Intervention de Jean-Yves Leconte

Cet amendement important porte sur le cryptage.

Les alinéas 6 et 8 de l’article 6 viennent modifier la rédaction de l’article L. 244-1 du code de la sécurité intérieure, dont le 2° de ce même article 6 fait l’article L. 871-1 de ce même code.

Or cet article dispose actuellement :

« Les personnes physiques ou morales qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité sont tenues de remettre aux agents autorisés dans les conditions prévues à l’article L. 242-1, sur leur demande, les conventions permettant le déchiffrement des données transformées au moyen des prestations qu’elles ont fournies. Les agents autorisés peuvent demander aux fournisseurs de prestations susmentionnés de mettre eux-mêmes en œuvre ces conventions, sauf si ceux-ci démontrent qu’ils ne sont pas en mesure de satisfaire à ces réquisitions.

« Un décret en Conseil d’État précise les procédures suivant lesquelles cette obligation est mise en œuvre ainsi que les conditions dans lesquelles la prise en charge financière de cette mise en œuvre est assurée par l’État. »

Cet article est issu d’une ordonnance n° 2012-351 du 12 mars 2012 relative à la partie législative du code de la sécurité intérieure.

Les alinéas 6 et 8 de l’article 6 du projet de loi prévoient que les fournisseurs de prestations de cryptologie remettent « sans délai » aux agents autorisés les conventions permettant le déchiffrement de ces données.

Par le présent amendement, il est proposé d’instaurer un délai de soixante-douze heures. Ce délai raisonnable permettra notamment de parer à certains risques en matière de sécurité industrielle. En effet, faute de délai, ces dispositions risquent de conduire les fournisseurs à décrypter « au fil de l’eau », pour être prêts à communiquer rapidement les données sollicitées en cas de demande des agents autorisés, puisque ces dispositions permettent également auxdits agents de demander aux fournisseurs de « mettre eux-mêmes en œuvre ces conventions ».

En outre, les sociétés qui voudraient vraiment se protéger de ces risques de fragilité qu’entraîne de facto l’exigence de cryptage faible, donc de faible sécurité, devraient acheter des logiciels de cryptage à l’étranger, ce qui fragiliserait en fin de compte notre situation et remettrait en cause l’objet même des dispositions de l’article en discussion.

En voulant exiger la remise sans délai de ces conventions, on prend donc de vrais risques, parce qu’on affaiblit la capacité des entreprises à se protéger : elles n’auront plus à leur disposition que des cryptages basiques ou des dispositifs achetés à l’étranger et, par conséquent, souvent indisponibles pour les services de renseignement.

Une autre solution pourrait consister à laisser intacte la rédaction actuelle du code de la sécurité intérieure. En effet, je crois vraiment que, si nous le modifions en introduisant la mention « sans délai », nous risquons de perdre une maîtrise technique en la matière, ce qui constituera plus un facteur de risque qu’un facteur de sécurité.