Chapitre 6

Une législation complexe

Chaque pays possède sa propre législation en matière de chiffrement et de son utilisation, aussi, cet article ne traitera que la législation française. Pour cela, ce document va fortement se baser sur les publications de la CNIL et de l'ANSSI. Mais nous verrons que ces entités n'ont pas toutes les réponses juridiques car l'interception TLS n'est tout simplement pas encadrée par la loi française. Aussi, l'objectif ne sera pas d'être conforme à la loi, mais d'éviter le plus possible d'être en infraction.

6.1 Un chiffrement libre sous condition

Avant de s'attaquer à la législation concernant le déchiffrement, voyons d'abord celle qui réglemente le chiffrement. Depuis l'année 2004, la LCEN¹ prévoit par son article 30 la libre utilisation des moyens cryptographiques permettant les fonctions d'identification, d'intégrité et de confidentialité des données ². C'est-à-dire que toute personne en France est dans son droit d'utiliser toutes formes de chiffrement afin de préserver la confidentialité d'une donnée. Néanmoins, cela ne veut pas dire que l'échange des données doit être opaque en toutes circonstances. En effet, par son article 37, la LCEN à créé l'article 132-79 du code pénal qui définit les peines privatives de libertés en cas de crime ou délit, et les moyens de chiffrement ont permis ou facilité leur préparation ou commission. Ces peines peuvent monter jusqu'à la réclusion criminelle à perpétuité, mais, elles ne sont applicables que si l'auteur ou complice n'est pas en mesure de fournir les messages en clair (non chiffrés), ni les moyens de chiffrement (algorithmes et clefs) utilisés aux autorités judiciaires ou administratives.

Pour résumer, l'utilisation de tout type de chiffrement est légale tant qu'il est possible de fournir les données en clair et les moyens cryptologiques utilisés, à la demande des autorités compétentes. Aussi, l'utilisation du TLS est parfaitement autorisée en France, ce qui permet à de nombreux sites web de proposer du chiffrement.

Dans la réalité, il est rare que les autorités demandent aux clients de fournir de telles données. Pour rappel du fonctionnement de TLS, lors de l'établissement de la connexion, le client n'a pas l'obligation de fournir un certificat, par conséquent, la paire de clefs qu'il utilisera pour une session TLS sera dynamique et dépendra en partie de la clef publique du serveur distant. Au vu de cette complexité, voire de l'impossibilité de récupérer ces clefs, ce sont souvent les propriétaires des serveurs qui sont sollicités pour répondre aux besoins des autorités lors d'une enquête. Or, nous avons pu voir également que pour les serveurs, leurs certificats peuvent servir uniquement pour l'authentification. Si tel est le cas, le serveur utilisera également des paires de clefs dynamiques en fonction des clients. Autant

ce mode de fonctionnement permet d'accroître la sécurité le serveur n'utilise pas qu'une paire de

clefs statiques, mais plusieurs dynamiques autant il peut être compliqué pour l'administrateur de

fournir la paire de clefs utilisée pour une session précise. Ce qui peut entraîner des sanctions pénales en fonction de la gravité du crime ou délit sur lequel les autorités enquêtent. L'interception TLS peut permettre de stocker les données nécessaires sans pour autant prévoir un archivage de toutes les clefs utilisées dans le temps.

1. Loi n^° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

2. Définition des moyens cryptologies donnée par l'article 29 de la LCEN.

Edouard Petitjean M2 MIAGE SIID 40

Une législation complexe - Les obligations légales

6.2 Les obligations légales

Toute organisation a besoin de manipuler des données pour produire et prospérer. Ces données peuvent concerner soit secrets internes (secrets de productions, méthodes de travail, etc...) ou des données personnelles recueillies au fil du temps. Dans ces deux cas, il existe un besoin réel de protéger ces informations. Tant parce qu'elles permettent le bon fonctionnement de l'organisation qui les emplois, que par les obligations légales qui en découlent.

La croissance forte de l'utilisation du TLS dans les usages du quotidien empêche bon nombre d'organismes de procéder à des contrôles de sécurité satisfaisants. Or, le manque de contrôle sur les données transitant sur un réseau peut avoir des répercussions juridiques importantes. L'interception TLS est donc un réel enjeu juridique sur le fonctionnement d'une structure.

6.2.1 Données personnelles: la protection quoiqu'il arrive

La CNIL définit par données personnelles « toutes informations relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » 3.

Donc tous les systèmes d'informations permettant à une structure de vivre utiliseront forcément des données personnelles telles qu'elles sont définies par la CNIL. Que ça soit par la gestion des ressources humaines, la gestion commerciale, les services de santé et d'aide à la personne et autres, l'acquisition de données personnelles et leurs traitements se fait naturellement selon le besoin de la structure. Aussi, les traitements liés à ces données personnelles doivent faire l'objet d'une déclaration concernant la finalité et les moyens de ces traitements auprès de la CNIL. Pour cela, un responsable de traitement est nécessairement identifié (personne physique, service ou organisme) pour tout traitement déclaré ⁴. Il est par conséquent possible d'avoir plusieurs responsables de traitement au sein d'une même entreprise. Le DRH (Directeur des Ressources Humaines) sera responsable des traitements dédiés aux informations personnelles liées aux ressources humaines, tandis que le DSI (Directeur du Système d'Information) sera responsable des données personnelles liés à l'utilisation quotidienne de son système par les utilisateurs.

Lorsqu'un responsable de traitement est identifié, plusieurs obligations en matière de protection des données lui incombent. L'article 34 de la Loi 78-17 du 6 janvier 1978, ainsi qu'une directive européenne⁵ oblige un responsable de traitement de prendre toutes les mesures nécessaires afin de préserver la sécurité des données. Pour cela, il doit empêcher toutes corruptions ou accès à des tiers non autorisés. Pour le responsable, manquer à cette obligation l'expose à un risque pénal pouvant monter à cinq ans de prison et 300 000 euros d'amende⁶.

6.2.2 L'interception TLS dans la protection des données

Même s'il peut y avoir plusieurs responsables de traitement au sein d'une entreprise, la gestion du système d'information reste à la charge du service associé. De plus, les données propres à l'entreprise doivent faire l'objet d'une sécurisation importante afin d'éviter des problèmes de production, d'espionnage, etc... Aussi, il n'est pas rare de voir un service informatique proposer, voire vendre, des « services » aux autres secteurs de l'entreprise. Cela permet à la fois de centraliser les responsabilités légales mais aussi d'optimiser la protection des données de l'entreprise et de mutualiser les outils de sécurisation.

Pour la CNIL, l'employeur doit assurer la sécurité de son système d'information, par conséquent, l'interception TLS est parfaitement légitime si elle est encadrée ⁷. Pour cela, plusieurs critères doivent être respectés.

Premièrement, l'utilisation de l'interception et de l'utilisation des flux interceptés doivent être en accord avec les cinq principes clefs de la CNIL qui sont : la finalité du traitement, la proportionnalité

3. Article 2 de la Loi 78-17 du 6 janvier 1978

4. Article 3-I de la Loi 78-17 du 6 janvier 1978

5. Article 17 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

6. Article 226-17 du code pénal.

7. https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions

Edouard Petitjean M2 MIAGE SIID 41

Une législation complexe - Les obligations légales

des moyens mis en oeuvre et la pertinence des données analysées, la durée de conservation des données traitées, la sécurité et confidentialité des données recueillies, et pour finir, le respect des droits à la personne 8.

Deuxièmement, puisque l'interception TLS va donner la possibilité à des personnes habilitées de l'entreprise, la possibilité de visualiser des informations normalement confidentielles aux utilisateurs, plusieurs mesures sont nécessaires⁹.

L'information aux utilisateurs

Il est important que si la technique d'interception TLS est mise en pratique, les utilisateurs im-pactés soient avertis. Une explication claire et précise sur les raisons qui ont amené la mise en oeuvre de cette technique doit être donnée aux utilisateurs. Également, le détail des flux interceptés devra être communiqué (population d'utilisateurs impactée, protocoles interceptés, sites présents dans une liste blanche non soumise à l'interception, les données recueillies, etc...) afin de laisser la liberté aux utilisateurs de naviguer ou non en toute connaissance de cause.

Cette notification peut très bien se faire au travers de la charte informatique. Néanmoins, il ne faut pas oublier que pour qu'une charte informatique soit opposable aux salariés, elle doit être déployée au même titre que le règlement intérieur.

L'accès aux courriers électroniques

L'interception des courriers électroniques est soumise aux mêmes règles que leur exploitation sur un serveur de messagerie. Il est nécessaire de définir précisément des processus d'accès (administrateurs, droits, méthodes, contextes) aux courriers électroniques des utilisateurs. Pour rappel, tous les courriers électroniques envoyés et reçus par la messagerie de l'entreprise sont présumés professionnels à moins d'être explicitement identifiés comme étant personnels.

Minimisation des traces conservées

Un des enjeux de l'interception TLS est la journalisation des flux. Il est très important que la journalisation des flux interceptés se base sur les mêmes critères que la journalisation d'un flux en clair le permet. Aussi, il est possible de journaliser la source et destination d'un flux, le protocole utilisé, quelques métadonnées, etc... Mais le contenu des messages échangés ne doit pas faire l'objet d'un stockage ciblé. Aussi, il n'est pas autorisé de conserver les identifiants, mots de passe, codes personnels et autres.

Une protection des données d'alertes extraite de l'analyse

C'est-à-dire que tout résultat suite à un traitement ne doit être accessible que par des personnes habilitées à voir ces résultats.

6.2.3 La responsabilité en cas de crime ou délit

Comme je l'ai évoqué dans la section Un chiffrement libre sous condition p.39, il existe un risque que le chiffrement des moyens de communication puisse permettre ou faciliter les crimes ou délits. Dans tel cas, la LCEN prévoit d'alourdir la peine de prison en fonction de la gravité du crime ou délit. Mais dans le cadre d'un organisme, il ne faut pas oublier que chaque salarié est sous la responsabilité d'une personne, et qu'en cas de crime ou délit commis par le salarié, le responsable de ce salarié, ainsi que le service informatique, peut voir sa responsabilité civile engagée. Il est donc nécessaire de déployer les moyens adéquats pour prévenir et bloquer l'utilisation illégale du système informatique.

La responsabilité du responsable du salarié

Dans le cas où un salarié utilise les outils professionnels, pendant ses heures et sur son lieu de travail, pour commettre un crime ou un délit, la responsabilité civile de la personne qui répond du salarié peut être engagée sur le fondement de l'article 1242 du code civil. Cette responsabilité a déjà

8. https://www.cnil.fr/sites/default/files/typo/document/Guide_employeurs_salaries.pdf.pdf

9. https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions

Edouard Petitjean M2 MIAGE SIID 42

Une législation complexe - Les obligations légales

été engagée en 2003. En effet la société Estoca avait attaqué la société Lucent Technologies pour un site web litigieux créé par un de ses employés. La société Lucent Technologies a bel et bien été déclarée responsable sur le fondement de l'article précédemment cité¹⁰.

La responsabilité du service informatique

Toujours dans le cas où un salarié commet un crime ou délit en utilisant les outils informatiques de l'entreprise, la responsabilité civile du DSI et/ou de son équipe peut être engagée. Non pas qu'ils doivent répondre du salarié, mais sur la base que si le salarié a pu commettre le crime, c'est grâce aux moyens fournis sans avoir mis en place des contre-mesures ou avoir notifié la direction des risques possibles. Aussi, la direction peut engager la responsabilité du service informatique sur le principe de la négligence en se basant sur l'article 1241 du code civil.

6.2.4 L'obligation d'une journalisation

La LCEN prévoit une disposition particulière pour les fournisseurs d'accès à Internet (FAI). La définition d'un FAI se résume à « toute personne physique ou morales dont l'activité est d'offrir un accès à des services de communication au public en ligne » ¹¹. Pour ces FAI, la LCEN leur impose de concourir à la lutte contre « l'apologie des crimes contre l'humanité, la provocation à la commission d'actes de terrorisme et de leur apologie, l'incitation à la haine raciale, la haine à l'égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap ainsi que de la pornographie enfantine, de l'incitation à la violence, notamment l'incitation aux violences faites aux femmes, ainsi que des atteintes à la dignité humaine » ¹². Cela se traduit pour les FAI à détenir et conserver toutes « les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires » 13.

Mais en 2006, la loi antiterrorisme étend les obligations des FAI à toutes structures et personnes permettant un accès Internet, privé ou public ¹⁴. Par conséquent, à partir du moment où un accès Internet est déployé dans n'importe qu'elle organisme, il est obligatoire de converser tous éléments permettant l'identification tel que définie dans l'article 6-II de la LCEN. La loi oblige la conversation de ces données pour la période d'un an avant de pouvoir anonymiser ou supprimer ces données 15.

6.2.5 La loi HADOPI

La loi HADOPI est surtout connue en France pour être une loi antipiratage des oeuvres circulant sur les réseaux peer-to-peer¹⁶. Pour les entreprises, cette loi est un risque à prendre en compte puisqu'elle introduit une nouvelle notion : la négligence caractérisée ¹⁷. Ainsi, si le réseau d'entreprise est utilisé a des fins malveillantes, l'entreprise peut être tenue pour responsable car elle n'aura pas ou mal mis en oeuvre les moyens de protections sur son réseau. Cette obligation de surveillance et de protection est appuyée par l'article L336-3 du Code de la propriété intellectuelle quand il s'agit d'une atteinte aux droits d'auteurs (téléchargement illégal, distribution de contrefaçon).

6.2.6 Interception dans le cadre judiciaire

Nous l'avons vu précédemment, l'utilisation du chiffrement est libre mais à condition de pouvoir communiquer les clefs de chiffrement. Mais pas seulement, il existe une obligation légale de déchiffrement lors d'une interception judiciaire ¹⁸, ou dans le cadre d'interception de sécurité ¹⁹ ou encore lors d'une enquête ou instruction²⁰.

10. TGI Marseille, 11 juin 2003, D. 2003

11. Article 6-I-1 de la LCEN

12. Article 6-I-7 de la LCEN

13. Article 6-II de la LCEN

14. Article 34-1-I du Code des postes et des communications électroniques

15. 34-1-II du Code des postes et des communications électroniques

16. Est un modèle de réseaux informatiques basé sur le client-serveur mais dans lequel tous les clients sont serveurs et inversement.

17. Article R335-5 du Code de la propriété intellectuelle

18. Article 100 à 100-8 du Code de la procédure pénale

19. Article L241-1 à 245-3 du Code de la sécurité intérieure

20. Article 230-1 du Code de la procédure pénale

Edouard Petitjean M2 MIAGE SIID 43

Une législation complexe - La légalité de l'interception TLS

Même si ces obligations concernent toutes formes d'interceptions des communications, le TLS est un peu particulier car il est extrêmement compliqué, même pour un organisme étatique d'intercepter une communication chiffrée avec TLS. Aussi, il est possible que dans le cadre d'une interception judiciaire, une entreprise soit sollicitée pour mener à bien cette interception.

6.3 La légalité de l'interception TLS

Pour le moment, nous n'avons traité que les risques légaux que le chiffrement de données entraîne pour un individu ou à une entité. Aussi, nous pourrions croire qu'il faudrait impérativement mettre en place cette technique afin d'éviter des risques judiciaires importants, mais nous allons voir que la mise en place du déchiffrement expose également à des risques juridiques loin d'être anodins.

6.3.1 Des atteintes aux secrets

En mettant en pratique l'interception TLS, beaucoup de problèmes de confidentialité peuvent subvenir. En effet, il n'est possible d'analyser le contenu qu'une fois un message déchiffré, or, le simple fait de déchiffrer le message peut être considéré comme une infraction.

Le secret des correspondances privées

Le premier problème auquel il est facile de penser est celui lié au secret des correspondances privées. Puisque l'interception d'un message électronique est punie d'un an d'emprisonnement et 45 000 euros d'amende²¹, un mécanisme permettant de tous les intercepter est clairement contraire à cette loi.

La protection des données personnelles

Précédemment, nous avons vu l'importance de protéger les données personnelles au sein d'un or-ganisme²². Néanmoins, il ne faut pas oublier que l'interception TLS est en soi un traitement appliqué aux diverses données qu'il manipulera. Par conséquent, son utilisation non déclarée ni encadrée peut entraîner une peine de cinq ans de prison et de 300 000 euros d'amende²³.

Un autre problème relatif aux données personnelles est celles non gérées par l'entreprise. Pour qu'une déclaration auprès de la CNIL soit valable, il faut détailler les finalités et moyens mis en place, mais aussi les données qui feront l'objet du traitement. Or, avec l'interception TLS qui peut déchiffrer beaucoup de choses, il est plus que probable qu'il analyse des données personnelles qui ne seront pas déclarées auprès de la CNIL (par exemple : numéro de carte bancaire, dossiers administratifs ou médicaux). Même, il peut permettre de prendre connaissance de données personnelles que l'entreprise n'a pas à connaître.

Même si la CNIL autorise et recommande l'analyse des flux chiffrés tant qu'elle est encadrée, cela n'ôte pas pour autant les risques juridiques liés aux traitements de données personnelles.

La vie privée des utilisateurs

Les utilisateurs ont le droit d'utiliser les outils professionnels pour des activités personnelles pendant les heures de travail, tant que cette utilisation personnelle reste acceptable ²⁴. Par conséquent, l'utilisateur est susceptible de communiquer des propos, photos et vidéos sur des plateformes publiques ou privées. Dans de tels cas, l'interception de ces données, sans le consentement de son auteur peut valoir un an d'emprisonnement et 45 000 euros d'amende²⁵. Pour aller plus loin, la détention d'un dispositif technique permettant cette interception non consentie expose à un risque de cinq années de prison et 300 000 euros d'amende²⁶.

21. Article 226-15 du Code pénal

22. Cf. Données personnelles : la protection quoiqu'il arrive p.40

23. Articles 226-16 à 226-24 du Code pénal

24. Arrêt Nikon, le 2 octobre 2001

25. Article 226-1 à 226-7 du Code pénal

26. Article 226-3 du Code pénal

Edouard Petitjean M2 MIAGE SIID 44

Une législation complexe - Récapitulatif

La sensibilité des informations

Cela a été dit précédemment, l'interception TLS va analyser et prendre connaissance de beaucoup de données. Cela peut être problématique pour certaines activités. D'une part, les divers secrets professionnels, auxquels seules les personnes habilitées doivent avoir connaissance, peuvent être connus des personnes travaillant sur l'interception TLS. Cela peut être plus gênant quand il s'agit d'informations hautement confidentielles et/ou pouvant entraîner un risque de conflit d'intérêts. Par exemple, des informations sur une restructuration de l'entreprise, une négociation de salaire d'un collègue, ou encore un échange entre des salariés protégés.

Nous pouvons aussi avoir des données qui sont protégées par une réglementation spécifique, comme la réglementation relative à la protection du patrimoine scientifique et technique de la nation. Ou encore des données relatives aux secrets de la défense nationale²⁷.

6.3.2 La sous-traitance

Dans un modèle de gestion où les compétences informatiques sont de plus en plus sous-traitées, il n'est pas rare que des employés d'une autre entité manipulent les équipements de sécurité relatifs au système d'information, et bien sûr, à l'interception TLS. Aussi, il est important de bien encadrer le périmètre précis et les actions que le prestataire pourra effectuer. En effet, la sous-traitance de la compétence ne signifie pas la délégation des risques juridiques. L'entreprise qui emploie la sous-traitance est toujours responsable si le sous-traitant commet des crimes et délits avec les moyens de l'entreprise. Dans l'affaire du piratage de Greenpeace par un sous-traitant d'EDF, EDF a vu sa responsabilité pénale engagée et a été condamnée à verser 1 500 000 euros 28.

6.3.3 Atteinte au STAD ?

La question la plus problématique auquelle même la CNIL ne saurait répondre est la suivante : l'interception TLS porte-t-elle atteinte au STAD²⁹ ?

Le terme de STAD est un terme bien trop vague pour en définir un périmètre précis. Par exemple, le réseau de France Telecom dans son ensemble est un STAD. Un disque dur peut être aussi considéré comme un STAD. Donc, est-ce que la mise en place de l'interception TLS porte atteinte dans le sens où elle intercepte un trafic entre deux entités formant à ce moment-là un STAD? Ou bien l'interception TLS fait elle-même partie du STAD?

Même si cette question peut sembler déroutante, il est nécessaire de ne pas être certains de son interprétation. Les infractions concernant les STAD sont définies par les articles 323-1 à 323-7 du code pénal, Les peines pouvant varier de deux ans de prison et 60 000 euros d'amende à dix ans de prison et 300 000 euros d'amende.

La principale incertitude concernant cette question est que malgré la croissance de l'interception TLS dans les entreprises, il n'y a eu à ce jour, aucune affaire, et donc aucune jurisprudence concernant ce point.

6.4 Récapitulatif

La véritable problématique de l'interception TLS est qu'il n'existe aucun cadre légal qui lui est consacré. La CNIL et l'ANSSI l'autorisent car elle permet d'accroître la sécurité des systèmes d'informations mais leurs autorisations ne valent pas la loi. Par conséquent, tant qu'il n'y aura pas de texte l'encadrant spécifiquement, tant qu'il n'y aura pas eu de jurisprudence sur son utilisation, et tant que le terme STAD sera toujours aussi large, la mise en place ou non de l'interception sur un plan légal se résumera à cette question : ne pas déchiffrer et être responsable par manque d'informations, ou mettre en place et être responsable d'atteintes aux STAD et données diverses?

27. n^°1300/SGDSN/PSE/PSD du 30 novembre 2011

28. https://www.legalis.net/jurisprudences/tribunal-correctionnel-de-nanterre-jugement-du-10-novembre-2011/

29. Système de Traitement Automatisé de données, un terme juridique extrêmement large désignant un ensemble composé d'une ou plusieurs unités de traitement, de mémoire, de logiciel, de données, d'organes d'entrées-sorties et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité.

Edouard Petitjean M2 MIAGE SIID 45

Une législation complexe - Récapitulatif

TABLE 6.1 - Récapitulatif de la législation française

Comme pour l'aspect technique, le tableau tab. 6.1 p.45 va présente les enjeux et risques légaux de mettre en place cette technique.

Edouard Petitjean M2 MIAGE SIID 46