5. TITRE V - DE LA SÉCURITÉ DANS LA SOCIÉTÉ DE L'INFORMATION
5.1. CHAPITRE Ier - Lutte contre la cybercriminalité
Article 36
Analyse :
Cet article a pour but d'adapter le code de procédure pénale (article 56) aux saisies et perquisitions de données informatiques. Il semble toutefois qu'une disposition ajoutée aille au-delà des possibilités actuelles : il s'agit de la possibilité de procéder à l'effacement définitif de données dans certains cas, sur instruction du procureur de le République, c'est-à-dire avant même que jugement soit rendu (l'article 56 du CPP est applicable en situation d'enquête préliminaire). Une telle action ne devrait être possible que sur instruction du juge.
Proposition de modification :
- Soumettre la possibilité d'effacement définitif de données à une décision du juge des libertés et de la détention
Article 38
NB. Un correctif a été apporté ici le 20-06-01. La version précédente du rapport comportait une erreur sur le numéro de l'article.
Analyse :
Cet article adapte l'article 97 du code de procédure pénale, dans le même sens que l'article 36.
Proposition de modification :
- Soumettre la possibilité d'effacement définitif de données à une décision du juge des libertés et de la détention
Article 39
Analyse :
Cet article alourdit les peines d'emprisonnement prévues dans la loi Godfrain contre l'atteinte à la sécurité des données et des systèmes d'information (piratage). Il n'appartient pas à Iris de se prononcer sur les catégories de sanctions.
Article 40
Analyse :
Cet article assimile le « fait d'offrir, de céder ou de mettre à disposition un programme informatique conçu pour commettre les infractions » liées aux atteintes à la sécurité des données et des systèmes d'information à l'infraction elle-même, et le punit des mêmes sanctions. Cette disposition est directement inspirée d'une version préliminaire du projet de traité du Conseil de l'Europe sur la cybercriminalité. À la suite de très nombreuses protestations, dont celles d'enseignants et de chercheurs en informatique, mais aussi celles d'organisations de protection des libertés publiques (actions auxquelles Iris a largement participé), une telle disposition a été considérablement allégée dans le projet de traité. Il est nécessaire que la France reconnaisse également au plan national que l'article 40 de la LSI va assimiler les chercheurs et spécialistes de la sécurité informatique à des pirates, et modifie par conséquent profondément cet article.
Proposition de modification :
- Modifier l'article en s'inspirant de l'article 6 (« Abus de dispositifs ») de la version 25 du projet de traité du Conseil de l'Europe sur la cybercriminalité. En particulier, la loi doit préciser que le programme doit être principalement conçu pour commettre les infractions concernées, et que le fait d'offrir, de céder ou de mettre à disposition un tel programme doit s'accompagner de l'intention qu'il soit utilisé pour commettre ces infractions.
5.2. CHAPITRE II - Liberté d'utilisation des moyens et des prestations de cryptologie
Article 41
Analyse :
Cet article définit les moyens et prestations de « cryptologie ». On notera que le gouvernement ne se résout toujours pas à abandonner cette terminologie. La question n'est pas que linguistique : la cryptologie est une science, sur laquelle il n'y a pas lieu de légiférer. C'est donc de cryptographie, ou de chiffrement, qu'il doit être question.
Proposition de modification :
- Remplacer toutes les occurrences du terme « cryptologie » par les termes « cryptographie » ou « chiffrement ».
5.2.1. Section 1 - Utilisation, fourniture, transfert, importation et exportation de moyens de cryptologie
Article 42
Analyse :
Cet article fixe les conditions d'utilisation et de prestations de moyens de cryptographie. L'utilisation est libre (1°). Toutes les prestations (y compris import-export) de moyens limités aux fonctions d'authentification et de contrôle d'intégrité sont libres (2°). En revanche, la fourniture et l'importation de moyens permettant la confidentialité sont soumises à déclaration préalable avec fourniture de toutes précisions techniques aux services du Premier ministre (3°). En outre, l'exportation de moyens de cryptographie assurant des fonctions de confidentialité est soumise à autorisation (4°). Les conditions de déclaration et d'autorisation sont fixées par décret.
Si cet article demeurait en l'état, la liberté d'utilisation des moyens de cryptographie deviendrait une clause de style, et la réglementation opérerait un net recul sur ce plan. Cette rédaction ne semble pas tenir compte du fait que la fourniture, l'importation ou l'exportation de moyens de cryptographie assurant la confidentialité peut prendre la forme d'un simple échange de courrier électronique, voire d'une discussion publique entre experts ou chercheurs. Comment alors respecter les dispositions du 3° ou du 4° ? Cette rédaction ne semble pas non plus tenir compte de l'existence et de l'usage de logiciels libres pour la cryptographie, et encore moins de leur développement collaboratif basé sur les échanges entre spécialistes de divers pays.
Le souci de protéger la sécurité de l'État est légitime, mais d'une part il reste à prouver que le risque est tel qu'il est acceptable de limiter les libertés constitutionnelles à ce point, et d'autre part la veille technologique par les services de sécurité et les développements innovants sont sans doute plus efficaces pour l'assurer. Par ailleurs, Iris rappelle que l'association est signataire d'une déclaration, élaborée par une coalition internationale d'organisations de défense des libertés publiques, demandant le retrait de la cryptographie de la liste de armes conventionnelles et des biens et technologies à double usage, civil et militaire, dont l'exportation est contrôlée en vertu de l'Accord de Wassenaar signé par la France.
En conséquence, nous proposons de modifier l'article 42 pour libéraliser totalement l'usage de la cryptographie, conformément aux promesses de Lionel Jospin en 1999.
Proposition de modification :
- Rendre totalement libres l'usage, la fourniture, le transfert de ou vers un État membre de la
Communauté européenne, l'importation ou l'exportation de ou vers un État n'appartenant pas à la Communauté européenne, de tout moyen de cryptographie assurant les fonctions d'authentification, de contrôle d'intégrité, et/ou de confidentialité.
5.2.2. Section 2 - Fourniture de prestations de cryptologie
Article 43
Analyse :
Cet article assujettit l'exercice de l'activité de fourniture de prestations de cryptographie au secret professionnel.
Iris soutient cette disposition, moyennant la réserve suivante : la définition des prestations de cryptographie (article 41) incluant le fait de gérer pour autrui des conventions secrètes ou publiques, il convient d'exclure explicitement du champ de l'article 43 l'activité de simple gestion d'annuaires de clés publiques, puisqu'elle n'implique pas la détention d'informations privées.
Par ailleurs, en cohérence avec nos propositions de modification de l'article 41, l'activité de fourniture de prestations de cryptographie ne doit pas être soumise à déclaration au Premier ministre.
Proposition de modification :
- Préciser que l'activité de simple gestion d'annuaires de clés publiques est exclue du champ de cet article.
- Ne pas soumettre l'activité de fourniture de prestations de cryptographie à déclaration au Premier ministre.
Article 44
Analyse :
Cet article rend responsable le fournisseur de prestations de cryptographie permettant la confidentialité du préjudice occasionné en cas d'atteinte à l'intégrité, la confidentialité ou la disponibilité des données qui leur ont été confiées. L'absence de responsabilité peut toutefois être acquise lorsque le prestataire prouve qu'il n'a commis aucune négligence.
Cet article est protecteur pour le bénéficiaire des prestations, mais le deviendrait encore plus si les prestataires étaient soumis à une obligation de résultat, notamment pour ceux d'entre eux qui auraient fait l'objet d'une accréditation, dans le cadre de l'article 43. Par ailleurs, on se demande dans quel cas il pourrait y avoir atteinte aux données confiées au prestataire, hormis lorsqu'une négligence a été commise.
Proposition de modification :
- Soumettre les prestataires à une obligation de résultat, au moins les prestataires accrédités
- À tout le moins, préciser les cas d'atteintes aux données ne résultant pas d'une négligence.
Article 45
Analyse :
L'article 45 est le pendant de l'article précédent, concernant la fourniture de certificats électroniques ou d'autres services liés aux signatures électroniques. Iris formule les mêmes remarques que pour l'article 44
Proposition de modification :
- Cf. article 44
5.2.3. Section 3 - Sanctions administratives
Article 46
Analyse :
Cet article fixe les sanctions administratives (interdiction de mise sur le marché) pouvant résulter de l'absence de déclaration préalable imposée par le 3° de l'article 42.
Proposition de modification :
- Supprimer cet article (mise en cohérence avec nos propositions de modification de l'article 42)
5.2.4. Section 4 - Procédure de saisine des moyens de l'État pour la mise au clair de données chiffrées
Article 47
Analyse :
Cet article autorise le procureur de la République, la juridiction d'instruction ou la juridiction de jugement à prescrire le déchiffrement de données saisies ou obtenues dans le cadre d'une enquête ou d'une instruction. Il peut être fait appel pour le déchiffrement à toute personne ou organisme qualifié, ou, si la peine encourue est au moins égale à deux ans d'emprisonnement, aux moyens de l'État couverts par le secret de défense nationale, dans des conditions précisées aux articles 48 à 51.
Il convient de mieux encadrer la prescription du déchiffrement, ainsi que les conditions de sa réalisation. À défaut, cet article pourrait porter atteinte au secret garanti par certaines professions (avocats, ...).
Proposition de modification :
- Soumettre la prescription de déchiffrement à une décision du juge des libertés et de la détention.
Article 48 et 49
Analyse :
Ces articles précisent les conditions de saisine des moyens de l'État couverts par le secret de défense nationale pour le déchiffrement.
Proposition de modification :
- Soumettre la prescription de déchiffrement à une décision du juge des libertés et de la détention.
Article 50
Analyse :
Cet article dispose que les décisions judiciaires prises en application des articles 46 à 51 n'ont pas de caractère juridictionnel et ne sont susceptibles d'aucun recours.
Cette disposition n'est absolument pas justifiée, et porte atteinte aux garanties qu'un citoyen est en droit d'attendre d'une justice loyale et équitable et d'un État démocratique. Elle est en outre plus répressive que celle relative à l'interception des télécommunications.
Proposition de modification :
- Supprimer cet article ou, à tout le moins, restreindre son application aux cas où la peine encourue est supérieure à un maximum donné.
Article 51
Article redondant par rapport à l'article 60 du code de procédure pénale.
5.2.5. Section 5 - Dispositions de droit pénal
Article 52
Analyse :
Cet article impose aux fournisseurs de prestations de cryptographie de fournir les conventions secrètes de déchiffrement, ou de les mettre en oeuvre sous peine de deux ans d'emprisonnement et de 45 000 Euros d'amende. Il s'agit d'une application de la loi réglementant les écoutes téléphoniques.
Cet article pose deux problèmes : d'une part les prestataires doivent s'exécuter à la demande des « autorités habilitées » ; d'autre part la procédure de mise en oeuvre de cette obligation sera fixée par décret. Il est nécessaire de préciser dans la loi qui sont ces « autorités habilitées » et les conditions dans lesquelles les prestataires sont saisis.
Proposition de modification :
- Définir les « autorités habilitées » comme l'autorité judiciaire et non administrative. Cette autorité judiciaire devrait être plus précisément le juge des libertés et de la détention.
- Préciser la procédure de mise en oeuvre de l'obligation (secret professionnel, information des personnes concernées par les données à déchiffrer)
- Restreindre le champ de cet article aux cas de crimes ou de délits graves.
Article 53
Analyse :
Cet article fixe les sanctions en cas de manquement aux dispositions des articles 42, 43 et 46. Il
n'appartient pas à Iris de se prononcer sur les catégories de sanctions. Toutefois, nous proposons ci-dessous des modifications de mise en cohérence avec les modifications proposées pour les articles concernés.
Proposition de modification :
- Supprimer le I (cohérence avec modifications article 42)
- Supprimer le II (cohérence avec modifications article 46)
- Garder le III, sous réserve des modifications de l'article 43
- Mise en cohérence du IV et du V avec le reste de l'article
Article 54
Analyse :
Cet article fixe les conditions de recherche et de constatation des infractions aux dispositions des articles 42, 43, 46 et 53, ainsi que des textes précisant leur application. Cet article est satisfaisant, moyennant la mise en cohérence avec les modifications proposées pour les articles concernés. Une autre réserve concerne les agents habilités par le Premier ministre à effectuer les perquisitions.
Proposition de modification :
- Mise en cohérence avec les propositions de modification aux articles 42, 43, 46 et 53.
- Soumettre les perquisitions à la demande et au contrôle du juge des libertés et de la détention.
Article 55
Analyse :
Cet article augmente considérablement les peines maximales encourues pour tout type d'infraction, lorsque un moyen de cryptographie a été utilisé pour propager ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission. Ces circonstances aggravantes sont supprimées lorsque l'auteur ou le complice de l'infraction a permis lui-même le déchiffrement.
Iris ne voit aucune justification raisonnable à de telles dispositions qui, de fait, assimilent la cryptographie à une arme (c'est-à-dire à un objet conçu ou utilisé pour tuer, blesser ou menacer) et pénalisent tout usage de la cryptographie.
Que veut-on réprimer au juste : le crime ou le délit lui-même (ou encore le concours à sa préparation ou sa commission), ou l'utilisation de la cryptographie, malgré la proclamation que son usage est libre ? À titre d'exemple, un hold-up est-il plus sévèrement réprimé lorsque ceux qui le commettent se cachent le visage afin de ne pas être reconnus ?
Un tel article ouvrirait la porte à toutes les dérives autoritaires, et porterait gravement atteinte à la présomption d'innocence : il faudrait donc que chacun, pour ne pas être suspect en puissance, accepte de livrer ses clés de déchiffrement. À défaut, les pires soupçons pèseraient sur lui, tout comme sur les rares personnes qui n'accepteraient pas de faire analyser leur ADN dans un village suspecté d'abriter un criminel.
Proposition de modification :
- Supprimer cet article
Article 56
Analyse :
L'article 56 va encore plus loin que le précédent. Il oblige, sous peine de trois ans d'emprisonnement et de 45 000 Euros d'amende, toute personne ayant connaissance d'une convention de déchiffrement d'un moyen de cryptographie « susceptible d'avoir été utilisé pour la préparation, la facilitation ou la commission d'un crime ou d'un délit », à remettre cette convention aux autorités judiciaires.
Cet article impliquerait non seulement l'auto-incrimination, mais également l'incrimination par les proches. Il pourrait en outre porter atteinte au secret professionnel auxquels les avocats sont soumis.
Proposition de modification :
- Supprimer cet article
5.2.6. Section 6 - Dispositions diverses
Article 57
Article ne posant pas de problème spécifique.
Article 58
Analyse :
Cet article précise que les autorisations et déclarations accordées ou effectuées avant l'entrée en vigueur de la LSI restent valides jusqu'à leur terme.
Proposition de modification :
- Modifier cet article pour mise en cohérence avec les modifications proposées pour l'article 42.