Réponse publiée le 29 mai 2000

L'honorable parlementaire attire l'attention de M. le Premier ministre sur la question des modalités d'application de la réglementation en matière de cryptologie. Le Gouvernement a décidé, conformément à l'annonce faire par le Premier ministre le 19 janvier 1999 à l'issu du deuxième comité interministériel pour la société de l'information, un changement fondamental d'orientation qui vise à rendre complètement libre l'usage de la cryptologie en France. Deux décrets du 17 mars 1999 (n° 99-199 et n° 99-200) élargissent substantiellement les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable ou seulement soumis à déclaration. Un arrêté du même jour allège le contenu des dossiers de déclaration. La loi n° 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications prévoit que la fourniture, l'importation de pays n'appartenent pas à la communauté européenne tant d'un moyen que d'une prestation de cryptologie assurant des fonctions de confidentialité sont, selon la catégorie dont relève le moyen ou la prestation - catégorie déterminée par décret - dispensées de toute formalité préalable, soumises à déclaration, ou soumises à autorisation. Il en va de même pour l'utilisation d'un moyen ou d'une prestation de cryptologie assurant des fonctions de confidentialité, qui est toutefois libre, quelle que soit la catégorie considérée, si la gestion des clés est confiée à une tierce partie de confiance agréée. S'agissant des moyens et prestations de cryptologie relevant du régime déclaratif, le décret n° 98-101 du 24 février 1998 dispose que le déclarant peut librement procéder aux opérations faisant l'objet de la déclaration si, dans un délai de un mois après le dépôt de la déclaration au service central de sécurité des systèmes d'information (SCSSI), celui-ci n'a pas demandé d'élément complémentaire. La procédure ainsi instituée prévoit seulement la délivrance d'une attestation une fois la déclaration réputée complète (art. 6). S'agissant des moyens et prestations de cryptologie relevant du régime d'autorisation, le même décret prévoit que la demande d'autorisation fait l'objet d'un récépissé par le SCSSI (art. 13), et que le Premier ministre notifie sa décision, qu'elle soit positive ou négative, dans un délai de quatre mois, au terme duquel le silence de l'administration vaut agrément (art. 14). S'agissant de l'agrément des tierces parties de confiance, le décret n° 98-102 du 24 février 1998 dispose que la demande d'agrément fait l'objet d'un récépissé par le SCSSI (art. 2), et que le Premier ministre notifie cette décision (positive ou négative) dans un délai de quatre mois, au terme duquel le silence de l'administration vaut agrément (art. 3). Le SCSSI n'est donc pas tenu de publier les décisions prises pour l'application de la réglementation en matière de cryptologie. En tout état de cause, l'ensemble de la procédure de déclaration et d'autorisation est traité au niveau « confidentiel défense », le décret n° 98-101 du 24 février 1998 disposant que les services de l'Etat veillent à la protection des informations à caractère secret dont leurs gaents sont dépositaires dans les conditions prévues par l'article 226-13 du code pénal (art. 26). Concernant les relations entre fournisseurs et clients, le décret n° 98-101 du 24 février 1998 dispose que toute vente d'un moyen ou d'une prestation de cryptologie doit être accompagnée d'un document ou d'une mention au contrat indiquant le régime auquel est soumis ce moyen ou cette prestation, d'une part, et donner lieu à la délivrance à l'acquéreur d'un document faisant mention des références de l'autorisation, d'autre part. Dans le cadre déclaratif, l'intéressé doit pouvoir justifier à tout moment de la déclaration (art. 27). En cas de doute, les clients peuvent s'adresser directement au SCSSI. En outre, dans le cadre des nouveaux équilibres résultant des décrets du 17 mars 1999, qui ont substantiellement élargi les catégories des moyens et de prestations dispensés de toute formalités préalable ou seulement soumis à déclaration, et de l'arrêté du 17 mars 1999, qui a allégé le contenu des dossiers de déclaration, le SCSSI se propose de publier sur son site Internet la liste des produits ayant satisfait aux obligations déclaratives ou ayant bénéficié d'une autorisation. Cette publication n'interviendra toutefois qu'après accord explicite du fournisseur.