Prestations de cryptologie : quel Etat contrôle quoi ?

Voyager avec des appareils mobiles utilisant des fonctions cryptographiques n'est pas sans danger. Certains Etats dans le monde sont plus exigeants que d'autres. Petit tour d'horizon des contraintes réglementaires.

Nous utilisons quotidiennement de plus en plus d’appareils mobiles. Il ne s’agit pas seulement de téléphones ou d’ordinateurs portables, mais aussi de téléphones intelligents et d’assistants personnels. Or la plupart utilisent des fonctions cryptographiques, tant pour la transmission de données que pour leur stockage. Certains sont même capables de chiffrer les communications téléphoniques.Or, du fait de leurs fonctions cryptographiques, ces appareils sont considérés comme embarquant des technologies sensibles par beaucoup de pays. Importer de tels appareils peut être réglementé par les Etats. Petit tour du monde des règles à respecter.

Voyager à l’intérieur de l’Union européenne

Les principes généraux de l’Union sont la liberté de circulation des biens et des personnes. Mais les Etats peuvent restreindre l’utilisation de la cryptologie sur leur territoire. Cependant, si certains pays comme la France, la Lettonie ou la Pologne imposent des contrôles sur les importations de produits de cryptographie, aucun Etat ne restreint ni ne contrôle l’usage de la cryptographie. Il en va de même pour la Suisse ou la Norvège.Ainsi, il est possible de voyager librement avec des appareils sans fil contenant des fonctions cryptographiques à l’intérieur de l’Union européenne.

Quitter l’Union européenne

L’exportation de produit de cryptologie est réglementée dans la plupart des pays. L’Union européenne s’est dotée depuis le 22 juin 2000 d’une réglementation commune, le règlement 1334/2000. En vertu de l’annexe 1 catégorie 5 Partie 2 note 2, les produits qui accompagnent leur utilisateur ne sont pas soumis à un contrôle avant la sortie du territoire de l’Union. L’utilisation peut être personnelle ou professionnelle dans la mesure où le règlement ne distingue pas utilisateurs professionnels et non professionnels.Ce règlement et cette exception sont en vigueur dans tous les pays de l’Union européenne.

Importer et utiliser dans un pays en dehors de l’Union européenne

Amérique – Océanie

Les pays de cette zone ne contrôlent pas l’importation de produit de cryptographie. Il est par conséquent possible d’y entrer sans déclarer les appareils sans fil. De même l’utilisation n’est soumise à aucune restriction légale.Enfin, il est possible de ressortir sans difficulté de ces pays car s’ils sont membres de l’arrangement de Wassenaar. Ils appliquent la même exception que les pays de l’Union européenne. Tel est le cas des Etats-Unis, du Canada, de l’Australie, de la nouvelle Zélande ou de l’Argentine. Les autres pays n’appliquent pas de contrôle sur les exportations de produits contenant des fonctions cryptographiques.

Afrique

Certains pays africains surveillent l’importation et l’utilisation d’appareil mobile contenant des fonctions cryptographiques.Le Maroc et le Sénégal pratiquent une politique de contrôle sur l’importation des produits de cryptologie et ne créent pas d’exception pour les produits pouvant accompagner leur utilisateur. Par conséquent, le voyageur d’affaires et le touriste peuvent être considérés comme des importateurs. Dans ces pays, il est donc conseillé de s’adresser aux autorités compétentes avant son départ. L’Agence Nationale de Réglementation des Télécommunications est chargée de ces problèmes au Maroc, l’Agence de l’Informatique de l’Etat (ADIE) au Sénégal. Dans ce dernier pays, les décrets d’application de la loi 2008-41 du 20 août 2008 ne sont pas encore publiés et il est possible que des exceptions pour les voyageurs soient prévues.Le cas de la Libye est différent. L’importation de produit susceptible de constituer une menace à la sécurité nationale nécessite l’approbation de l’administration des armées libyenne et ce, quel que soit le contexte. L’utilisateur individuel ou l’importateur devra présenter une demande d’approbation. Les autorités libyennes considèrent cependant que des produits cryptographiques à faible longueur de clé ou « grand public », installés sur les ordinateurs portables ou d’autre type d’appareil mobiles, ne sont pas assujettis à approbation préalable. La réglementation Angolaise laisse planer un doute car les importations temporaires ne sont pas spécifiquement visées. Il est donc difficile de dire si le visiteur va être contrôlé et ce qu’il risque. En, Algérie, une autorisation de l’Agence de Réglementation des Postes et Télécommunications est exigée afin de s’assurer que le produit ne représente pas une menace pour la sécurité nationale. Cependant, les produits à faible niveau de chiffrement et les produits grand public sont exemptés de ce contrôle.

Asie

Les pays asiatiques de l’ex Union soviétique, à savoir Azerbaïdjan, Ouzbékistan, Turkménistan, Kazakhstan, Tadjikistan n’ont pas une réglementation explicite sur les appareils mobiles contenant de la cryptographie. Ces pays réglementent et contrôlent les importations de produits de cryptologie mais aucune distinction n’est faite entre importation temporaire ou définitive et aucune exception n’est explicitement prévue pour les voyageurs. On peut aviser les douanes, mais cette formalité n’obéie pas à une procédure formelle. Seul le Kirghizistan requiert expressément une licence d’importation sous peine de sanction. Dans la partie moyen-orientale de l’Asie, Israël exerce un contrôle et demande aux voyageurs de justifier une utilisation professionnelle ou personnelle de leurs appareils sans fils. Les autorités israéliennes sont assez rigoureuses sur le contrôle afin d’empêcher l’entrée d’armement sur leur territoire.En Jordanie, la loi ne restreint pas formellement les importations temporaires, mais elle impose aux voyageurs d’obtenir un agrément écrit des autorités jordaniennes. Une circulaire de 2008 exempte les ordinateurs portables, les téléphones mobiles et les modems à raison de deux articles par personne. Cependant cette circulaire interne peut être révoquée à tout moment.En Asie du sud-est, le pays le plus problématique est la Birmanie. Les Etats-Unis et le Canada restreignent les exportations vers ce pays. Ainsi l’exportation de certains produits américains ou canadiens peut être prohibée. Ensuite, l’importation des ordinateurs est soumise à autorisation, et ce même si l’ordinateur n’embarque pas de logiciel de cryptographie. Il importe donc de s’enquérir auprès des autorités birmanes avant tout voyage vers ce pays.Enfin la Chine exige des visiteurs qu’ils déclarent leurs produits de cryptographie au cours de la procédure douanière précédant l’entrée sur le territoire. Certains logiciels système et bureautique très courants ne sont pas forcément contrôlés, mais les autorités chinoises n’ont pas officialisé cette tolérance. Il importe donc de se renseigner avant le départ.

Autres pays d’Europe

La Biélorussie est vraisemblablement le pays le plus sévère. Tous les produits contenant de la cryptologie sont soumis à licence d’importation. Cette règle ne souffre aucune exception. La Russie exige des visiteurs une lettre expliquant l’objet, la durée de la visite, la description du matériel et des logiciels, des informations sur le fabricant du produit et autant que possible de la documentation technique peut être jointe. La lettre est à adresser au Bureau fédéral de sécurité (FSB). Ce dernier examine les demandes dans un délai d’un mois. Ainsi, s’il est possible de sortir de l’Union européenne avec n’importe quel type d’appareil sans fils, la Chine, la Russie, l’Algérie exercent toujours un contrôle sévère.Par Nicolas Magnin, juriste spécialiste de la SSI

Pour aller plus loin

Nicolas Magnin – Réglementation en matière de cryptologie, Editions Techniques de l’Ingénieur, base documentaire Sécurité des systèmes d’information, H 5060 traité (2008).Site de l’Ambassade de Russie en FranceSite de l’Ambassade de Chine en FranceSite de l’Ambassade du Maroc en FranceSite de l’Ambassade du Sénégal en France Site de l’Ambassade d’Algérie en France Site de l’Ambassade d’Israël en France et service commercial de l’Ambassade d’Israël en France