Le régime juridique du chiffrement

Depuis des millénaires, le chiffrement est utilisé afin de rendre inintelligibles des informations pour tous ceux qui ne sont pas autorisés à les recevoir.  En effet, la crainte des interceptions fut à l’origine du développement des codes et des chiffres, techniques utilisées pour déguiser un message afin que seul son destinataire désigné puisse le lire[i]. Pourtant, il aura fallu attendre l’entrée en vigueur de la loi sur la confiance dans l’économie numérique (LCEN) en 2004, pour que soit instauré un droit au chiffrement des données en France[ii]. Cette technologie est d’ailleurs vivement conseillée pour les entreprises afin de garantir le secret des affaires. La Commission nationale de l’informatique et des libertés (Cnil), elle-même, s’est positionnée en faveur du chiffrement des données comme moyen de sécurisation des données personnelles[iii].

De nombreux textes juridiques, aussi bien au niveau national, européen qu’international, abordent cette notion et permettent de définir un régime juridique du chiffrement des données. Il en ressort, d’une part, que le chiffrement des données peut devenir, dans certains cas, une nécessité afin d’assurer la confidentialité des informations et, d’autre part, que malgré son caractère licite, il est strictement encadré, notamment afin que les moyens de cryptologie ne mettent pas en péril la sécurité intérieure. Bien que ces textes ne concernent pas tous la même catégorie de données (données relatives aux particuliers, aux entreprises ou aux Etats), ils participent à former un régime juridique du chiffrement.

I. L’encadrement juridique des moyens et prestations de chiffrement

A. Principe de libre utilisation et fourniture de moyens de cryptologie

En droit français, le chiffrement est principalement encadré par la LCEN. Elle définit, dans son article 29, un moyen de cryptologie comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité ».

Le principe est quant à lui posé par l’article 30 I de la LCEN qui dispose que : « l’utilisation des moyens de cryptologie est libre ». Il est donc tout à fait licite d’utiliser des procédés de chiffrement afin de sécuriser ses données sans qu’aucune démarche administrative auprès d’un organisme ne soit nécessaire. L’article 30 II de la LCEN précise à ce titre que sont autorisés la fourniture, le transfert depuis ou vers un Etat membre de la Communauté européenne, l’importation et l’exportation des moyens de cryptologie assurant des fonctions d’authentification ou de contrôle d’intégrité tels que les moyens de signature électronique.

B. Limites au principe de libre utilisation et fourniture de moyens de cryptologie

Ce principe de liberté d’utilisation et de fourniture de moyens de cryptologie présente, toutefois, des limites. En effet, certaines activités sont soumises à un régime de déclaration ou d’autorisation préalable notamment concernant l’importation et/ou l’exportation des procédés de cryptographie. Cela s’explique par le fait que lesdits procédés cryptographiques sont considérés comme des biens à double usage par l’Arrangement de Wassenaar[iv], c’est-à-dire des biens pouvant avoir une utilisation civile et militaire. La liste des biens à double usage, établie le 12 mai 1996 par trente-trois Etats, est reprise par l’annexe I du Règlement CE n°428/2009 du Conseil du 5 mai 2009[v]. Ces différents textes encadrent le transfert des technologies de chiffrement entre les différents Etats car, si elles peuvent servir à des fins de terrorisme, elles constituent également une arme efficace contre l’espionnage militaire et industriel et une protection essentielle contre le vol de données en cas de piratage informatique.

Enfin, le principe de libre utilisation ne concerne que les moyens de cryptologie et non les prestations de cryptologie qui correspondent à la mise en œuvre de ces moyens pour le compte d’autrui[vi]. Il s’agit par exemple, des organismes qui délivrent des certificats électroniques. L’exercice de prestations de cryptologie est soumis à une déclaration préalable auprès du Premier ministre. Toutefois, en pratique, ces démarches doivent être accomplies auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les activités soumises à déclaration préalable

Selon l’article 30 III de la LCEN, les activités qui nécessitent une déclaration préalable auprès du Premier ministre sont :

  • la fourniture,
  • le transfert depuis un Etat membre de la Communauté européenne,
  • l’importation

d’un ou plusieurs moyens de cryptologie qui ne présentent pas uniquement des fonctions d’authentification ou de contrôle d’intégrité.  Le fournisseur et/ou la personne procédant au transfert ou à l’importation doit, par ailleurs, tenir à la disposition du Premier ministre une description des caractéristiques techniques de ce moyen de cryptologie ainsi que le code source des logiciels utilisés[vii].

Il existe cependant des exemptions pour certaines catégories de moyens de cryptologie justifiées par le fait que leurs caractéristiques techniques ou leurs conditions d’utilisation ne sont pas des menaces pour la défense nationale et la sécurité intérieure ou extérieure. La liste de ces catégories est définie au sein de l’annexe I du décret n°2007-663 du 2 mai 2007[viii].

Afin de satisfaire à cette obligation de déclaration préalable, la personne à l’origine de la fourniture, du transfert ou de l’importation doit compléter un formulaire disponible sur le site de l’ANSSI et y joindre :

  • un extrait K-Bis datant de moins de trois mois ;
  • un document présentant la société ;
  • une brochure commerciale ;
  • un descriptif technique ;
  • un guide pour l’utilisation du moyen de cryptologie.

Il est important de rappeler qu’un dossier doit être complété pour chaque moyen de cryptologie importé, fourni ou transféré. L’ANSSI délivre ensuite une attestation de déclaration.

Les activités soumises à autorisation préalable

Une autorisation du Premier ministre est obligatoire pour :

  • l’exportation,
  • le transfert vers un Etat membre de la Communauté européenne

d’un ou plusieurs moyens de cryptologie qui ne présentent pas uniquement des fonctions d’authentification ou de contrôle d’intégrité. Les exemptions sont identiques à celles prévues pour le régime de déclaration préalable.

Le dossier de demande d’autorisation est également similaire au dossier de demande de déclaration préalable. Il est, toutefois, possible d’échapper à cette formalité en sollicitant le classement grand public de son procédé de cryptographie auprès de l’ANSSI.

L’autorisation d’exportation accordée par l’ANSSI est valable pendant une durée de cinq ans.

Les sanctions

Il existe des sanctions administratives et pénales en cas de non-respect de ces formalités. Ainsi, la mise en circulation du moyen de cryptologie peut être interdite, ce qui implique de procéder au retrait des exemplaires remis aux distributeurs et de demander le retour de ceux qui ont été achetés par des utilisateurs.

Enfin, des peines d’amende et d’emprisonnement sont prévues par l’article 35 de la LCEN.

C. Régime de responsabilité des fournisseurs de moyens et prestations de cryptologie

La responsabilité des fournisseurs diffère selon qu’ils fournissent des moyens de cryptologie ou des prestations de cryptologie. Les premiers ne sont pas responsables de l’usage qui est fait de leur procédé. A ce titre, leur responsabilité est seulement engagée s’ils ne remplissent pas les obligations de déclaration ou de demande d’autorisation présentées ci-dessus.

Par contre, la responsabilité des fournisseurs de prestations de cryptologie à des fins de confidentialité peut être engagée dans le cadre de leur activité en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données confidentielles qui leur ont été remises pour être chiffrées. Pour s’exonérer, ils doivent être en mesure de prouver l’absence de négligence ou de faute intentionnelle[ix].

Il en est de même pour les prestataires de services de certification électronique. Ainsi, sauf à démontrer l’absence de faute intentionnelle ou de négligence, leur responsabilité est engagée en cas :

  • d’inexactitude des informations contenues dans le certificat, à la date à laquelle il a été délivré ;
  • de données incomplètes pour que le certificat puisse être reconnu comme « qualifié » ;
  • de délivrance du certificat sans vérifier que la correspondance de la clé privée du destinataire avec la clé publique ;
  • d’absence, le cas échéant, d’enregistrement de la révocation du certificat et d’absence d’information des tiers sur ce point[x].

Concernant l’usage qui est fait du certificat qu’ils remettent, leur responsabilité n’est pas engagée si cet usage dépasse les limites fixées par les conditions d’utilisation dès lors que celles-ci étaient accessibles aux utilisateurs.

II. Le recours au chiffrement des données

A. Satisfaire à l’obligation de confidentialité grâce au chiffrement

A l’heure actuelle, aucun texte de loi n’instaure explicitement une obligation de chiffrement des données. Néanmoins, le recours à des procédés de chiffrement est devenu un impératif destiné à satisfaire aux exigences de confidentialité et d’intégrité imposées par la loi dans de nombreux domaines. Par ailleurs, au vu de la place accrue occupée par les nouvelles technologies dans notre quotidien, le chiffrement apparaît comme la solution la plus sûre pour assurer la protection des données confidentielles et/ou sensibles.

La règlementation sur les données à caractère personnel

La loi « Informatique et libertés » et le règlement (UE) général sur la protection des données n°2016/679 du 27 avril 2016 (RGPD) ont pour objectif d’encadrer le traitement des données à caractère personnel.

L’article 34 de la loi « Informatique et libertés » impose aux responsables des traitements de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »[xi]. La violation de cette obligation est sanctionnée par l’article 226-17 du code pénal[xii]. Par conséquent, seules les personnes désignées peuvent avoir accès aux données faisant l’objet d’un traitement ainsi que, sous certaines conditions, des tiers ayant une autorisation ponctuelle et spéciale tels que les services des impôts.

Le RGPD précise que « les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) »[xiii]. En ce sens, l’avancée majeure du RGPD en matière de respect de la vie privée et de confidentialité réside dans la mise en œuvre, par les entreprises, d’une protection des données dès la conception d’une nouvelle technologie (« Privacy by design ») et d’une protection des données par défaut (« Privacy par default »)[xiv].

Concrètement, le respect de ces dispositions passe par l’usage de moyens assurant la confidentialité, l’intégrité, l’authenticité et la disponibilité des données personnelles. Le chiffrement de ces informations est, incontestablement, un des moyens les mieux adaptés tel qu’indiqué par l’article 32 du RGPD.  Afin de guider les responsables de traitement dans ces démarches, la Cnil a publié, en janvier 2018, un guide sur la sécurité des données personnelles[xv]. Elle préconise l’utilisation de moyens proportionnés à la nature des informations traitées. Contrairement à une idée reçue, la mise en place d’un procédé de chiffrement n’est pas forcément onéreuse et reste donc adaptée à tout type de traitement de données personnelles. Par ailleurs, la Cnil commence ce guide en rappelant un des principes fondamentaux de la sécurité informatique : la nécessité d’obliger chaque utilisateur du système informatique à s’identifier (identifiant et mot de passe) et la gestion des droits d’accès et habilitations en fonction de cette identification.

L’état actuel du projet de règlement e-Privacy[xvi] propose un chiffrement de bout en bout de toutes les transmissions de données et interdit, à cette occasion, l’installation par les fabricants de « portes dérobées » qui permettraient aux autorités d’accéder aux données.

Enfin, l’article 4 du règlement UE n°611/2013 du 24 juin 2013[xvii] met en place une dérogation à l’obligation de notification des violations de données personnelles qui pèse sur les fournisseurs de services de communications électroniques accessibles au public si ces derniers sont en mesure de prouver qu’ils ont satisfait aux exigences de sécurité en mettant en œuvre des procédés de chiffrement des données.

Le cas particulier des données de santé

La collecte et le traitement des données médicales sont, par principe, interdits en raison du caractère sensible de ces données à caractère personnel. Cependant, l’article 8 de la loi « Informatique et libertés »[xviii] autorise « les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du code pénal[xix] ».

Par ailleurs, l’article L1110-4 du code de la santé publique dispose que « toute personne prise en charge par un professionnel de santé, un établissement ou un des services de santé […], un professionnel du secteur médico-social ou social ou un établissement ou service social et médico-social […] a droit au respect de sa vie privée et du secret des informations le concernant » et précise qu’en dehors des dérogations expressément prévues par la loi, « ce secret couvre l’ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s’impose à tous les professionnels intervenant dans le système de santé. »

Ces dispositions, complétées par le décret n° 2007-960 du 15 mai 2007[xx] qui impose le respect de référentiels lors de la conservation sur support numérique ou de la transmission par voie électronique d’informations médicales relatives à un patient, mettent en place une double protection des données de santé à la fois juridique et technique. Ces référentiels sont établis par l’Agence nationale des systèmes d’information partagés de santé (ASIP Santé) et invitent à recourir à des procédés de chiffrement. Cet organisme est également l’autorité de certification dans le domaine de la santé. Il peut émettre 4 sortes de certificats :

  • de signature ;
  • d’authentification ;
  • de chiffrement (confidentialité) ;
  • de serveur.

L’article L1111-8 du code de la santé publique autorise par ailleurs les professionnels de santé à confier l’hébergement de données médicales à des prestataires externes à la condition que ces derniers soient agréés par le ministère de la Santé.

Toujours dans l’optique d’assurer la confidentialité des données de santé, l’article R1110-3 du code de la santé publique impose aux professionnels de la santé l’utilisation de la carte de professionnel de santé (CPS) pour accéder aux informations médicales stockées sur support numérique ou pour les transmettre par voie électronique. Cette carte délivrée par l’ASIP Santé permet l’identification et l’authentification de son titulaire et le traçage de ces différentes actions. Elle intègre un certificat de signature et d’authentification. Les certificats de chiffrement sont générés par des applications tierces qui utilisent la carte.

Malgré ces mesures, le 8 février 2018, la Cnil a mis en demeure la Caisse nationale d’assurance maladie des travailleurs de Santé (CNAMTS) pour des manquements à la sécurité des données[xxi]. Suite à des contrôles réalisés sur le Système national d’information inter-régimes de l’assurance maladie (SNIIRAM), des manquements à la loi « Informatique et libertés » ont été mis en évidence et notamment des défaillances au niveau de la sécurisation de l’accès aux données et de leur sauvegarde. Pour rappel, en octobre 2016, la Cnil s’était déjà inquiétée de l’obsolescence de l’algorithme de chiffrement utilisé par l’Assurance maladie[xxii].

Le cas particulier des données bancaires

L’article L511-23 du code monétaire et financier soumet au secret professionnel « tout membre d’un conseil d’administration et, selon le cas, d’un conseil de surveillance et toute personne qui, à un titre quelconque participe à la direction ou à la gestion d’un établissement de crédit ou d’un organisme mentionné au 5 de l’article L511-6 ou qui est employée par l’un de ceux-ci ». En effet, les établissements bancaires recueillent un très grand nombre de données de la part de leurs clients, de leurs prospects et de leurs partenaires. Ils doivent donc sécuriser le stockage et la transmission des données bancaires.

Leurs obligations en matière de confidentialité des données sont précisées au sein de l’arrêté du 3 novembre 2014 relatif au contrôle interne des établissements bancaires[xxiii]. Ces derniers doivent mettre en place des moyens visant à garantir la confidentialité des informations bancaires lors des procédures d’acceptation des nouveaux clients, lors du traitement des informations et lors de l’externalisation de certaines de leurs activités.
Ainsi, les banques sont obligées de mettre en place des procédures internes lors de l’acceptation de nouveaux clients ou d’opérations avec des clients ponctuels. Celles-ci doivent indiquer les diligences à suivre lors de l’identification du client, notamment lorsque l’établissement fait appel à un prestataire pour obtenir les éléments d’identification. Elles doivent également préciser les modalités de conservation de ces informations afin d’en assurer la confidentialité. Les établissements bancaires doivent également veiller à la sécurité de leur système informatique. Pour cela, des contrôles périodiques sont imposés par l’article 87 de l’arrêté du 3 novembre 2014. Ces contrôles doivent porter sur le niveau de sécurité, les actions correctrices envisagées, les procédures de secours ainsi que sur l’intégrité et la confidentialité des informations stockées.

Par ailleurs, selon une analyse de l’Autorité de contrôle prudentiel et de résolution (ACPR) sur le cloud computing publiée en juillet 2013[xxiv], celle-ci a considéré qu’une simple prestation dite de « support » pouvait être considérée comme une prestation de services essentielle externalisée (PSEE) à partir du moment où elle était opérée dans le cloud.  Rappelons que les PSEE désignent des « prestations de services ou autres tâches opérationnelles essentielles ou importantes »[xxv], qui, par cette analyse, imposent aux prestataires de services cloud des contraintes particulières et des garanties à la hauteur de leurs obligations, en matière de sécurité notamment, afin d’assurer la confidentialité des données.

Toutefois, en matière bancaire, le secret professionnel doit être envisagé dans un cadre plus large que la protection des informations des particuliers et des entreprises. Il ne doit pas servir de support à du blanchiment d’argent ou à du financement d’activités terroristes. C’est pourquoi il ne peut pas être opposé à la Banque de France, à l’Autorité de contrôle prudentiel et de résolution (ACPR) et à l’autorité judiciaire agissant dans le cadre d’une procédure pénale.

Enfin, concernant les données bancaires collectées lors d’un paiement en ligne telles que, notamment, le numéro de carte bancaire et le cryptogramme visuel, la Cnil exige qu’elles soient chiffrées par l’intermédiaire d’un algorithme de chiffrement dit « fort » et que l’accès soit restreint au sein du personnel du site marchand. En ce sens, le 19 octobre 2016, la Cnil avait sanctionné le site de e-commerce Cdiscount pour défaut de sécurité des données bancaires de ses clients. En l’espèce, les données étaient conservées en clair dans un champ de commentaires de sa base de données[xxvi]. Plusieurs délibérations rendues par la Cnil se sont succédé sur le sujet du traitement de données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. La dernière, en date du 20 juillet 2017, prévoit, notamment, que : « les données transitant sur des canaux de communication publics ou susceptibles d’interception doivent notamment faire l’objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée »[xxvii].

La règlementation relative au secret des affaires

A l’ère du Big Data, d’internet et des cyberattaques, la question de la confidentialité et de la protection des informations stratégiques d’une entreprise est plus que jamais à l’ordre du jour comme en témoigne l’adoption, le 21 juin 2018, de la proposition de loi relative à la protection du secret des affaires. Cette loi a vocation à transposer, en droit français, la directive n°2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites.

Cette loi apporte un cadre légal permettant la protection d’informations souvent stratégiques pour une entreprise mais qui n’étaient jusqu’alors pas protégées. Or, parmi les trois critères cumulatifs permettant à une information de bénéficier de cette nouvelle protection, son détenteur légitime est tenu d’en conserver le caractère secret grâce à des mesures de protection raisonnables, compte tenu des circonstances[xxviii].

En pratique, le chiffrement de ces informations constitue une mesure de protection envisageable afin de conserver des données secrètes au même titre que la mise en place de règles de confidentialité et/ou des restrictions d’accès. En tout état de cause, sans précision sur ce que le législateur a voulu entendre par « mesures de protection raisonnables », il appartiendra au juge de statuer sur ces notions.

B. La remise en cause du recours au chiffrement par les autorités

L’obligation de confidentialité et de respect de la vie privée instaurée par le législateur concernant certaines données et, le recours au chiffrement pour satisfaire à cette obligation sont, dans certains cas, remis en cause pour des motifs de justice, de sécurité intérieure et/ou de lutte contre le terrorisme.

L’accès dans le cadre d’une enquête

Dans le cadre d’une enquête, le dispositif législatif et réglementaire français permet aux autorités compétentes d’accéder aux éléments d’ordre informatique dont ils ont besoin. Ainsi, conformément à l’article 60-1 du code de procédure pénale, un officier de police judiciaire peut requérir de toute personne susceptible de détenir des informations intéressant une enquête de lui remettre ces informations, y compris celles issues d’un système informatique.

Un tel accès peut, toutefois, perdre de son intérêt dans l’hypothèse où les données informatiques remises seraient chiffrées. Dans ce contexte, depuis 2001, la fourniture des clés de déchiffrement et/ou des informations déchiffrées aux autorités judiciaires est réglementée dans un objectif de prévention des infractions et de recherche des auteurs d’infractions. Ainsi, l’article 434-15-2 du code pénal prévoit que : « est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires […] ».

Saisie le 12 janvier 2018 par la Cour de cassation d’une question prioritaire de constitutionnalité, le Conseil Constitutionnel a, eu l’occasion de confirmer que l’article 434-15-2 du code pénal ne porte pas atteinte au droit de ne pas s’accuser, ni au droit au respect de la vie privée et au secret des correspondances dans la mesure où les dispositions pénales n’ont pas pour objet d’obtenir des aveux de la personne suspectée et où les données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée[xxix].

En matière de cybersécurité, citons la nouvelle loi chinoise qui a fait couler beaucoup d’encre. Outre l’obligation pour les entreprises étrangères de stocker les données personnelles ainsi que les données considérées comme importantes sur des serveurs localisés en Chine, cette nouvelle réglementation impose aux opérateurs de réseau une obligation de soutien technique envers les services de l’Etat lors d’enquête sur des infractions. Concrètement, ces derniers devront communiquer aux autorités locales les données stockées. Un projet de loi sur le chiffrement, en cours de discussion, pourrait renforcer cette obligation en imposant également aux opérateurs de réseau la fourniture de moyens techniques pour déchiffrer les données visées par une enquête.

L’accès dans le cadre de la lutte contre le terrorisme

Les menaces terroristes qui pèsent actuellement sur les Etats ont conduit à s’interroger sur le rôle du chiffrement des données et les risques qui en découlent. Certains y voient un outil aux mains des terroristes pour communiquer et échanger des informations sans qu’elles ne soient interceptées. Ainsi, la NSA a révélé l’existence d’échanges chiffrés entre les protagonistes des attentats du 13 novembre 2015[xxx] qui n’ont donc pas pu être interceptés par les services de renseignement. Ces révélations interviennent dans le contexte de l’affaire qui opposait le FBI à Apple au sujet de l’iPhone chiffré d’un des terroristes de San Bernardino. En l’espèce, les forces de l’ordre étaient en possession de ce téléphone mais ne pouvaient pas accéder aux données qu’il contenait. Le FBI avait alors assigné Apple en justice pour forcer l’entreprise à l’aider à débloquer le téléphone. Les poursuites ont été abandonnées car le FBI a pu exploiter une vulnérabilité pour accéder au contenu du smartphone.

Une demande de plus en plus pressante de mise en place de « portes dérobées » ou de « clé maître », afin de rendre caduc tout chiffrement de données, a été relayée par plusieurs médias et plusieurs personnalités d’Etat. Toutefois, la Cnil et l’ANSSI y sont fermement opposées au motif que cela ferait courir un trop grand risque pour le public en matière de cybercriminalité. En effet, ces solutions peu robustes dans le temps tendent à affaiblir le niveau de sécurité des personnes tant physiques que morales. Par ailleurs, dans sa position adoptée le 8 avril 2016, la Cnil rappelle l’existence de dispositifs légaux qui permettent aux autorités judiciaires et aux forces de police d’avoir accès aux données chiffrées dans le cadre d’une enquête. Mais l’affaire opposant le FBI à Apple dans le cadre de l’iPhone du terroriste de San Bernardino a renforcé cette demande de « back doors ». Ainsi, lors des débats parlementaires relatifs à la réforme du code de procédure pénale, des amendements ont été déposés pour engager la responsabilité des constructeurs de smartphones et plus généralement des constructeurs de clés de chiffrement s’ils refusent de coopérer avec la justice.

Toutefois les derniers développements législatifs tendent à rejeter ces revendications. Ainsi, le projet actuel du règlement e-Privacy exclut la mise en place de ces « portes dérobées » et les amendements soumis lors des débats relatifs à la réforme du code de procédure pénale français ont été rejetés au motif que le dispositif actuel est suffisant pour que les autorités puissent mener leurs investigations.

[i] SINGH Simon, Histoire des codes secrets : de l’Egypte des pharaons à l’ordinateur quantique, Editions Jean-Claude Lattès, 1999.
[ii] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, art. 30 I.
[iii] Position adoptée par la CNIL le 8 avril 2016 : https://www.cnil.fr/fr/les-enjeux-de-2016-3-quelle-position-de-la-cnil-en-matiere-de-chiffrement.
[iv] La dernière mise à jour de la liste des biens considérés à double usage date d’avril 2016 et inclut toujours les procédés de cryptographie : http://www.wassenaar.org/munitions-list-and-list-of-dual-use-goods-and-technologies/.
[v] Règlement CE n°428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage.
[vi] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, art. 29 et 31.
[vii] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, art. 30 III.
[viii] Décret n°2007-663 du 2 mai 2007 pris pour l’application des articles 30, 31 et 36 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et relatif aux moyens et aux prestations de cryptologie.
[ix] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, art. 32.
[x] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, art. 33.
[xi] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 34.
[xii] Code pénal, art. 226-17 : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ».
[xiii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 5.
[xiv] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 25.


[xv] CNIL, Les guides de la CNIL : La sécurité des données personnelles, Edition 2018 : https://www.cnil.fr/sites/default/files/typo/document/Guide_securite-VD.pdf.
[xvi] Projet de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques.
[xvii] Règlement UE n°611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques.
[xviii] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[xix] Code Pénal, art. 226-13 : « La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende ».
[xx] Décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant le code de la santé publique.
[xxi] Décision n° MED-2018-006 du 8 février 2018 mettant en demeure la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés :
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036641332&fastReqId=1605883920&fastPos=2.
[xxii] Délibération n° 2016-316 du 13 octobre 2016 portant avis sur un projet de décret en Conseil d’Etat relatif au Système national des données de santé :
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033704169&dateTexte=&categorieLien=id.
[xxiii] Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement, soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution.
[xxiv] ACP, Analyses et Synthèses, Les risques associés au cloud computing, n°16, juillet 2013 : https://acpr.banque-france.fr/sites/default/files/medias/documents/201307-risques-associes-au-cloud-computing.pdf.
[xxv] Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement, soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution.
[xxvi] SudOuest.fr, Sécurité des données bancaires : Cdiscount s’est plié aux injonctions de la CNIL, 4 mai 2017 : https://www.sudouest.fr/2017/05/04/securite-des-donnees-bancaires-cdiscount-s-est-plie-aux-injonctions-de-la-cnil-3417159-705.php.
[xxvii] Délibération n°2017-222 du 20 juillet 2017 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n°2013-358 du 14 novembre 2013 : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000035520882.
[xxviii] Code de commerce, art. L151-1.
[xxix] Conseil Constitutionnel, Décision n°2018-696 QPC du 30 mars 2018 : https://www.conseil-constitutionnel.fr/decision/2018/2018696QPC.htm.
[xxx] ISIKOFF Michael, NSA Chief: “Paris would not have happened” without encrypted apps, 17 février 2016 : https://www.yahoo.com/news/nsa-chief-paris-would-not-have-happened-without-184040933.html.