Cryptographie et transactions électroniques.

Section II - Le contrôle de l'utilisation des moyens et prestations de cryptologie

En vue d'assurer la sécurité intérieure de l'État, la loi impose des restrictions dans l'optique d'un contrôle de l'utilisation de la cryptologie. Il y a parfois dans ce sens une obligation de confier la gestion de ses conventions secrètes à un tiers de confiance agréé (paragraphe I). D'autres mesures visent à empêcher l'utilisation de la cryptologie à des fins criminelles (Paragraphe II)

· Paragraphe I - L'obligation de recourir à un tiers de confiance agréé

La loi impose de recourir aux services d'un tiers de confiance agréé dans deux cas de figures. Le premier concerne les moyens et prestations de cryptologie assurant des fonctions de confidentialité (A). le seconde porte sur l'utilisation de clés cryptographiques dépassant une certaine longueur (B).

· A - Le cas des moyens et prestations de cryptologie assurant des fonctions de confidentialité

En droit sénégalais, l'utilisation des conventions secrètes lorsqu'elles offrent des fonctions de confidentialité, n'est autorisée que si celles-ci sont gérées par un organisme agréé^70(*).

Ainsi, le régime de la cryptologie repose sur la distinction entre deux types de prestations: d'une part, les moyens conçus pour protéger un mode d'accès ou une authentification, et d'autre part, les moyens conçus pour assurer la confidentialité des communications ou des données conservées en mémoire.

Nous rappelons que dans de nombreuses communications, la confidentialité^71(*) des données importe peu mais il est nécessaire de s'assurer de leur provenance et de leur intégrité, c'est-à-dire de vérifier qu'elles n'ont pas été modifiées lors de la transmission.

Avant 2004 en France, le recours aux services d'un tiers de confiance était obligatoire pour utiliser un moyen de cryptologie assurant des fonctions de confidentialité. L'utilisateur pouvait librement choisir tel ou tel prestataire à condition que ce dernier ait obtenu un agrément délivré par le premier ministre. Les conditions d'obtention de cet agrément étaient relativement rigoureuses. En particulier, le tiers de confiance devait remplir un cahier des charges très précis et compter parmi son personnel des personnes habilitées « secret défense ».

Cette spécificité française qui imposait de faire appel, dans certains cas, aux services du tiers de confiance était vivement critiquée. Facteur de complexité, de lenteur et de surcoût, elle était considérée comme un handicap économique, frein au développement du commerce électronique.

La loi du 21 juin 2004 pour la confiance dans l'économie numérique affirme désormais que l'utilisation des moyens de cryptologie est libre ; le recours à un prestataire de cryptologie n'est donc pas une obligation. L'emploi des moyens et prestations de cryptologie peut s'opérer aussi bien à des fins d'authentification que pour assurer la confidentialité des communications.

* 70 Cf . Art 12 de la Loi n° 2008-41 du 20 août 2008 portant sur la Cryptologie au Sénégal.

* 71 Bien que le recours à la cryptographie soit l'une des principales caractéristiques des signatures numériques, le simple fait qu'une signature numérique soit utilisée pour authentifier un message électronique ne doit pas être assimilé à l'utilisation plus générale de la cryptographie à des fins de confidentialité. Dans un certain nombre de pays, la loi restreint l'utilisation de la cryptographie à cette fin pour des raisons d'ordre public qui peuvent comporter des considérations de défense nationale. Cependant, l'utilisation de la cryptographie aux fins d'authentification par la création d'une signature numérique n'implique pas nécessairement le recours au chiffrement pour la confidentialité d'une communication, étant donné que la signature numérique codée peut être tout simplement jointe à un message non codé.