Projet de loi pour la confiance dans l'économie numérique

Rapports législatifs

Avis n° 351 (2002-2003), déposé le 11 juin 2003

Les informations clés

Nature

Avis - Première lecture

TITRE III
DE LA SÉCURITÉ DANS L'ÉCONOMIE NUMÉRIQUE

Le titre III du présent projet de loi définit un nouveau régime juridique tendant à assurer la sécurité des opérations effectuées dans le cadre de l'économie numérique. A cette fin, il redéfinit le régime juridique applicable à la cryptologie et renforce les dispositifs visant à lutter contre la cybercriminalité.

CHAPITRE I
MOYENS ET PRESTATIONS DE CRYPTOLOGIE

Ce chapitre procède à une libéralisation du régime juridique actuellement applicable aux moyens et prestations de cryptologie. Les articles 17 et suivants du présent projet de loi ont, dans ce contexte, vocation à se substituer aux dispositions de l'article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications.

SECTION 1
Utilisation, fourniture, transfert, importation
et exportation de moyens de cryptologie
Article 17
Définition des moyens et prestations de cryptologie

Une définition légale des moyens et prestations de cryptologie s'avère indispensable, dans la mesure où un régime juridique spécifique, défini par le présent projet de loi, leur est applicable.

La définition technique de la cryptologie est actuellement donnée au I de l'article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications.

Pour l'essentiel, la définition actuellement donnée des moyens et prestations de cryptologie n'est pas bouleversée par l'article 17 du présent projet de loi. Ce dernier définit néanmoins plus largement les moyens et prestations de cryptologie que ne le faisait l'ancienne définition afin de prendre en compte de nouveaux moyens de cryptologie apparus depuis la promulgation de la loi précitée du 29 décembre 1990.

Les moyens de cryptologie

Deux critères cumulatifs sont utilisés afin de définir les moyens de cryptologie .

Le premier est de nature technique. Est un moyen de cryptologie le procédé qui permet de transformer des données à l'aide de conventions secrètes et d'effectuer l'opération inverse, avec ou sans convention secrète.

Le second critère utilisé est de nature finaliste. Un procédé de cryptologie vise nécessairement à assurer la sécurité du stockage ou de la transmission de données en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

Les moyens qui, de manière accessoire, auraient également d'autres fonctions que celles évoquées seraient également considérés comme des moyens de cryptologie au sens du présent article.

En pratique, la définition désormais retenue permet d'inclure les moyens de cryptologie utilisant des systèmes de cryptographie asymétrique, ce qui pouvait prêter à discussion sous l'empire de l'actuelle définition.

En effet, il existe plusieurs méthodes de chiffrement des données qui se fondent sur l'existence d'une ou plusieurs clés, c'est-à-dire, un ou plusieurs codes de chiffrement. On distingue, dans ce cadre, les procédés de cryptographie symétrique des procédés de cryptographie asymétrique.

Les premiers supposent l'utilisation d'une clé unique, dite clé « privée » : le même code sert indistinctement à chiffrer dans un sens et à déchiffrer, dans l'autre, les données en cause. Les seconds utilisent deux clés : une clé « privée » destinée au chiffrement des données, et une clé « publique », servant à leur déchiffrement.

La définition prévue par le présent projet de loi permet également d'inclure les procédés de cryptanalyse. Cette dernière consiste à casser des fonctions cryptographiques afin de démontrer leur insécurité.

Les prestations de cryptologie

Les prestations de cryptologie sont, quant à elles, définies par le texte comme les opérations visant à la mise en oeuvre, pour le compte d'autrui, des moyens de cryptologie susmentionnés.

Votre commission des Lois a émis un avis favorable à l'adoption de l'article 17 sans modification .

SECTION 2
Fourniture de prestations de cryptologie
Article 18
Régime juridique applicable aux moyens de cryptologie

L'article 18 du présent projet de loi modifie en profondeur le régime juridique applicable aux moyens de cryptologie. Il fait passer le droit français d'un système d'encadrement particulièrement strict de la cryptologie à un régime de liberté encadrée.

Ce faisant, le droit français s'aligne sur les dispositions retenues, depuis plusieurs années, par la majeure partie des Etats, qui ont libéralisé le régime juridique applicable aux opérations de cryptologie.

Toutefois, la libéralisation de la cryptologie opérée par le présent projet de loi n'est pas totale. Il convient de distinguer, d'une part, l'utilisation des moyens de cryptologie, entièrement libre et, d'autre part, la fourniture, le transfert, l'importation et l'exportation des moyens de cryptologie, qui font l'objet d'un encadrement plus ou moins strict des pouvoirs publics.

1. La liberté totale de l'utilisation des moyens de cryptologie

Le I de l'article 17 du présent projet de loi met en place un régime de liberté totale pour l'utilisation de moyens de cryptologie, quels qu'en soient la forme et l'objet .

Sur ce point, la présente disposition témoigne d'une avancée réelle de la législation française.

En effet, sous l'empire de l'article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, le principe est que l'utilisation des moyens de cryptologie est soumise à un régime d'autorisation préalable accordée par le Premier ministre. Toutefois, dans des cas limitativement énumérés, l'utilisation des moyens de cryptologie est libre. Il s'agit des hypothèses dans lesquelles le moyen de cryptologie en cause ne permet pas d'assurer des fonctions de confidentialité ou lorsqu'il assure des fonctions de confidentialité en n'utilisant que des conventions secrètes gérées selon des procédures et par des organismes agréés par le Premier ministre.

Plus aucune distinction ne serait donc faite désormais selon la nature du moyen de cryptologie utilisé.

2. La liberté partielle de la fourniture, du transfert, de l'importation et de l'exportation des moyens de cryptologie

L'article 18 distingue selon que le moyen de cryptologie en cause a ou non pour fin unique l'authentification ou le contrôle d'intégrité des données.

- Lorsque la fonction cryptologique vise uniquement à authentifier ou à contrôler l'intégrité d'une donnée, un régime de liberté s'appliquerait .

Ce régime de liberté, prévu au II du présent article, s'appliquerait à la fourniture, au transfert depuis ou vers un Etat membre de la Communauté européenne, à l'importation ainsi qu'à l'exportation des moyens de cryptologie ayant cette fonction exclusive.

Le vocabulaire utilisé par la loi du 29 décembre 1990 précitée est donc conservé, malgré les critiques qu'il peut susciter.

La notion de fourniture apparaît en effet, à première vue, particulièrement vague. Toutefois, elle a été explicitée par une réponse ministérielle. La fourniture de moyen de cryptologie doit s'entendre au sens premier du terme, c'est-à-dire comme l'approvisionnement « pendant un certain temps de manière ponctuelle, périodique ou continue, en moyens ou en services » d'une autre personne ^{35(

*
)} .

De même, la notion d'« exportation » de moyens de cryptologie apparaît relativement inadéquate, dans la mesure où ces moyens ne sauraient faire l'objet, au sens juridique, d'une exportation. Cependant, le sens de ce terme doit être entendu comme faisant référence à toute « mise à disposition » de ces moyens vers un Etat tiers à la Communauté européenne.

- Lorsque la fonction cryptologique ne vise pas exclusivement à authentifier ou à contrôler l'intégrité d'une donnée, un régime de déclaration ou d'autorisation préalable est institué .

Aux termes du III du présent article, un régime de déclaration préalable auprès du Premier ministre est institué pour la fourniture, le transfert depuis un Etat membre de la Communauté européenne ou l'importation de ce type de moyen de cryptologie.

L'application de ce régime suppose toutefois que le fournisseur ou l'importateur tienne à la disposition du Premier ministre une description des caractéristiques techniques de ce moyen de cryptologie, ainsi que le code source des logiciels utilisés.

Cette dernière exigence résulte d'un amendement opportunément adopté en première lecture, le Gouvernement s'en étant remis à la sagesse de l'Assemblée nationale. La possibilité pour l'administration de connaître le code source des logiciels de cryptologie utilisés a, en effet, été jugée indispensable par les députés. Le code source d'un logiciel est constitué des lignes écrites en langages de programmation par les informaticiens. Il est l'élément essentiel d'un logiciel puisqu'il en détermine, en réalité, les caractéristiques.

En tout état de cause, l'article 18 du présent projet de loi renvoie à un décret en Conseil d'Etat la définition des conditions de déclaration, la nature des caractéristiques qui doivent être tenues à disposition du Premier ministre, ainsi que les conditions et délais dans lesquels ces caractéristiques pourront être demandées.

Ce type de dispositif est semblable à celui, actuellement applicable, mis en place par l'article 28 de la loi précitée du 29 décembre 1990. Sur cette base, le décret n° 98-101 du 24 février 1998, précité, a défini les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie.

En outre, le présent article prévoit qu'un décret en Conseil d'Etat fixera les catégories de moyens de cryptologie pour lesquels la fourniture, le transfert depuis un Etat membre ou l'importation peuvent être dispensés de formalité préalable, compte tenu de leurs caractéristiques techniques et de leurs conditions d'utilisation. En effet, certains moyens de cryptologie peuvent ne susciter aucun danger pour la préservation des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat. Dans ces hypothèses, le recours à un régime de déclaration préalable ne se justifie donc pas.

Il convient de noter que ce dispositif reprend partiellement celui institué par le c) du 3° du I de l'article 28 de la loi précitée du 29 novembre 1990. Sur la base de cette disposition, des dispenses de formalités préalables ont ainsi d'ores et déjà été accordées, à titre d'exemple, aux « cartes à microprocesseur personnalisées ou leurs composants spécialement conçus, incapables de chiffrer le trafic de messages ou les données fournies par l'utilisateur ou leur prestation de gestion de clef associée. » ^{36(
*
)}

Le IV de l'article 17 du présent projet de loi prévoit, quant à lui, un régime d'autorisation préalable, délivrée par le Premier ministre, pour le transfert vers un Etat membre de la Communauté européenne et l'exportation des moyens de cryptologie ne visant pas exclusivement à authentifier ou à contrôler l'intégrité d'une donnée.

La « sortie » du territoire national de moyens de cryptologie peut soulever des risques plus grands pour la sécurité de l'Etat et la préservation de l'intérêt de la défense nationale. On peut craindre, en effet, que cette situation ne conduise à une dissémination de matériels considérés comme stratégiques pour la défense ou la sécurité intérieure ou extérieure de l'Etat.

Ces considérations expliquent le maintien d'un régime d'autorisation préalable, par nature plus lourd que le simple régime de la déclaration.

Le présent article renvoie à un décret en Conseil d'Etat la fixation des délais dans lesquels le Premier ministre statue sur les demandes d'autorisation qui lui sont transmises.

Cette mention implique que le défaut de réponse dans le délai qui sera fixé par décret en Conseil d'Etat équivaudra à une décision implicite de rejet de la demande d'autorisation de transfert ou d'exportation de moyens de cryptologie. En effet, par application de l'article 21 de la loi n° 2000-321 du 12 avril 2000 sur les droits des citoyens dans leurs relations avec les administrations, le silence gardé par l'administration pendant un délai déterminé vaut, en principe, décision implicite de rejet.

De même que pour le III du présent article, un décret en Conseil d'Etat prévoira les hypothèses dans lesquelles le transfert et l'exportation de moyens de cryptologie pourront, pour les motifs susmentionnés, être dispensés d'autorisation préalable.

Votre commission vous soumet un amendement visant à améliorer la qualité rédactionnelle du II de cet article.

Elle a émis un avis favorable à l'adoption de l'article 18 ainsi modifié.

Article 19
Régime juridique applicable à la fourniture
de prestations de cryptologie

Cet article définit le régime juridique applicable à la fourniture de prestations de cryptologie. Il témoigne, une nouvelle fois, de la volonté du Gouvernement d'alléger le régime d'encadrement institué par l'article 28 de la loi précitée du 29 décembre 1990.

Il est légitime que les pouvoirs publics puissent, en ayant le souci d'assurer la sécurité de l'Etat, connaître l'existence des opérations visant à mettre en oeuvre, pour le compte d'autrui, des moyens de cryptologie qui interviennent sur le territoire national. Toutefois, afin de ne pas freiner le développement du commerce électronique, il est souhaitable d'assouplir le régime juridique en vigueur.

Dans cette perspective, le I du présent article prévoit que l'ensemble des fournitures de prestations de cryptologie seraient désormais soumis à un régime de déclaration préalable auprès du Premier ministre .

Contrairement à la situation définie par la loi du 29 novembre 1990, le présent article n'opère aucune distinction entre les prestations de cryptologie, selon qu'elles assurent ou non des fonctions de confidentialité. Le régime actuel prévoit que les prestations qui assurent des fonctions de confidentialité sont soumises à autorisation préalable du Premier ministre - sauf si elles sont assurées au moyens de conventions secrètes gérées par des « tiers de confiance » agréés par les pouvoirs publics - tandis que les autres prestations sont soumises à un simple régime de déclaration préalable.

Le nouveau régime légal sera précisé par un décret qui pourra prévoir des hypothèses de dispense totale de formalité préalable auprès des pouvoirs publics. En effet, et pour les mêmes raisons que précédemment exposées, la nature et les caractéristiques de certaines prestations sont telles qu'elles ne sauraient constituer des dangers pour la défense nationale ou la sécurité intérieure ou extérieure de l'Etat. Sur ce point, le présent projet de loi reprend donc le dispositif prévu au c) du 3° du I de l'article 28 de la loi du 29 décembre 1990.

Votre commission des Lois vous soumet cependant un amendement tendant à prévoir que les précisions en cause seront apportées par un décret en Conseil d'Etat et non par décret simple, par souci d'harmonisation avec les autres dispositions du projet de loi qui prévoient le recours à de tels instruments.

Le II de l'article 18 du présent projet de loi apporte une précision. Il prévoit que les personnes qui fournissent des prestations de cryptologie sont soumises au secret professionnel , dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

Les fournisseurs de prestations de cryptologie sont soumis au secret professionnel à l'égard des informations dont ils auraient eu connaissance dans le cadre de leurs fonctions. Ils encourraient, en conséquence, les sanctions prévues à l'article 226-13 du code pénal qui punit d'un an de prison et de 15.000 euros d'amende la révélation de faits couverts par le secret professionnel.

Ce secret ne leur serait toutefois pas opposable lorsqu'il est fait application des dispositions de l'article 226-14 du code pénal. Cette dernière disposition énonce en effet que la révélation du secret peut intervenir « dans les cas où la loi impose ou autorise la révélation du secret ». Plus particulièrement, l'incrimination prévue à l'article 226-13 du code pénal n'est pas applicable à la personne qui informe les autorités judiciaires, médicales ou administratives de privations ou sévices dont elle a eu connaissance et qui ont été infligées à un mineur de quinze ans ou à une personne qui n'est pas en mesure de se protéger compte tenu de son âge ou de son état physique ou psychique.

Votre commission des Lois a émis un avis favorable à l'adoption de l'article 19 ainsi modifié .

Article 20
Responsabilité civile des fournisseurs
de prestations de cryptologie

Cet article institue un régime de présomption de responsabilité à l'égard des fournisseurs de prestations de cryptologie.

La raison première de l'utilisation de moyens de cryptologie découle de considérations liées à la protection de certaines données ou informations. Les prestataires de cryptologie doivent pouvoir être reconnus responsables des dommages qui surviennent, lors de l'exécution de leurs prestations, aux personnes qui leur confient le soin d'assurer la confidentialité de certaines données.

Lors de litiges mettant en cause la responsabilité civile de ces prestataires, le présent article renverse la charge de la preuve en établissant un régime de présomption de responsabilité des fournisseurs de prestations de cryptologie. Le champ d'application de ce régime est cependant limité.

Il ne vise, en premier lieu, que les prestations de cryptologie à des fins de confidentialité. En effet, un régime spécifique de responsabilité est prévu à l'article 21 du présent projet de loi pour les personnes qui fournissent des prestations de cryptologie ayant seulement une fonction d'authentification ou de contrôle de l'intégrité de données.

La présomption de responsabilité ne jouerait, en second lieu, qu'à l'égard des personnes ayant confié aux fournisseurs de prestations concernés la gestion de leurs conventions secrètes, lorsqu'un préjudice résulte d'une atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données transformées à l'aide desdites conventions .

A la suite d'un amendement présenté par le rapporteur de sa commission des Affaires économiques, l'Assemblée nationale a, en première lecture, précisé que les fournisseurs ne sauraient être responsables que dans le cadre des prestations qu'ils ont effectuées auprès des victimes de dommages. Cette précision était utile, dans la mesure où elle devrait ainsi éviter que ne soient intentées, sur la base de cette disposition, des actions en responsabilité qui n'auraient aucun lien avec les prestations fournies.

Le présent article permet toutefois aux personnes en cause de s'exonérer de leur responsabilité civile. La présomption ainsi instituée n'a pas un caractère irréfragable . Les fournisseurs de prestations de cryptologie peuvent donc prouver qu'ils n'ont commis aucune faute de nature intentionnelle ou aucune négligence dans l'exécution de leurs prestations. Toutefois, seule cette cause d'exonération est admise, la présente disposition énonçant qu'aucune clause contractuelle contraire ne peut remettre en cause la mise en oeuvre de cette responsabilité.

Si le dispositif retenu ne peut qu'emporter l'adhésion, on peut, en revanche, se montrer plus circonspect sur un autre ajout au présent article, résultant de la première lecture à l'Assemblée nationale. Avec l'avis favorable du Gouvernement, le rapporteur de la commission des Affaires économiques de l'Assemblée a en effet tenu à préciser qu'en cas de litige opposant le fournisseur de prestations de cryptologie à la personne lui ayant confié des conventions secrètes, cette dernière « doit établir la matérialité des éléments de faits précis et concordants fondant son action ».

Une telle précision apparaît inutile, dans la mesure où, lorsque le litige sera porté devant le juge, il importera nécessairement que les plaignants apportent les éléments de faits et de droit pertinents pour qu'ils obtiennent satisfaction.

Votre commission des Lois vous soumet, en conséquence, un amendement tendant à supprimer le second alinéa de cet article.

Votre commission des Lois a émis un avis favorable à l'adoption de l'article 20 ainsi modifié .

Article 21
Responsabilité civile des tiers certificateurs

Cet article institue une présomption de responsabilité des prestataires de certification électronique. Il vise à transposer l'article 6 de la directive 1999/93/CE du 13 décembre 1999 définissant un cadre communautaire pour les signatures électroniques.

Cette directive a été partiellement transposée par la loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique qui a consacré la valeur probatoire des actes sur support électronique et reconnu la valeur juridique des procédés de signature électronique.

Ainsi, l'article 1316-3 du code civil prévoit désormais que la fiabilité d'un procédé de signature électronique est « présumée, jusqu'à preuve du contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par un décret en Conseil d'Etat. »

Précisant cette disposition, l'article 2 du décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique dispose que la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire, « lorsque ce procédé met en oeuvre une signature électronique sécurisée de création de signature et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié ».

De façon plus pratique, lors de la signature électronique interviennent deux clés de chiffrement : une clé privée, par laquelle une personne chiffre certaines données, ainsi qu'une clé publique qui, créée par l'auteur du document et communiquée à un tiers, va permettre à ce dernier de déchiffrer ces données. La clé publique fait alors l'objet d'une certification qui permet de vérifier que les données ont bien été chiffrées grâce à la clé privée. Cette certification est opérée par un prestataire technique qualifié par le présent article de « prestataire de services de certification ».

Ces prestataires sont bien évidemment responsables des dommages résultant de leur faute ou de leur négligence dans le cadre des prestations de certification électronique qu'ils offrent à leurs clients. Mais le présent article va plus loin en instituant, dans des hypothèses spécifiques, une véritable présomption de responsabilité.

1. Le champ limité de la présomption de responsabilité

Le présent article vise à instituer un régime de présomption de responsabilité qui dispose d'un champ d'application réduit.

D'une part, ce régime ne s'appliquerait qu'en présence de certificats dits « qualifiés » ou, tout au moins, présentés comme tels par le fournisseur .

Aux termes de l'article 2 de la directive 1999/93/CE précitée, est considéré comme qualifié, le certificat qui satisfait à des exigences particulières et qui est fourni par un prestataire de services de certification satisfaisant lui-même à certaines exigences spécifiques.

Ces exigences sont aujourd'hui définies, conformément aux annexes de la directive, par l'article 6 du décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique. Deux séries de conditions sont exigées, tenant tant aux caractéristiques du certificat électronique lui-même qu'au prestataire qui le délivre.

D'autre part, ce régime ne serait applicable qu'au profit des personnes qui se sont « fiées raisonnablement » à ces certificats . L'expression retenue n'est pas conforme à notre tradition juridique et s'inspire davantage de la tradition anglo-saxonne ; elle est cependant l'exacte reprise des termes de l'article 6 de la directive du 13 décembre 1999.

Enfin, seuls certains faits générateurs du préjudice seraient couverts par ce régime de responsabilité présumée. A ce titre, le présent article définit quatre hypothèses limitatives :

1°) lorsque les informations contenues dans le certificat, à la date de sa délivrance, étaient inexactes. Cette hypothèse d'engagement de responsabilité est prévue par le a) du point 1 de l'article 6 de la directive. Elle est tout à fait justifiée, dans la mesure où l'exactitude des mentions contenues dans un certificat est la raison d'être de ce procédé.

2°) lorsque les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes. Il s'agit ici de sanctionner le prestataire qui aurait présenté le certificat délivré par l'utilisateur comme qualifié, alors même qu'il ne remplissait pas les conditions techniques énumérées par l'article 6 du décret n° 2001-272 du 30 mars 2001.

3°) lorsque le prestataire d'un service de certification électronique n'a pas vérifié que le signataire détenait bien, lorsque le certificat lui a été délivré, des données de création de signature qui correspondaient à celles, fournies ou identifiées dans le certificat, permettant de vérifier cette signature. Cette hypothèse vise à sanctionner le prestataire qui n'aurait pas vérifié que le détenteur d'une clé publique détenait bien la clé privée de chiffrement de données. Elle reprend le b) du 1 de l'article 6 de la directive précitée.

4°) lorsque le prestataire n'a pas assuré la complémentarité des données afférentes à la création de signature (clé privée) et de celles relatives à la vérification de cette signature (clé publique). Cette hypothèse découle du c) du 1 de l'article 6 de la directive.

5°) lorsque le prestataire n'a pas enregistré la révocation du certificat et n'a pas tenu informé les tiers de ce fait. Les certificats peuvent en effet être révoqués, de sorte que le document attestant du lien entre des données de vérification de signature et un signataire est, par suite, dépourvu de valeur. Il appartient au prestataire de prendre en compte cette révocation et d'en informer les tiers. Cette disposition reproduit le 2 de l'article 6 de la directive.

Nonobstant le fait que ces conditions de mise en jeu de la présomption de responsabilité sont satisfaites, le présent article prévoit, conformément aux points 3 et 4 de l'article 6 de la directive 1999/31/CE, une éventuelle exclusion de responsabilité .

Contractuellement, les prestataires et utilisateurs peuvent fixer des limites à l'utilisation des certificats fournis ainsi qu'à la valeur des transactions pour lesquelles ils peuvent être utilisés. Toutefois, cette faculté est encadrée, puisque le présent projet de loi exige qu'en pareille circonstance ces limites devront avoir été « clairement portées à la connaissance des utilisateurs dans le certificat ».

Il faut en déduire que le défaut d'information des utilisateurs de certificats sur ce point rendra impossible l'exclusion contractuelle de la responsabilité du fournisseur de prestations de certification. Il reviendra en tout état de cause à la jurisprudence de déterminer, au cas par cas, si le prestataire a bien « clairement » fait connaître à son cocontractant ces limitations de responsabilité.

Dans ces conditions, l'utilisateur ne pourra bénéficier du régime de responsabilité défini par le présent article s'il a, de manière abusive, utilisé le certificat au-delà des limites fixées par le prestataire.

En outre, la présomption en cause n'aurait pas un caractère irréfragable. Pour échapper à la mise en cause de sa responsabilité, le prestataire pourra toujours apporter la preuve qu'il n'a commis aucune faute ou aucune négligence en fournissant ses services.

2. La solvabilité financière des prestataires de certification électronique

Le dernier alinéa de l'article 21 du présent projet de loi impose aux prestataires de services de certification électronique de justifier d'une garantie financière ou d'une assurance couvrant leur responsabilité civile professionnelle.

Le but d'une telle obligation est de garantir la solvabilité financière du prestataire au cas où sa responsabilité civile serait engagée. Cet objectif est, en soi, tout à fait légitime. Toutefois, dans sa formulation actuelle, cette obligation ne peut que susciter une certaine perplexité.

En premier lieu, on peut se demander s'il est vraiment nécessaire d'offrir au prestataire un choix entre une garantie financière et une assurance responsabilité civile professionnelle. En effet, l'exigence d'une garantie financière pourrait conduire à certaines difficultés de mise en oeuvre. Il faudrait notamment définir les modalités par lesquelles cette garantie serait « spécialement affectée au paiement des sommes » que ces prestataires pourraient être condamnés à verser dans l'hypothèse où ils verraient leur responsabilité civile engagée.

L'exigence d'une assurance responsabilité civile professionnelle s'avère au contraire plus facile à mettre en oeuvre et, à certains égards, plus protectrice pour les victimes des dommages causés par les prestataires de certification.

En second lieu, le présent article prévoit que les prestataires de services de certification doivent justifier avoir satisfait à cette obligation. Force est cependant de constater qu'en l'état actuel du texte, on ne sait auprès de qui, ni à quel moment, cette justification doit intervenir.

En dernier lieu, se pose la question de savoir quelle doit être la sanction à appliquer lorsque le prestataire n'aura pas satisfait à cette obligation. En première lecture, un amendement a été adopté, le Gouvernement ayant émis des réserves pour finalement s'en remettre à la sagesse de l'Assemblée nationale, afin de préciser que, faute d'avoir satisfait à son obligation, le prestataire devra faire mention de son défaut de garantie et d'assurance sur les certificats qu'il délivre.

Votre commission des Lois s'étonne qu'une obligation imposée par la loi puisse avoir pour seule sanction une simple mention que la personne qui y était tenue n'y a pas satisfait.

En conséquence, elle vous soumet un amendement visant à limiter l'obligation prévue au présent article à l'existence d'une assurance responsabilité civile professionnelle et à prévoir que le prestataire devra justifier de cette assurance lorsqu'il déclare la fourniture de prestations de cryptologie, conformément à l'article 19 du projet de loi.

Votre commission des Lois a émis un avis favorable à l'adoption de l'article 21 ainsi modifié .

SECTION 3
Sanctions administratives
Article 22
Sanctions administratives applicables
aux fournisseurs de moyens de cryptologie

Cet article institue un mécanisme de sanction administrative à l'encontre du fournisseur de moyens de cryptologie qui n'aurait pas respecté les prescriptions de l'article 18 du projet de loi.

L'autorité compétente pour prononcer des sanctions administratives à l'encontre des personnes qui n'auraient pas satisfait à leurs obligations est le Premier ministre. Ainsi, seraient sanctionnées les personnes qui auraient omis de déclarer ou de solliciter une autorisation préalable, selon le cas et les modalités définies par l'article 18, pour la fourniture, l'importation, l'exportation, le transfert depuis ou vers un autre Etat membre de la Communauté européenne de moyens de cryptologie.

Il convient de préciser que le non respect de ces obligations est également sanctionné pénalement par les dispositions du I de l'article 23 du présent projet de loi.

La sanction qui peut être prononcée au titre du présent article est unique. Il s'agit d'une mesure d'interdiction de mise en circulation du moyen de cryptologie concerné.

Le deuxième alinéa de cet article précise l'étendue de cette interdiction.

Celle-ci est applicable à l'ensemble du territoire national. Il ressort de la dernière phrase du second alinéa de cet article, issu d'un amendement adopté en première lecture à l'Assemblée nationale avec l'avis favorable du Gouvernement, que l'interdiction de mise en circulation cesse de s'appliquer dès lors que l'intéressé a satisfait aux obligations définies par l'article 18 du présent projet de loi.

Cette interdiction emporte, par ailleurs, deux obligations à la charge de la personne ayant fait l'objet de la sanction.

D'une part, une fois l'interdiction prononcée, l'intéressé a l'obligation de retirer les moyens qui font l'objet de l'interdiction lorsque ceux-ci ont déjà été mis à la disposition de diffuseurs commerciaux.

D'autre part, l'intéressé est tenu de retirer les matériels de cryptologie acquis à titre onéreux par des tiers, antérieurement à la décision du Premier ministre. Cette obligation s'explique par le fait que ces moyens de cryptologie sont considérés comme interdits et n'auraient jamais dû être mis sur le marché. Son champ d'application a été quelque peu réduit en première lecture, par l'Assemblée nationale, à la suite d'un amendement présenté par le rapporteur de sa commission des Affaires économiques. Cependant, il reviendra, là encore, au pouvoir réglementaire de définir les conditions dans lesquelles il sera procédé, par l'intéressé, au retrait de ces matériels, dans la mesure où la mise en oeuvre de cette obligation pourrait poser certaines difficultés pratiques.

Votre commission souligne que, conformément aux exigences découlant de la jurisprudence constitutionnelle, le présent article organise l'exercice des droits de la défense de la personne visée par la sanction administrative susmentionnée.

En effet, le premier alinéa de cette disposition prévoit que l'interdiction ne peut être prononcée qu'après que l'intéressé ait été mis à même de présenter ses observations. Il appartiendra cependant au pouvoir réglementaire de définir précisément les conditions dans lesquelles ces droits de la défense seront effectivement exercés.

Votre commission a émis un avis favorable à l'adoption de l'article 22 sans modification .

SECTION 4
Dispositions de droit pénal
Article 23
Sanctions pénales

Le présent projet de loi créant un nouveau régime applicable à la cryptologie, et faisant coexister régimes d'autorisation préalable et régimes de déclaration préalable, impliquait que des sanctions soient prévues en cas de violation. Le choix a été fait de prévoir une répression pénale.

Le présent article prévoit, à la fois, des peines principales et des peines complémentaires.

1. Les infractions et les peines principales

Trois infractions sont définies par le I du présent article.

Une première infraction vise à sanctionner l'absence de déclaration préalable prévue par l'article 18 du présent projet de loi, en cas de fourniture, de transfert, d'importation ou d'exportation de moyens de cryptologie n'assurant pas exclusivement une fonction d'identification ou de contrôle d'intégrité. Les peines prévues sont un an d'emprisonnement et 15.000 euros d'amende.

Une seconde infraction vise à sanctionner le refus de communiquer à l'autorité administrative les caractéristiques et le code source des moyens de cryptologie visés au III de l'article 18 du présent projet de loi. Aux termes de cette dernière disposition, cette autorité administrative est le Premier ministre. Votre commission des Lois vous soumet donc un amendement précisant ce point. Une peine d'un an d'emprisonnement ainsi qu'une amende de 15.000 euros sont prévues.

Le fait d'exporter ou de procéder au transfert vers un Etat membre de la Communauté européenne d'un moyen de cryptologie n'assurant pas exclusivement une fonction d'identification ou de contrôle d'intégrité, sans avoir obtenu, au préalable, l'autorisation du Premier ministre exigée par le IV de l'article 18 du projet de loi, est puni de deux ans d'emprisonnement et de 30.000 euros d'amende.

Les infractions et les peines prévues s'appliquent cependant sans préjudice du code des douanes qui prévoit également des dispositions susceptibles de s'appliquer aux comportements faisant l'objet des présentes incriminations.

Le II du présent article punit de deux ans d'emprisonnement et de 30.000 euros d'amende le fait de vendre ou louer un moyen de cryptologie faisant l'objet d'une interdiction administrative de mise en circulation sur la base de l'article 22 du projet de loi.

Le III de l'article 23 prévoit, quant à lui, que le fait de fournir des prestations de cryptologie sans avoir procédé, au préalable, à l'obligation de déclaration prévue à l'article 19 du projet de loi est puni de deux ans d'emprisonnement et de 30.000 euros d'amende.

Le V du présent article prévoit que les personnes morales peuvent être reconnues coupables de ces différentes infractions, dans les conditions prévues par l'article 121-2 du code pénal. Elles encourent, dans ce cadre, une peine d'amende, établie en fonction des modalités prévues par l'article 131-38 du code pénal qui dispose que le taux d'amende maximal applicable aux personnes morales est égal au quintuple de celui réprimant les infractions commises par des personnes physiques. De plus, elles peuvent être condamnées aux peines prévues par l'article 131-38 du même code.

2. Les peines complémentaires

Le IV du présent article prévoit également des peines complémentaires pour les personnes physiques auteurs d'une des infractions susmentionnées.

Cinq peines sont prévues :

- l'interdiction, pour cinq ans au plus et suivant les modalités prévues à l'article 131-19 du code pénal, d'émettre des chèques autres que les chèques certifiés et ceux permettant le retrait de fonds par le tireur auprès du tiré.

Il semble souhaitable, par analogie avec la peine prévue par le 9° de l'article 131-6 du code pénal, de préciser que la personne physique coupable d'une infraction visée par le présent article peut également se voir interdire d'utiliser des cartes de paiement. Votre commission des Lois vous soumet donc un amendement en ce sens ;

- la confiscation, suivant les modalités prévues par l'article 131-21 du code pénal, de la chose qui a servi ou était destinée à commettre l'infraction, ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;

- l'interdiction, pour cinq ans au plus et suivant les modalités prévues à l'article 131-27 du code pénal, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale à l'occasion de laquelle l'infraction a été commise ;

- la fermeture, pour cinq ans au plus et suivant les modalités prévues à l'article 131-33 du code pénal, des établissements ou de l'un des établissements de l'entreprise ayant servi à commettre les faits incriminés ;

- l'exclusion des marchés publics, pour cinq ans au plus, et dans les conditions prévues à l'article 131-33 du code pénal.

Votre commission des Lois a émis un avis favorable à l'adoption de l'article 23 ainsi modifié.

Article 24
Constatation des infractions au régime applicable
aux moyens et prestations de cryptologie

Aux fins de constater les infractions aux dispositions du présent projet de loi relatives aux conditions d'exercice des activités de cryptologie, cet article autorise des agents, habilités par le Premier ministre, à visiter des locaux à usage professionnel et, le cas échéant, à saisir les moyens de cryptologie définis à l'article 17 du projet de loi. Il reprend le dispositif actuellement prévu par le IV de l'article 28 de la loi précitée du 29 décembre 1990 sur la réglementation des télécommunications.

1. La constatation des infractions

Les infractions à la législation sur la cryptologie peuvent être constatées par deux biais. Le premier, classique, résulte de l'intervention d'officiers ou agents de police judiciaire, conformément aux dispositions du code de procédure pénale ^{37(

*
)} , ou d'agents des douanes, conformément aux dispositions du code des douanes.

Le présent projet de loi prévoit que des agents habilités par le Premier ministre, et assermentés dans des conditions fixées par décret en Conseil d'Etat, pourront également procéder à la constatation de certaines infractions .

La création de cette catégorie d'agent se justifie en matière de cryptologie. Il est, en effet, souhaitable que la constatation des infractions à la présente législation puisse être effectuée par des personnes ayant des compétences techniques particulières, compte tenu de la complexité des procédés actuels de cryptologie.

Le domaine d'intervention de ces agents est très circonscrit, puisqu'il se limite aux infractions aux dispositions des articles 18 (régime applicable à la fourniture de moyens de cryptologie), 19 (régime applicable à la fourniture de prestations de cryptologie) et 22 (régime de sanction administrative) du présent projet de loi.

Les pouvoirs reconnus à ces agents assermentés divergent de ceux applicables dans le cadre de perquisitions judiciaires ou douanières, ainsi que de ceux reconnus à d'autres catégories d'agents assermentés, tels que les agents de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). En revanche, ils se rapprochent des prérogatives qui sont reconnues par l'article L. 40 du code des postes et télécommunications aux fonctionnaires et agents de l'administration des télécommunications, de l'Autorité de régulation des télécommunications et de l'Agence nationale des fréquences pour constater les infractions définies au titre I du livre II dudit code.

En particulier, le droit de visite des agents habilités par le Premier ministre ne peut s'effectuer que pendant les heures d'ouverture des locaux professionnels concernés ou, à défaut, entre 8 heures et 20 heures. On soulignera, sur ce point, que les agents de police judiciaire intervenant dans le cadre de la procédure visée à l'article 59 du code de procédure pénale, les agents de la Commission des opérations de bourse ^{38(
*
)} ou les agents de la DGCCRF ^{39(
*
)} peuvent procéder à des visites entre 6 et 21 heures.

En tout état de cause, le texte précise que les agents ne peuvent accéder aux locaux qui servent de domicile aux intéressés. Cette précision vise à faire respecter la jurisprudence du Conseil constitutionnel qui protège le domicile des personnes faisant l'objet d'une visite par des personnes autres que des agents de police judiciaire ou des douanes ^{40(
*
)} .

Il semble cependant opportun de préciser que les agents habilités par le Premier ministre peuvent accéder aux locaux à usage professionnel, situés dans un domicile privé, comme cela devrait être au demeurant le cas des agents de la Commission nationale de l'informatique et des libertés (CNIL), une fois le projet de loi sur la protection des personnes physiques à l'égard des traitements des données à caractère personnel définitivement adopté par le Parlement ^{41(
*
)} .

Votre commission des Lois vous soumet, en conséquence, un amendement tendant à prévoir que les agents habilités par le Premier ministre peuvent accéder aux locaux à usage professionnel, à l'exclusion des parties de ceux-ci affectés au domicile privé.

Pour le reste, les pouvoirs reconnus aux agents susmentionnés dans le cadre de leurs visites sont limitativement énumérés par le texte. Ce dernier leur reconnaît le pouvoir de rechercher et constater les infractions, de demander communication de tous documents professionnels et d'en prendre copie, de recueillir, sur convocation ou sur place, les renseignements et justifications utiles.

Ces opérations sont cependant conduites sous la surveillance de l'autorité judiciaire . Le procureur de la République est ainsi préalablement informé des opérations envisagées en vue de rechercher les infractions aux articles précités. Il bénéficie d'un droit d'opposition à l'action de ces agents assermentés. Il se voit également transmettre les procès-verbaux dressés par ces agents, dans les cinq jours qui suivent leur établissement. Une copie des procès-verbaux dressés par les agents est remise à l'intéressé.

2. La saisie des moyens de cryptologie constitutifs de l'infraction

Le présent article prévoit également la possibilité pour les agents habilités par le Premier ministre de procéder, dans le cadre de leur visite, à la saisie des moyens de cryptologie, tels qu'ils sont définis à l'article 17 du projet de loi.

La saisie de ces moyens est cependant soumise à l'obtention préalable d'une ordonnance en ce sens du président du tribunal de grande instance ou d'un magistrat du siège délégué par lui. Le rapporteur pour avis de la commission des Lois de l'Assemblée nationale a souhaité, avec un avis favorable du Gouvernement, que la demande de saisie de moyens de cryptologie ne puisse être adressée directement par les agents susmentionnés aux juges du siège.

En conséquence, le texte prévoit désormais que l'ordonnance autorisant la saisie ne peut intervenir que si le procureur de la République a préalablement saisi le juge du siège en ce sens. On peut toutefois se demander si ce mécanisme n'introduira pas une certaine lourdeur dans la procédure, en mettant, en outre, à la charge des magistrats du parquet de nouvelles charges de travail. De ce fait, le dispositif introduit par le présent article s'éloigne de celui prévu à l'article L. 40 du code des postes et télécommunications qui ne prévoit pas l'intervention du parquet à ce stade de la procédure.

Lorsque la saisie est autorisée, elle s'effectue sous l'autorité et le contrôle du juge qui l'a ordonnée.

Le texte prévoit que les matériels et logiciels saisis sont immédiatement inventoriés, dans le cadre d'un inventaire annexé au procès-verbal dressé sur les lieux. Les originaux de ces actes sont transmis, dans les cinq jours de leur établissement, au juge qui a ordonné la saisie, pour être versés au dossier de la procédure.

Conformément au droit commun, l'antépénultième alinéa de l'article 24 prévoit qu'à tout moment, le président du tribunal de grande instance ou le juge qu'il délègue peut ordonner la mainlevée de la saisie.

Le dernier alinéa du présent article prévoit une nouvelle incrimination pénale visant à sanctionner d'une peine de six mois d'emprisonnement et de 7.500 euros d'amende le fait de refuser de fournir les informations ou documents ou de faire obstacle au déroulement des enquêtes susmentionnées.

Votre commission des Lois a émis un avis favorable à l'adoption de l'article 24 ainsi modifié .

Article 25
(art. 132-77 nouveau du code pénal)
Aggravation des sanctions pénales en cas d'utilisation d'un moyen
de cryptologie pour préparer ou commettre une infraction

Le présent article tend à insérer dans la section du code pénal consacrée à la définition de certaines circonstances entraînant l'aggravation des peines un nouvel article pour faire de l'utilisation des moyens de cryptologie une circonstance aggravante de l'ensemble des infractions.

Le texte proposé pour l'article 132-77 nouveau du code pénal prévoit que les peines sont aggravées lorsqu'un moyen de cryptologie a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission.

Rappelons que l'article 17 du présent projet de loi définit le moyen de cryptologie comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète ».

Aux termes du texte proposé pour l'article 132-77 du code pénal, les peines encourues en cas d'utilisation d'un moyen de cryptologie, seraient portées :

- à la réclusion criminelle à perpétuité lorsque l'infraction est punie de trente ans de réclusion criminelle ;

- à trente ans de réclusion criminelle lorsque l'infraction est punie de vingt ans de réclusion criminelle ;

- à vingt ans de réclusion criminelle lorsque l'infraction est punie de quinze ans de réclusion criminelle ;

- à quinze ans de réclusion criminelle lorsque l'infraction est punie de dix ans d'emprisonnement ;

- à dix ans d'emprisonnement lorsque l'infraction est punie de sept ans d'emprisonnement ;

- à sept ans d'emprisonnement lorsque l'infraction est punie de cinq ans d'emprisonnement ;

- au double lorsque l'infraction est punie de trois ans d'emprisonnement au plus.

Cette aggravation des peines encourues en cas d'utilisation d'un moyen de cryptologie pour commettre une infraction est tout à fait justifiée. Elle est le corollaire de la libéralisation de l'activité de cryptologie.

Le dernier alinéa du texte proposé pour l'article 132-77 prévoit une exception à l'aggravation des peines. Celle-ci ne serait en effet pas applicable au complice d'une infraction punie de plus de quinze ans d'emprisonnement ou à l'auteur ou au complice d'une infraction punie d'une peine inférieure ou égale à quinze ans d'emprisonnement qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.

Dans sa rédaction initiale, cet alinéa écartait les aggravations de peines pour l'ensemble des auteurs et complices ayant remis la version en clair des messages chiffrés quelle que soit la peine encourue pour l'infraction commise.

A l'initiative du rapporteur pour avis de la commission des Lois, Mme Michèle Tabarot, l'Assemblée nationale a souhaité effectuer une distinction selon la gravité de l'infraction commise, afin que l'absence d'aggravation de peine ne s'applique, pour les infractions les plus graves, qu'aux complices de l'infraction et non aux auteurs.

Ce dispositif peut susciter une certaine perplexité.

Les modifications apportées au texte par l'Assemblée nationale ont en effet pour conséquence d'introduire dans notre droit pénal une distinction entre les auteurs et complices d'une infraction qui n'existe pas aujourd'hui. Au contraire, l'article 121-6 du code pénal prévoit très clairement que sera puni comme auteur le complice de l'infraction .

Dans ces conditions, votre commission des Lois vous propose, par un amendement , de rétablir le texte proposé par le Gouvernement avant son examen par l'Assemblée nationale. Elle vous soumet également un amendement tendant à modifier l'insertion du nouvel article dans le code pénal, pour tenir compte du fait que la loi n° 2003-238 du 28 mars 2003 pour la sécurité intérieure a déjà créé un article 132-77 prévoyant une aggravation des peines lorsque certaines infractions sont commises à raison de l'orientation sexuelle de la victime.

Votre commission vous propose d'adopter l'article 25 ainsi modifié .

Article 26
(art. 11-1 de la loi n° 91-646 du 10 juillet 1991 relative au secret
des correspondances émises par la voie des télécommunications,
art. 434-15-2 du code pénal)
Obligation pour les personnes fournissant des prestations
de cryptologie de remettre leurs conventions de déchiffrement

Le présent article tend à pérenniser les dispositions de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne , imposant aux personnes fournissant des prestations de cryptologie de remettre leurs conventions de déchiffrement pour les besoins des procédures judiciaires.

A la suite des attentats du 11 septembre 2001, le Gouvernement a souhaité compléter le projet de loi relatif à la sécurité quotidienne, alors en cours d'examen par le Parlement, en y insérant plusieurs dispositions destinées à renforcer la lutte contre le terrorisme. Ces dispositions ont été insérées dans le projet de loi lors de son examen par le Sénat, en nouvelle lecture, pour une période allant jusqu'en décembre 2003 .

La loi relative à la sécurité quotidienne a notamment, dans son article 31, inséré un article 11-1 dans la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications, pour imposer aux personnes qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité de remettre aux agents autorisés, sur leur demande, les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'elles ont fournies.

Le texte précise que le fait de ne pas déférer aux demandes des autorités habilitées est puni de deux ans d'emprisonnement et de 30.000 euros d'amende.

L'article 31 de la loi relative à la sécurité quotidienne a également inséré un article 434-15-2 dans le code pénal pour punir de trois ans d'emprisonnement et de 45.000 euros d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre sur les réquisitions de ces autorités.

Le texte précise que la peine est portée à cinq ans d'emprisonnement et à 75.000 euros d'amende si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets.

Le présent article tend à pérenniser ces dispositions qu'à l'origine le précédent Gouvernement avait inscrites dans un projet de loi sur la société de l'information et qui n'ont été insérées dans la loi relative à la sécurité quotidienne que pour répondre en urgence à la menace terroriste.

De fait, la limitation dans le temps de la possibilité de requérir des prestataires de cryptologie la remise de leurs conventions de déchiffrement apparaît peu pertinente. La menace terroriste, qui a justifié l'adoption de ce dispositif, perdurera à l'évidence bien au-delà du 31 décembre 2003. Ce dispositif peut en outre être utilisé pour lutter contre bien d'autres infractions.

Toutefois, le présent article s'avère inutile. La loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure a en effet, dans son article 31, déjà pérennisé, à l'initiative de M. Christian Estrosi, rapporteur de l'Assemblée nationale, l'article 31 de la loi relative à la sécurité quotidienne, comme la plupart des mesures prévues par cette loi pour lutter contre le terrorisme.

En conséquence, votre commission vous propose la suppression de l'article 26.

SECTION 5
Saisine des moyens de l'Etat
pour la mise au clair des données diffusées
Article 27
(art. 230-1 à 230-5 du code de procédure pénale)
Réquisition des moyens de décryptage

L'article 30 de la loi n° 2001-1062 relative à la sécurité quotidienne a inséré, pour une durée allant jusqu'au 31 décembre 2003 , un nouveau titre dans le code de procédure pénale accueillant cinq articles nouveaux relatifs à la réquisition des moyens de décryptage .

L'article 230-1 du code de procédure pénale permet aux juridictions, lorsqu'il apparaît que des données saisies ou obtenues au cours de l'enquête ou de l'instruction ont fait l'objet d'opérations de transformation empêchant d'accéder aux informations en clair qu'elles contiennent ou de les comprendre, de désigner toute personne physique ou morale qualifiée en vue d'effectuer les opérations techniques permettant d'obtenir la version en clair de ces informations ainsi que la convention secrète de déchiffrement, si cela apparaît nécessaire.

Si la peine encourue est supérieure ou égale à deux ans d'emprisonnement, le procureur de la République, la juridiction d'instruction ou la juridiction de jugement saisie de l'affaire peut prescrire le recours aux moyens de l'Etat soumis au secret de la défense nationale.

L'article 230-2 prévoit que la réquisition écrite doit être adressée au service national de police judiciaire chargé de la lutte contre la criminalité liée aux technologies de l'information.

D'un point de vue opérationnel, ces réquisitions sont adressées à l' office central de lutte contre la criminalité liée aux techniques de l'information et de la communication , créé par un décret n° 2000-405 du 15 mai 2000.

Ce service de police judiciaire doit transmettre sans délai la réquisition à un organisme technique soumis au secret de la défense nationale. Les données protégées au titre du secret de la défense nationale ne peuvent être communiquées que dans les conditions prévues par la loi n° 98-567 du 8 juillet 1998, qui a institué une commission consultative du secret de la défense nationale.

L'article 230-3 précise les modalités de transmission des résultats des opérations tendant à la mise au clair des données. Dès achèvement des opérations ou dès qu'il apparaît que celles-ci sont impossibles à l'expiration du délai prescrit ou à la réception de l'ordre d'interruption émanant de l'autorité judiciaire, les résultats obtenus et les pièces reçues doivent être retournées par le responsable de l'organisme technique au service de police judiciaire qui lui a transmis la réquisition. Sous réserve des obligations découlant du secret de la défense nationale, les résultats doivent être accompagnés des indications techniques utiles à la compréhension et à leur exploitation ainsi que d'une attestation certifiant la sincérité des résultats transmis.

Les pièces doivent alors être immédiatement remises à l'autorité judiciaire. Elles font l'objet d'un procès-verbal de réception et sont versées au dossier de la procédure.

L'article 230-4 dispose que les décisions judiciaires prises en application des dispositions des articles 230-1 à 230-5 n'ont pas de caractère juridictionnel et ne sont susceptibles d'aucun recours.

Enfin, l'article 230-5 impose aux agents requis en application des articles 230-1 et suivants d'apporter leur concours à la justice.

Le présent article tend à pérenniser ces dispositions. Si une telle évolution est tout à fait justifiée, elle est néanmoins inutile dès lors que la loi n° 2003-238 du 18 mars 2003 pour la sécurité intérieure a déjà pérennisé ce dispositif dans son article 31.

Toutefois, l'Assemblée nationale, lors de l'examen du projet de loi, a apporté une modification au dispositif en vigueur et pérennisé par la loi pour la sécurité intérieure. A l'initiative de M. Jean-Yves Le Déaut et des membres du groupe socialiste, elle a complété l'article 230-1 pour prévoir que les personnes désignées pour effectuer des opérations de déchiffrement prêtent serment d'apporter leur concours à la justice en leur honneur et leur conscience.

Une telle disposition est tout à fait utile, compte tenu de l'importance des missions qui seront confiées aux personnes requises pour effectuer des prestations de cryptologie.

Par un amendement , votre commission vous propose de modifier le présent article, afin qu'il complète l'article 230-1 du code de procédure pénale pour prévoir une prestation de serment des personnes requises, sans reprendre l'ensemble du dispositif créé par la loi relative à la sécurité quotidienne et pérennisé par la loi pour la sécurité intérieure. Dans un souci de cohérence, elle propose de renvoyer, pour le texte du serment, à la loi de 1971 relative aux experts judiciaires, afin d'éviter la coexistence de textes de serment différents.

Votre commission vous propose d'adopter l'article 27 ainsi modifié .

Les thèmes associés à ce dossier

Page mise à jour le 3 avril 2023

Partager cette page

TITRE III DE LA SÉCURITÉ DANS L'ÉCONOMIE NUMÉRIQUE

CHAPITRE I MOYENS ET PRESTATIONS DE CRYPTOLOGIE

SECTION 1 Utilisation, fourniture, transfert, importation et exportation de moyens de cryptologie Article 17 Définition des moyens et prestations de cryptologie

SECTION 2 Fourniture de prestations de cryptologie Article 18 Régime juridique applicable aux moyens de cryptologie

Article 19 Régime juridique applicable à la fourniture de prestations de cryptologie

Article 20 Responsabilité civile des fournisseurs de prestations de cryptologie

Article 21 Responsabilité civile des tiers certificateurs

SECTION 3 Sanctions administratives Article 22 Sanctions administratives applicables aux fournisseurs de moyens de cryptologie

SECTION 4 Dispositions de droit pénal Article 23 Sanctions pénales

Article 24 Constatation des infractions au régime applicable aux moyens et prestations de cryptologie

Article 25 (art. 132-77 nouveau du code pénal) Aggravation des sanctions pénales en cas d'utilisation d'un moyen de cryptologie pour préparer ou commettre une infraction

Article 26 (art. 11-1 de la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications, art. 434-15-2 du code pénal) Obligation pour les personnes fournissant des prestations de cryptologie de remettre leurs conventions de déchiffrement

SECTION 5 Saisine des moyens de l'Etat pour la mise au clair des données diffusées Article 27 (art. 230-1 à 230-5 du code de procédure pénale) Réquisition des moyens de décryptage