III. - Sur le projet de décret définissant les conditions dans lesquelles sont agréés les organismes gérant, pour le compte d'autrui, des conventions secrètes de moyens ou de prestations de cryptologie permettant d'assurer des fonctions de confidentialité
16. Note que la création de ces organismes agréés doit avoir pour effet d'alléger les obligations des utilisateurs et que ces organismes exercent une activité pour le compte de l'Etat.
Constate l'absence d'une étude de l'environnement économique de ces organismes et de leurs conditions de viabilité.
Souhaite que cette dimension soit mieux prise en compte, pour ne pas courir le risque de priver, en fait, les utilisateurs d'une des innovations introduites par la loi du 26 juillet 1996 susvisée.
17. Souligne que les définitions introduites par l'article 2 répondent à un souci de clarification.
Remarque néanmoins que le projet de décret ne fait pas appel aux notions de « générations de conventions secrètes », de « certification de conventions secrètes », de « système de chiffrement à clé symétrique », de « système de chiffrement à clés asymétriques », de « signature numérique d'un message » et de « code d'authentification d'un message ».
Estime donc que ces définitions pourraient être disjointes de l'article 2.
18. Note que le II de l'article 28 de la loi du 29 décembre 1990 susvisée dispose notamment que les organismes « doivent exercer leurs activités agréées sur le territoire national ».
Souligne que l'article 6 rappelle les dispositions de la loi et exige de surcroît que l'organisme soit de nationalité française et contrôlé par des personnes de nationalité française.
Estime que ces dispositions plus restrictives vont au-delà des termes de la loi quand bien même est prévue la possibilité d'y déroger à titre exceptionnel et que, de plus, elles limitent les possibilités d'émergence d'acteurs économiques dans ce nouveau domaine.
Estime par voie de conséquence que les dispositions de l'article 8 du projet devraient également être modifiées.
19. Note que l'article 9 prévoit la possibilité de refus d'agrément de l'organisme, notamment lorsque le demandeur, ou une personne appartenant aux organes dirigeants, a été condamné à une peine d'emprisonnement supérieure à trois mois figurant sur le bulletin no 2 de son casier judiciaire.
Estime préférable, afin de mieux préciser l'étendue du pouvoir d'appréciation de l'administration, de prévoir une possibilité de refus d'agrément pour des motifs liés aux intérêts de la défense nationale et à la sauvegarde de l'ordre public.
20. Note que l'article 10 prévoit notamment le renouvellement de l'agrément des organismes selon une procédure simplifiée dont les modalités sont définies par arrêté.
Estime préférable, afin de garantir la stabilité de l'activité des organismes agréés, de prévoir une procédure de renouvellement tacite.
21. Note que le cahier des charges prévu par l'article 11 comprend notamment l'énumération des moyens ou prestations de cryptologie dont l'organisme agréé est autorisé à gérer les conventions secrètes ou que l'organisme agréé peut utiliser ou fournir.
Estime que ces énumérations limitatives répondent à l'exigence d'information de l'administration mais qu'il convient de prendre en compte la nécessité d'évolution et de renouvellement de l'offre de moyens et de prestations proposés aux clients au risque, dans le cas contraire, de voir cette offre frappée rapidement d'obsolescence et d'apparaître commercialement peu attractive.
Estime souhaitable, dans ces conditions, de prévoir une procédure d'information auprès du service central des systèmes de sécurité et d'information pour toutes les modifications apportées par l'organisme à la liste des moyens et prestations gérés, utilisés ou fournis, plutôt que de la procédure d'agrément complémentaire envisagée à l'article 10.
22. Constate que l'article 16 renvoie à un arrêté interministériel la détermination des conditions financières des prestations de remise ou de mise en oeuvre des conventions secrètes aux autorités judiciaires ou habilitées.
Estime que, le projet devrait être plus précis et poser le principe de rémunération de ces prestations en fonction des coûts réels supportés par l'organisme.
Estime que, si cette rémunération ne reflétait pas les coûts, l'organisme serait alors contraint de répercuter cette charge auprès de ses clients avec le risque de compromettre économiquement la mise en oeuvre des dispositions nouvelles de la loi.
Estime pour les mêmes raisons que les frais de contrôle prévus par l'article 17 devraient être à la charge du budget de l'Etat.
23. Estime donc que les articles 6 et 8 devraient être modifiés en ce qu'ils apparaissent aller au-delà du cadre législatif, que les articles 10 et 11 devraient être rendus moins contraignants et que l'article 2, d'une part, et les articles 9, 16 et 17, d'autre part, devraient être respectivement simplifiés et clarifiés.
24. Décide, en raison de l'importance de ces observations et des propositions d'amendements formulées en annexe, d'émettre un avis défavorable aux projets de décrets en l'état, tout en insistant sur la nécessité d'une publication rapide de décrets d'application indispensable à la mise en oeuvre des nouvelles libertés inscrites dans la loi de réglementation des télécommunications.
25. Charge le président de l'Autorité de régulation des télécommunications de transmettre au secrétaire d'Etat à l'industrie le présent avis, qui sera publié au Journal officiel de la République française.