24 March 1999: Thanks to ssi30, correct an entry of the second decree's annex table, item 2. See also official HTML versions:

http://www.internet.gouv.fr/francais/textesref/cryptodecret99199.htm

http://www.internet.gouv.fr/francais/textesref/cryptodecret99200.htm

http://www.internet.gouv.fr/francais/textesref/cryptoarrete4.htm

19 March 1999. Thanks to KW and A.
Source: http://www.journal-officiel.gouv.fr/jojour.htm (four TIF images)

An English version of this would be welcome <jy@jya.com>.


http://tif.journal-officiel.gouv.fr/1999/04050001.tif

4050      JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE      19 mars 1999

Décrets, arrêtés, circulaires

TEXTES GÉNÉRAUX

PREMIER MINISTRE

Décret no 99-199 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation

NOR PRMX9903476D

Le Premier ministre,

Vu le règlement (CE) no 3381/94 du Conseil en date du 19 décembre 1994 modifié instituant un régime communautaire de contrôle des exportations de biens á double usage notamment son article 2;

Vu la directive 98/34/CE du Parlement européen et du Conseil en date du 22 juin 1998, modifiée par la directive 98/48/CE du Parlement européen et du Conseil en date du 20 juillet 1998, prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information;

Vu la loi no 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications, notamment son article 28;

Vu le decret no 98-101 du 24 février 1998 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, notamment son article 4,

Décrète:

Art 1er. - Pour chacune des catégories de moyens et de prestations de cryptologie figurant dans la première colonne du tableau annexé au présent décret, les opérations pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation sont indiquées dans la deuxième colonne du même tableau.

Art 2. - Le décret no 98-207 du 23 mars 1998 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substitutée à celle d'autorisation est abrogé.

Art 3. - Le présent décret sera publié au Journal officiel de la République française.

Fait à Paris, le 17 mars 1999.

LIONEL JOSPIN

A N N E X E

MOYENS OU PRESTATIONS

OPÉRATIONS (*)
pour lesquelles
la déclaration
se substitue
à l'autorisation

1. Materiels ou logiciels offrant un service de confidentialité mis en oeuvre par un algorithme dont la clef est d'une longueur inférieure ou égale à 40 bits.

F

2. Materiels ou logiciels offrant un service de confidentialité mis en oeuvre par un algorithme dont la clef est d'une longueur supérieure à 40 bits et inférieure ou égale à 128 bits.

F, U, I (1)

3. Equipements conçus ou modifiés pour utiliser la cryptologie faisant appel à des techniques analogiques tels que:
a) Equipements utilisant des techniques de mélange de bandes « fixes » ne dépassant pas 8 bandes et où les changements de transposition ne s'effectuent pas plus d'une fois toutes les secondes;

b) Equipements utilisant des techniques de mélange de bandes « fixes » depassant 8 bandes et où les changements de transposition ne s'effectuent pas plus d'une fois toutes les dix secondes;

c) Equipements utilisant l'inversion a fréquence « fixe » et où les changements de transposition ne s'effectuent pas plus d'une fois toutes les secondes;

d) Equipements de fac-similé;

e) Equipements de radiodiffusion pour audience restreinte;

f) Equipements de télévision civile.

F

(1) L'utilisation et l'importation ne sont soumises à déclaration que si elles concernent un matériel ou un logiciel qui n'a pas fait l'objet préalablement d'une déclaration par leu producteur, un fournisseur ou un importateur, et si ledit matériel ou ledit logiciel n'est pas exclusivement destiné à l'usage privé d'une personne physique.

(*) F: fourniture; U: utilisation; E: exportation; I: importation.


http://tif.journal-officiel.gouv.fr/1999/04051001.tif

19 mars 1999      JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE      4051

Décret no 99-200 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable

NOR PRMX9903477D

Le Premier ministre,

Vu le règlement (CE) no 3381/94 du Conseil en date du 19 décembre 1994 modifié instituant un régime communautaire de contrôle des exportations de biens à double usage notamment son article 2;

Vu la directive 98/34/CE du Parlement européen et du Conseil en date du 22 juin 1998, modifiée par la directive 98/48/CE du Parlement européen et du Conseil en date du 20 juillet 1998, prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information;

Vu la loi no 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications, notamment son article 28;

Vu le decret no 98-101 du 24 février 1998 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, notamment son article 2,

Décrète:

Art 1er. - Pour chacune des catégories de moyens et de prestations de cryptologie figurant dans la première colonne du tableau annexé au présent décret, les opérations dispensées de toute formalité préalable sont indiquées dans le deuxième colonne du même tableau.

Art 2. - Le décret no 98-206 du 23 mars 1998 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable est abrogé.

Art 3. - Le présent décret sera publié au Journal officiel de la République française.

Fait à Paris, le 17 mars 1999.

LIONEL JOSPIN

A N N E X E

MOYENS OU PRESTATIONS

OPERATIONS (*)
dispensées de toutes formalités préalables

1. Materiels ou logiciels offrant un service de confidentialité mis en oeuvre par un algorithme dont la clef est d'une longueur inférieure ou égale à 40 bits.

U, I

2. Matériels ou logiciels offrant un service de confidentialité mis en oeuvre par un algorithme dont la clef est d'une longueur supérieure à 40 bits et inférieure ou égale à 128 bits, à condition, soit que lesdits matériels ou logiciels aient préalablement fait l'objet d'une déclaration par leur producteur, un fournisseur ou un importateur, soit que lesdits matériels ou logiciels soient exclusivement destinés à l'usage privé d'une personne physique.

U, I

3. Equipements conçus ou modifiés pour utiliser la cryptologie faisant appel à des techniques analogiques tels que:
a) Equipements utilisant des techniques de mélange de bandes « fixes » ne dépassant pas 8 bandes et où les changements de transposition ne s'effectuent pas plus d'une fois toutes les secondes;

b) Equipements utilisant des techniques de mélange de bandes « fixes » depassant 8 bandes et où les changements de transposition ne s'effectuent pas plus d'une fois toutes les dix secondes;

c) Equipements utilisant l'inversion a fréquence « fixe » et où les changements de transposition ne s'effectuent pas plus d'une fois toutes les secondes;

d) Equipements de fac-similé;

e) Equipements de radiodiffusion pour audience restreinte;

f) Equipements de télévision civile.

U, E, I

4. Cartes à microprocesseur personnalisées ou leurs composants spécialement conçus, incapables de chiffrer le trafic de messages ou les données fournies par l'utilisateur ou leur prestation de gestion de clef associée.

F, U, E, I

5. Equipements de réception de télévision de type grand public, sans capacité de chiffrement numérique et où le déchiffrement numérique est limité aux fonctions vidéo, audio ou de gestion.

F, U, E, I

6. Radiotéléphones portatifs ou mobiles destinés à l'usage civil qui ne sont pas en mesure de procéder au chiffrement de bout en bout.

F, U, E, I

7. Equipements autonomes de lecture de disques vidéo numériques, de type grand public, sans capacité de chiffrement, où le dèchiffrement est limité aux informations vidéo, audio, informatiques et de gestion.

F, U, E, I

8. Moyens matériels ou logiciels spécialement conçus pour assurer la protection des logiciels contre la copie ou l'utilisation illicite, dont les fonctions de déchiffrement ne sont pas accessibles à l'utilisateur.

F, U, E, I

9. Equipements de contrôle d'accès, tels que machines automatiques de distribution de billets, imprimantes libre-service de relevés de compte ou terminaux de points de vente, protégeant les mots de passe, numéros d'identification personnels ou autres données similaires empêchant l'accès non autorisé a des installations, mais ne permettant pas le chiffrement des fichiers ou des textes, sauf lorsqu'il est directement lié à la protection des mots de passe ou des numéros d'identification personnels.

F, U, E, I

10 Moyens ou prestations conçus pour protéger des mots de passe, des codes d'identification personnels ou des données d'authentification similaires, utilisés pour contrôler l'accès à des données, à des ressources, à des services ou à des locaux, sous réserve qu'ils ne permettent de chiffrer que les fichiers de mots de passe ou de codes d'identification et les informations nécessaires au contrôle d'accès.

U, E, I

11. Moyens ou prestations conçus pour élaborer ou protéger une procédure de signature, une valeur de contrôle cryptographique, un code d'authentification de message ou une information similaire, pour vérifier la source des données prouver la remise des données au destinataire, ou bien détecter les altérations ou modifications subreptices portant atteinte à l'integrité des données, sous réserve qu'ils ne permettent de chiffrer que les informations nécessaires a l'authentification ou au contrôle d'intégrité des données concernées.

U, E, I

12. Systèmes de gestion de facturation inclus dans les dispositifs de relevés de compteurs dont les fonctions de chiffrement sont directement liées au comptage.

F, U, E, I

13. Equipements dotés de moyens de cryptologie lorsqu'ils accompagnent les personnalités étrangères sur invitation officielle de l'Etat.

U, E, I

14. Stations de base de radiocommunications cellulaires commerciales civiles présentant toutes les caractéristiques suivantes:
a) Limitées de base de radiotéléphones qui ne permettent pas d'appliquer des techniques cryptographiques au trafic de messages entre terminaux mobiles, sauf sur les liens entre radiotéléphones et stations de bases (connues sous le nom d'interface radio);

b) Et ne permettent pas d'appliquer des techniques cryptographiques au trafic de messages sauf sur l'interface radio.

F, U, I

(*) F: fourniture; U: utilisation; E: exportation; I: importation.


http://tif.journal-officiel.gouv.fr/1999/04052ALL.tif

4052      JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE      19 mars 1999

Arrêté du 17 mars 1999 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie

NOR: PHMX9903475A

Le Premier ministre,

Vu la loi no 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications, notamment son article 28;

Vu le décret no 98-101 du 24 février 1998 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, notamment son articles 5, 10 et 13,

Arrête:

Art. 1er. - Le dossier de déclaration ou de demande d'autorisation concernant un moyen ou une prestation de cryplologic comporte une partie administrative et une partie technique.

La partie administrative comprend une déclaration ou une demande d'autorisation conforme au modèle annexé au présent arrêté, en trois exemplaires.

La partie technique comprend une description conforme au modèle annexé au present arrèté. en trois exemplaires. Sont joints à cette partie deux exemplaires du matériel concerné ou, pour les logiciels, un exemplaire de celui-ci.

Les dossiers déposés dans le cadre du régime simplifié de déclaration prévu à l'article 9 du décret du 24 février 1998 susvisé ainsi que ceux déposés pour obtenir le renouvellement d'une autorisation ne comportent pas de partie technique. Celle-ci est remplacée par un engagement écrit de la personne déposant le dossier certifiant soit que l'impossibilité pour le moyen ou la prestation d'assurer des fonctions de confidentialité ne résulte leas d'un simple dispositif de verrouillage, soit que les caractéristiques techniques du moyen ou de la prestation sont inchangées par rapport à la description figurant dans la partie technique du dossier déposé lors de la première déliverance de l'autorisation.

Art. 2. - Est porté à la connaissance du service central de la sécurité des systèmes d'information, au moins un mois à l'avance, tout changement de nature à modifier le contenu du dossier de déclaration ou de demande d'autorisation.

Art. 3. - L'arrêté du 13 mars 1998 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie est abrogé.

Art. 4. - Le secrétaire général de la défense nationale est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

Fait à Paris, le 17 mars 1999

LIONEL JOSPIN

A N N E X E

PREMIER MINISTRE

SERVICE CENTRAL DE LA SÉCURITÉ
DES SYSTÈMES D'INFORMATION

18, rue du Docteur-Zamenhof, 92131 Issy-les-Moulineaux Cedex
(téléphone: 01-41-46-37-00 Fax: 01-41-46-37-01)

Numero de dossier (*): .....................

Déclaration/Demande d'autorisation
concernant un moyen ou une prestation de cryptologie

PARTIE ADMINISTRATIVE

Cocher la ou les cases correspondantes:

[  ] Déclaration

[  ] simplifiée

[  ] de fourniture

[  ] en vue de l'utilisation générale

[  ] en vue de l'exportation

[  ] d'importation en provenance de: .........................

[  ] d'utilisation personnelle

[  ] de fourniture pour une durée de: .............. (cinq ans maximum)

[  ] en vue de l'utilisation générale

[  ] en vue de l'utilisation collective

[  ] d'exportation pour une durée de:  .............. (cinq ans maximum)

[  ] d'importation en provenance de: ................................................

[  ] d'utilisation personnelle pour une durée de: ......................... (dix ans maximum)

___________________

(*) Reservé a l'administration.

A. - Déclarant ou demandeur d'autorisation

A.1. Societé

Nom: ...................................................................................................

Nationalité: .........................................................................................

Numero SIRET: ..................................................................................

Adresse: ..............................................................................................

.............................................................................................................

Numéro de téléphone: ........................................................................

Numéro de télécopie: ..........................................................................

Adresse du courrier électronique: .......................................................

Personne chargée du dossier administrif

Nom et prénoms: ................................................................................

Adresse: ..............................................................................................

............................................................................................................

Numéro de téléphone: .......................................................................

Numéro de télécopie: ........................................................................

Adresse du courrier électronique: .....................................................

A.2. Particulier

Nom et prénoms: ...............................................................................

Adresse: .............................................................................................

Numéro de téléphone: .......................................................................

Adresse du courrier électronique: .....................................................

B. - A renseigner selon les cas suivants

B. 1. Demande d'autorivation de fourniture d'un moyen ou d'une prestation qui utilise des conventions secrètes gérées par un organisme agréé

Référence de(s) organisme(s) agréé(s): ............................................

B.2. Demande d'autorisation de fourniture
en vue de l'utilisation collective

Catégorics éventuelles d'utilisateurs auxquels le moyen ou la prestation est destiné:

[  ] Administrations (à préciser): .......................................................

[  ] Grandes entreprises (préciser secteur d'activités): .....................

[  ] Etablissements de crédit: ............................................................

[  ] PME (préciser secteur d'activités): .............................................

[  ] Autres (à préciser avec secteur d'activités): ...............................

B.3. Demande d'autorisation d'utilisation personnelle

Besoins justifiant la demande: .........................................................

..........................................................................................................

..........................................................................................................

..........................................................................................................


19 mars 1999     JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE     4053

Le cas échéant, réseaux de télécommunications employés: ...........

..........................................................................................................

..........................................................................................................

..........................................................................................................

C. - Moyen ou prestation auquel s'applique
la déclaration ou la demande d'autorisation

C.1. Moyen ou prestation de cryptologie

Référence commerciale: .................................................................

Référence constructeur: .................................................................

Version: ..........................................................................................

Description succincte: ....................................................................

........................................................................................................

........................................................................................................

........................................................................................................

Référence de l'agrément du moyen s'il a été soumis au minitère chargé des télécommunications .......................................................................

C.2. Fabricant du moyen ou fournisseur de la prestation

Nom: ..............................................................................................

Raison sociale: ................................................................................

Adresse: ..........................................................................................

.........................................................................................................

Numéro de téléphone: ....................................................................

Numéro de télécopie: .....................................................................

Adresse du courrier électronique: ..................................................

C.3. Personne chargée du dossier technique

Nom et prénoms: ............................................................................

Adresse: .........................................................................................

........................................................................................................

Numéro de téléphone: ...................................................................

Numéro de télécopie: ......................................................................

Adresse du courrier électronique: .................................................

C.4. Divers

Si le moyen ou la prestation utilise des moyens ou prestations préalablement déclarés ou autorisés, préciser, pour chacun d'eux, leur identification, référence et date de notification de déclaration ou d'autorisation:

.......................................................................................................

.......................................................................................................

C.5. Services de cryptologie fournis

[  ] Authentification (*): ...............................................................

[  ] Contrôle d'accès (*): ...............................................................

[  ] Signature (*): ...........................................................................

[  ] Integrité (*): ............................................................................

[  ] Confidentialite (*) ...................................................................

[  ] téléphone

[  ] télécopie

[  ] messagerie

[  ] transmissions

de donnees (préciser le(s) type(s) de données chiffrées, par exemple données à caractère financier, médical, de gestion, ....): ...............................

[  ] autre(s) (à préciser): ........................................................

[  ] Autre(s) (à préciser) (*) ..........................................................

C.6. Installation des algorithmes

[  ] Logiciel.

[  ] Matériel (à préciser): ...............................................................

___________________

(*) Préciser le(s) nom(s) de(s) algorithme(s) utilisé(s).

D. - Attestation

Je soussigné (nom, prénoms).........................................................
agissant en qualité de ....................................................................
representant le fournisseur - exportateur- importateur - utilisateur (*) certifie que les renseignements figurant sur cette déclaration - demande d'autorisation (*) sont exacts et ont été établis de bonne foi, toute fausse déclaration ou tout manquement aux engagements souscrits m'exposant aux sanctions prévues par l'article 28 de la loi no 90-1170 du 29 décembre 1990 modifiée et par le décret no 98-101 du 24 février 1998.

Date: ...................................................................

Signature:




___________________

(*) Rayer les mentions inutiles.

PARTIE TECHNIQUE

A joindre au donsier de déclaration ou de demande d'autorisation concernant les moyens et prestations de cryptologie (1)

La partie technique comporte les informations suivantes:

La référence commerciale du produit:

- nom;

- numéro de la version;

La description généerale du produit, le manuel utilisateur;

La description des services offerts par le produit;

La description des fonctions de cryptologie offertes par le produit (chiffrement, signature, gestion de clés);

Soit la description complète des procédés de cryptologie employés, sous la forme d'une description mathématique et d'une simulation dans un langage de haut niveau, type C ou pascal. soit la référence à un dossier préalablement dépose pour un produit usant du même procédé de cryptologie, soit la référence à un standard reconnu, non équivoque, et dont les détails techniques sont accessibles aisément et sans condition;

La description de la gestion des clés mises en oeuvre par le moyen, incluant au moins:

- le mode de distribution;

- le procédé de generation des clés;

- le format de conservation des clés s'il y a lieu;

- le format de transmission des clés s'il y a lieu;

La description des mesures techniques mises en oeuvre pour empêcher l'alteration du procédé de chiffrement ou de la gestion de clés associée (2);

La description des prétraitements subis par les données claires avant leur chiffrement (compression, formatage, ajout d'un en-tête, etc.);

La description des post-traitements des données chiffrées, aprês leur chiffrement (ajout d'un en-tête, formatage, mise en paquet, etc.).

_________________

(1) Conformément au troisième alinéa de l'article 1er de l'arrêté cidessus, la partie technique doit être accompagnée de deux exemplaires du matériel concerné ou bien d'un exemplaire du logiciel concerné.

(2) A fournir dans le cas d'une demande d'autorisation seulement.


[End]

Transcription and HTML by JYA/Urban Deadline. Report errata to jy@jya.com