SAMMAN, Lexception franaise et la cryptologie : le chant du signe ? ,

mars 1997, p54.


4.

Groupe de travail l'crit et les nouveaux moyens technologique au regard du droit de la mission de

recherche droit et justice, V. l'interview du Pr A. LUCAS 1997, p.222.


5.

ROS de LCHOUNOFF Nicolas, chiffrement, tiers de confiance, signature lectronique et interceptions : les

gouvernements et les internautes sont-ils myopes. , n211, janvier 1998, p.417.


6.

ROS de LOCHOUNOFF, Nicolas, Cryptographie et droit , Janvier 1998, p417.

7.

Lutilisation des produits 40 bits enfin libre , Mai 1998, p129.

8.

ROZENFIELD, Sylvie, Quelle libert pour le numrique ? , Juillet 1998, p206.

9.

le DES 56 bits bris en 56 heures , Octobre 1998, p286.

10. le SCSSI agre le premier tiersde confiance , Novembre 1998, p323.


11. SEDALLIAN, Valrie et Garance Mathias, Les problmes poses par la lgislation franaise en matire
de chiffrement , octobre 1998.

1.
2.
3.
4.
5.
6.
7.

Droit de linformatique et des tlecoms :


SYX, D : Vers de nouvelles formes de signature ? le problme de la signature dans les rapports
juridiques lectroniques, 1986/3.
WARUSFEL Bertrand, exportation de cryptologie : des rgimes juridiques difficiles concilier,
1993/1.
MEILLAN Eric, Le contrle juridique de la cryptographie , 1993/1, p.78 et s.
WARUSFEL, Bertrand, contrle des exportations de technologie double usage : le droit franais ragit
face au march unique,1993/2.
CAPRIOLI, E-A., contribution la dfinition d'un rgime juridique de la conservation des documents :
du papier au mesurage lectronique , 1993/3, p.5s.
Prise de position de la CCI sur une politique internationale du chiffrement, 1994/2, p.70.
D.PONSOT, "la signature en droit priv", 1996/4, p14 s.

Articles de presse :

ZIMMERMAN Philip, Vie prive, vie crypte , Libration, cahier multimdia, 23 fvrier 1996.

Vidonne, Paul, Pour une vraie libert de crypter , Le Monde du 15 mai 1996, p. 14.

TORRS Astrad, Faut-il brler Internet , Internet, l'extase et l'effroi, Le Monde diplomatique, collection
Manire de voir, HorsSrie, Octobre 1996

THOUMYRE, Lionel, La crypto encore au fond du trou , Netsurf n34 de janvier 1999, p16.

A.F, 1335 minutes pour forcer une cl de 56 bit , Le monde informatique, n795, janvier 1999, p.12.

BARDY, Christophe, Quand le 128 bit se rduit 56 bit , Le monde informatique, n795, janvier 1999,
p.14.

PARISOT, Thierry et Philippe ROS, Enfin les 128 bits ! , Le monde informatique, n794,22 janvier
1999, p.4.

DELBECQ, Denis, Comment achetez les e-mails , Le monde interactif, mercredi 3 fvrier 1999, p. VI.

Pirate mag, hors srie n1, juillet 1999, p.17

Rapports, Avis et Communications :

The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption Final Report -- 27 May
1997.

CNIL, 17me rapport dactivit 1996, Documentation Franaise, ISBN : 2 11 003757-1.

CNIL, 18me rapport dactivit 1997, Documentation Franaise, ISBN : 2 11 004033-5.

le rapport de Francis Lorentz.


http://www.internet.finances.gouv

CONSEIL D'ETAT ,Section du rapport et des tudes Internet et les rseaux numriques, Etude adopte par
l'Assemble gnrale du Conseil d'Etat le 2 juillet 1998.

The Green Book on the Security of Information Systems (18 octobre 1993) et, the Green Paper on Legal
Protection for Encrypted Services in the Single Market, (le 6 mars 1996).
http://info.risc.uni-linz.ac.at/1/misc-info/crypto/green-paper.txt .

Avis de l'ART sur les projets de dcrets, Avis no 97-313 du 8 octobre 1997 relatif au projet de dcret
dfinissant les conditions dans lesquelles sont souscrites les dclarations et accordes les autorisations
concernant les moyens et prestations de cryptologie et au projet de dcret dfinissant les conditions dans
lesquelles sont agrs les organismes grant, pour le compte d'autrui, des conventions secrtes de moyens ou
de prestations de cryptologie permettant d'assurer des fonctions de confidentialit (J.O. du 27 fvrier 1998).

Commission des communauts europennes, EDI et scurit : Comment grer le problme ? , rapport
prpar par KPMG dans le cadre du programme TEDIS, 1992, p.11.

Recommandation relative l'utilisation de profils de protection dans les changes informatiss entre
l'administration et ses partenaires et usagers, nR 96.02, 19 juin 1996.
http://www.cerf.gouv.fr

Communication de la Commission au Parlement europen, au Conseil, au Comit conomique et social et


au Comit des rgions, COM (97) 503 en date du 8 octobre 1997, "Assurer la scurit et la confiance dans
la communication lectronique" .
http://www2.echo.lu/legal/fr/internet/actplan.html.

Rapport final du comit consultatif sur l'autoroute de l'information, "Le dfide l'autoroute de l'information",
septembre 1995, Ministre des approvisionnement et Services Canada.

Groupe de travail sur le commerce lectronique Industrie Canada, Politique cadre en matire de
cryptographie aux fins du commerce lectronique, Pour une conomie et une socit de linformation au
Canada Politique cadre en matire de cryptographie aux fins du commerce lectronique Fvrier 1998.
http://strategis.ic.gc.ca/crypto.

Rapp. Comm. Nations Unies pour le droit commercial international sur les travaux de sa 21me session, 28
mai - 14 juin 1996, Assemble gnrale, Documentation officiels, 51me session, suppl. n17 (A/51/17), V.
p.77.

tude intrimaire STOA, Une valuation des techniques de contrle politique, rsum analytique
disponible cette adresse.
http://www.europarl.eu.int/dg4/stoa.htm.

Jurisprudence :

Arrt de la 1er chambre civil du 20 octobre 1993, B.I, n295, relatif la publication de renseignements
relatifs aux revenus.
Arrt du 13 avril 1988, B.I, n98, relatif limpratrice dIran.
CEDH24 avril 1990, Kruslin, srie A, n176 A ; D. 1990 p.353 note PRADEL, relatif une affaire
dcoutes tlphoniques.
CE, 28 octobre 1960, de LABOULAYE, AJDA 1961, 20.
CE 9 janvier 1981, St Claude publicit, D. 1981, IR 113, obs. DELVOLE.
CE 22 mars 1991, AJDA 1991, 650
Dcision du Conseil constitutionnel du 27 juillet 1982, Rev. Dr. Pub. 1983, 333, obs. L. FAVOREU.
Dcision du Conseil constitutionnel du 16 janvier 1982, D. 1983, 169, note L. HANON .
Arrt REYNES, CJCE 21 juin 1974, REC. 631, RTD europ. 1975, p.561
Arrt Simmenthal, CJCE le 9 mars 1978 Rec.269
CE, arrt "Nicolo" du 20 octobre 1989, D. 1990, 57, note R. KOVAR
Cour de Cassation, arrt "Jacques Vabre" du 24 mai 1975, D.1990, 497, concl. A. TOUFFAIT
Conseil Constitutionnel, 27 juillet 1982, Rev. Dr.pub. 1983, 333, obs. L. FAVOREU.
Cass. 1er civ, 15 juillet 1957, Bull civ. I, n331
Cour d'appel de Paris, 19 dcembre 1958, JCP G, 1960, I, 1579
Cass. 3me civ, 16 novembre 1977, Bull civ, III, n393.
Cass. 1er civ., 8 novembre 1989, Bull. civ. I, n342. Dalloz 1990, p.369, note C.Gavalda

Autres documents disponibles sur Internet :

RSA, RSA's FAQ About Today's Cryptography, http://www.rsa.com/rsalabs/faq/faq_rsa.html

tude intrimaire STOA Rsum analytique du Parlement europen, Septembre 1998.


http://PE166.499/int.st/Exec.sum/fr

Programme d'action gouvernemental, Prparer l'entre de la France dans la socit de l'information,1998.


Premier ministre - Service d'information du gouvernement (SIG) France.
http://www.internet.gouv.fr

Confrence de presse de Monsieur Lionel JOSPIN, Premier ministre, l'issue du Comit interministriel
pour la socit de l'information, Mardi 19 janvier 1999.
http://www.internet.gouv.fr/francais/frame-actualit.htm

Commerce lectronique : la Commission propose un cadre Juridique , Date: 18 Novembre 1998.


http://www.dg15.cec.be
Le secret mdical la merci du SCSSI , netizen - 22 nov 1995, ngroups : fr.network.divers,
fr.comp.infosystemes ...

BALTHAZAR, Graldine, Zivilrechtliche Probleme des Internet, Wintersemester 1996-1997Seminararbeit, Application et rglementation de la cryptographie en Belgique et en Francebei Dr. Jung,
LL.M.
http://www.fu-brlin.de/jura/netlaw/publits.atrionen/baitraege/w96-balthazar.html

SEDALLIAN, Valrie, Cryptographie : pourquoi faut-il libraliser totalement la loi franaise?, octobre
1997.
http://www.argia.fr/lij/etatcrypto.html

SEDALLIAN, Valrie, aspects internationaux du chiffrement des transmissions , texte rdig partir
d'une intervention au sminaire du groupe rseaux de DECUS (association des utilisateurs de DIGITAL) du
12 dcembre 1996.
http://www.argia.fr/lij/etatcrypto.html

SEDALLIAN, Valrie, Cryptographie : les enjeux et l'tat de la lgislation franaise. ,1997.


http://www.argia.fr/lij/etatcrypto.html

ANDERSON Ross J., tude finance par Microsoft dans le but de pouvoir vrifier distance la validit des
licences des logiciels utiliss
http://www.cl.cam.ac.uk/~mgk25/ih98-tempest.pdf,

DENNING, D.E . et W.E. Baugh JR, Cases Involving encryption in crime and terrorism,
http://guru.cosc.georgetown.edu/~denning/crypto/cases.html,

BONAVENTURE Olivier : encryptage en Belgique : La loi .


http://pgp.netline.be/cryptage/loi.html .

BORTMEYER Stphane, LUtilisation du chiffrement en France.


http://web.cnam.fr/Network/Crypto/

MALHEY Bruno, Lgislation sur la cryptographie.


http://ns.urec.fr:70/00/Securite/Docs/Lois/chiffrement.txt

ZIMMERMANN, Philip, Pourquoi jai crit PGP , Mode demploi de PGP freeware version.
http://www.ifi.uio.no/pgp/

la Fondation Omega de Manchester, "Une valuation des techniques de contrle politique", PE 166.499.
http://www.europarl.eu.int/dg4/stoa/en/publi/166499/execsum.htm.

MARIE, Fabrice, Histoire de la cryptologie, http://www.multimania.com/marief

Divers

PARISIEN, Serge et Pierre TRUDEL, L'identification et la certification dans le commerce lectronique ,


Rapport final, Montral, Centre de recherche en droit public, avril 1996, p.84
Memorandum prsent par la France aux Etats membres de l'Union europenne lors des Conseils du 26
fvrier 1998 (Tlcommunications) et du 9 mars (Ecofin) , Crer un environnement communautaire et
international pour dvelopper le commerce lectronique .
GUERRIER, Claudine Matre de confrences, "Le droit actuel de la cryptologie est-il adapt aux
utilisateurs d'Internet ? ", INT (Institut National des Tlcommunications) Rue Charles Fourier 91011
Evry, France Matre de confrences, spcialise dans le droit des TIC.
Les dix mesures pour le dveloppement du commerce lectronique prsentes le 6 mai 1998 par Dominique
Strauss-Kahn,ministre de l'conomie, des Finances et de l'Industrie, Ministre de l'conomie, des
Finances et de l'Industrie 07/05/1998.

Vous aimerez peut-être aussi