Décret n°98-102 du 24 février 1998 définissant les conditions dans lesquelles sont agréés les organismes gérant pour le compte d'autrui des conventions secrètes de cryptologie en application de l'article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications

Dernière mise à jour des données de ce texte : 27 avril 2007

NOR : PRMX9802602D

Version abrogée depuis le 27 avril 2007

Le Premier ministre,

Sur le rapport du ministre de l'économie, des finances et de l'industrie,

Vu le code des postes et télécommunications ;

Vu le code de procédure pénale ;

Vu la loi n° 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications, notamment son article 28 ;

Vu la loi n° 91-646 du 10 juillet 1991 modifiée relative au secret des correspondances émises par la voie des télécommunications ;

Vu le décret n° 81-514 du 12 mai 1981 relatif à l'organisation de la protection des secrets et des informations concernant la défense nationale et la sûreté de l'Etat ;

Vu le décret n° 86-316 du 3 mars 1986 modifié portant création du directoire de la sécurité des systèmes d'information ;

Vu le décret n° 86-318 du 3 mars 1986 modifié portant création du service central de la sécurité des systèmes d'information ;

Vu le décret n° 96-67 du 29 janvier 1996 relatif aux compétences du secrétaire général de la défense nationale dans le domaine de la sécurité des systèmes d'information ;

Vu l'avis de l'Autorité de régulation des télécommunications en date du 8 octobre 1997 ;

Le Conseil d'Etat (section des travaux publics) entendu,

  • Article 1 (abrogé)

    Au sens du présent décret, on entend par :

    1° Conventions secrètes : des clés non publiées nécessaires à la mise en oeuvre d'un moyen ou d'une prestation de cryptologie pour les opérations de chiffrement ou de déchiffrement ;

    2° Gestion de conventions secrètes : la détention, la certification, la distribution ainsi que, éventuellement, la génération des clés dans des conditions définies au cahier des charges prévu par l'article 8 ;

    3° Certification de conventions secrètes : l'opération qui consiste à calculer une signature numérique ou un code d'authentification assurant la faculté d'emploi des conventions secrètes.

    • Article 2 (abrogé)

      L'organisme sollicitant la délivrance de l'agrément prévu au II de l'article 28 de la loi du 29 décembre 1990 susvisée adresse un dossier de demande d'agrément à la direction centrale de la sécurité des systèmes d'information, par un envoi recommandé avec demande d'avis de réception postal ou par un dépôt auprès de ladite direction contre accusé de dépôt.

      La forme et le contenu du dossier de demande d'agrément sont définis par arrêté du Premier ministre, après avis du ministre de la défense, du ministre de l'intérieur, du ministre chargé de l'industrie et du ministre chargé des télécommunications.

    • Article 3 (abrogé)

      Si le dossier est complet, le Premier ministre notifie sa décision, par lettre recommandée avec demande d'avis de réception, dans un délai de quatre mois à compter de la délivrance de l'avis de réception ou de l'accusé de dépôt de la demande. Un défaut de notification dans ce délai vaut agrément.

      Le dossier est réputé complet si, dans le délai d'un mois suivant la réception de la demande, la direction centrale de la sécurité des systèmes d'information n'a pas invité le demandeur, par lettre recommandée avec demande d'avis de réception, à fournir les pièces complémentaires nécessaires. Dans ce dernier cas, le délai de quatre mois part de la réception des pièces complétant le dossier.

    • Article 5 (abrogé)

      L'agrément est accordé, après avis du ministre de la défense, du ministre de l'intérieur, du ministre chargé de l'industrie et du ministre chargé des télécommunications, pour une durée de quatre années, renouvelable.

      L'agrément est délivré sous condition du respect d'un cahier des charges décrivant les obligations de chaque organisme agréé.

      L'agrément peut être refusé pour des motifs liés aux intérêts de la défense nationale ou de la sécurité intérieure ou extérieure de l'Etat.

    • Article 6 (abrogé)

      Doivent être notifiés sans délai à la direction centrale de la sécurité des systèmes d'information :

      a) Tout changement dans :

      - la nature juridique de l'organisme agréé ;

      - la nature ou l'objet de ses activités ;

      - la localisation de son établissement ;

      - l'identité ou les qualités juridiques de ses dirigeants ;

      b) Toutes cessions d'actions ou de parts sociales susceptibles d'entraîner un changement du contrôle de l'organisme agréé ;

      c) La cessation totale ou partielle de l'activité agréée.

    • Article 7 (abrogé)

      L'organisme agréé qui sollicite le renouvellement de son agrément doit, deux mois au moins avant la date d'expiration de ce dernier, en faire la demande auprès de la direction centrale de la sécurité des systèmes d'information par lettre recommandée avec demande d'avis de réception. L'absence de réponse de l'administration dans les deux mois vaut renouvellement tacite de l'agrément.

    • Article 8 (abrogé)

      Le cahier des charges comprend notamment les éléments suivants :

      1° L'énumération des moyens ou des prestations de cryptologie dont l'organisme agréé est autorisé à gérer les conventions secrètes ;

      2° L'énumération des moyens ou des prestations de cryptologie que l'organisme agréé peut utiliser ou fournir ;

      3° Les conditions techniques ou administratives garantissant le respect des obligations imposées à l'organisme agréé ;

      4° Le nombre de personnes mentionnées à l'article 4, auxquelles peuvent être demandées la mise en oeuvre ou la remise des conventions secrètes, et les dispositions prises pour respecter le décret du 12 mai 1981 susvisé ;

      5° Les conditions dans lesquelles sont remises à un autre organisme agréé les conventions secrètes en cas de cessation d'activité ou à la demande de l'utilisateur ;

      6° Les dispositions techniques prises lors de la mise en service des conventions secrètes afin de permettre, pour chaque message ou communication protégé à l'aide de ces conventions, d'identifier l'organisme agréé les gérant ainsi que les utilisateurs concernés ;

      7° Les conditions techniques d'utilisation des conventions secrètes, des moyens ou des prestations et les mesures nécessaires pour assurer leur intégrité et leur sécurité ;

      8° Le format électronique standardisé dans lequel doivent être transcrites les conventions secrètes en cas de cessation d'activité ou de retrait d'agrément, conformément à l'article 17 du présent décret.

      Le cahier des charges comporte également une annexe classifiée précisant les modalités pratiques de remise des conventions secrètes aux autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi du 29 décembre 1990 susvisée ou de leur mise en oeuvre à la demande de ces autorités.

      A l'exception de son annexe classifiée, le contenu de ce cahier des charges peut être communiqué, sur leur demande, aux utilisateurs dont l'organisme agréé gère les conventions secrètes.

    • Article 10 (abrogé)

      Il est passé contrat écrit entre l'organisme agréé et l'utilisateur pour la gestion de ses conventions secrètes.

      Ce contrat comprend obligatoirement :

      1° La référence de l'agrément, la durée et la date d'expiration prévues par cet agrément, ainsi que tout élément d'information que le cahier des charges imposerait de communiquer aux utilisateurs ;

      2° Un engagement de l'organisme agréé relatif à la sécurité des conventions secrètes qu'il gère pour le compte de l'utilisateur ;

      3° Les modalités selon lesquelles l'utilisateur, ou toute autre personne éventuellement mandatée par celui-ci, pourra, à sa demande, se faire délivrer copie de ses conventions secrètes durant son contrat avec l'organisme agréé ou après son terme.

    • Article 11 (abrogé)

      L'organisme agréé constitue et tient à jour une liste de ses clients.

      Il tient à jour un registre mentionnant toutes les demandes présentées par l'autorité judiciaire concernant la mise en oeuvre ou la remise des conventions secrètes. Sur ce registre sont notamment consignées les informations suivantes :

      1° La date et l'heure de la demande ;

      2° Les références de la commission rogatoire ou de la réquisition judiciaire ;

      3° La durée de l'autorisation ;

      4° Les références des conventions secrètes délivrées ou mises en oeuvre.

      Le registre est signé par l'agent qui procède à la demande et par l'employé de l'organisme agréé qui effectue la mise en oeuvre ou la remise des conventions secrètes. L'accès au registre est limité aux autorités judiciaires dans les conditions prévues par le code de procédure pénale.

      Les demandes de mise en oeuvre ou de remise des conventions secrètes effectuées dans le cadre du titre II de la loi du 10 juillet 1991 susvisée sont consignées dans un registre séparé, sur lequel ne figurent que la date, l'heure de la demande, la durée de l'autorisation ainsi que la référence de l'ordre de communication des conventions secrètes. Ce registre est classifié au niveau secret défense et son accès est limité au Premier ministre, à la Commission nationale de contrôle des interceptions de sécurité ainsi qu'aux agents spécialement désignés par l'une ou l'autre de ces autorités.

    • Article 12 (abrogé)

      L'organisme agréé prend les mesures nécessaires pour préserver la sécurité des conventions secrètes qu'il gère au profit de ses clients, afin d'empêcher qu'elles ne puissent être altérées, endommagées, détruites ou communiquées à des tiers non autorisés.

      Il prend toutes dispositions, notamment contractuelles, vis-à-vis de son personnel, de ses partenaires, clients et fournisseurs, afin que soit respectée en permanence la confidentialité des informations de toute nature dont il a connaissance relativement à l'utilisation de ces conventions secrètes et à leur remise aux autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi du 29 décembre 1990 susvisée ou à leur mise en oeuvre au profit de ces autorités.

      Il notifie ces mesures et dispositions à la direction centrale de la sécurité des systèmes d'information.

    • Article 13 (abrogé)

      Tout organisme agréé conserve les conventions secrètes qui lui sont confiées. Toutefois, à l'issue d'un délai de quatre ans à compter de la date de signature du contrat mentionné à l'article 10, l'organisme agréé peut, après accord de l'utilisateur, déposer lesdites conventions secrètes auprès d'un autre organisme agréé choisi sur une liste d'organismes agréés fixée par arrêté du Premier ministre.

    • Article 14 (abrogé)

      L'organisme agréé maintient un service permanent de mise en oeuvre ou de remise des conventions secrètes au profit des autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi du 29 décembre 1990 susvisée. La mise en oeuvre ou la remise s'effectuent selon les modalités spécifiées par ces autorités.

      Sans préjudice des dispositions relatives aux frais de justice en matière pénale, les frais de mise en oeuvre des conventions secrètes au profit desdites autorités par l'organisme agréé sont pris en charge par l'Etat sur la base d'un tarif forfaitaire tenant compte des coûts moyens, établi par un arrêté du Premier ministre, après avis du ministre de la justice, du ministre de la défense, du ministre de l'intérieur, du ministre chargé de l'industrie, du ministre chargé du budget, du ministre chargé des douanes et du ministre chargé des télécommunications.

      Dans les cas où le II de l'article 28 de la loi du 29 décembre 1990 susvisée lui impose que les utilisateurs soient informés de la remise des conventions secrètes, l'organisme agréé a l'obligation de procéder à cette information sans délai.

    • Article 16 (abrogé)

      I. - L'agrément exprès ou tacite est retiré par le Premier ministre lorsque l'organisme :

      1° Ne remplit pas ou a cessé de remplir l'une des obligations fixées par le II de l'article 28 de la loi du 29 décembre 1990 susvisée et par le présent décret ;

      2° Ne remplit pas ou a cessé de remplir l'une des conditions précisées dans le cahier des charges prévu à l'article 8 ;

      3° Cesse ses activités.

      Ce retrait ne peut intervenir qu'après que le titulaire de l'agrément a été mis à même de faire valoir ses observations dans un délai de huit jours. En cas d'urgence l'agrément peut être suspendu immédiatement.

      II. - Le retrait de l'agrément peut également être prononcé lorsque le maintien de celui-ci risque de mettre en péril les intérêts de la défense nationale ou de la sécurité intérieure ou extérieure de l'Etat.

      III. - Le retrait de l'agrément est notifié par le Premier ministre par lettre recommandée avec demande d'avis de réception. Dès la notification du retrait d'agrément, l'organisme concerné informe sans délai les utilisateurs qu'il cesse son activité de gestion des conventions secrètes.

    • Article 17 (abrogé)

      En cas de cessation d'activité ou de retrait de son agrément, l'organisme concerné communique à ses utilisateurs la liste des organismes agréés offrant les mêmes services. L'organisme en cessation d'activité confie les conventions secrètes à un autre organisme agréé selon le choix de chaque utilisateur.

      Pour chacun des utilisateurs qui n'aurait pas fait état de son choix dans un délai d'un mois à partir de la cessation d'activité, l'organisme concerné transcrit sur un support électronique standardisé et selon le format défini dans le cahier des charges prévu à l'article 8, les conventions secrètes qu'il conservait à la date de cessation. Il dépose ce support auprès d'un organisme, désigné par arrêté du Premier ministre, auprès duquel s'effectueront les éventuelles requêtes de remise de conventions secrètes formulées par les autorités mentionnées au II de l'article 28 de la loi du 29 décembre 1990 susvisée.

  • Article 19 (abrogé)

    Le garde des sceaux, ministre de la justice, le ministre de l'intérieur, le ministre des affaires étrangères, le ministre de l'économie, des finances et de l'industrie, le ministre de la défense, le secrétaire d'Etat à l'outre-mer, le secrétaire d'Etat au budget et le secrétaire d'Etat à l'industrie sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.

Lionel Jospin

Par le Premier ministre :

Le garde des sceaux, ministre de la justice,

Élisabeth Guigou

Le ministre de l'intérieur,

Jean-Pierre Chevènement

Le ministre des affaires étrangères,

Hubert Védrine

Le ministre de l'économie,

des finances et de l'industrie,

Dominique Strauss-Kahn

Le ministre de la défense,

Alain Richard

Le secrétaire d'Etat à l'outre-mer,

Jean-Jack Queyranne

Le secrétaire d'Etat au budget,

Christian Sautter

Le secrétaire d'Etat à l'industrie,

Christian Pierret

NOTA : Décret 2007-663 du 2 mai 2007 art. 22 : Les décrets n° 98-101 du 24 février 1998, n° 98-102 du 24 février 1998, n° 99-199 du 17 mars 1999 et n° 99-200 du 17 mars 1999 sont abrogés.

Toutefois, les déclarations souscrites avant la date d'entrée en vigueur du présent décret demeurent régies par les dispositions du décret n° 98-101 du 24 février 1998.

Retourner en haut de la page