Indice d'impact
et de vigilance
Chiffrement — cadre légal et pression pour des backdoors
LCEN 2004 · Art. 434-15-2 Code pénal · Five Eyes · Europol · Règlement CSAR
Le chiffrement est légal et libre en France depuis la loi LCEN de 2004 — une libéralisation complète par rapport au régime restrictif des années 1990. L'article 434-15-2 du Code pénal impose à toute personne de remettre les clés de déchiffrement qu'elle détient à la justice dans le cadre d'une enquête grave : cette obligation a été validée par le Conseil constitutionnel en 2018 et concerne les détenteurs de clés, pas les éditeurs de services.
La vraie ligne de tension est internationale. Depuis 2020, les gouvernements Five Eyes (États-Unis, Royaume-Uni, Australie, Canada, Nouvelle-Zélande), Europol et certains membres du gouvernement français réclament des mécanismes d'accès exceptionnel aux communications chiffrées. Le consensus des experts en sécurité est unanime : il n'existe pas de backdoor "sécurisée" — une porte dérobée accessible aux forces de l'ordre l'est également pour des acteurs malveillants. Si le règlement CSAR était adopté, il forcerait de facto la fin du chiffrement de bout en bout en Europe.
Ce qui est légal : Tout usage du chiffrement, sans déclaration, depuis la loi LCEN n° 2004-575 du 21 juin 2004. Cette libéralisation a mis fin à un régime restrictif des années 1990 (autorisation préalable, déclaration obligatoire pour les produits de plus de 40 bits). L'article L. 871-1 du Code des postes et des communications électroniques consacre cette liberté.
Art. 434-15-2 Code pénal — ce que dit le texte :
- Obligation de remettre la "convention secrète de déchiffrement" (la clé) à la justice si on en est détenteur
- Applicable lors d'une instruction judiciaire ou d'une enquête pour crime ou délit puni d'au moins 2 ans d'emprisonnement
- Peine en cas de refus : 3 ans de prison + 270 000 € d'amende — portée à 5 ans + 450 000 € si l'infraction visée est un crime ou délit terroriste
- Modifié en dernier lieu par la loi n° 2016-731 du 3 juin 2016 (renforcement pour terrorisme)
Depuis 2020, la pression des gouvernements pour un accès "exceptionnel" au chiffrement s'est intensifiée :
- Déclaration Five Eyes (oct. 2020) : les gouvernements des États-Unis, Royaume-Uni, Australie, Canada, Nouvelle-Zélande, rejoints par le Japon et l'Inde, demandent aux fournisseurs de technologie d'intégrer des "accès légaux" dans leurs produits chiffrés.
- Europol (2022) : communiqué demandant que "le chiffrement ne soit pas un obstacle à la justice" et réclamant un accès exceptionnel légalement encadré.
- Déclaration UE "Going Dark" (2023) : la Commission européenne reconnaît le "problème d'obscurcissement" des communications et mandate une étude sur des solutions techniques.
- Royaume-Uni — Online Safety Act (2023) : article 122 donne au régulateur Ofcom le pouvoir d'exiger des opérateurs l'accès aux communications chiffrées pour détecter du CSAM. Signal et WhatsApp ont menacé de quitter le Royaume-Uni.
La France n'a pas adopté de loi imposant des backdoors aux éditeurs, mais sa position dans les négociations UE est ambiguë. Des déclarations de responsables du renseignement ou de la police ont régulièrement appelé à "encadrer" le chiffrement.
L'argument des partisans de l'accès exceptionnel : "on peut créer une backdoor uniquement accessible aux forces de l'ordre légitimes". La réponse des cryptographes, quasi unanime depuis 25 ans :
- Il n'existe pas de backdoor exclusive : une porte dérobée dans un système cryptographique est accessible à quiconque la découvre — État, cybercriminel ou puissance étrangère. La sécuriser uniquement pour un groupe d'acteurs légitimes est techniquement impossible.
- Précédent NSA / NIST (2013) : la NSA avait secrètement affaibli le standard de chiffrement Dual EC DRBG. Ce standard a été utilisé pendant des années avant que la backdoor ne soit découverte — et potentiellement exploitée par d'autres acteurs.
- Précédent CALEA (États-Unis, 1994) : les "lawful interception" backdoors imposées aux opérateurs télécom américains ont été exploitées par des hackers chinois en 2009 pour espionner des ressortissants américains.
- Rapport MIT "Keys Under Doormats" (2015) : analyse signée par 14 cryptographes de référence mondiale (dont Ronald Rivest, co-inventeur de RSA), concluant qu'un accès exceptionnel "sécurisé" est techniquement impossible.
Ce n'est pas une position idéologique — c'est une contrainte mathématique. La cryptographie symétrique et asymétrique ne permet pas de "cibler" les destinataires d'une clé de déchiffrement une fois celle-ci créée.
Le chiffrement de bout en bout protège des populations à risque particulier :
- Journalistes et sources : la protection des sources est une garantie constitutionnelle (CC 2019-805 QPC). Le chiffrement E2EE est l'outil technique qui permet cette protection face à des États qui surveillent les communications.
- Avocats et médecins : le secret professionnel s'étend aux communications numériques. Un affaiblissement du chiffrement compromet la confidentialité avocat-client et médecin-patient.
- Entreprises : la protection des communications commerciales sensibles (R&D, négociations, données financières) repose sur le chiffrement. L'espionnage industriel via des backdoors gouvernementales serait une menace économique directe.
- Citoyens sous régimes autoritaires : des applications comme Signal sont utilisées par des dissidents, des opposants politiques et des journalistes dans des pays où la liberté d'expression est réprimée. Affaiblir le chiffrement dans les pays démocratiques fragilise ces usages partout dans le monde.
Le risque n'est pas une loi unique imposant soudainement des backdoors — c'est une convergence de pressions cumulatives :
- CSAR adopté → client-side scanning obligatoire → chiffrement E2EE de facto inutile pour les services grand public européens
- Online Safety Act UK étendu → pression sur les éditeurs globaux (Signal, Apple) de déployer des solutions compatibles → effet standardisant mondial
- Loi "Going Dark" UE → obligation d'accès exceptionnel pour les opérateurs télécom, puis extension aux messageries
- Précédent technique → une fois l'infrastructure de scanning déployée, elle est disponible pour d'autres gouvernements (y compris autoritaires) qui l'exigeront des mêmes entreprises
Chaque étape serait justifiée par un objectif légitime (protection des enfants, lutte contre le terrorisme). La résultante serait la fin effective du chiffrement de bout en bout pour les communications grand public en Europe — non par une décision unique, mais par accumulation.
Ce scénario n'est pas inéluctable. La jurisprudence CJUE (La Quadrature du Net, 2020) constitue un verrou juridique fort contre la surveillance généralisée. Le rejet du CSAR par le PE en 2023 montre que ce verrou est opérationnel.
| Critère | Poids | Note |
|---|---|---|
| Liberté d'usage du chiffrement (cadre actuel) | 15 | 4/15 |
| Risque pour les communications chiffrées | 20 | 12/20 |
| Encadrement judiciaire des demandes (art. 434-15-2) | 13 | 4/13 |
| Droits des personnes concernées | 12 | 8/12 |
| Pression normative internationale | 15 | 12/15 |
| Risque d'extension par législation future | 15 | 10/15 |
| Réversibilité du cadre actuel | 10 | 5/10 |
| Score total | 55/100 | |
Le cadre légal actuel (LCEN + art. 434-15-2) est réversible — une loi ordinaire peut le modifier. En revanche, si une backdoor technique est déployée (via CSAR ou autre), sa désinstallation sur des milliards d'appareils est pratiquement impossible. La réversibilité est maximale maintenant ; elle deviendrait quasi-nulle après déploiement.