LE DROIT DE CHIFFRER SES DONNEES POUR EMPECHER UNE INTERCEPTION ILLICITE

166. - Selon l'article 29 de la LCEN, « on entend par moyen de cryptologie tout matériel ou

logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. ». Sans entrer dans le détail technique, la cryptologie peut donc être définie

comme tout processus de transcription d'une information intelligible en une information inintelligible par l'application de conventions secrètes dont l'effet est réversible515. Quant à la prestation de cryptologie, elle est définie par le même article comme « toute opération visant à

la mise en œuvre, pour le compte d'autrui, de moyens de cryptologie ».

167. - La cryptologie permet la protection des informations sensibles, que ce soit dans le cadre de stockage ou de transfert, et en tant que telle, elle constitue donc une composante importante de tout système sécurisé des communications électroniques et du commerce électronique516, en ______________________________

515 É. A. Caprioli, « Le nouveau régime juridique de la cryptologie [suite aux deux décrets du 24 février 1998] », RLDI, 1998, n° 101, supplément, p. 1 et s.

516 N. Saper, « International Cryptography Regulation and the Global Information Economy », Northwestern Journal of Technology and Intellectual Property, automne 2013, vol. 11, issue 7, art. 5m adresse: http://scholarlycommons.law.northwestern.edu/cgi/viewcontent.cgi?article=1205&context=njtip.

145

permettant de garantir la confidentialité, l’authenticité et et l’intégrité de données. Les informations qui sont chiffrées ne sont connues que des personnes qui sont en possession de la clé de déchiffrement.

Le chiffrement est donc à la fois un outil fondamental pour la sécurité des données à l'ère du numérique (signature électronique), mais également pour la garantie de la vie privée et de la confidentialité des communications électroniques dans le sens où elle permet de s'assurer, d'une part, de l'identité de l'auteur du message et, d'autre part, de l'intégrité de celui-ci dès lors que les données cryptées circulent sur les réseaux sans être lues, altérées ou détournées par des personnes non autorisées. En réalité, en l’absence de solutions relevant de la cryptographie asymétrique, les internautes ne seraient pas en mesure de communiquer de manière fiable non seulement dans le cadre privé mais également dans le cadre des opérations relevant du commerce électronique ou encore de la banque en ligne par exemple. La cryptologie permet, en effet, de fournir en ligne son numéro de carte de crédit ou d'autres données sensibles à un destinataire choisi sans pour autant les exposer à des attaques « de l'homme du milieu » (« man-

in-the-middle attacks ») ou autres vulnérabilités. Elle permet aussi aux individus de

communiquer en ligne sans devoir craindre la surveillance des contenus échangés par les gouvernements – qu'il s'agisse des activistes luttant pour le respect des droits de l'homme dans des pays autoritaires, des terroristes ou encore des trafiqueurs de drogue. Dans ce sens, la liberté d'expression est affectée de manière évidente. La cryptologie permet enfin la création et l'usage de signature électronique comme condition d'authentification517. Les gouvernements, au même titre que les entreprises et les organisations, utilisent la cryptologie pour sécuriser leurs documents, e-mails et communications téléphoniques. Elle se présente donc comme le meilleur moyen de conserver le secret de la correspondance numérique et les enjeux liés à l'usage libéral des moyens cryptologiques sont donc d'importance cruciale pour le respect des droits des personnes, tant physiques que morales.

168. - Pourtant, son emploi est mis à mal par deux types de restrictions imposées par les gouvernements qui seront analysées plus loin : d’une part, les limitations quand à l’importation et l’exportation des technlogies de chiffrement et, d’autre part, les obligations de mise au clair de données chiffrées dans certains types de situations.

En effet, la mise au clair des données transitant dans le réseau est susceptible de porter atteinte non seulement au principe de la confidentialité des correspondances et à la vie privée d’individus, mais également à la vie des affaires dans la mesure ou les entreprises et les institutions ont massivement recours aux technologies de chiffrement, par exemple pour l’envoi d’informations confidentielles aussi bien à l’interne qu’à l’externe, y compris d’éléments relevant de la propriété intellectuelle et du secret d’affaires, mais également des correspondances relevant du secret professionnels (messages échangés entre et avec les médecins, les avocats, etc.). Le chiffrement de bout–à-bout (« end-to-end encryption ») est ______________________________

517 L. Eko, N. Tolstikova, « To Sign or Not to Sign on the Electronic Dotted Line: The United States, the Russian Federation, and International Electronic Signature Policy », 10 International Journal of Communications Law and Policy 1, 2 (2005), adresse: http://ijclp.net/old_website/10_2005/pdf/ijclp_05_10_2005.pdf. 26.

146

omniprésent sur Internet, que ce soit pour les besoins de banque électronique ou e-commerce. Il est également utilisé pour le stockage et la conservation des données sur différents supports (disques durs, puces, etc.). Il en ressort que la question se pose dès lors qu’on voyage au-delà des frontières avec un outil (un ordinateur portable ou un smartphone) contenant les programmes permettant le chiffrement ou des données déjà chiffrées. En effet, alors que la plupart d’Etats qui posent des restrictions sur l’importation et l’exportation de technologies de chiffrement admettent le concept d’exemption pour un usage personnel, ceci n’est pas le cas de tous les pays. Ainsi, par exemple, pour faire rentrer un terminal chiffré en Biélorussie, l’individu doit au préalable obtenir une licence émise par le Ministre des Affaires Etrangères biélorusse. En Iran, une autorisation doit être obtenue auprès du Consil Suprême de la Révolution Culturelle. En Ukraine, la licence s’obtient auprès du Service Etatique Spécial pour les Communications.

169. - Ainsi, à l’heure actuelle, malgré quelques efforts d'harmonisation internationale qui ont eu lieu dans les années 90 et qui ont permis de faire ressortir les questions relatives à la cryptologie du domaine des armes de guerre, le travail sur un cadre réglementaire universel a subi un ralentissement dès le début du XXIème siècle, laissant les entreprises et les individus face à une diversité de textes de validité territoriale limitée, aux contenus peu compréhensibles et dont l'application est souvent laissée au hasard. Dans la pratique, les entreprises qui souhaitent mettre en place des outils de chiffrement dans l'ensemble de leurs filiales doivent vérifier le régime de cryptologie du pays d'accueil, sachant que chaque pays possède son propre régime juridique.

A l'heure actuelle, le seul véritable instrument international qui permet d'établir un socle commun de règles applicables aux importations et exportations des technologies à double usage et l'Arrangement de Wassenaar du 12 mai 1996. En vertu de l'article 87 de cet accord, signé à ce jour par 45 Etats, est imposée la libre circulation des technologies de cryptographie symétrique disposant de clé de chiffrement de longueur allant jusqu'à 56 octets et de cryptographie asymétrique disposant de clé de chiffrement de longueur allant jusqu'à 512 octets. De surplus, une exception d'usage privé est prévue par ce texte, de sorte que les individus traversant les frontières des pays signataires peuvent emmener avec eux des appareils de cryptologie qu'ils utilisent à titre personnel (art. 85). Cette précision est importante lorsqu'on réalise que quasiment la totalité des ordinateurs et de smartphones commercialisés actuellement possèdent certaines capacités de cryptage. Reste que, cet instrument de base n'a pas de caractère contraignant vis-à-vis des pays signataires et il s'applique donc à leur totale discrétion518.

170. - En France, le régime juridique en matière de cryptologie a profondément évolué notamment depuis l'adoption de la loi n° 96-659 du 26 juillet 1996, et ensuite de la LCEN. C'est à travers ce dernier texte que le processus de libéralisation de la cryptologie a été achevé, complété ultérieurement par quelques textes réglementaires519_{. Désormais, en application}

______________________________

518 Ch. F. Corr, « The Wall Still Stands! Complying with Export Controls on Technology Transfers in the Post-Cold War, Post-9/11 Era », 25 Hpuston Journal of International Law, 441, 450-52 (2003), p.

147

d'article 30, le principe de la liberté d'utilisation de tous les moyens de cryptologie est acquis quelles que soient les fonctions dudit moyen : confidentialité, authentification ou intégrité (ce qui est donc, par exemple, le cas d’une signature électronique). Ainsi, l’usage privé par une personne physique de moyens cryptologiques pour des objectifs d’intégrité des messages transmis ou d’authentification des communications n’est soumis à aucune autorisation ou déclaration. Il s’agira donc, par exemple, de la protection des mots de passe, du code d’identification personnelle ou des données d’authentification similiaires utilisées pour contrôler l’accès à des données.

§2. LA RECONNAISSANCE LIMITEE DU DROIT DE PROPRIETE SUR LES