Déclaration à l’ANSSI d’une application mobile intégrant un outil de chiffrement
En France, les moyens de cryptologie sont soumis à une réglementation spécifique. De ce fait, tout logiciel ou application mobile qui utilise un outil de chiffrement doit être déclaré à l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Il s’agit d’une spécificité française, qui est notamment vérifiée lors de la publication d’une application mobile sur l’App Store français d’Apple. En effet, Apple réclame une attestation de déclaration à l’ANSSI en cas de lancement d’une application mobile intégrant une fonction de chiffrement.
Quel est le contexte juridique de cette obligation de déclaration ?
La France a mis en place une réglementation spécifique en matière de moyens de cryptologie qui a été aménagée par la loi sur la confiance dans l’économie numérique (LCEN) n° 2004-575 du 21 juin 2004.
Si l’utilisation d’un moyen de cryptologie est libre, la fourniture, l’importation, le transfert intracommunautaire et l’exportation doivent par principe faire l’objet soit d’une simple déclaration à l’ANSSI, soit d’une demande d’autorisation auprès de la même autorité publique.
Les formalités à accomplir dépendent à la fois de la technologie utilisée pour la cryptologie, à la fois du mode de commercialisation envisagé du produit. Depuis la Loi LCEN du 21 juin 2004, dans la plupart des cas, une simple déclaration de l’outil de chiffrement à l’ANSSI est suffisante. Cela est notamment le cas pour l’importation et la fourniture d’un moyen de cryptologie en France. Une autorisation de l’ANSSI reste néanmoins requise pour l’exportation d’un moyen de cryptologie vers certains pays tiers (hors UE).
Quels outils de chiffrement sont concernés par l’obligation de déclaration à l’ANSSI ?
L’obligation de déclaration ou d’autorisation qui pèse sur le fournisseur d’un moyen de cryptologie en France concerne « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète », selon sa définition légale.
Cela concerne notamment des fonctions de chiffrement qui sont intégrées dans les applications mobiles de messagerie instantanée.
Afin de faciliter les démarches des entreprises fournisseurs de logiciel ou d’application mobile intégrant un moyen de cryptologie, les produits intégrant des outils de chiffrement les plus courants ont été exemptés de l’obligation de déclaration à l’ANSSI.
Il s’agit notamment des équipements assurant exclusivement des fonctions d’authentification et de contrôle d’intégrité, des cartes à puce grand public tel que des cartes bancaires, cartes SIM ou décodeur TV, ainsi que des clés de chiffrement d’une taille inférieure à 56 bits pour les algorithmes symétriques.
Comment effectuer la déclaration d’un moyen de cryptologie à l’ANSSI ?
La déclaration d’un moyen de cryptologie à l’ANSSI peut désormais être effectuée en ligne. Il convient de remplir un formulaire de déclaration accompagné d’un certain nombre d’annexes, le tout étant transmis par voie électronique.
Les annexes demandées par l’ANSSI concernent notamment une description du moyen de cryptologie déclaré, le cas échéant le code source de l’outil de chiffrement ainsi qu’une description des voies de commercialisation envisagées du produit.
Si les brochures commerciales et notices d’utilisation du produit intégrant un outil de chiffrement peuvent être transmises en langue anglaise, le formulaire ainsi que la description du moyen de cryptologie doivent être communiqués en français.
Si la déclaration à l’ANSSI est obligatoire en France pour tout produit intégrant un outil de chiffrement, les producteurs et fournisseurs de ces produits prennent souvent conscience de cette obligation au moment de la publication du produit sur le App Store France d’Apple. En effet, l’AppStore France, contrairement à d’autres plateformes, demandent expressément une attestation de l’ANSSI confirmant que la déclaration nécessaire a bien été effectuée.
Si une telle attestation n’est pas expressément demandée par d’autres plateformes, ce n’est pas pour autant que la déclaration n’est pas nécessaire pour la commercialisation du produit en France dans le respect de la législation en vigueur.
Notre cabinet d’avocats est à vos côtés pour analyser si des démarches auprès de l’ANSSI sont requises pour la commercialisation de votre logiciel ou application mobile. Nos avocats qualifiés peuvent, le cas échéant, vous accompagner dans vos démarches auprès de l’ANSSI.
Vous trouverez plus d'informations sur nos prestations en droit des nouvelles technologies ici.
