Questions parlementaires
rence peut-être source de confusion et d’erreurs dès lors que le dossier référencé, tel qu’il a été déposé par un industriel, n’est pas complètement connu
des autres industriels ; en outre, su un produit s’avérait, après examen, non
conforme à sa description, tous les dossiers faisant référence à celui déposé
pour ce produit seraient entachés du même défaut, mais sans qu’il soit nécessairement possible d’obtenir les informations nécessaires auprès de l’industriel originel, au moment où la non-conformité serait mise en évidence. La
deuxième alternative (référence à un standard reconnu), était également admise par le SGDN (SCSSI), en pratique, depuis plusieurs années. Sa consécration par les textes, entérinant cette pratique, n’a donc soulevé aucun
problème pour les industriels et le SGDN (SCSSI). Le caractère de standard
reconnu dont les détails techniques sont accessibles aisément et sans condition ne semble pas avoir posé de problème d’interprétation tant pour les procédés de cryptologie que pour les autres informations du dossier technique.
En cas de doute portant sur l’implémentation d’un standard reconnu (la plupart des standards permettent plusieurs implémentations qui ont laissé au
choix de l’industriel : pour les algorithmes de chiffrement par exemple,
RC444, blowfish, AES, etc..., la longueur de la clé n’est généralement pas
fixée a priori), les incertitudes sont rapidement levées grâce aux contacts directs entre le SGDN (SCSSI) et l’industriel concerné. Le SGDN (SCSSI)
n’a donc pas jugé utile de publier des précisions sur cette disposition. Il n’a
d’ailleurs pas reçu de demande dans ce sens de la part des industriels.
Réseaux de données – cryptologie – réglementation
29081 – 26 avril 1999 – M. Olivier de Chazeaux appelle l’attention de M. le
secrétaire d’État à l’industrie sur les dispositions du décret no 98-101 du
24 février 1998 définissant les conditions dans lesquelles sont souscrites les
déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie. L’article 6 de ce décret fait référence à un délai d’un
mois laissé au service central de sécurité des systèmes informatiques pour se
prononcer sur la nature du régime applicable au moyen ou à la prestation de
cryptologie. La question se pose de savoir si, à l’expiration du délai d’un
mois, le moyen ou la prestation concernés bénéficient alors d’une présomption irréfragable établissant qu’ils ne relèveront plus du régime d’autorisation. Il s’agit d’une question déterminante au regard des exigences de
sécurité juridique afin d’éviter le risque de basculement d’un régime dans un
autre. C’est pourquoi il lui demande d’apporter des éléments de réponse sur
cette question. – Question transmise à M. le Premier ministre.
Réponse – 29 mai 2000 – L’honorable parlementaire attire l’attention de M.
le Premier ministre sur la question des conditions de mise sur le marché d’un
produit ayant fait l’objet d’une déclaration, une fois expiré le délai d’un mois
laissé à l’administration pour se prononcer sur le régime applicable à ce produit. Le décret No 91-101 du 24 février 1998 définissant les conditions dans
lesquelles sont souscrites les déclarations accordées les autorisations
concernant les moyens et prestations de cryptologie dispose, en son article 6,
que « si le moyen ou la prestation de cryptologie déclaré relève du régime de
99