França

Introdução

A regulamentação francesa acerca da criptografia é em boa parte ligada à regulamentação do setor de telecomunicações. Os debates acerca do terrorismo e da cibersegurança, a partir de 2014, levaram a discussões sobre a regulamentação da criptografia e, especialmente, sobre a necessidade de criação de meios de acesso excepcional 1 . Entretanto, até o recorte temporal estabelecido para essa pesquisa (2010-2017), não ocorreram grandes alterações na legislação.

Regulamentação

O artigo 60-1 do Code de procédure pénale estabelece o poder de juízes requererem informações de interesse, ressaltando “informações de forma digital, sem que seja possível se opor, sem motivos legítimos de segredos profissionais” 2 . O artigo 60-2, por sua vez, permite que a polícia judiciária demande ao judiciário a interceptação e guarda de dados (por um ano) a pessoas jurídicas privadas ou a órgãos públicos.

As disposições supracitadas não versam diretamente sobre criptografia, mas abrem questões sobre a liberdade de uso de meios criptográficos para inviabilizar a interceptação e sobre a possibilidade de entrega de chaves (por indivíduos e empresas). A pesquisa não encontrou casos judiciais ou comentários da literatura que esclareçam tais questões.

O artigo 230-1, também do Code de Procédure Pénale permite que juízes designem pessoas (físicas ou jurídicas) para “efetuar as operações técnicas que permitam a obtenção de acesso às informações, em sua versão clara, no caso de que um meio de criptologia tenha sido utilizado, a convenção secreta de decifragem, caso pareça necessário” 3 .

A Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique estabelece alguns contornos para a regulamentação da criptografia 4 . A lei não coloca restrições quanto à utilização de tecnologias criptográficas. Entretanto, a exportação e transferência intracomunitária demandam uma licença, expedida pelo Service des Biens à Double Usage (SBDU - Direction Générale des Entreprises) . Cabe ressaltar que essa obrigação não é aplicável para meios de autenticação 5 . A importação e fornecimento de criptografia demandam uma declaração à Agence nationale des systèmes d’information (ANSSI) . 6 As sanções (administrativas e criminais) estão presentes no art. 34 e 35 da referida lei. 7

Em 2015, foi aprovada uma lei de segurança nacional que obriga a cooperação, por parte das empresas, na desencriptação de dados de tráfego internacional. Na mesma linha de “anti-terrorismo”, a lei “ n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale ” modificou o código penal para endurecer a pena do crime 8 (existente desde 1992) de falhar em entregar a chave de dados criptografados que foram utilizados para preparar, facilitar ou cometer um crime ou delito. 9 Não fica claro, entretanto, se existe uma obrigação geral de entrega chaves nos casos em que a solução tecnológica utilizada não permite que a empresa (ou indivíduo) gerenciador do software tenha acesso às chaves ― tais como nos casos de criptografia ponta a ponta, como empregada pelo whatsapp . 10

A França também possui diplomas normativos que tratam explicitamente dos poderes de government hacking : a já mencionada Lei 2016-731 alterou alguns dispositivos do Código de Processo Penal francês para viabilizar duas formas distintas deste meio de investigação: 11 (i) acesso remoto iniciado pela instalação física de software-espião no computador alvo da investigação; e (ii) acesso a dados informatizados realizado totalmente de forma remota 12 .

Por fim, existem também regulamentações que versam sobre a invasão de sistemas informacionais para fins de inteligência. Em especial, a loi 2015-912 du 24 juin de 2015 (Lei de Inteligência) regula o uso de hacking nestes contextos. 13

Conclusão

Durante o debate parlamentar para a aprovação da “ Loi n° 2016-1321 pour une République numérique" 14 houve a tentativa de inclusão de uma emenda que, se aprovada, obrigaria empresas a inserirem backdoors em seus produtos que utilizassem criptografia forte. Na ocasião, o ministro de assuntos digitais se posicionou contra o dispositivo, 15 denominando-a de” vulnérabilité by design " (vulnerabilidade por design) e fazendo referência ao caso dos países baixos, que consideram a criptografia como um direito humano 16 . O diploma aprovado reconhece a criptografia como protetora do “direito à vida privada” (art. 59, §2, f). Tal legislação, pareceu ir na contramão de outras declarações do governo francês, que defendiam o uso de meios excepcionais de acesso. 17

O governo atual de Macron, enquanto na campanha presidencial, declarou que desejava que empresas de tecnologia cooperassem com investigações sem demora, ressaltando a “obrigação absoluta de resultado sem poder opor impossibilidades técnicas ao princípio da liberdade ou neutralidade”. 18


  1. Encryption under fire in Europe as France and Germany call for decrypt law. TechCrunch, 24 ago. 2016. Disponível em: < http://social.techcrunch.com/2016/08/24/encryption-under-fire-in-europe-as-france-and-germany-call-for-decrypt-law/ >. Acesso em: 23.05.18

  2. Le procureur de la République ou l'officier de police judiciaire peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des informations intéressant l'enquête, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-5, la remise des informations ne peut intervenir qu'avec leur accord.

    A l'exception des personnes mentionnées aux articles 56-1 à 56-5, le fait de s'abstenir de répondre dans les meilleurs délais à cette réquisition est puni d'une amende de 3 750 euros.

    A peine de nullité, ne peuvent être versés au dossier les éléments obtenus par une réquisition prise en violation de l'article 2 de la loi du 29 juillet 1881 sur la liberté de la presse.

    Texto integral da lei (em francês) disponível em: < https://www.legifrance.gouv.fr/affichCode.do;jsessionid=1000E694DDF2C6A211D784BB5BD1431D.tplgfr42s_2?idSectionTA=LEGISCTA000006151876&cidTexte=LEGITEXT000006071154&dateTexte=20180328#LEGIARTI000006575047 >. Acesso em: 23.05.18

  3. Art. 230-1 - Sans préjudice des dispositions des articles 60, 77-1 et 156, lorsqu'il apparaît que des données saisies ou obtenues au cours de l'enquête ou de l'instruction ont fait l'objet d'opérations de transformation empêchant d'accéder aux informations en clair qu'elles contiennent ou de les comprendre, ou que ces données sont protégées par un mécanisme d'authentification, le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire, sur autorisation du procureur de la République ou du juge d'instruction, ou la juridiction de jugement saisie de l'affaire peut désigner toute personne physique ou morale qualifiée, en vue d'effectuer les opérations techniques permettant d'obtenir l'accès à ces informations, leur version en clair ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire.

    Si la personne ainsi désignée est une personne morale, son représentant légal soumet à l'agrément du procureur de la République, de l'officier de police judiciaire ou de la juridiction saisie de l'affaire le nom de la ou des personnes physiques qui, au sein de celle-ci et en son nom, effectueront les opérations techniques mentionnées au premier alinéa. Sauf si elles sont inscrites sur une liste prévue à l'article 157, les personnes ainsi désignées prêtent, par écrit, le serment prévu au deuxième alinéa de l'article 60 et à l'article 160.

    Si la peine encourue est égale ou supérieure à deux ans d'emprisonnement et que les nécessités de l'enquête ou de l'instruction l'exigent, le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire, sur autorisation du procureur de la République ou du juge d'instruction, ou la juridiction de jugement saisie de l'affaire peut prescrire le recours aux moyens de l'Etat soumis au secret de la défense nationale selon les formes prévues au présent chapitre.

  4. Disponível em: < https://www.ssi.gouv.fr/entreprise/reglementation/controle-reglementaire-sur-la-cryptographie/ >. Acesso em: 23.05.18

  5. Art. 30, II - Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Texto integral da lei disponível em: < https://www.legifrance.gouv.fr/eli/loi/2004/6/21/ECOX0200175L/jo#JORFSCTA000000906400 >. Acesso em: 23.08.18

  6. Não fica claro se a obrigação de declaração dos fornecedores de criptografia inclui aqueles que fazem uso da criptografia como mecanismo de segurança para execução de outra(s) função(ões) primária(s).

  7. Texto integral dos artigos (em francês) disponível em: < https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164#LEGIARTI000006421582 >. Acesso em: 23.05.18

  8. Texto integral do artigo (em francês) disponível em: < https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006418646 >. Acesso em: 23.05.18

  9. Texto integral do artigo (em francês) disponível em: < https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=2B5D933C3332BFC104C744672902FB8B.tpdila17v_2?idArticle=JORFARTI000032627355&cidTexte=JORFTEXT000032627231&dateTexte=29990101&categorieLien=id >. Acesso em: 23.05.18

  10. Tampouco foram encontrados casos notórios que tenham questionado tal ponto no judiciário francês.

  11. ACHARYA, B.; BANKSTON, K.; SCHULMAN, R.; WILSON, A. Deciphering the European Encryption Debate : France. Washington, 2017.

  12. O Código de Processo Penal francês estabelece uma série de elementos que devem ser levados em consideração antes da utilização do mecanismo e depois de sua realização. Para uma análise mais aprofundada do government hacking na França. Cf. EUROPEAN PARLIAMENT. Legal Framework for Hacking by Law Enforcement: Identification, Evaluation and Comparison of Practices. Study - Citizen's Rights and Constitutional Affairs, 2015, p. 79.

  13. « Art. L. 853-2.-I.-Dans les conditions prévues au chapitre Ier du titre II du présent livre, peut être autorisée, lorsque les renseignements ne peuvent être recueillis par un autre moyen légalement autorisé, l'utilisation de dispositifs techniques permettant :

    « 1° D'accéder à des données informatiques stockées dans un système informatique, de les enregistrer, de les conserver et de les transmettre ;

    « 2° D'accéder à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques audiovisuels.

    « II.-Par dérogation à l'article L. 821-4, l'autorisation de mise en œuvre de la technique mentionnée au 1° du I du présent article est délivrée pour une durée maximale de trente jours et celle mentionnée au 2° du même I pour une durée maximale de deux mois. L'autorisation est renouvelable dans les mêmes conditions de durée.

    « III.-Les dispositifs techniques mentionnés au I du présent article ne peuvent être utilisés que par des agents appartenant à l'un des services mentionnés aux articles L. 811-2 et L. 811-4 dont la liste est fixée par décret en Conseil d'Etat.

    « IV.-Le service autorisé à recourir à la technique mentionnée au I rend compte à la Commission nationale de contrôle des techniques de renseignement de sa mise en œuvre. La commission peut à tout moment adresser une recommandation tendant à ce que cette opération soit interrompue et que les renseignements collectés soient détruits.

    « V.-Si la mise en œuvre de cette technique nécessite l'introduction dans un véhicule ou dans un lieu privé, cette mesure s'effectue selon les modalités définies à l'article L. 853-3.

  14. Texto integral da lei (em francês) disponível em: < https://www.legifrance.gouv.fr/eli/loi/2016/10/7/ECFI1524250L/jo#JORFSCTA000033202754 >. Acesso em: 23.05.18

  15. CHAMPEAU, G. Chiffrement : le gouvernement rejette les backdoors - Politique. Numerama, 13 jan. 2016. Disponível em: <https://www.numerama.com/politique/138689-chiffrement-le-gouvernement-rejette-les-backdoors.html>. Acesso em: 23.05.18

  16. CHAMPEAU, G. Les Pays-Bas plaident pour le droit au chiffrement fort - Politique. Numerama, 5 jan. 2016. Disponível em: <https://www.numerama.com/politique/137054-les-pays-bas-livrent-un-plaidoyer-en-faveur-du-chiffrement-fort.html>. Acesso em: 23.05.18

  17. Ver nota 1.

  18. French candidate Macron targets encryption in fight against terrorism. France 24, 12 abr. 2017. Disponível em: < https://www.france24.com/en/20170412-candidate-macron-encryption-fight-terror-whatsapp-telegram >. Acesso em: 22 ago. 2018