CNCIS – ÉTUDES ET DOCUMENTS
Réponse – 29 mai 2000 – L’honorable parlementaire attire l’attention de M.
le Premier ministre sur la question des modalités de description des produits
et prestations de cryptologie soumis à déclaration ou autorisation. L’arrêté
du 17 mars 1999 définissant la forme et le contenu du dossier concernant les
déclarations ou demandes d’autorisation relatives aux moyens et prestations
de cryptologie prévoit que ce dossier comprend une partie technique relative
à la description du produit concerné. Cette description comporte notamment
« soit la description complète des procédés de cryptologie employés, sous la
forme d’une description mathématique et d’une simulation dans un langage
de haut niveau, type C ou Pascal », « soit la référence à un dossier préalablement déposé pour un produit usant du même procédé de cryptologie, soit la
référence à un standard reconnu, non équivoque, et dont les détails techniques sont accessibles aisément et sans condition ». Les deux alternatives à la
description mathématique accompagnées d’une simulation ont été prévues
afin de faciliter aux industriels la description demandée. La première (référence à un dossier préalablement déposé) figurait déjà dans l’arrêté du
13 mars 1998, la seconde (référence à un standard reconnu) est une innovation de l’arrêté du 17 mars 1999. La première alternative était admise ; en
pratique depuis plusieurs années. Le SGDN (SCSSI) acceptait, dès avant sa
consécration par les textes, qu’un industriel fasse référence à des dossiers
qu’il avait lui-même préalablement déposés, voire à des dossiers déposés
par un autre industriel dont il intégrait des modules ayant des fonctions cryptologiques. Cette deuxième hypothèse était néanmoins plus rare, et parfois
déconseillé par le SGDN (SCSSI) : le dossier technique déposé par un industriel n’étant pas communiqué, les références que pouvaient en faire d’autres
industriels risquaient d’être inappropriées, ce qui aboutissait à compliquer et
donc à ralentir le traitement des dossiers ; la pratique était néanmoins admise
en cas de réutilisation complète d’un produit ou d’un module bien précis,
ayant fait l’objet d’un dossier technique, dans un autre produit soumis à autorisation ou déclaration. Cette possibilité mise en œuvre avec pragmatisme
par le SGDN (SCSSI), ne semble par avoir suscité de problème jusqu’à présent. Mais il n’est pas envisagé, au-delà de cette commodité désormais
consacrée par les textes, de mettre à disposition des industriels une liste de
produits déclarés ou autorisés de leurs concurrents, assortie des informations techniques afférentes, qui pourrait servir de référentiel dans le cadre de
la description d’un produit. Le SGDN (SCSSI) publie sur son site internet
une liste de produits déclarés et autorisés, mais seulement après accord formel des industriels concernés, et sans information technique : systématiser
cette publication et l’assortir d’informations techniques se heurterait en revanche aux obstacles suivants : en aucun cas le SCSSI ne publie le contenu
d’un dossier déposé ; il est au contraire tenu de veiller à la confidentialité des
informations qui lui sont communiquées (art. 26 du décret no 98-101 du
24 février 1998 définissant les conditions dans lesquelles sont souscrites les
déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie) ; tout au plus, dans le cadre d’une relation directe avec
un industriel, le SCSSI peut faire savoir à celui-ci s’il est nécessaire ou non
de décrire un procédé de cryptologie non publié ; la déclaration par réfé-
98