Seule la cryptographie permet de garantir la confidentialité et l’authentification des messages numériques. Les acteurs du commerce électronique doivent donc pouvoir l’utiliser librement pour assurer la sécurité de leurs transactions.

Les Etats-Unis l’ont bien vite compris. C’est pourquoi le gouvernement américain avait mis le DES (Data Encryption Standard), un procédé de chiffrement autrefois réservé au National Security Agency, à la disposition du secteur privé. L’utilisation criminelle de cette technique a pu inquiéter les autorités qui se sont momentanément investies dans le contrôle des moyens de chiffrement. Mais les lobbies associatifs ont eu le dernier mot. Aujourd’hui, l’utilisation de clés cryptographiques plus puissantes que le vieux DES est toujours acceptée. Une unique restriction subsiste quant à l’exportation de clés supérieures à 56 bits. Cependant, celle-ci ne saurait perdurer. S’il venait à être adopté, le E-Privacy Act permettrait la libre exportation des systèmes de cryptage considérés comme "généralement disponibles" sur le marché international, comprenant des logiciels tels que le fameux PGP (Pretty Good Privacy). Tant bien que mal, les Etats-Unis poursuivent une politique libérale au bénéfice de la protection de la vie privée et du commerce électronique. Ce n’est malheureusement pas le cas de la France dont la législation a longtemps empêché tout recours aux procédés cryptographiques. Une loi du 27 juillet 1996, annonçait pourtant leur libéralisation.

Avocat au barreau de Paris, Maître Valérie Sédallian estime que la situation demeure inchangée : " la seule nouveauté de la loi est la mise en place des tiers de confiance et, de mon point de vue, on ne peut pas considérer ceci comme une "libéralisation". " Rappelons simplement que le tiers séquestre a pour mission de délivrer aux autorités les clés des utilisateurs suspects. Maître Sédallian poursuit : " Il existe un consensus pour reconnaître que le commerce électronique nécessite le recours à du chiffrement fort, en tout cas supérieur aux 40 bits autorisés aujourd'hui. Or, le dispositif français vise à ce que, pour du chiffrement fort, les entreprises et les utilisateurs soient plus ou moins obligés de passer par ce système de tiers de confiance. "

Outre l’aspect sécuritaire de la politique française, le système instauré par la loi de 1996 pose un véritable problème économique. Maître Sédallian nous l’explique : " le système du tiers de confiance suppose le recours à une technologie spécifique (dite " propriétaire ") qui risque de ne pas être toujours compatible avec les standards internationaux. Les produits commercialisés par les tiers de confiance sont forcément destinés au seul marché français. Celui-ci étant restreint et les contraintes de développement et d'exploitation très lourdes, ces produits sont plus coûteux. " Les entreprises françaises se trouvent donc désavantagées par rapport à leurs concurrents étrangers qui ont, dans beaucoup de cas, accès à des produits plus performants et bien moins coûteux.

En voulant conserver le contrôle sur les procédés cryptographiques, le gouvernement contrevient gravement à la bonne santé du commerce électronique national. Comment peut-il encore l’ignorer ? Le Conseil d’Etat reconnaît lui-même, dans sa dernière étude, qu’il est devenu nécessaire d’assouplir la législation existante.


Annexe

Les nouveaux décrets (17 mars) et arrêtés libéralisant la cryptologie ont été publiés au JO le 19 mars 1999. On retiendra essentiellement :

1. - que le système de déclaration se substitue à celui de l'autorisation pour la fourniture, l'utilisation et l'importation des matériels et logiciels offrant un service de confidentialité mise en œuvre par un algorithme dont la clef est supérieure à 40 bits et inférieur ou égale à 128 bits. Note : l'utilisation et l'importation sont soumises à déclaration lorsqu'elles concernent des matériels et logiciels n'ayant pas fait l'objet préalablement d'une déclaration par le producteur, le fournisseur ou l'importateur.

2.- que les opérations suivantes sont dispensées de toute formalités :

- l'utilisation et l'importation de matériels et logiciels offrant un service de confidentialité mise en œuvre par un algorithme dont la clef est inférieur ou égale à 40 bits ;

- l'utilisation et l'importation matériels et logiciels offrant un service de confidentialité mise en œuvre par un algorithme dont la clef est supérieure à 40 bits et inférieur ou égale à 128 bits à condition que l'utilisation et l'importation aient fait l'objet préalablement d'une déclaration par le producteur, le fournisseur ou l'importateur.