La loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications a posé un cadre pour l’utilisation de la cryptographie.
Ainsi, l’usage de ces moyens était plus ou moins libre mais… très réglementé.
Ce paradoxe résulte de la confrontation entre d’un côté la nécessité de lutter contre le crime et, de l’autre, l’obligation de respecter les libertés individuelles, la vie privée et le secret des correspondances.
En substance, selon le texte (article 28 de la loi), lorsqu’un moyen ou une prestation de cryptographie assurait des fonctions de confidentialité, le prestataire de services – qui fournissait ce moyen – devait être préalablement agréé.
Il devait également conserver les « conventions secrètes » qu’il gérait et les remettre aux autorités à leur demande.
Telle fut donc la première référence à ces conventions secrètes dont on a vu que la définition serait au cœur du contentieux qui aujourd’hui occupe nos juridictions françaises.
Or, cette notion de convention secrète est assez difficile à appréhender : selon le texte, il semblerait qu’il s’agisse du moyen permettant de transformer des informations claires en signaux indéchiffrables par les tiers.
Pour beaucoup, elle était entendue comme une « backdoor » détenue par le prestataire, laquelle permet de déchiffrer les informations chiffrées détenues par l’utilisateur du service.
La littérature juridique et parlementaire n’était à cette époque pas très prolixe en la matière et ne semble pas pouvoir nous éclairer davantage.
C’est 11 ans plus tard qu’a été instauré le délit de refus de remise ou de mise en œuvre de la convention secrète.
La raison qui a commandé la création de cette incrimination est l’attentat perpétré le 11 septembre 2001 à New York : en effet, les enquêteurs américains se sont très tôt aperçus que les terroristes communiquaient via des messages chiffrés les rendant plus difficilement détectables.
C’est donc la menace terroriste qui a justifié le vote du texte précité – contenu dans la loi du 15 novembre 2001 n° 2001-1062 relative à la sécurité quotidienne.
À ce stade, il faut noter que la terminologie « convention secrète de déchiffrement » de la loi ancienne de 1990 a été conservée en dépit des doutes qui pouvaient subsister quant à l’interprétation de ces termes.
La loi LCEN n° 2004-575 du 21 juin 2004 a libéralisé l’usage de la cryptographie – notamment en supprimant les agréments – et précisé sa définition.
Cependant, bien qu’abrogeant l’article 28 de la loi de 1990 et les obligations d’agrément, elle n’a pas fondamentalement clarifié la définition de convention secrète.
Il faut toutefois noter que les travaux parlementaires ont, cette fois, permis une bien meilleure compréhension de cette notion.
En effet, le rapport de l’Assemblée nationale du 12 février 2003 précise que :
« La notion juridique de convention secrète (correspond) à celle de clé privée, il s’agit donc d’une définition qui ne couvre que ce qu’il est convenu d’appeler la cryptologie à clé privée ou symétrique. Le principal objet de l’article 17 (devenu article 29 de la LCEN, NDLR) est d’étendre cette définition pour couvrir la cryptologie asymétrique »[5].
Ainsi, l’amphigourique expression « convention secrète de déchiffrement » semble correspondre à la définition, plus claire, de clé privée de chiffrement[6].
Partager