Les Décrets d'application de la Loi du 26 juillet 1996 réglementant les télécommunications et en particulier la cryptographie ont été publiés.

Trois régimes distincts concernant la cryptographie sont désormais établis.

Un régime de liberté, un régime de déclaration et un régime d'autorisation préalable.

Les deux décrets publiés visent surtout à établir ce que doivent être les fameux tiers de confiance et a réglementé leurs relations avec les utilisateurs.

Sont donc libres les prestations de cryptographie qui ne permettent pas d'assurer des fonctions de confidentialité ainsi que l'utilisation de procédés ou de prestations qui permettent d'élaborer ou de protéger une signature électronique ou qui permettent de vérifier la source des données.

A l'opposé, l'utilisation des moyens et des prestations de cryptographie qui assurent une fonction de confidentialité n'est libre qu'à la condition expresse d'utiliser des conventions secrètes gérées selon les procédures et par un organisme agréé dans les conditions définies par la Loi du 29 décembre 1990, autrement dit par un tiers de confiance. Un décret de 1999 fixe le seuil de cryptage utilisable sans autorisation à 128 bits.

Dans tous les autres cas, il conviendra, soit de procédé à une déclaration préalable soit d'obtenir l'autorisation du Premier Ministre dans les conditions prévues par le décret.


Le second décret défini lui les conditions dans lesquelles seront agréés les organismes dits tiers de confiance.

L'agrément ou le refus d'agrément de ces tiers est décidé par le Premier Ministre  et la relation entre l'utilisateur et le tiers de confiance doit faire l'objet d'un contrat écrit.


En outre, sont soumis à autorisation préalable du Premier Ministre, les importations et exportations de moyens ou de prestations de cryptographie vers ou en provenance de pays n'appartenant pas à l'Union Européenne dès lors qu'ils assurent les fonctions de confidentialité.



SUR LES CONDITIONS D'AGREMENT DES TIERS DE CONFIANCE

Ces tiers de confiance peuvent être des organismes de droit privé ou public et revêtir toute forme sociale y compris des sociétés de personne ou à responsabilité limitée.

L'organisme devra compter parmi son personnel un nombre suffisant de personnes habilitées secret défense par l'Etat. L'agrément est accordé pour une durée de 4 années renouvelables après avis de 4 Ministres (Défense, Intérieur, Industrie et Télécommunications).


L'organisme agréé doit établir et tenir à jour une liste de ses clients, en outre, il doit tenir deux registres distincts afin de recenser toutes les délivrances ou mises en oeuvre des clés secrètes.
Le premier registre précise les informations relatives aux demandes émanant de l'autorité judiciaire et le second registre est classé secret défense et son accès strictement limité contiendra les demandes faites en vertu de la loi du 10 juillet 1991.

L'organisme devra conserver les clés secrètes pendant un délai de 4 ans à compter de la signature du contrat avec l'utilisateur.

Les décrets fixent d'ores et déjà les tarifs que ces organismes pourront appliquer et il en ressort que les fonctions de séquestre ne seront pas rentables à elles seules mais devront se combiner avec d'autres services à valeur ajoutée. Par ailleurs, il ressort de ces décrets que le service central de la sécurité des systèmes d'information (S.C.S.S.I.) devient le véritable organisme de régulation du dispositif.


(Décret N° 98-101 du 24 février 1998 J.O. 25 février Page 2911 et Décret N° 98-102 du
24 février 1998 JO 25 février page 2915)