Document lambda

Décembre 1997. Lire aussi l'avis de la CSSPPT.

Ce document de la Commission de Bruxelles, non daté sur la version que nous avons consulté, mais qui est parvenu à Paris fin octobre, énumère en termes diplomatiques les dispositions françaises qui risquent d'"entraver" la libre circulation nécessaires des produits de chiffrement dans l'UE, mais aussi dans l'espace économique EEE, dont sont membres d'autres pays européens comme la Suisse ou la Norvège.

Lire aussi le contexte, dans le 3.08

D'ailleurs, les textes devront faire à nouveau une navette par Bruxelles avant d'être promulgués à Paris. Le pouvoir de blocage n'est pas évident, puisque la France se tient prête à invoquer l'argument "sécurité nationale" pour rester souverain en la matière et avoir le dernier mot.

Quelques extraits de la lettre:

&laqno;

Monsieur Hubert Védrine
Ministre des Affaires Etrangeres
Quai d'Orsay, 75007 Paris

(...)

OBJET: Notification 97 0405/F
PROJET DE DECRET DEFINISSANT LES DECLARATIONS ET ACCORDÉES LES AUTORISATIONS CONCERNANT LES MOYENS ET PRESTATIONS DE CRYPTOLOGIE.

EMISSION D'OBSERVATIONS AU SENS DE L'ARTICLE 8, PARAGRAPHE 2 DE LA DIRECTIVE 83/189/CEE, TELLE QUE MODIFIEE PAR LES DIRECTIVES 88/182/CEE ET 94/10/CE.

(...)

• [commentaire: si un produit est libre dans un autre pays de l'EEE, La France se doit de l'accepter sans conditions.]

"A / Sur les aspects relatifs à la libre circulation des produits.

(...) La rédaction actuelle ... laisse à l'administration [française] un pouvoir discrétionnaire d'accepter ou nous les résultats d'essais effectués dans les autres états membres, tandis que selon l'article 30 [du traité] et la jurisprudence de la Cour de Justice, les États membres sont tenus d'accepter et de prendre en compte ces résultats.(...)

• la Commission écorche ensuite le sacro-saint principe d'autorisation préalable (le tampon du SCSSI), présente dans le projet de décret en "article 10".

(...) Une telle autorisation peut donner lieu à des entraves aux échanges de produits de chiffrement légalement fabriqués et/ou commercialisés dans d'autres États membres de la communauté AELE [et] membres de l'accord EEE (Espace économique européen). (...)

[AELE = Islande, Suisse, Norvège, Lichtenstein]

• Nouvelle salve, celle-ci allusive à la Directive sur la protection des données personnelles de 1995*, que la France a signée mais n'a pas encore ratifié -- donc introduite dans le Droit français:

C / Application de la directive 95/46/CE *

Les différents régimes établis par ce décret pour l'utilisation et l'exportation des moyens et de prestations de cryptologie peuvent affecter (...) la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données", dans la mesure où "les moyens appropriés nécessaires pour sécuriser les données personnelles ne seraient pas disponible en France et/ou ne pourraient pas "voyager" avec les données qu'elles sécurisent provenant d'autres États membres. (...)

• [l'instauration des tiers de confiance en France, sans concertation, serait également risqué au vu de cette directive: ]

(...) Les régimes d'autorisation et d'intervention d'organismes agréés pour les moyens de cryptologie assurant la confidentialité pourrait affecter la mise en oeuvre [de la directive], dans la mesure où ces régimes ne permettent pas l'utilisation et la libre circulation des moyens de chiffrement appropriés aux risques pour les données. Dans la discussion publique, les moyens et prestations de chiffrement autorisés [ou] sous contrôle d'organismes agréés tels que proposés sont souvent considérés comme non appropriés pour contrer certains risques importants. (...)

• [les 14 partenaires de l'Union auront-ils droit à une nouvelle lecture? note la lettre en conclusion:]

Le défaut de communication de ce texte serait constitutif d'une infraction à l'article 5 du Traité (...) ainsi que d'une violation de la ... directive 83/189. »