CONSEILS

Utilisation de moyens de chiffrement à l’étranger

Ce guide de conseils aux voyageurs a été réalisépar le Club des Directeurs de Sécurité desEntreprises (CDSE),

avec le concours des sociétés et organismessuivants : Renault, Lexing Alain BensoussanAvocats Law Firm.

Sa publication a été réalisée par le CDSE.

Il est à destination des entreprises et n’est pasexclusif de l’application des réglementationsliées au traitement de certaines données etnotamment celles relevant du secret de ladéfense nationale.

Il propose des réponses par rapport aux situa-tions liées à l’utilisation de moyens dechiffrement à l’étranger les plus courantes.En cas de situation complexe ou si des donnéessensibles sont exportées ou utilisées en dehorsdu territoire national, il est nécessaire deprendre les conseils des responsables juridiqueset/ou sécurité de son entité et, le cas échéant, decontacter les autorités compétentes.

“L'éditeur ne donne aucune garantie expresse ou implicite que lecontenu est complet ou exact ou à jour. La précision de toutes lesinformations doit être vérifiée indépendamment avec des sourcesprimaires. L'éditeur ne sera pas responsable de toutes pertes, actions,réclamations, poursuites, demandes ou des coûts ou dommages quece soit ou qu'en soit la cause découlant directement ou indirectementen relation avec ou découlant de l'utilisation de ce contenu"

1

Une mission professionnelle à l’étranger est unmoment où le collaborateur est particulièrementvulnérable.

Il est loin de ses repères et peut facilementdevenir une proie aussi bien pour des criminelstraditionnels que pour des spécialistes del’espionnage industriel ou économique.

Il doit donc impérativement utiliser des moyensde chiffrement pour protéger ses informationsconfidentielles.

Malheureusement l’usage de tels outils n’est passans difficultés, eu égard aux nombreuses légis-lations qui en régissent l’utilisation. Et même sinul n’est censé ignorer la loi, la bonne compré-hension de ces textes n’est pas forcément aiséeet nécessite un accompagnement.

C’est la raison pour laquelle le CDSE a décidéd’éditer ce Guide présentant les règles d’utilisa-tion de moyens de chiffrement en vigueur dans25 pays. Nous espérons qu’il contribuera à aiderles voyageurs à anticiper l’utilisation des moyensde chiffrement à l’étranger afin d’assurer leniveau de protection que méritent leurs informa-tions sensibles.

M. Alain Juillet - CDSE

“

“2

Lors de vos déplacements à l’étranger, veillezà vous conformer strictement aux règlesd’utilisation des moyens de chiffrement !

Les conseils exposés dans ce guide vous per-mettront d’anticiper votre départ en mission etde vous familiariser avec les règles d’usage desmoyens de chiffrement à l’étranger. Il estle complément du passeport de conseils auxvoyageurs.

Dans de nombreux pays étrangers, le cadreréglementaire peut instituer des contrôles auxfrontières de vos équipements, limitant ou nonl’introduction et l’usage de moyens de chiffre-ment : il vous faut vous conformer aux demandesdes autorités du pays, afin d’éviter de vousexposer à des amendes, voire même à un empri-sonnement.

Pour certains pays, il vous sera nécessaired’anticiper les demandes d’autorisations auprèsdes autorités.

Un tableau de bord, vous permet en synthèsede connaître les informations utiles sur unéchantillon de 25 pays, avec un focus sur quatred’entre eux.

3

QUELQUES

RÉFLEXESÀ ACQUÉRIR

4

Relisez attentivement et respectez les règles de sécurité édictées parvotre organisme. Vérifiez la réglementation locale applicable à votresituation auprès de votre service juridique ou de votre avocat.

Pensez à prendre contact avec votre service sécurité avant de partiren mission et prenez connaissance de la législation locale.

Évitez de partir avec des données sensibles. Privilégiez l’envoinumérique et la récupération de fichiers chiffrés sur votre lieu demission.

Utilisez un filtre de confidentialité pour votre ordinateur et / ou votreordiphone (smartphone).

Gardez vos appareils, support de fichiers avec vous. Ne vous séparez pas de vos équipements.

Protégez l’accès de vos appareils et applications par des mots depasse forts.

En cas de connexion ou de saisie par les autorités, de perte ou de vold’un équipement ou d’informations, informez immédiatement votreorganisme.

N’utilisez pas les équipements qui vous sont offerts (clés USB, etc.).Ils peuvent contenir des logiciels malveillants.

Ne connectez pas vos équipements à des postes, réseaux oupériphériques informatiques qui ne sont pas de confiance.

Ne rechargez pas vos équipements sur les bornes électriquesen libre-service.

De retour de mission, ne connectez pas vos appareils à votre réseauavant d’avoir fait ou fait faire au minimum un test anti-virus et anti-espiogiciels.

Rappels en matière deconseils aux voyageurs

5

Données confidentiellesou sensibles

AVANT DE PARTIR EN MISSION

• Limitez au maximum les données confiden-tielles ou sensibles stockées sur vos équipe-ments, lors de vos déplacements à l’étranger.

• Avant vos déplacements, privilégiez des envoisnumériques sécurisés que vous pourrez ensuiterécupérer sur place.

• Pour faire transiter vos données, utilisez dessolutions de chiffrements de confiance qualifiéespar l’ANSSI

www.ssi.gouv.fr/entreprise/qualifications/pro-duits-qualifies-par-lanssi/les-produits/

6

Preuve de fonctionnement

CONTRÔLE AUX FRONTIÈRES

• Les autorités peuvent vous demander d’ouvrirune session à titre de preuve du bon fonctionne-ment de votre équipement.

• Pensez à charger préalablement les batteriesde votre équipement. Changez dès que possiblele mot de passe d’ouverture de session de votreéquipement, après le contrôle de fonctionne-ment.

7

Contrôle général de l’équipement

CONTRÔLE AUX FRONTIÈRES

• Dans certains pays, la loi autorise les autoritésà contrôler (visuellement et physiquement) toutéquipement. Il peut même vous être imposéd’assister les autorités à procéder au déchiffre-ment de vos données.

• Si vous y êtes contraint(e) par les autorités,fournissez les mots de passe et/ou les clés dedéchiffrement.

• Demandez à être présent lors du contrôle et àl’issue, alertez votre RSSI / service de sécurité.

8

« S’il vous plait, puis-je assister au contrôle ? »« S’il vous plait, puis-je regarder ce que vous faites ? »

TRADUCTIONS

Anglais : Please, can I attend the inspection? Please, can I watch what you do?

Arabe : نم ،كلضف يننكمي روضح ؟شيتفتلانم ،كلضف يننكمي ةدهاشم ؟لعفت

Espagnol : Por favor, ¿puedo asistir a los controles ? Por favor, ¿puedo ver lo que está haciendo?

Hébreu : ינא ,אנא לוכי ףתתשהל ?הקידבבינא ,אנא לוכי תוארל ךתוא ?השוע

Hindi : , मंै निरीक्षण मंे भाग लेने के कर सकते हंै? , मंै तुम क्या देख सकते हंै, कृपया?

Japonais : 、私は検査に参加することができますしてください？ 、私はあなたが見ることができますしてください？

Mandarin : 拜託，我可以參加的檢查？ 拜託，我可以看你怎麼辦？

Portugais : Por favor, eu posso participar da inspeção? Por favor, eu posso ver você fazer?

Russe : пожалуйста могу ли я присутствовать контроль? пожалуйста могу ли я посмотреть что вы делаете ?

Turc : Ben muayene katılabilir miyim lütfen? Ben bunu izleyebilirim Lütfen?

9

Saisie de vos équipementspar les autorités

CONTRÔLE AUX FRONTIÈRES

• Si l’autorité vous informe d’une saisie avecconfiscation complète de vos équipements,obtempérez et demandez si vous pouvez conserveravec vous la carte SIM et vos cartes mémoires.

• À l’issue de la saisie, alertez votre RSSI / ser-vice de sécurité.

10

« S’il vous plait, puis-je récupérer ma carte SIM et macarte mémoire avant de vous confier l’appareil ? »

TRADUCTIONS

Anglais : Please, can I recover my SIM card and my memory card before you entrust the machine?

Arabe : SIM يتقاطب ةداعتسا يننكمي ،كلضف نم ةركاذلا ةقاطبو؟زاهجلا ىلإ دهعي نأ لبق يب ةصاخلا

Espagnol : Por favor, ¿puedo recuperar mi tarjeta SIM y la tarjeta de memoria antes de confiar la máquina?

Hébreu : ןורכיזה סיטרכו ילש SIM -ה סיטרכ רזחשל לוכי ינא ,אנא ?הנוכמה תא דיקפמ התאש ינפל ילש

Hindi : आप को यंत्र द॓न॓ स॓ पहले क्या मंै कृपया अपने सिम कार्ड और मेमरी कार्ड निकाल सकता हँू ?

Japonais : あなたがマシンを委託する前に、私は私のSIMカード と私のメモリカードを回復することができますしてく ださい？

Mandarin : 拜託，我可以恢復我的SIM卡和我的記憶卡， 你委託機前？

Portugais : Por favor, eu posso recuperar o meu cartão SIM e meu cartão de memória antes de confiar a máquina?

Russe : пожалуйста могу ли я получить обратно моy сим-карту прежде вам передат устройство?

Turc : Makineyi emanet önce, SIM kartımı ve benim hafıza kartını kurtarabilirsiniz Lütfen?

11

Utilisationet/ou importation de moyens dechiffrement à l’étranger

Le tableau ci-après présente l’état de la régle-mentation des moyens de chiffrement dans 25pays à la date de la dernière mise à jour dupasseport.

Nous attirons néanmoins votre attention sur lefait que les autorités peuvent interpréter votrecomportement réel ou supposé à charge ou àdécharge.

Concernant les différentes formalités de dédoua-nement et les principales autorités de supervi-sion, un focus est ensuite présenté pour les payssuivants : Etats Unis d’Amérique ; Fédération deRussie ; Israël ; République populaire de Chine.

H Libre : Aucune restriction de moyen de chiffrement

H Libre sous condition : Concernent différentes politiques derestrictions de l’utilisation des moyens de chiffrement (déclara-tion préalable auprès des autorités compétentes, autorisationpréalable des autorités compétentes, inscription sur un registredes importateurs).

H Démarche obligatoire

H Pas de règlementation applicable

13

PAYS IMPORTATION UTILISATION

Afrique du Sud H HAllemagne H HArabie Saoudite H HArgentine H HAustralie H HBrésil H HCanada H HRép. populaire de Chine H HCorée du Sud H HEgypte H HEspagne H HEtats-Unis d’Amérique H HEmirats Arabes Unis H HInde H HIndonésie H HIsraël H HItalie H HJapon H HMaroc H HMexique H HQatar H HRoyaume-Uni H HFédération de Russie H HTunisie H HTurquie H H

14

ETATS-UNIS D’AMÉRIQUE

• Le voyageur possédant la nationalité américaine,peut invoquer le 4ème Amendement de la Constitutionaméricaine qui lui confère le droit d’être protégé contredes recherches et saisies déraisonnables.

• Aux Etats-Unis, l’utilisation de données chiffrées etinviolables est considéré par certaines administrationscomme un problème de sécurité nationale face à la luttecontre le terrorisme.

• Afin d’éviter toute suspicion potentielle d’acte deterrorisme, il convient d’obtempérer à toute demanderaisonnable et légitime des autorités.

• En application de la législation américaine, un agentpeut retenir un appareil électronique ou une copie desinformations contenues dans celui-ci pendant un délairaisonnable pour effectuer une fouille à la frontière.La recherche peut avoir lieu sur place ou dans un autreendroit hors site et doit être effectuée aussi rapidementque possible. Sauf circonstances atténuantes, la déten-tion ne peut dépasser 5 jours.

15

FÉDÉRATION DE RUSSIE

Formalités de dédouanement et principales autorités de supervision

• En fonction du type de produits visés à la section 2.19,de la Résolution de la Commission économique eura-sienne sur les mesures non tarifaires dans l'Uniondouanière n° 134 (ii) de la fonctionnalité de chiffrementet 134 (iii) en vue de son importation, la clairance(dédouanement) de chiffrement peut être effectuée surla base de :- Licence d'importation (unique) ;- Permis d’importation ou notification.

• Les principales autorités de supervision et dedélivrance des licences, permis et notifications sont :

- le Ministère de l'Industrie et du Commerce « MIT » pourtoutes questions relatives aux licences d'importation ;

- le Centre des licences du Service Fédéral de Sécurité«+FSS+» pour les questions relatives aux permisd’importations et aux notifications de registres.

• Les autorités douanières russes supervisent etcontrôlent l'importation des articles de chiffrement eteffectuent les vérifications liées au matériel de chiffre-ment et à l’ouverture des enquêtes administratives etpénales.

16

ISRAËL

Formalités de dédouanement et principales autorités de supervision

• L’ordonnance de 1974 relative à l’enregistrement desproduits de chiffrement a été modifiée en 1998.Les moyens de chiffrement sont sous le contrôle duDirecteur général du Ministère de la défense.

• Trois catégories d’autorisations permettent de contrôlerl’importation et l’utilisation d’outils de chiffrement :- autorisation restreinte ;- autorisation spéciale ;- autorisation générale.

• Il est également possible qu’un outil de chiffrementpour lequel une autorisation générale a été accordée,soit considéré « non contrôlé » par le Directeur généraldu ministère de la Défense.

• La liste des outils ou produits de chiffrement qui ontété déclarés « non contrôlés » est révisée régulièrementet publiée dans la gazette officielle du gouvernementd’Israël, consultable via le lien ci-après :

http://www.mod.gov.il/English/Encryption_Controls/Pages/freemeans.aspx

17

RÉPUBLIQUE POPULAIRE DE CHINE

Formalités de dédouanement et principales autorités de supervision

• Une licence est nécessaire pour toute importation ouusage de tout produit de chiffrement. Un dossiercomplet comprend un formulaire d'inscription pourl'utilisation de produits de chiffrement, la licenced'affaires et une description des produits de chiffrementpour lesquels une autorisation est sollicitée. Le dossierdoit être déposé auprès du Bureau d’Etat de l’adminis-tration de la cryptographie commerciale (OSSCA) du lieude séjour de la « State Cryptography Administration »(SCA). L’examen par le bureau de l’OSSCA locale durecinq jours ouvrables à la fin desquels la demande estsoit transmise à la SCA à Pékin (Beijing) pour unexamen plus approfondi, soit retournée au requérantpour complément d’information.

• En cas de transmission à l’OSSCA de Pékin (Beijing),l’examen du dossier peut durer jusqu'à 20 joursouvrables. Si la demande est approuvée, l’OSSCA délivreun certificat d’une durée de validité de trois ans pourl'utilisation de produits de chiffrement de productionétrangère. Si demandé, l’OSSCA peut égalementémettre un permis d'importation pour les produits dechiffrement valable 30 jours. Si la demande est rejetée,l’OSSCA vous fournira un exposé des motifs du rejet devotre demande.

18

Le tableau ci-après présente les sources légaleset/ou réglementaires dans 25 pays1.

AFRIQUE DU SUDCustoms and Excice Act n° 91 of 27 july 1964 ; Electronic Communi-cations and Transactions Act n° 25 of 31 july 2002 Notice “Crypto-graphy Regulations” R216 of 10 march 2006 ; ArmamentsDevelopment and Production Act n° 57 of 1968.

ALLEMAGNEAbsence de réglementation relative à l'utilisation et l'importation demoyens de chiffrement.

ARABIE SAOUDITEAbsence de réglementation relative à l'utilisation et l'importation demoyens de chiffrement.

ARGENTINEAbsence de réglementation relative à l'utilisation et l'importation demoyens de chiffrement.

AUSTRALIECybercrime Act 2001 as amended n°161 of September 27, 2001.

BRÉSILAbsence de réglementation relative à l'utilisation et l'importation demoyens de chiffrement.

CANADALoi sur les licences d’exportation et d’importation (L.R.C (1985), ch.E-19).

RÉPUBLIQUE POPULAIRE DE CHINECommercial Use Password Management Regulations, China StateCouncil Directive n° 273 of 15 october 1999.

CORÉE DU SUDNotice n° 2013-39du 31 mars 2013 sur l’importation-exportation desarticles stratégiques –Ministère du commerce, de l’industrie et del’énergie.

1 Traduction libre

19

EMIRATS ARABES UNISAbsence de réglementation relative à l'utilisation et/ou l'importationde moyens de chiffrement.

EGYPTEDecree n° 770 of 2005 of the Minister of Foreign Trade & Industry -Telecommunication Regulation Law n° 10 of 20 march 2003, art. 36.

ESPAGNEReglamento del Comercio Exterior de Material de Defensa y de DobleUso Ley 53/2007, Decreto 679/2014, Ley 32/2003 General de telecom-municaciones, 3 noviembre 2003, art. 36.

ÉTATS-UNIS D’AMÉRIQUEU.S Customs and Border Protection : Border search of electronicdevices containing information (August 20, 2012) - U.S Immigrationand customs enforcement ICE policy System: Border Searches ofElectronic Devices (August 18,2012)

INDEInformation Technology Act of 17 october 2000, - Information Tech-nology (amendment) Act 2008, n°10 of 5 february 2009.

INDONÉSIELaw of the Republic of Indonesia n°11 of 2008 concerning electronicinformation and transactions, art. 34.

ISRAËLLaw Governing the Control of Commodities and Services, 1957 -Order regarding the Engagement in Encryption Items, 1974 - Decla-ration regarding the control of commodities and services, 1974 -Declaration governing the control of commmodities and services,1998.

ITALIELegge 17 giugno 2003, n° 148. Ou Legge 9 luglio 1990, n. 185 con modifiche introdotte dalla legge 17giugno 2003, n°148.

JAPONAbsence de réglementation relative à l'utilisation et/ou l'importationde moyens de chiffrement.

20

MAROC

Loi n° 53‐05 relative à l'échange électronique des données juridiquespromulguée par le dahir n° 1-07-129 du 19 kaada 1428 (30 novembre2007), notamment ses articles 13, 14, 15, 21 et 23.

Décret n° 2‐08‐518 du 25 joumada I 1430 (21 mai 2009).

Arrêté n° 152-10 du 5 rabii II 1431 (22 mars 2010) fixant la forme dela demande d’autorisation préalable d’importation, d’exportation, defourniture, d’exploitation ou d’utilisation de moyens ou de prestationsde cryptologie et le contenu du dossier l’accompagnant.

Arrêté n° 151-10 du 5 rabii II 1431 (22 mars 2010) fixant la forme dela déclaration préalable d’importation, d’exportation, de fourniture,d’exploitation ou d’utilisation de moyens ou de prestations de cryp-tologie et le contenu du dossier l’accompagnant.

Arrêté du Chef du gouvernement n° 3-89-13 du 28 rabii I 1436 (20janvier 2015) fixant le modèle du cahier des charges devant accom-pagner la demande que doivent déposer les personnes ne disposantpas de l’agrément de prestataires de services de certification élec-tronique et qui entendent fournir des prestations de cryptographiesoumises à autorisation.

MEXIQUEAbsence de réglementation relative à l'utilisation et l'importation demoyens de chiffrement.

QATARAbsence de réglementation relative à l'utilisation et l'importation demoyens de chiffrement.

ROYAUME-UNIRegulation of Investigatory Powers Act, 2000.

21

FÉDÉRATION DE RUSSIEAccord de l'octroi de licences à CU Commerce extérieur (2009)(Соглашение о правилах лицензирования в сфере внешнейторговли товарами) -http://www.tsouz.ru/MGS/MGS_23/Pages/Reshenie_11_Priloze-nie_2.aspx)

Résolution de la Commission économique eurasienne sur lesmesures non tarifaires dans l'Union douanière N ° 134 (Section 2.19)(Russie, Biélorussie et Kazakhstan) («CU»)

(О нормативных правовых актах в области нетарифногорегулирования n°134 :Section 2.19 : ПОЛОЖЕНИЕ О ПОРЯДКЕ ВВОЗА НА ТАМОЖЕН-НУЮ ТЕРРИТОРИЮ ТАМОЖЕННОГО СОЮЗА И ВЫВОЗА СТАМОЖЕННОЙ ТЕРРИТОРИИ ТАМОЖЕННОГО СОЮЗА ШИФ-РОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ СРЕДСТВ(http://www.tsouz.ru/eek/RSEEK/RKEEK/zas22/Pages/R_134.aspxhttp://www.tsouz.ru/eek/RSEEK/RKEEK/zas22/Documents/P2_134.pdf

TUNISIEDécret n° 2008-2638 du 21 juillet 2008, fixant les conditions de fourniture du service téléphonie sur protocole Internet.

Décret n° 2001-2727 du 20 novembre 2001 fixant les conditions etles procédures d’utilisation des moyens ou des services de cryptageà travers les réseaux des télécommunications, ainsi que l’exercicedes activités y afférentes.

Décret n° 97-501 du 14 mars 1997 relatif aux services à valeurajoutée des télécommunications.

Arrêté du ministre des communications du 9 septembre 1997, fixantles conditions d'utilisation du cryptage dans l'exploitation desservices à valeur ajoutée des télécommunications

TURQUIEAbsence de réglementation relative à l'utilisation et l'importation demoyens de chiffrement.

22

AIDE-MÉMOIRE

• N°RSSI

• N°Service Sécurité

• N°Perte/Vol

• N°Service d'Assistance Spécialisée

• N°

Vous disposez maintenant des informationsutiles pour partir en toute sécurité…

BON VOYAGE

Vous trouverez la dernière version de ceguide sur le site internet du CDSE :

www.cdse.fr

En complément, le passeport de conseils auxvoyageurs :www.ssi.gouv.fr/entreprise/guide/partir-en-mission-avec-son-telephone-sa-tablette-ou-son-ordinateur-portable/

CLUB DES DIRECTEURS SÉCURITÉ DES ENTREPRISES

CDSE - 6, place d’Estienne d’Orves - 75009 PARIS01 42 93 75 52www.cdse.fr

Version 1.0 – Av

ril 2

016 / 1

530