Dans une résolution du 25 octobre dernier sur le meurtre du journaliste Jamal Khashoggi au consulat d’Arabie saoudite à Istambul, le Parlement européen demande notamment au Conseil « un embargo sur l’exportation de systèmes de surveillance et d’autres biens à double usage susceptibles d’être utilisés en Arabie saoudite à des fins de répression ». Dans ce contexte, Mathias Avocats publie un rappel sur le régime des biens à double usage et plus particulièrement celui des moyens de cryptologie.

Quelle est la définition légale de la cryptologie ?

L’article 29 de la loi pour la confiance dans l’économie numérique (LCEN) définit le moyen de cryptologie comme étant « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète ». Ce même article rappelle que « ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité ».

Pour déterminer la qualification de moyen de cryptologie, deux critères cumulatifs sont donc à prendre en compte. L’un est purement technique, l’autre porte sur la finalité de la technologie à évaluer.

Peut-on utiliser librement un moyen de cryptologie ?

L’article 30 de la LCEN pose le principe de la liberté quant à l’utilisation des moyens de cryptologie. Il ne s’agit cependant pas d’une technologie anodine et toute personne morale ou physique amenée à l’utiliser, l’exploiter, etc. doit garder à l’esprit qu’elle est classée comme étant une arme par l’article R311-2 du Code de la sécurité intérieure. De ce fait, l’utilisation des moyens de cryptologie, bien que libre, reste encadrée lorsque ces derniers ne visent pas exclusivement à assurer des fonctions d’authentification et de contrôle d’intégralité.

En outre, en cas d’importation ou de fourniture en France, de transfert au sein de l’Union européenne depuis et vers la France, d’exportation vers les pays dits « EU001 » (Australie, Canada, Etats-Unis, Nouvelle-Zélande, Norvège et Suisse), une déclaration auprès de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) sera nécessaire. En revanche, en cas d’exportation vers un pays tiers, c’est une demande d’autorisation qu’il faudra adresser à l’ANSSI.

Les moyens de cryptologie sont-ils des biens à double usage ?

D’après le règlement européen du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage, il s’agit des « produits, y compris les logiciels et les technologies, susceptibles d’avoir une utilisation tant civile que militaire; ils incluent tous les biens qui peuvent à la fois être utilisés à des fins non explosives et entrer de manière quelconque dans la fabrication d’armes nucléaires ou d’autres dispositifs nucléaires explosifs ». Ce règlement comprend ainsi la liste des biens étant qualifiés de « biens à double usage », régulièrement mise à jour. Les moyens de cryptologie sont visés à l’annexe I du règlement précité (catégorie 5, partie II « Sécurité de l’information »). En outre, les moyens de cryptologie permettant d’assurer des fonctions de cryptanalyse relèvent de la liste des biens « très sensibles » de l’annexe IV de ce même règlement.

En France, le Service des biens à double usage (SBDU) du Ministère de l’économie et des finances est l’autorité compétente pour la délivrance des licences permettant d’exporter un moyen de cryptologie. Les demandes les plus sensibles seront instruites par une commission interministérielle des biens à double usage (CIBDU), présidée par le ministère de l’Europe et des affaires étrangères.

Quelles sont les démarches à accomplir pour l’exportation ?

Il conviendra d’accomplir les formalités auprès de l’ANSSI évoquées ci-dessus (cf. Peut-on utiliser librement un moyen de cryptologie ?) préalablement à la demande de licence d’exportation auprès du SBDU. En effet, une copie des documents délivrés par l’ANSSI est nécessaire. En cas d’exportation vers l’un des sept pays « EU001 », une demande d’autorisation générale de l’Union EU001 devra être adressée au SBDU. En cas d’exportation vers un Etat tiers, une licence d’exportation devra être obtenue auprès du SBDU.

Ensuite, l’autorisation d’exportation sera présentée à la douane au moment de l’accomplissement des formalités douanières d’exportation. A cette occasion, un contrôle de cohérence entre la licence d’exportation et la déclaration de douane d’exportation sera effectué. Ces contrôles documentaires se font désormais de manière automatisée dans de nombreux cas. En effet, la Direction générale des douanes et droits indirects (DGDDI) et le SBDU ont développé une liaison informatique, via le Guichet Unique National du dédouanement (GUN), entre le système de dédouanement DELT@-G et l’application EGIDE (Enregistrement et Gestion Interministérielle des Dossiers à l’Exportation) où sont enregistrées les licences d’exportation de bien à double usage au format dématérialisé. Cette liaison est effective depuis le 18 juin dernier et a fait l’objet d’une circulaire en date du 29 juin 2018.