Deux niveaux de lecture distincts. Le cadre légal français (LCEN 2004, art. 434-15-2 CP) est protecteur : le chiffrement est libre, aucune backdoor n'est légalement imposée aux éditeurs. La pression normative internationale (Five Eyes, Europol, règlement CSAR) est en revanche croissante et constitue le principal risque à surveiller.
55
/ 100
Indice d'impact
et de vigilance
Art. 434-15-2 — en vigueur Pression backdoors — croissante Impact modéré

Chiffrement — cadre légal et pression pour des backdoors

LCEN 2004 · Art. 434-15-2 Code pénal · Five Eyes · Europol · Règlement CSAR

En bref

Le chiffrement est légal et libre en France depuis la loi LCEN de 2004 — une libéralisation complète par rapport au régime restrictif des années 1990. L'article 434-15-2 du Code pénal impose à toute personne de remettre les clés de déchiffrement qu'elle détient à la justice dans le cadre d'une enquête grave : cette obligation a été validée par le Conseil constitutionnel en 2018 et concerne les détenteurs de clés, pas les éditeurs de services.

La vraie ligne de tension est internationale. Depuis 2020, les gouvernements Five Eyes (États-Unis, Royaume-Uni, Australie, Canada, Nouvelle-Zélande), Europol et certains membres du gouvernement français réclament des mécanismes d'accès exceptionnel aux communications chiffrées. Le consensus des experts en sécurité est unanime : il n'existe pas de backdoor "sécurisée" — une porte dérobée accessible aux forces de l'ordre l'est également pour des acteurs malveillants. Si le règlement CSAR était adopté, il forcerait de facto la fin du chiffrement de bout en bout en Europe.

Ce qu'il faut retenir
Chiffrement légal et libre en France — Depuis la LCEN 2004, aucune autorisation ni déclaration n'est requise pour chiffrer ses données ou communications, à usage personnel ou professionnel.
⚖️Art. 434-15-2 : remettre une clé ≠ créer une backdoor — La loi oblige à remettre une clé qu'on détient. Elle ne peut pas contraindre Signal ou un éditeur E2EE à accéder à des messages chiffrés dont il ne détient pas les clés.
🌍Pression internationale croissante — Les Five Eyes et Europol réclament depuis 2020 des "accès exceptionnels" au chiffrement. Ces demandes n'ont pas encore abouti à une loi contraignante en Europe.
🔐Il n'existe pas de backdoor sécurisée — Consensus des cryptographes : une porte dérobée accessible aux forces de l'ordre est accessible à tout acteur suffisamment motivé (États étrangers, cybercriminels). Il n'y a pas de backdoor "exclusive".
⚠️Le CSAR serait le vrai pivot — Si adopté, le règlement Chat Control forcerait le client-side scanning et rendrait le chiffrement de bout en bout inutile en pratique. C'est le principal risque à moyen terme pour le chiffrement en Europe.
Garanties du cadre actuel
LCEN 2004Liberté totale d'usage du chiffrement, sans déclaration ni autorisation (art. L. 871-1 CPCE). Régime libéralisé depuis 1999 (usage professionnel) et 2004 (usage total).
Contrôle judiciaireL'art. 434-15-2 CP ne s'applique que dans le cadre d'une procédure judiciaire. Un juge d'instruction ou un magistrat doit l'autoriser. Pas d'accès administratif direct.
CC 2018-696 QPCLe Conseil constitutionnel a validé l'art. 434-15-2 tout en le cantonnant : obligation de remettre une clé existante, pas de créer un accès inexistant.
Jurisprudence CJUELes arrêts La Quadrature du Net (2020) et Schrems II (2020) interdisent la surveillance généralisée des communications, fixant un standard européen élevé.
Analyse par niveaux
N1 Cadre légal actuel en France — ce qui existe vraiment

Ce qui est légal : Tout usage du chiffrement, sans déclaration, depuis la loi LCEN n° 2004-575 du 21 juin 2004. Cette libéralisation a mis fin à un régime restrictif des années 1990 (autorisation préalable, déclaration obligatoire pour les produits de plus de 40 bits). L'article L. 871-1 du Code des postes et des communications électroniques consacre cette liberté.

Art. 434-15-2 Code pénal — ce que dit le texte :

  • Obligation de remettre la "convention secrète de déchiffrement" (la clé) à la justice si on en est détenteur
  • Applicable lors d'une instruction judiciaire ou d'une enquête pour crime ou délit puni d'au moins 2 ans d'emprisonnement
  • Peine en cas de refus : 3 ans de prison + 270 000 € d'amende — portée à 5 ans + 450 000 € si l'infraction visée est un crime ou délit terroriste
  • Modifié en dernier lieu par la loi n° 2016-731 du 3 juin 2016 (renforcement pour terrorisme)
Idée reçue
L'art. 434-15-2 peut forcer Signal ou WhatsApp à accéder aux messages de leurs utilisateurs.
Réalité
Signal et WhatsApp utilisent un chiffrement de bout en bout où les opérateurs ne détiennent pas les clés. Seuls les appareils des utilisateurs les ont. L'art. 434-15-2 ne peut obliger personne à remettre une clé qu'il ne détient pas — y compris un éditeur de logiciel.
N2 Pression internationale : Five Eyes, Europol, "Going Dark"

Depuis 2020, la pression des gouvernements pour un accès "exceptionnel" au chiffrement s'est intensifiée :

  • Déclaration Five Eyes (oct. 2020) : les gouvernements des États-Unis, Royaume-Uni, Australie, Canada, Nouvelle-Zélande, rejoints par le Japon et l'Inde, demandent aux fournisseurs de technologie d'intégrer des "accès légaux" dans leurs produits chiffrés.
  • Europol (2022) : communiqué demandant que "le chiffrement ne soit pas un obstacle à la justice" et réclamant un accès exceptionnel légalement encadré.
  • Déclaration UE "Going Dark" (2023) : la Commission européenne reconnaît le "problème d'obscurcissement" des communications et mandate une étude sur des solutions techniques.
  • Royaume-Uni — Online Safety Act (2023) : article 122 donne au régulateur Ofcom le pouvoir d'exiger des opérateurs l'accès aux communications chiffrées pour détecter du CSAM. Signal et WhatsApp ont menacé de quitter le Royaume-Uni.

La France n'a pas adopté de loi imposant des backdoors aux éditeurs, mais sa position dans les négociations UE est ambiguë. Des déclarations de responsables du renseignement ou de la police ont régulièrement appelé à "encadrer" le chiffrement.

N3 Pourquoi une backdoor "sécurisée" n'existe pas

L'argument des partisans de l'accès exceptionnel : "on peut créer une backdoor uniquement accessible aux forces de l'ordre légitimes". La réponse des cryptographes, quasi unanime depuis 25 ans :

  • Il n'existe pas de backdoor exclusive : une porte dérobée dans un système cryptographique est accessible à quiconque la découvre — État, cybercriminel ou puissance étrangère. La sécuriser uniquement pour un groupe d'acteurs légitimes est techniquement impossible.
  • Précédent NSA / NIST (2013) : la NSA avait secrètement affaibli le standard de chiffrement Dual EC DRBG. Ce standard a été utilisé pendant des années avant que la backdoor ne soit découverte — et potentiellement exploitée par d'autres acteurs.
  • Précédent CALEA (États-Unis, 1994) : les "lawful interception" backdoors imposées aux opérateurs télécom américains ont été exploitées par des hackers chinois en 2009 pour espionner des ressortissants américains.
  • Rapport MIT "Keys Under Doormats" (2015) : analyse signée par 14 cryptographes de référence mondiale (dont Ronald Rivest, co-inventeur de RSA), concluant qu'un accès exceptionnel "sécurisé" est techniquement impossible.

Ce n'est pas une position idéologique — c'est une contrainte mathématique. La cryptographie symétrique et asymétrique ne permet pas de "cibler" les destinataires d'une clé de déchiffrement une fois celle-ci créée.

N4 Impact sur les entreprises, journalistes et professions sensibles

Le chiffrement de bout en bout protège des populations à risque particulier :

  • Journalistes et sources : la protection des sources est une garantie constitutionnelle (CC 2019-805 QPC). Le chiffrement E2EE est l'outil technique qui permet cette protection face à des États qui surveillent les communications.
  • Avocats et médecins : le secret professionnel s'étend aux communications numériques. Un affaiblissement du chiffrement compromet la confidentialité avocat-client et médecin-patient.
  • Entreprises : la protection des communications commerciales sensibles (R&D, négociations, données financières) repose sur le chiffrement. L'espionnage industriel via des backdoors gouvernementales serait une menace économique directe.
  • Citoyens sous régimes autoritaires : des applications comme Signal sont utilisées par des dissidents, des opposants politiques et des journalistes dans des pays où la liberté d'expression est réprimée. Affaiblir le chiffrement dans les pays démocratiques fragilise ces usages partout dans le monde.
Point de vigilance : L'art. 434-15-2 prévoit une protection spécifique pour certaines professions (journalistes, avocats) dans le cadre du secret professionnel. Un affaiblissement du chiffrement par voie législative ou technique irait à l'encontre de ces protections existantes.
N5 Scénario de convergence des pressions

Le risque n'est pas une loi unique imposant soudainement des backdoors — c'est une convergence de pressions cumulatives :

  • CSAR adopté → client-side scanning obligatoire → chiffrement E2EE de facto inutile pour les services grand public européens
  • Online Safety Act UK étendu → pression sur les éditeurs globaux (Signal, Apple) de déployer des solutions compatibles → effet standardisant mondial
  • Loi "Going Dark" UE → obligation d'accès exceptionnel pour les opérateurs télécom, puis extension aux messageries
  • Précédent technique → une fois l'infrastructure de scanning déployée, elle est disponible pour d'autres gouvernements (y compris autoritaires) qui l'exigeront des mêmes entreprises

Chaque étape serait justifiée par un objectif légitime (protection des enfants, lutte contre le terrorisme). La résultante serait la fin effective du chiffrement de bout en bout pour les communications grand public en Europe — non par une décision unique, mais par accumulation.

Ce scénario n'est pas inéluctable. La jurisprudence CJUE (La Quadrature du Net, 2020) constitue un verrou juridique fort contre la surveillance généralisée. Le rejet du CSAR par le PE en 2023 montre que ce verrou est opérationnel.

Score détaillé
CritèrePoidsNote
Liberté d'usage du chiffrement (cadre actuel)154/15
Risque pour les communications chiffrées2012/20
Encadrement judiciaire des demandes (art. 434-15-2)134/13
Droits des personnes concernées128/12
Pression normative internationale1512/15
Risque d'extension par législation future1510/15
Réversibilité du cadre actuel105/10
Score total55/100
Réversibilité
Asymétrique

Le cadre légal actuel (LCEN + art. 434-15-2) est réversible — une loi ordinaire peut le modifier. En revanche, si une backdoor technique est déployée (via CSAR ou autre), sa désinstallation sur des milliards d'appareils est pratiquement impossible. La réversibilité est maximale maintenant ; elle deviendrait quasi-nulle après déploiement.

Avant / Après — évolution du cadre
Cadre protecteur (1999–2004 → aujourd'hui)
Chiffrement libre depuis LCEN 2004. Art. 434-15-2 : obligation judiciaire encadrée de remettre une clé détenue — pas de backdoor imposée aux éditeurs. Contrôle judiciaire fort (juge requis). Jurisprudence CJUE protectrice (2020).
Risque si pression aboutit
Client-side scanning obligatoire (CSAR) → chiffrement E2EE de facto inutile. Ou obligation légale de backdoor pour les éditeurs (modèle UK Online Safety Act). Infrastructure de scanning universelle déployée → irréversible en pratique. Fin de la confidentialité des communications numériques en Europe.
Chronologie
1999
Première libéralisation — La loi Jospin autorise l'usage du chiffrement sans déclaration pour les usages professionnels.
2004
LCEN (loi n° 2004-575) — Liberté totale d'usage du chiffrement, sans restriction ni déclaration. Art. L. 871-1 CPCE.
2016
Loi n° 2016-731 — Renforcement des sanctions de l'art. 434-15-2 pour les affaires terroristes (5 ans + 450 000 €).
mars 2018
CC 2018-696 QPC — Art. 434-15-2 déclaré conforme à la Constitution. Portée limitée : obligation de remettre une clé existante.
oct. 2020
Déclaration Five Eyes — Les cinq gouvernements réclament des "accès légaux" au chiffrement. Japon et Inde se joignent à la déclaration.
2022
CSAR (Chat Control) proposé — Impact indirect majeur sur le chiffrement E2EE si adopté (voir fiche dédiée).
2023
Online Safety Act UK — Art. 122 : Ofcom peut exiger l'accès aux communications chiffrées. Signal et WhatsApp menacent de quitter le Royaume-Uni.
2024–26
Discussions continues au niveau UE sur le "Going Dark problem". Pas de législation adoptée à ce stade. CSAR toujours bloqué.
Sources et références
📄
Art. 434-15-2 Code pénal — Texte en vigueur, obligation de remise des clés de déchiffrement.
📄
Art. L. 871-1 CPCE — Liberté d'usage du chiffrement (issue de la LCEN 2004).
🏛️
CC 2018-696 QPC du 30 mars 2018 — Constitutionnalité de l'art. 434-15-2, portée et limites.
🌍
Déclaration Five Eyes + Japon + Inde, oct. 2020 — Appel aux éditeurs pour des "accès légaux" au chiffrement.
🔬
Rapport MIT "Keys Under Doormats" (2015) — Abelson et al. — l'accès exceptionnel sécurisé est techniquement impossible.
🇪🇺
CJUE — Arrêt La Quadrature du Net, 6 oct. 2020 — Surveillance généralisée des communications incompatible avec le droit de l'UE.
Questions fréquentes
Le chiffrement est-il légal en France ?
Oui, pleinement. Depuis la LCEN de 2004, l'usage du chiffrement est libre en France sans déclaration ni autorisation. Il n'existe aucune obligation légale pour les entreprises de créer des backdoors ou d'affaiblir leur chiffrement.
L'art. 434-15-2 peut-il obliger Signal à déchiffrer vos messages ?
Non. L'article 434-15-2 oblige à remettre une clé qu'on détient. Signal utilise un chiffrement de bout en bout où l'entreprise ne détient pas les clés des utilisateurs. Seul l'appareil de l'utilisateur les a. Signal ne peut pas remettre ce qu'il n'a pas.
Qu'est-ce que le "Going Dark" ?
Le "Going Dark" désigne la difficulté croissante pour les forces de l'ordre d'intercepter des communications chiffrées de bout en bout, même avec un mandat judiciaire. Les gouvernements utilisent cet argument pour justifier des backdoors. Les experts en sécurité répondent qu'une backdoor accessible à la police l'est aussi pour tout acteur malveillant suffisamment déterminé.
Existe-t-il une obligation de backdoor pour les éditeurs en France ?
Non. Aucune loi française n'oblige les éditeurs de logiciels ou les opérateurs de services à implémenter une backdoor ou affaiblir leur chiffrement. L'art. 434-15-2 contraint une personne à remettre une clé existante, mais ne crée pas d'obligation de concevoir un accès technique inexistant.