Contrôle réglementaire sur la cryptographie : démarches à accomplir
Tableau de synthèse
Sauf exception, les démarches suivantes sont à accomplir pour toutes les opérations suivantes relatives aux moyens de cryptologie :
| Opération | Démarches liées au « moyen de cryptologie » (par le fournisseur) |
Démarches liées au classement « double usage » (par l’exportateur) |
|---|---|---|
| Utilisation en France | / | / |
| Importation en France | Déclaration auprès de l’ANSSI | / |
| Fourniture en France | Déclaration auprès de l’ANSSI | / |
| Transfert intracommunautaire depuis et vers la France | Déclaration auprès de l’ANSSI | / |
| Exportation vers l’un des 7 pays « EU001 » (Australie, Canada, États-Unis d’Amérique, Japon, Nouvelle-Zélande, Norvège et Suisse) |
Déclaration auprès de l’ANSSI | Demande d’autorisation générale de l’Union EU001 auprès du SBDU |
| Exportation vers un État tiers (hors UE et 7 pays « EU001 ») |
Demande d’autorisation d’exportation auprès de l’ANSSI | Demande de licence d’exportation auprès du SBDU |
Demande de classement "Grand public"
Les moyens de cryptologie « grand public » s’exportent librement, sans autorisation d’exportation de l’ANSSI ni licence du SBDU.
Comment obtenir le statut "Grand public" ?
Pour être classé « grand public », un moyen de cryptologie doit satisfaire aux trois conditions fixées par le décret 2007-663 (point 3 de l’Annexe II). Le classement est soumis à validation de l’ANSSI. Il doit être demandé par le fournisseur au moment de la déclaration (voir FAQ).
Les exemptions de formalités
Des exemptions existent pour certaines catégories de produits et certaines opérations.
Important : Cette liste reste indicative. L’annexe I du décret 2007-663 du 2 mai 2007 et la catégorie 5 partie 2 de l’Annexe I du règlement délégué (UE) n° 1382/2014 sont les textes qui font foi.
| Catégorie de produits | Formalités liées au « moyen de cryptologie » (par le fournisseur auprès de l’ANSSI) |
Formalités liées au classement « double usage » (par l’exportateur auprès du SBDU) |
|---|---|---|
| Équipement assurant exclusivement des fonctions d’authentification et de contrôle d’intégrité | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Carte à puce grand public (Carte bancaire, carte SIM, décodeur TV, passeport électronique, etc.) | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Récepteur de télévision ou de radiodiffusion | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Équipement bancaire | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Téléphone GSM grand public | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Téléphone sans fil grand public | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Protection contre la duplication | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Lecteur audio-video | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Station de base GSM et Wifi | Exemption pour la fourniture, l’importation en France et le transfert intra UE | Demande de licence d’exportation |
| Équipement bluetooth | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Équipement d’administration, de gestion et de configuration | Exemption pour la fourniture, l’importation/transfert intra UE en France | Demande de licence d’exportation |
| Clé de petite taille (< 56 bits pour les algorithmes symétriques) | Exemption pour le transfert et l’exportation depuis la France | Pas de demande de licence d’exportation |
| Système de modulation ultra large bande sans caractéristique contrôlée | Exemption pour le transfert et l’exportation depuis la France | Pas de demande de licence d’exportation |
| Pour utilisation personnelle de celui qui procède à l’opération | Exemption pour toute opération | Pas de demande de licence d’exportation |
| Pour test et développement effectué par celui procède à l’opération | Exemption pour l’importation / transfert intra UE en France | Demande de licence d’exportation |
| Équipement ne relevant pas du domaine des TIC (réseau, informatique, communication, SSI) et pour lequel la cryptologie est uniquement en support | Exemption pour transfert et l’exportation depuis la France | Pas de demande de licence d’exportation |
| Légende | |
| Pas d’exemption de formalité | |
| Exemption de formalité pour certaines opérations | |
| Exemption de formalité pour toute opération |
Cas particulier de la cryptanalyse
Considérés comme des biens « très sensibles » par la règlementation européenne, les moyens de cryptanalyse sont soumis à un contrôle plus strict que les autres moyens de cryptologie. Leur exportation est subordonnée à l’obtention d’une licence, y compris pour les transferts intracommunautaires.
| Opération | Formalités liées au « moyen de cryptologie » (par le fournisseur auprès de l’ANSSI) |
Formalités liées au classement « double usage » (par l’exportateur auprès du SBDU) |
|---|---|---|
| Moyen de cryptologie permettant d’assurer des fonctions de cryptanalyse | Déclaration pour l’importation, la fourniture et le transfert depuis un État membre de l’UE.Demande d’autorisation pour le transfert vers un État membre de l’UE et l’exportation vers un État tiers. | Demande de licence d'exportation (y compris pour les transferts intracommunautaires) |