416 - Décret no 98-102 du 24-02-1998

Décret n^o 98-102 du 24 février 1998 définissant les conditions dans lesquelles sont agréés les organismes gérant pour le compte d’autrui des conventions secrètes de cryptologie en application de l’article 28 de la loi n^o 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications

NOR : PRMX9802602D

(Premier ministre)

Vu code des postes et télécommunications ; code de procédure pénale ; L. n^o 90-1170 du 29-12-1990 mod., not. art. 28 ; L. n^o 91-646 du 10-07-1991 mod. ; D. n^o 81-514 du 12-05-1981 ; D. n^o 86-316 du
03-03-1986 mod. ; D. n^o 86-318 du 03-03-1986 mod. ; D. n^o 96-67 du 29-01-1996 ; avis de l’autorité de régulation des télécommunications du 08-10-1997 ; Conseil d’État (section des travaux publics) entendu.

Art. 1^er. – Au sens du présent décret, on entend par :

1^o " Conventions secrètes " : des clés non publiées nécessaires à la mise en œuvre d’un moyen ou d’une prestation de cryptologie pour les opérations de chiffrement ou de déchiffrement ;

2^o " Gestion de conventions secrètes " : la détention, la certification, la distribution ainsi que, éventuellement, la génération des clés dans des conditions définies au cahier des charges prévu par l’article 8 ;

3^o " Certification de conventions secrètes " : l’opération qui consiste à calculer une signature numérique ou un code d’authentification assurant la faculté d’emploi des conventions secrètes.

TITRE I^er

CONDITIONS DE DÉLIVRANCE DE L’AGRÉMENT

Art. 2. – L’organisme sollicitant la délivrance de l’agrément prévu au II de l’article 28 de la loi du 29 décembre 1990 susvisée adresse un dossier de demande d’agrément au service central de la sécurité des systèmes d’information, par un envoi recommandé avec demande d’avis de réception postal ou par un dépôt auprès dudit service contre accusé de dépôt.

La forme et le contenu du dossier de demande d’agrément sont définis par arrêté du Premier ministre, après avis du ministre de la défense, du ministre de l’intérieur, du ministre chargé de l’industrie et du ministre chargé des télécommunications.

Art. 3. – Si le dossier est complet, le Premier ministre notifie sa décision, par lettre recommandée avec demande d’avis de réception, dans un délai de quatre mois à compter de la délivrance de l’avis de réception ou de l’accusé de dépôt de la demande. Un défaut de notification dans ce délai vaut agrément.

Le dossier est réputé complet si, dans le délai d’un mois suivant la réception de la demande, le service central de la sécurité des systèmes d’information n’a pas invité le demandeur, par lettre recommandée avec demande d’avis de réception, à fournir les pièces complémentaires nécessaires. Dans ce dernier cas, le délai de quatre mois part de la réception des pièces complétant le dossier.

Art. 4. – Pour être agréé, l’organisme doit compter, parmi ses personnels, un nombre suffisant de personnes habilitées pour être en mesure de satisfaire aux obligations du décret du 12 mai 1981 susvisé.

Art. 5. – L’agrément est accordé, après avis du ministre de la défense, du ministre de l’intérieur, du ministre chargé de l’industrie et du ministre chargé des télécommunications, pour une durée de quatre années, renouvelable.

L’agrément est délivré sous condition du respect d’un cahier des charges décrivant les obligations de chaque organisme agréé.

L’agrément peut être refusé pour des motifs liés aux intérêts de la défense nationale ou de la sécurité intérieure ou extérieure de l’État.

Art. 6. – Doivent être notifiés sans délai au service central de la sécurité des systèmes d’information :

a) Tout changement dans :

– la nature juridique de l’organisme agréé ;
– la nature ou l’objet de ses activités ;
– la localisation de son établissement ;
– l’identité ou les qualités juridiques de ses dirigeants ;

b) Toutes cessions d’actions ou de parts sociales susceptibles d’entraîner un changement du contrôle de l’organisme agréé ;

c) La cessation totale ou partielle de l’activité agréée.

Art. 7. – L’organisme agréé qui sollicite le renouvellement de son agrément doit, deux mois au moins avant la date d’expiration de ce dernier, en faire la demande auprès du service central de la sécurité des systèmes d’information par lettre recommandée avec demande d’avis de réception. L’absence de réponse de l’administration dans les deux mois vaut renouvellement tacite de l’agrément.

Art. 8. – Le cahier des charges comprend notamment les éléments suivants :

1^o L’énumération des moyens ou des prestations de cryptologie dont l’organisme agréé est autorisé à gérer les conventions secrètes ;

2^o L’énumération des moyens ou des prestations de cryptologie que l’organisme agréé peut utiliser ou fournir ;

3^o Les conditions techniques ou administratives garantissant le respect des obligations imposées à l’organisme agréé ;

4^o Le nombre de personnes mentionnées à l’article 4, auxquelles peuvent être demandées la mise en œuvre ou la remise des conventions secrètes, et les dispositions prises pour respecter le décret du 12 mai 1981 susvisé ;

5^o Les conditions dans lesquelles sont remises à un autre organisme agréé les conventions secrètes en cas de cessation d’activité ou à la demande de l’utilisateur ;

6^o Les dispositions techniques prises lors de la mise en service des conventions secrètes afin de permettre, pour chaque message ou communication protégé à l’aide de ces conventions, d’identifier l’organisme agréé les gérant ainsi que les utilisateurs concernés ;

7^o Les conditions techniques d’utilisation des conventions secrètes, des moyens ou des prestations et les mesures nécessaires pour assurer leur intégrité et leur sécurité ;

8^o Le format électronique standardisé dans lequel doivent être transcrites les conventions secrètes en cas de cessation d’activité ou de retrait d’agrément, conformément à l’article 17 du présent décret.

Le cahier des charges comporte également une annexe classifiée précisant les modalités pratiques de remise des conventions secrètes aux autorités mentionnées au quatrième alinéa du II de l’article 28 de la loi du 29 décembre 1990 susvisée ou de leur mise en œuvre à la demande de ces autorités.

À l’exception de son annexe classifiée, le contenu de ce cahier des charges peut être communiqué, sur leur demande, aux utilisateurs dont l’organisme agréé gère les conventions secrètes.

Art. 9. – Toute proposition de modification du contenu du cahier des charges défini à l’article 8 donne lieu à une demande d’agrément complémentaire.

TITRE II

OBLIGATIONS À LA CHARGE DE L’ORGANISME AGRÉÉ

Art. 10. – Il est passé contrat écrit entre l’organisme agréé et l’utilisateur pour la gestion de ses conventions secrètes.

Ce contrat comprend obligatoirement :

1^o La référence de l’agrément, la durée et la date d’expiration prévues par cet agrément, ainsi que tout élément d’information que le cahier des charges imposerait de communiquer aux utilisateurs ;

2^o Un engagement de l’organisme agréé relatif à la sécurité des conventions secrètes qu’il gère pour le compte de l’utilisateur ;

3^o Les modalités selon lesquelles l’utilisateur, ou toute autre personne éventuellement mandatée par celui-ci, pourra, à sa demande, se faire délivrer copie de ses conventions secrètes durant son contrat avec l’organisme agréé ou après son terme.

Art. 11. – L’organisme agréé constitue et tient à jour une liste de ses clients.

Il tient à jour un registre mentionnant toutes les demandes présentées par l’autorité judiciaire concernant la mise en œuvre ou la remise des conventions secrètes. Sur ce registre sont notamment consignées les informations suivantes :

1^o La date et l’heure de la demande ;

2^o Les références de la commission rogatoire ou de la réquisition judiciaire ;

3^o La durée de l’autorisation ;

4^o Les références des conventions secrètes délivrées ou mises en œuvre.

Le registre est signé par l’agent qui procède à la demande et par l’employé de l’organisme agréé qui effectue la mise en œuvre ou la remise des conventions secrètes. L’accès au registre est limité aux autorités judiciaires dans les conditions prévues par le code de procédure pénale.

Les demandes de mise en œuvre ou de remise des conventions secrètes effectuées dans le cadre du titre II de la loi du 10 juillet 1991 susvisée sont consignées dans un registre séparé, sur lequel ne figurent que la date, l’heure de la demande, la durée de l’autorisation ainsi que la référence de l’ordre de communication des conventions secrètes. Ce registre est classifié au niveau secret défense et son accès est limité au Premier ministre, à la Commission nationale de contrôle des interceptions de sécurité ainsi qu’aux agents spécialement désignés par l’une ou l’autre de ces autorités.

Art. 12. – L’organisme agréé prend les mesures nécessaires pour préserver la sécurité des conventions secrètes qu’il gère au profit de ses clients, afin d’empêcher qu’elles ne puissent être altérées, endommagées, détruites ou communiquées à des tiers non autorisés.

Il prend toutes dispositions, notamment contractuelles, vis-à-vis de son personnel, de ses partenaires, clients et fournisseurs, afin que soit respectée en permanence la confidentialité des informations de toute nature dont il a connaissance relativement à l’utilisation de ces conventions secrètes et à leur remise aux autorités mentionnées au quatrième alinéa du II de l’article 28 de la loi du 29 décembre 1990 susvisée ou à leur mise en œuvre au profit de ces autorités.

Il notifie ces mesures et dispositions au service central de la sécurité des systèmes d’information.

Art. 13. – Tout organisme agréé conserve les conventions secrètes qui lui sont confiées. Toutefois, à l’issue d’un délai de quatre ans à compter de la date de signature du contrat mentionné à l’article 10, l’organisme agréé peut, après accord de l’utilisateur, déposer lesdites conventions secrètes auprès d’un autre organisme agréé choisi sur une liste d’organismes agréés fixée par arrêté du Premier ministre.

Art. 14. – L’organisme agréé maintient un service permanent de mise en œuvre ou de remise des conventions secrètes au profit des autorités mentionnées au quatrième alinéa du II de l’article 28 de la loi du 29 décembre 1990 susvisée. La mise en œuvre ou la remise s’effectuent selon les modalités spécifiées par ces autorités.

Sans préjudice des dispositions relatives aux frais de justice en matière pénale, les frais de mise en œuvre des conventions secrètes au profit desdites autorités par l’organisme agréé sont pris en charge par l’État sur la base d’un tarif forfaitaire tenant compte des coûts moyens, établi par un arrêté du Premier ministre, après avis du ministre de la justice, du ministre de la défense, du ministre de l’intérieur, du ministre chargé de l’industrie, du ministre chargé du budget, du ministre chargé des douanes et du ministre chargé des télécommunications.

Dans les cas où le II de l’article 28 de la loi du 29 décembre 1990 susvisée lui impose que les utilisateurs soient informés de la remise des conventions secrètes, l’organisme agréé a l’obligation de procéder à cette information sans délai.

Art. 15. – Le service central de la sécurité des systèmes d’information peut procéder au contrôle de l’application, par l’organisme agréé, des dispositions figurant dans le cahier des charges prévu à l’article 8.

TITRE III

RETRAIT DE L’AGRÉMENT ET CESSATION D’ACTIVITÉ

Art. 16. – I. – L’agrément exprès ou tacite est retiré par le Premier ministre lorsque l’organisme :

1^o Ne remplit pas ou a cessé de remplir l’une des obligations fixées par le II de l’article 28 de la loi du 29 décembre 1990 susvisée et par le présent décret ;

2^o Ne remplit pas ou a cessé de remplir l’une des conditions précisées dans le cahier des charges prévu à l’article 8 ;

3^o Cesse ses activités.

Ce retrait ne peut intervenir qu’après que le titulaire de l’agrément a été mis à même de faire valoir ses observations dans un délai de huit jours. En cas d’urgence l’agrément peut être suspendu immédiatement.

II. – Le retrait de l’agrément peut également être prononcé lorsque le maintien de celui-ci risque de mettre en péril les intérêts de la défense nationale ou de la sécurité intérieure ou extérieure de l’État.

III. – Le retrait de l’agrément est notifié par le Premier ministre par lettre recommandée avec demande d’avis de réception. Dès la notification du retrait d’agrément, l’organisme concerné informe sans délai les utilisateurs qu’il cesse son activité de gestion des conventions secrètes.

Art. 17. – En cas de cessation d’activité ou de retrait de son agrément, l’organisme concerné communique à ses utilisateurs la liste des organismes agréés offrant les mêmes services. L’organisme en cessation d’activité confie les conventions secrètes à un autre organisme agréé selon le choix de chaque utilisateur.

Pour chacun des utilisateurs qui n’aurait pas fait état de son choix dans un délai d’un mois à partir de la cessation d’activité, l’organisme concerné transcrit sur un support électronique standardisé et selon le format défini dans le cahier des charges prévu à l’article 8, les conventions secrètes qu’il conservait à la date de cessation. Il dépose ce support auprès d’un organisme, désigné par arrêté du Premier ministre, auprès duquel s’effectueront les éventuelles requêtes de remise de conventions secrètes formulées par les autorités mentionnées au II de l’article 28 de la loi du 29 décembre 1990 susvisée.

Art. 18. – Le présent décret est applicable dans les territoires d’outre-mer et dans la collectivité territoriale de Mayotte.

Art. 19. – Le garde des sceaux, ministre de la justice, le ministre de l’intérieur, le ministre des affaires étrangères, le ministre de l’économie, des finances et de l’industrie, le ministre de la défense, le secrétaire d’État à l’outre-mer, le secrétaire d’État au budget et le secrétaire d’État à l’industrie sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.

Fait à Paris, le 24 février 1998.

Lionel JOSPIN

Par le Premier ministre :
Le garde des sceaux, ministre de la justice,
Élisabeth GUIGOU

Le ministre de l’intérieur,
Jean-Pierre CHEVÈNEMENT

Le ministre des affaires étrangères,
Hubert VÉDRINE

Le ministre de l’économie,
des finances et de l’industrie,
Dominique STRAUSS-KAHN

Le ministre de la défense,
Alain RICHARD

Le secrétaire d’État à l’outre-mer,
Jean-Jack QUEYRANNE

Le secrétaire d’État au budget,
Christian SAUTTER

Le secrétaire d’État à l’industrie,
Christian PIERRET

(JO du 25-02-1998)