La réglementation de l’utilisation du chiffrement est-elle une nécessité ?

Dans un contexte où « Ni l’or, ni le pétrole, ni le gaz ne sont aussi précieux que les données» (Ouail Oulmakki),  les données des citoyens sont convoitées car « Aujourd’hui, celui qui détient l’information est celui qui détient le pouvoir » (Samia Gamoura). Face à la volonté générale d’obtenir ces données le chiffrement est une réponse efficace en matière de protection des données.   

Le chiffrement des données, c’est le fait de convertir les données dans le but de ne permettre leur lecture que par des personnes définies, ces dernières étant pourvues d’une clef ou d’un mot de passe permettant la lecture des données. Il existe deux méthodes afin de chiffrer et déchiffrer des données.  

Le chiffrement permet de protéger la confidentialité, l’intégrité et la traçabilité de la donnée chiffrée. Autrement dit, il peut assurer le fait que la personne ayant accès à la donnée soit habilitée, que la donnée n’a pas été altérée par quelqu’un de malicieux ou dans certain cas d’attester de l’origine du message.  

L’ANSSI explique que « les moyens de cryptologie sont soumis à une réglementation spécifique ». En effet, il faut respecter des normes quand on pratique une activité de fourniture, importation, transfert intracommunautaire et exportation d’un moyen de cryptologie. En revanche, l’utilisation d’un moyen de cryptologie par un citoyen n’implique aucune démarche.  

Pourquoi  la question de la réglementation de l’utilisation du chiffrement s’est-elle posée ?  

C’est le climat de peur des attaques terroristes qui a relancé le débat en 2016. En effet, il semblerait que l’organisation Etat Islamique recommande à ses « membres » d’utiliser, afin de communiquer, des applications de messageries telles que Telegram pour favoriser le secret des communications.  En France, c’est Bernard Cazeneuve qui en 2016 a relancé le débat avec sa volonté de « porter avec l’Allemagne une initiative européenne puis internationale sur le chiffrement des communications, qui complique la lutte contre le terrorisme ». Mais les pays membres de l’Union européenne ne sont pas les seuls. En effet, aux Etats Unis, le FBI a souhaité obtenir d’Apple le déblocage de certains iPhone ayant appartenu à des individus responsables d’attentats.  

Une fois de plus se pose la question de favoriser la vie privée et la réservation des données personnelles des citoyens ou alors la sécurité. Faut-il faciliter l’accès à certaines informations dans le cadre de la lutte contre le terrorisme au détriment de certains droits fondamentaux ?  

Quels sont les moyens techniques et juridiques proposés pour affaiblir le chiffrement ?  

Le position paper de l’Observatoire du numérique de 2017 intitulé «  Chiffrement, sécurité et libertés » décline précisément ces techniques d’affaiblissement. La première technique elle celle dites des « points clairs » dans le cadre d’un chiffrement de point à point ou l’opérateur laisse, dans le réseau, un accès aux autorités aux points où les certificats et clés de déchiffrement se trouvent. La technique la plus connue, celle des portes dérobées, consiste à imposer aux concepteurs le fait d’intégrer des failles de sécurités. Il est aussi possible d’imposer la limitation de la longueur des clefs. L’inconvénient de ces deux dernières techniques est qu’elles sont exploitables par tous. Ce qui inquiète le plus l’Observatoire c’est la possible naissance d’une « législation à double vitesse ». En effet, la logique peut mener à l’instauration d’une «  législation autorisant un chiffrement robuste pour certaines personnes morales qui accepteraient de remettre leurs clés de déchiffrement, comme les banques, mais le refusant aux simples personnes physiques ».  

  • Quelles mesures juridiques existent en France ?  

Avant de se demander quelles mesures prendre, il est essentiel de considérer qu’en France de nombreuses solutions efficaces existent déjà.  

Premièrement, dans le cadre de la perquisition, le code de procédure pénale (57-1 CPP) donne pouvoir à l’officier de police judiciaire de « requérir toute personne susceptible soit d’avoir connaissance des mesures appliquées pour protéger les données auxquelles il est permis d’accéder dans le cadre de la perquisition, soit de leur remettre les informations permettant d’accéder à ces données ». 

Afin de compléter cette mesure le recours à des expertises dans un but de décryptement est envisagé (CPP 230-1) lorsque des « données saisies ou obtenues […] ont fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair qu’elles contiennent ou de les comprendre, ou que ces données sont protégées par un mécanisme d’authentification ».  

Deuxièmement, depuis le décret n° 2007-663 du 2 mai 2007 qui vient compléter la Loi pour la confiance dans l’économie numérique, il possible d’obtenir le code source et les caractéristiques techniques du moyen de cryptologie qui a fait l’objet d’une déclaration mais aussi d’imposer la mise à disposition de l’ANSSI de deux exemplaires du moyen de cryptologie pour une durée de six mois.  

Enfin, dans le code pénal peut résider un élément dont le caractère peut être dissuasif. En effet, un crime ou un délit est considéré comme aggravé « lorsqu’un moyen de cryptologie (…) été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la commission »  

Etant donné que le chiffrement n’est pas infaillible et que le décryptement est une technique d’enquête reconnue, il serait étonnant de choisir de heurter les droits fondamentaux et le secret des conversations alors que les dispositifs actuels semblent efficients et proportionnés.  

Emma DUCHESNE 

Master 2 Cyberjustice – Promotion 2019-2020

Laisser un commentaire