Contrôle relatif à un moyen de cryptologie
Le contrôle des opérations relatives aux moyens de cryptologie
En France, les moyens de cryptologie sont soumis à une règlementation spécifique : (Ouvre une nouvelle fenêtre) Loi n°2004-575 du 21 juin 2004 (LCEN) & (Ouvre une nouvelle fenêtre) Décret 2007-663 du 2 mai 2007
L’utilisation d’un moyen de cryptologie est libre. Il n’y a aucune démarche à accomplir.
En revanche, la fourniture, l’importation, le transfert intracommunautaire et l’exportation d’un moyen de cryptologie sont soumis, sauf exception, à déclaration ou à demande d’autorisation.
A qui s’adresse cette réglementation ?
Ces démarches incombent au fournisseur ou au primo-importateur du moyen de cryptologie et sont à accomplir auprès de l’ANSSI.
Le régime applicable (déclaration ou demande d’autorisation) dépend des fonctionnalités techniques du moyen et de l’opération commerciale projetée (fourniture, importation…).
Quelles sont ses principales dispositions ?
Les (Ouvre une nouvelle fenêtre) articles 30 et 31 de la loi n°2004-575 du 21 juin 2004 (Ouvre une nouvelle fenêtre) (LCEN) établissent un régime déclaratif et d’autorisation pour les opérations. Sauf (Ouvre une nouvelle fenêtre) exception, les démarches suivantes sont à accomplir pour toutes les opérations suivantes relatives aux moyens de cryptologie :
Tableau de synthèse des démarches à accomplir selon le type d’opération :
| Opération | Démarches liées au « moyen de cryptologie » * | Démarches liées au classement « double usage » |
|---|---|---|
Utilisation en France |
/ |
|
Importation en France |
/ |
|
Fourniture en France |
/ |
|
Transfert intracommunautaire |
Déclaration auprès de l’ANSSI et demande |
Demande de licence d’exportation |
Exportation vers l’un des 81 pays « EU001 » |
Déclaration auprès de l’ANSSI |
Demande d’autorisation générale de |
Exportation vers un État tiers |
Déclaration et Demande d’autorisation |
Demande de licence d’exportation |
Pour aller plus loin
Les formalités relatives au contrôle de la cryptographie sont réalisées par voie électronique. Un envoi par courrier postal demeure néanmoins possible.
Pour saisir le Bureau des contrôles réglementaires d’une déclaration ou d’une autorisation relative à un moyen ou une prestation de cryptologie par voie dématérialisée, un courriel doit être envoyé à controle[at]ssi.gouv.fr :
- Préciser en objet le mot clé [formalités] sans modifications suivi des marques et nom de produit.
L’objet aura donc le format « [formalités] marque – nom du produit ». - Ajouter en pièces jointes :
– le formulaire électronique complété sauvegardé
– le formulaire complété signé scanné
– la documentation requise (formats acceptés : .pdf, .xls, .doc)
S’il est nécessaire de communiquer des informations sensibles, ces demandes peuvent être transmises par courrier postal* ou par voie électronique en chiffrant les documents par un moyen convenu avec l’ANSSI.
* Pour un envoi par courrier, le dossier est à adresser en un seul exemplaire et de préférence sur support électronique (clé USB, CD-ROM….) à :
Secrétariat général de la défense et de la sécurité nationale
ANSSI /SDE/PSS/Bureau Contrôles Réglementaires
51, boulevard de La Tour-Maubourg
75 700 PARIS 07 SP
France
Pour rappel :
Conformément à l’article 29 de la loi LCEN, « On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie ».
Tableau de synthèse des documents délivrés par l’ANSSI :
Suite à une déclaration ou à une demande d'autorisation, l'ANSSI délivre les documents ci-dessous.
Suite à une déclaration
Attestation de déclaration : Elle prouve que le fournisseur s’est acquitté de son obligation déclarative. Elle permet de fournir, importer en France et transférer le moyen depuis ou vers un État membre de l’UE.
En cas de demande de classement « grand public » : L’attestation précise alors que la demande de classement « grand public » a été prise en compte. L’ANSSI se prononcera sur le classement dans un délai de 2 mois à compter de la date de réception mentionnée par l’attestation.
Attestation de classement d’un moyen de cryptologie : C’est l’attestation officielle de classement « grand public ». Elle permet d’exporter le moyen de cryptologie librement dans le monde entier. L’ANSSI délivre cette attestation lorsqu’une demande de classement lui a été adressée et qu’elle la valide.
Important : cette attestation est nécessaire pour les démarches des exportateurs du moyen en douanes. Le fournisseur est tenu de mettre une copie de cette attestation à leur disposition.
Courrier de refus de classement « grand public » : Par ce courrier, l’ANSSI indique au fournisseur qu’elle ne valide pas la demande de classement « grand public » qui lui a été adressée. Le fournisseur est alors invité à déposer une demande d’autorisation auprès de l’ANSSI pour que le moyen puisse être exporté.
Important : l’autorisation d’exportation est nécessaire pour obtenir une licence d’exportation auprès du SBDU.
Suite à une demande d'autorisation
Récépissé de demande d’autorisation d’exportation : Il indique que la demande d’autorisation d’exportation a été prise en compte. L’ANSSI dispose d’un délai règlementaire de 4 mois à compter de la date mentionnée par le récépissé.
Important : pour gagner du temps, il est possible de déposer une demande de licence d’exportation auprès du SBDU sur présentation du récépissé. Il est donc recommandé au fournisseur de mettre le récépissé à la disposition de ses clients exportateurs.
Autorisation d’exportation : Elle indique que l’exportation du moyen de cryptologie est autorisée, sous couvert d’une licence d’exportation. Elle est valable 5 ans. Elle doit être mise à la disposition des exportateurs du moyen pour leur permettre d’effectuer leurs demandes de licences d’exportation auprès du SBDU.
Courrier de refus d’autorisation d’exportation : Il indique que le moyen de cryptologie n’est pas autorisé à l’exportation.
(Ouvre une nouvelle fenêtre) Articles 30 à 36 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)
(Ouvre une nouvelle fenêtre) Décret 2007-663 du 2 mai 2007 pris pour l'application des articles 30, 31 et 36 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique et relatif aux moyens et aux prestations de cryptologie.