Messages les plus consultés

lundi 24 février 2014

L’essor de l’utilisation des drones à usage civil et la réglementation

 Fin janvier 2014, un jeune entrepreneur de 18 ans a survolé et filmé la ville de Nancy grâce à un drone équipé d’une caméra GoPro, puis a posté sa vidéo sur internet. Ce film a été visionné plus 400 000 fois ! Le jeune homme ignorait apparemment que l’utilisation d’un drone muni d’une caméra, a fortiori pour survoler une zone peuplée, est réglementée.

La vidéo a notamment été remarquée par les autorités qui n’ont pas manqué de contacter son auteur : dans un premier temps, la Direction régionale de l’aviation civile (DRAC) a rappelé au jeune homme les règles en vigueur en matière d’utilisation de drones et enjoint ce dernier de se mettre en conformité ; dans un second temps, le jeune entrepreneur a été informé par la gendarmerie qu’il était convoqué devant le tribunal correctionnel pour mise en danger de la vie d’autrui. (1)

Bien que le marché des drones soit en plein essor, leur utilisation est réglementée, suivant la catégorie d’appareil, leur type d’utilisation, etc. Nul n’étant censé ignorer la loi, l’affaire de la video de Nancy nous donne l’occasion de faire un point sur la réglementation en vigueur et  sur les questions juridiques que soulève l’utilisation des drones.


1. Les questions de sécurité et de protection de la vie privée soulevées par l’essor du marché des drones civils

Les drones sont définis comme des aéronefs télépilotés ou des aéronefs sans pilote à bord, dirigés à distance, avec une télécommande ou un smartphone.

Il existe de multiples catégories de drones, depuis des appareils de quelques centaines de grammes ayant un rayon et une durée de vol limités, généralement destinés aux loisirs, jusqu’à des appareils de plusieurs dizaines (voire de centaines) de kilos, pouvant parcourir de longues distances et voler à plusieurs centaines de mètres d’altitude. Ces appareils sont généralement utilisés à des fins professionnelles. Les drones peuvent par ailleurs être équipés d’appareils photo, de caméras, mais également de capteurs de température ou de composition de l’air, ou encore être utilisés pour larguer des pesticides ou autres charges.

Ces “aéronefs télépilotés” sont utilisés depuis plusieurs années dans des domaines divers :  sécurité publique (surveillance de manifestations sur la voie publique, lutte anti-incendie, sécurité de zones touchées par des accidents industriels, comme à Fukushima par exemple), surveillance de l’état des d’infrastructures ou de bâtiments, tournages de reportages d’information (inondations), sportifs (Tour de France), ou culturels, mais également dans les loisirs (aéromodélisme).

Malgré le fort potentiel économique lié à l’essor du marché des drones civils, leur utilisation suscite de nombreuses questions juridiques, particulièrement en matière de sécurité publique et de respect de la vie privée. (2)

    - En matière de sécurité, d’une part : l’utilisation incontrôlée de drones peut interférer avec d’autres types d’aéronefs (ULM, hélicoptères et avions en phases de décollage ou d’atterrissage), l’utilisation d’un drone en zone fortement peuplée dont le pilote aurait perdu le contrôle peut tomber sur la foule ; enfin, on ne peut écarter les risques d’utilisation à des fins terroristes. Bien qu’aucun accident de ce type n’ait été reporté à ce jour, ces risques doivent néanmoins être pris en compte avec le développement de l’utilisation des drones.

    - En matière de respect de la vie privée, d’autre part : un drone peut être employé à des fins intrusives. Certains modèles peuvent être équipés de caméras aux performances assez précises pour permettre d’identifier des personnes physiques à leur insu par exemple.

L’utilisation des drones n’est pas interdite, mais commence à être réglementée.


2. L’encadrement réglementaire de l’utilisation des drones civils dans l’espace aérien

La France est le premier pays à avoir instauré une réglementation spécifique en matière de drones, avec la publication de deux arrêtés du 11 avril 2012 relatifs d’une part, à la conception, l’utilisation et aux capacités requises pour faire voler de tels engins, et d’autre part, à l’utilisation de l’espace aérien par ces aéronefs. (3)

Ces deux textes complémentaires, visant à garantir la sécurité publique, ont respectivement pour objet de déterminer les différentes catégories d’aéronefs télépilotés et la nature des activités concernées, et d’encadrer l’utilisation de l’espace aérien compte tenu des différents modes d’utilisation des drones civils (activités d’aéromodélisme, activités particulières et vols expérimentaux).

Ce dispositif réglementaire a mis fin à un vide juridique. Même s’il ne résout pas toutes les questions juridiques posées par les différents modes d’utilisation des drones, ce cadre permet aux industriels de développer leurs offres en matière d’équipement et aux opérateurs de les utiliser légalement.

Les drones civils sont classés selon plusieurs catégories, de A à G. Ce classement dépend de leur masse, de leur type de propulsion et limitation et de la nature des activités concernées. Les obligations qui en découlent dépendent du mode d’utilisation de l’aéronef : vitesse, hauteur de vol (vol en vue de jour ou vol hors vue), type de zone survolée (peuplée ou non) et de la finalité (ou “scénario”).

Seuls, les aéromodèles de catégorie A (moins de 25 kgs, comportant un seul type de propulsion et sans caméra), ne pouvant circuler qu’en vue directe de leur télépilote, sont dispensés de document de navigabilité et sont autorisés à voler sans condition particulière concernant les capacités requises de leur utilisateur.

En revanche, l’utilisation des autres catégories de drones (notamment ceux équipés de caméra) est soumise, suivant la catégorie de l’aéronef concerné et le type d’activité, à l’obtention d’une autorisation délivrée par le ministre chargé de l’aviation civile ainsi qu’à l’installation de dispositifs spécifiques (capteur barométrique permettant au télépilote de connaître l’altitude ou dispositif “fail-crash” permettant de forcer un atterrissage), un niveau de compétence minimum du télépilote et la détention de documents spécifiques (manuels d’utilisation et d’entretien, document de navigabilité, manuel d’activités particulières (MAP).

L’exploitant d’un aéronef est responsable de la mise en œuvre de toutes les mesures de sécurité nécessaires pour assurer la sécurité des tiers et du respect des exigences applicables au drone qu’il exploite et au télépilote qu’il emploie.

Hormis les considérations relatives à la sécurité se posent des questions relatives au respect de la vie privée pour l’utilisation des drones embarquant appareils photo ou caméras.


3. La protection de la vie privée en question


La commercialisation et l’utilisation des drones civils soulèvent des enjeux importants, notamment en matière de libertés individuelles et de respect de la vie privée.

Les drones peuvent être équipés d’appareils photo, de caméras ou de capteurs sonores. Ces engins peuvent ainsi collecter, stocker, transmettre ou analyser une masse d’informations, et surveiller nos comportements et nos déplacements en toute discrétion et à notre insu.

En effet, en fonction des caractéristiques techniques de ces appareils, les photos et les vidéos prises peuvent permettre de distinguer et d’identifier des personnes physiques ou des véhicules (et plaques d’immatriculation).

    3.1  La question du droit à l’image
Dès lors qu’un drone capte et fixe l’image d’une personne physique, on peut s’interroger sur  le respect du droit à l’image de cette personne.

Le Code civil (notamment l’article 9) et la jurisprudence affirment que toute personne a sur son image et sur l’utilisation qui en est faite un droit exclusif et peut s’opposer à sa diffusion sans son autorisation.

Si un drone à usage professionnel ou un drone de loisir venait à capter l’image d’une personne (photographie ou video), la publication de cette image serait autorisée sous réserve d’avoir obtenu le consentement de la personne concernée. Or, l’obtention de ce consentement n’est généralement pas réalisable en pratique.

Toutefois, l’exigence de l’autorisation de la personne concernée connaît une exception lorsque celle-ci se trouve dans un lieu public. Selon la jurisprudence applicable, la publication de photographies prises dans des lieux publics (telles que des images de groupes de personnes ou un reportage sur une manifestation publique) n’est pas subordonnée à l’accord de toutes les personnes apparaissant sur ces images. Il s’agit là d’une approche pragmatique : si l’autorisation devait être systématique, toute publication de photographies de foules ou de manifestations publiques pour illustrer un reportage serait impossible.

Les tribunaux ont cependant émis quelques réserves : (i) la photographie ne doit pas permettre d’individualiser une personne en particulier, c’est-à-dire faire de cette personne le sujet principal de l’image et la rendre reconnaissable ; (ii) l’image ne doit pas porter atteinte à la dignité humaine ; et (iii) dans le cas d’événements d’actualité, la publication de l’image ne doit pas dépasser les limites du droit à l’information (répondre au besoin d’information de la société, une image en relation directe avec l’événement d’actualité et une image non détournée de son objet).

Ainsi, la captation d’images par un drone muni d’un appareil photo ou d’une caméra, lors de manifestations publiques (concerts, manifestations sportives, rassemblements politiques, etc.) doit respecter ces grands principes. A défaut, l’utilisateur de l’appareil pourrait faire l’objet de poursuites judiciaires pour atteinte au droit à l’image de la personne photographiée ou filmée à son insu.

    3.2  La question de la protection des données personnelles
Par ailleurs, la captation de l’image d’une personne physique par un drone équipé d’un appareil photo ou d’une caméra correspond à un enregistrement de données personnelles. Or, la diffusion de ces données peut porter atteinte à la vie privée des personnes filmées.

La captation et l’enregistrement d’images relatives aux personnes physiques relèvent de la loi Informatique et Libertés. (4) Cette loi encadre la collecte et le traitement des données à caractère personnel, à savoir toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, y compris par la captation de son image, mais également de la plaque d’immatriculation de son véhicule par exemple.

Les obligations pesant sur le responsable du traitement comprennent l’accomplissement de formalités préalables auprès de la CNIL (déclaration ou autorisation du traitement), le respect d’exigences en matière de durée de conservation et de sécurité des données personnelles, et le respect des droits des personnes concernées par le traitement de leurs données (informations concernant le traitement et leurs droits d’accès, de rectification et d’opposition).

Dès lors, on doit s’interroger sur la façon de transposer ces obligations à l’utilisation d’un drone civil.

Il paraît difficile de “flouter” systématiquement les visages des personnes filmées par un drone avant diffusion du film.

La loi Informatique et Libertés prévoit des règles spécifiques pour certains types de traitements tels que la géolocalisation ou la vidéosurveillance.

La vidéosurveillance est soumise à des règles distinctes selon le lieu d’installation du dispositif : dans un lieu ouvert au public et sur la voie publique, dans un lieu non ouvert au public ou à domicile.

Pour les dispositifs de vidéosurveillance mis en œuvre sur la voie publique, seules les autorités publiques sont habilitées à filmer la zone, et uniquement pour prévenir des atteintes à la sécurité des personnes et des biens ou des actes de terrorisme. Les personnes autorisées à consulter les images issues de ce dispositif doivent être habilitées par autorisation préfectorale.

Si l’on considère que les drones équipés de caméras peuvent s’apparenter à des systèmes de surveillance, on peut dès lors s’interroger sur l’application du régime de la vidéosurveillance à ce type d’utilisation. Toutefois, la transposition de ces règles à l’utilisation des drones peut s’avérer complexe : qui peut utiliser un drone filmant la voie publique et qui est habilité à visionner les images captées par le drone ? Dés lors qu’un drone filme la voie publique, comment en pratique les personnes filmées peuvent être informées qu’un tel système a été mis en place, et s’opposer à la captation de leur image ?

La Commission nationale de l’informatique et des libertés (CNIL) a engagé une réflexion prospective depuis 2012 au sujet de l’utilisation des drones et du respect de la vie privée. (5) L’un des axes de réflexion est de s’assurer que ces nouveaux usages n’entraînent pas de dérives en matière de surveillance. Parallèlement à ces travaux prospectifs, la CNIL est engagée dans des échanges internationaux sur ce sujet qui est à l’ordre du jour du G29 (organisme regroupant l’ensemble des CNIL européennes). Des recommandations en la matière sont donc attendues.


   Il n’existe à ce jour aucun texte européen relatif à la conception et à l’utilisation des drones. L’Europe compterait pourtant actuellement 400 sites de production de drones civils et de plus en plus d’utilisateurs.

Consciente du potentiel économique de ce marché, la Commission s’est récemment saisie de la question en créant un groupe de travail qui a eu pour mission d’éditer une feuille de route sur l’intégration sécurisée dès 2016 des drones civils dans le système d’aviation européen. (6) Ce rapport reprend les questions liées à l’utilisation de ces appareils : la sécurité, d’une part, et le respect de la vie privée, d’autre part.

Toutefois, il semble qu’aucun texte sur le sujet ne soit en cours discussion devant les instances européennes. Le projet de règlement européen sur la protection des données personnelles devant être adopté dans les mois à venir, vise à réformer les règles en matière de collecte et traitement des données, mais ne contient pas de dispositions spécifiques aux aéronefs télépilotés.

La France a pris les devants avec les deux arrêtés d’avril 2012. Même s’ils ne règlent pas toutes les questions posées, ces textes ont le mérite de poser un cadre de référence. Le défi sera de conserver l’équilibre entre un cadre réglementaire peu contraignant et stable et la protection des libertés fondamentales (sécurité civile et respect de la vie privée).

                                                             * * * * * * * * * * * *

(1) “Poursuivi en justice pour avoir filmé Nancy avec un drone”, article publié le 13 février 2014 dans le Figaro (http://etudiant.lefigaro.fr)

(2) Voir à ce sujet le rapport de Roland Courteau “Sur les perspectives d'évolution de l'aviation civile à l'horizon 2040 : préserver l'avance de la France et de l’Europe”, rapport n°658 (2012-2013), déposé au Sénat le 12 juin 2013 (http://www.senat.fr/rap/r12-658/r12-65811.html#toc134)

(3) Arrêté du 11 avril 2012 relatif à l’utilisation de l’espace aérien par les aéronefs qui circulent sans personne à bord ; Arrêté du 11 avril 2012 relatif à la conception des aéronefs civils qui circulent sans aucune personne à bord, aux conditions de leur emploi et sur les capacités requises des personnes qui les utilisent ; Articles R.133-1-2 et D.131-1 à D.133-10 du Code de l’aviation civile.

(4) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(5) Actualités CNIL “Usages des drones et protection des données personnelles” et “Drones : quelle vision prospective, quels enjeu pour les libertés ?” des 30 oct. 2012 et 6 déc. 2013.

(6) Communiqué de la Commission européenne du 19 juin 2013 intitulé “Les drones stimulent l’Innovation et créent des emplois”.



Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2014

jeudi 13 février 2014

Enfin un cadre légal pour la vente en ligne de lunettes et lentilles de vue ?

 
Actuellement, la vente de lunettes et lentilles de vue sur internet n’est pas expressément prévue par la loi. Or, même si la législation française n’interdit pas la vente de lunettes et lentilles de vue en ligne en tant que tel, l’impossibilité en pratique - compte tenu des conditions réglementaires et sanitaires -, de vendre ces produits sur internet reste en contradiction avec les principes généraux du droit européen de libre établissement et de prestations de services.

En juin 2011, des dispositions relatives à la vente en ligne de produits d’optique-lunetterie avaient été intégrées dans le projet de loi “renforçant les droits, la protection et l’information des consommateurs”. (1) Ce projet de loi visait à satisfaire aux exigences de santé publique et à assurer la protection des consommateurs quelque soit le canal de vente, notamment en garantissant une correction adaptée de la vision lors de l’achat en ligne de produits d’optique-lunetterie. Ce projet de loi a cependant été abandonné en deuxième lecture à l’Assemblée nationale, fin décembre 2011.

Deux ans après cette première tentative, c’est en cours de débat parlementaire sur le projet de loi relatif à la consommation (ou projet de loi “Hamon”) que le Sénat a décidé d’intégrer des dispositions modifiant le Code de la santé publique. (2)

Nous rappelons ci-après les principales règles actuellement applicables à la vente de lunettes et lentilles de vue et la proposition figurant au projet de loi sur la consommation.


1. La vente de produits d’optique-lunetterie : une commercialisation strictement encadrée

Les règles applicables à la profession d’opticien et à la vente de lunettes et lentilles de vue sont définies au Code de la santé publique. (3)

La vente de lunettes et lentilles de contact de vue est notamment soumise aux conditions suivantes :

- être titulaire d’un diplôme ou certificat professionnel : la vente est réservée aux opticiens-lunetiers diplômés ;

- ne pas démarcher les clients en porte-à-porte. Le colportage de verres correcteurs est donc interdit ;

- exiger la présentation d’une ordonnance en cas de délivrance de verres correcteurs à des mineurs de moins de 16 ans, au-delà de cet âge la prescription n’est pas obligatoire.

Compte tenu des conditions applicables à la vente de lunettes et lentilles de vue, il est actuellement difficile de vendre ces produits en ligne dans le respect de la loi en vigueur.


2. Un nouveau projet de réglementation spécifique à la vente en ligne de produits d’optique-lunetterie

Les nouvelles dispositions figurant dans le projet de loi relatif à la consommation sont proches de celles proposées en 2011.

    - Les conditions de délivrance des lunettes et lentilles de vue
La délivrance de verres correcteurs et de lentilles de contact est réservée aux opticiens-lunetiers diplômés. Toutefois, concernant la vente en ligne, le texte prévoit que les vendeurs (“les prestataires concernés”) devront mettre à la disposition des internautes un opticien-lunetier apte à les conseiller. Toute personne pourra donc en principe exploiter un site web de vente de produits d'optique-lunetterie, à la condition toutefois de faire appel à un professionnel qualifié pour la fourniture d’informations et de conseils.

L'opticien (ou l’exploitant du site web) devra réclamer et vérifier l’existence d’une prescription médicale en cours de validité, quelque soit l'âge du client. L’ordonnance devra mentionner la valeur de l’écart pupillaire du patient.

En cas de délivrance de verres correcteurs de “puissance significative”, le site devra pouvoir faire une prise de mesure.

Enfin, le site devra mettre à disposition des internautes un professionnel qualifié, apte à répondre à toute demande d’informations et de conseils. La simple mise à disposition de fiches pratiques et informations en ligne ne sera pas suffisante.

Les modalités précises de la vente en ligne, à savoir, les conditions de transmission et de contrôle de validité de l’ordonnance, la prise des mesures, la délivrance de lentilles de contact aux primo-porteurs doivent être fixées par décret.

    - Les sanctions en cas de non-respect des conditions de vente en ligne des lunettes et lentilles de vue
Le projet de loi condamne d'une amende de 3.750€ toute personne qui ne respecterait pas les conditions mentionnées ci-dessus, à savoir notamment la délivrance ou la vente à distance de produits d’optique-lunetterie sans vérifier l’existence d’une ordonnance en cours de validité ou sans mettre à la disposition du client un professionnel apte à les conseiller.


Une fois le texte définitif voté, il conviendrait que les décrets d’application soient rapidement adoptés afin que ce texte puisse être effectivement appliqué par les professionnels. Ainsi, les décrets d’application devront aiguiller les professionnels sur les modalités pratiques de communication des ordonnances par les internautes. Il en va de même concernant les modalités pratiques de la délivrance de conseils personnalisés au client à distance.

Il convient enfin de noter que sans attendre l’adoption d’un cadre légal adapté, plusieurs sites internet français se sont d’ores et déjà lancés dans l’activité de vente en ligne de lunettes et de lentilles de vue. Certains sites vendent des lunettes de vue sans conditions particulières, d’autres appliquent les règles posées dans le projet de loi de 2011, ou anticipent les règles qui devraient s’appliquer lorsque la loi Hamon sera votée. La clarification des conditions de vente en ligne de lunettes et lentilles de vue sera donc la bienvenue.

A suivre donc…




Nota: la loi sur la consommation a été adoptée le 13 février 2014, concernant l'optique, dans les termes étudiés au présent article.

                                                       * * * * * * * * * * *

(1) Projet de loi n°3508, renforçant les droits, la protection et l'information des consommateurs, déposé le 1er juin 2011 et voir notre article « La vente en ligne de lunettes et lentilles de vue bientôt autorisée » (http://dwavocat.blogspot.fr/2011/10/la-vente-en-ligne-de-lunettes-et.html).

(2) Projet de loi relatif à la consommation, n°1015, déposé le 2 mai 2013 ; voir son article 17 quater du projet adopté, le 29 janvier 2014, par le Sénat, en 2e lecture.

(3) Voir les articles L.4211-4, L.4362-1 et s., L.4363-1 et s. du Code de la santé publique. Par ailleurs, les produits d’optique-lunetterie sont considérés comme des dispositifs médicaux, dont la commercialisation est régie par les articles L.5211-1 et R.5211-1 et s. du Code de la santé publique.



Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.deleporte-wentz-avocat.com 

Février 2014

jeudi 6 février 2014

La cryptologie : une réglementation qui reste encadrée


La cryptologie fait partie de notre quotidien, depuis la connexion à notre banque en ligne, les achats sur internet, en passant par la signature électronique. De plus en plus d’applications cryptent les échanges pour des raisons de sécurité et de confidentialité notamment.

Le développement de l’utilisation des échanges cryptés a été rendu possible grâce à la libéralisation de la réglementation relative à la cryptologie intervenue depuis une dizaine d’années avec la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN). (1)

Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité (informations accessibles uniquement aux personnes autorisées), leur authentification (données provenant de la personne prétendant en être l’auteur) ou leur intégrité (empêchement de toute altération, intentionnelle ou fortuite, du message).

Cet ensemble de techniques permet, en chiffrant les informations échangées ou stockées, de les rendre inintelligibles pour les tiers lors de leur transmission ou de leur conservation. La cryptologie est utilisée dans des domaines très variés : financier, commercial, militaire, mais également dans le cadre d’activités illégales.

La loi distingue entre moyens et prestations de cryptologie, avec un encadrement juridique allant de la liberté d’utilisation jusqu’à l’autorisation du Premier ministre suivant les finalités des systèmes. Cette réglementation doit être analysée compte tenu des règles d’importation et d’exportation au sein de l’Union européenne d’une part, depuis ou vers des pays tiers à l’UE d’autre part.


1. La fourniture de moyens de cryptologie

La loi définit la notion de “moyen de cryptologie” comme “tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes (clé ou algorithme de chiffrement) ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.” (art. 29 LCEN)

    - Une liberté
La loi pose le principe de la liberté d’utilisation des moyens de cryptologie. (art. 30 I. LCEN)

Ce principe de liberté est étendu à la fourniture et à l’importation et l’exportation au sein de l’Union européenne ou depuis ou vers des pays tiers de moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité, à savoir les moyens de signature électronique.

    - … Encadrée
En revanche, les moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont soumis à une procédure soit de déclaration préalable, soit d’autorisation du Premier ministre (sauf certaines catégories de moyens de cryptologie fixées par décret).

Ainsi, la fourniture et l’importation depuis un état membre de l’Union européenne ou depuis un pays tiers, de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sont soumis à une déclaration préalable auprès de Premier ministre. Cette déclaration comprend la mise à disposition de la description des caractéristiques techniques du moyen de cryptologie en cause, ainsi que du code source des logiciels.

Enfin, la fourniture et l’exportation vers un état membre de l’Union européenne ou vers un pays tiers, de moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, sont soumis à une autorisation du Premier ministre.

Qu’il s’agisse d’une déclaration ou d’une demande d’autorisation, le fournisseur doit adresser son dossier à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La forme et le contenu du dossier sont définis par un arrêté du Premier ministre. Ce dossier comporte une partie technique et une partie administrative. Si le dossier est complet, le Premier ministre notifie sa décision, dans un délai d’un mois pour les dossiers de déclaration, et un délai de 4 mois pour les autorisations, à compter du dépôt du dossier.

Il convient de noter que la déclaration de fourniture d’un moyen de cryptologie, vaut également déclaration pour les intermédiaires du déclarant qui distribuent ses moyens de cryptologie. Dès lors, une seule et unique déclaration suffira pour commercialiser les services du déclarant.

L’autorisation est délivrée pour une durée maximum de 5 ans, renouvelable.

Certaines catégories de moyens de cryptologie restent libres à l’importation ou à l’exportation. Les exceptions sont évaluées au regard des intérêts de la défense nationale et de la sécurité intérieure et extérieure de l’Etat. Ces catégories, identifiées par décret, concernent par exemple, la fourniture d’équipements, destinés au grand public, de réception de radiodiffusion ou de télévision, de radiocommunication mobiles, téléphoniques sans fil, et dont la capacité cryptographique ou de chiffrement n’est pas accessible à l’utilisateur. De même, est concernée la fourniture de prestations de cryptologie, ne consistant pas en la délivrance de certificats électroniques, visant à mettre en œuvre certains moyens de cryptologie. (2)

    - La responsabilité des fournisseurs de moyens de cryptologie
Le Premier ministre peut interdire la mise en circulation du moyen de cryptologie du fournisseur qui ne respecterait pas les obligations décrites à l’article 30 de la LCEN (déclaration préalable ou demande d’autorisation au Premier ministre). Le champ de cette interdiction s’étend aux distributeurs du moyen de cryptologie en cause, et aux matériels constituant les moyens de cryptologie dont la mise en circulation a été interdite.

En outre, le non respect des obligations de déclaration préalable ou d’autorisation prévues à l’article 30 de la LCEN peut entraîner l’application de sanctions pénales : un an d’emprisonnement et 15 000 euros d’amende.

Enfin, l’exportation d’un moyen de cryptologie vers un état membre de l’Union européenne ou vers un pays tiers sans avoir obtenu d’autorisation préalable ou en dehors des conditions de cette autorisation est passible de deux ans d’emprisonnement et de 30 000 euros d’amende.


2. La fourniture de prestations de cryptologie

La notion de “prestation de cryptologie est définie comme “toute opération visant à la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie.” (art. 29 LCEN)

    - Le principe de déclaration préalable
La fourniture de prestations de cryptologie reste encadrée, via une procédure de déclaration auprès du Premier ministre. (art. 31 LCEN)

Les conditions de la déclaration, et les exceptions à l’obligation de déclaration sont définies par décret et sont identiques à celles décrites ci-dessus.

Comme pour la fourniture des moyens de cryptologie, les exceptions à l’obligation de déclaration sont évaluées au regard des intérêts de la défense nationale et de la sécurité intérieure et extérieure de l’Etat.

    - Le secret professionnel
Les fournisseurs de prestations de cryptologie sont assujettis au secret professionnel, en vertu de l’article 226-13 du Code pénal qui dispose que “la révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende."

    - La responsabilité des fournisseurs de prestations de cryptologie
Les fournisseurs de prestations de cryptologie à des fins de confidentialité sont responsables, au titre de l’exécution de leurs prestations, du préjudice causé aux personnes qui leurs confient la gestion de leurs conventions secrètes, en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions.

De même, les prestataires de services de certifications électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés. (art. 33 LCEN) Ces prestataires doivent justifier d’une garantie financière suffisante pour couvrir les risques liés à leur activité ou d’une assurance responsabilité civile professionnelle.

Enfin, le fait de fournir des prestations de cryptologie visant à assurer des fonctions de confidentialité sans avoir rempli l’obligation de déclaration prévue à l’article 31 de la LCEN est passible de deux ans d’emprisonnement et de 30 000 euros d’amende.


3. L’utilisation de moyens de cryptologie à des fins criminelles : un régime de sanctions spécifiques

La cryptographie n’est pas utilisée qu’à des fins licites. Les criminels utilisent également des systèmes de cryptologie afin de communiquer de manière confidentielle et notamment de préparer la commission d’infractions. Le législateur a prévu certaines dispositions spécifiques en cas d’utilisation de moyens de cryptologie à des fins illicites.

    - Un mécanisme général d’aggravation des peines
Le législateur a créé un mécanisme général d’aggravation des peines en cas d’utilisation de moyens de cryptologie pour la commission d’infractions. Ainsi, l’article 132-79 du Code pénal prévoit l’élévation systématique du quantum de la peine en cas de recours à la cryptologie par des criminels. Par exemple, une l’infraction punie de 20 ans de réclusion criminelle, passe à 30 ans en cas de recours à la cryptologie.

    - Le refus de déchiffrement d’un moyen de cryptologie utilisé à des fins criminelles
Le Code pénal réprime le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie - susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit - de refuser de remettre cette convention aux autorités judiciaires ou de la mettre en oeuvre, malgré les réquisitions des autorités. Un tel acte est puni de 3 ans d'emprisonnement et de 45.000€ d'amende (article 434-15-2 CP).

Enfin, le Code pénal prévoit que lorsqu'il apparaît que des données, saisies ou obtenues au cours d’une l'enquête ou instruction, ont été cryptées, les autorités saisies de l'affaire peuvent désigner un expert afin qu’il déchiffre les informations litigieuses (article 230-1 CP).


Compte tenu des enjeux commerciaux d’une part, réglementaires d’autre part, il est donc impératif de se renseigner sur les règles de diffusion et d’import-export effectivement applicables à chaque moyen ou prestation de cryptologie, préalablement à toute mise sur le marché.

                                                  * * * * * * * * * * *

(1) Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (dite “LCEN”), Titre III : De la sécurité dans l’économie numérique, chap. 1er (articles 29 à 40).

(2) Décret n°2007-663, 2 mai 2007 pris pour l’application des articles 30, 31 et 36 de la LCEN et relatif aux moyens et prestation de cryptologie. Arrêté du 25 mai 2007, définissant la forme et le contenu des dossiers de déclaration et de demande d’autorisation d’opérations relatives aux moyens et aux prestations de cryptologie.


Bénédicte Deleporte
Betty Sfez
Avocats

Deleporte Wentz Avocat
www.dwavocat.com




Février 2014