Septembre 2002
Logiciels libres et réglementation de la cryptologie
La France a maintenu malgré plusieurs réformes successives, une réglementation contraignante et complexe de la cryptographie. L’article 28 de la loi du 29 décembre 1990, modifié par la loi du 26 juillet 1996, fixe le cadre réglementaire de la cryptographie. La législation française distingue d’une part les fonctions d’authentification et d’intégrité des données (produits utilisés pour l’authentification et le contrôle d’intégrité et d’accès de contenus eux-mêmes non chiffrés), soumises à un régime plus souple, et les fonctions de confidentialité (chiffrement de contenus), sur lesquelles l’Etat entend garder un contrôle étroit. En pratique, beaucoup de moyens assurant des fonctions d’authentification et d’intégrité chiffrent également des données : ils rentrent alors dans le cadre du régime applicable aux outils offrant des fonctions de confidentialité. Selon les cas, un procédé de cryptographie relève soit d’une procédure dite de déclaration préalable, soit d’une procédure de demande d’autorisation préalable. Les dossiers de déclaration et de demande d’autorisation sont instruits par la DCSSI (Direction centrale de la sécurité des systèmes d’information). Les dispenses de formalités concernent des hypothèses limitées. Notamment, l’utilisation, la fourniture, l’exportation et l’importation de moyens et prestations de plus de 128 bits qui permettent d’assurer des fonctions de confidentialité sont soumises à autorisation préalable. En pratique, l’autorisation accordée à un fournisseur couvre en principe tous les utilisateurs. Cette procédure peut devenir un véritable casse-tête juridique pour les logiciels libres qui peuvent être fournis par différentes personnes (et non par un fournisseur unique), téléchargés depuis internet (importation), et offerts en téléchargement (exportation). Il faut vérifier si le procédé de cryptologie a bien fait l’objet de la déclaration/autorisation adéquate. Sinon l’utilisateur doit initier les démarches nécessaires auprès de la DCSSI pour utiliser en toute légalité son logiciel. L’autorisation individuelle accordée à cet utilisateur ne bénéficiera pas à d’autres utilisateurs. Le 12 juillet 2002, pour la première fois en France, suite à un dépôt de dossier effectué par le Chapitre Français de la Free Software Foundation Europe, la DCSSI a autorisé l’utilisation et l’importation des logiciels libres de cryptographie GnuPG version 1.0.7 et suivantes et OpenSSL version 0.9.6d et suivantes. OpenSSL est notamment utilisé par les serveurs web sécurisés fonctionnant sous Apache. GnuPG est utilisé pour signer des documents ou chiffrer les courriers électroniques. Les utilisateurs de ces logiciels en France n’ont donc dorénavant aucune démarche à effectuer auprès de la DCSSI, l’autorisation accordée concernant la fourniture pour une utilisation générale. Concernant les exportations, la DCSSI a octroyé à ces logiciels le bénéfice du régime prévu par l’article 10 du décret n° 2001-1192 du 13 décembre 2001 qui dispense de licence d’exportation les logiciels dits grand public. Il n’y a donc dorénavant aucune démarche à effectuer auprès de la DCSSI pour exporter (notamment par internet) ces logiciels. Cette première démarche a rendu également le processus de déclaration/autorisation auprès de la DCSSI plus simple pour d’autres logiciels libres. La FSF France a en effet mis en ligne les dossiers déposés auprès de la DCSSI, ce qui permet de s’en inspirer.
Force est de constater néanmoins que la mise en oeuvre effective de la libéralisation totale de l’utilisation de la cryptographie, annoncée par le gouvernement Jospin en janvier 1999, est toujours attendue.
En savoir plus
Le mémoire et le rapport de Magali Julin, à l’origine, suite à son stage auprès de la DCSSI, de la démarche de la FSF France
Site web de la DCSSI
