Du bon usage de la cryptologie en droit pénal

Entre sécurité et liberté, la Cour de cassation restreint le droit au chiffrement
Publié le 16/12/2022
Code de téléphone, smartphone, cryptologie
THAWEERAT/AdobeStock

Dans une décision très attendue du 7 novembre 2022, l’assemblée plénière de la Cour de cassation estime que refuser de remettre aux enquêteurs la clé de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, peut pénalement être sanctionné. Dans un contexte sécuritaire très tendu, la question de l’équilibre entre les données personnelles, l’innovation technologique et la surveillance des individus est donc une nouvelle fois au centre de toutes les préoccupations. La décision de la Cour de cassation fera certainement autorité mais la faiblesse de sa motivation laisse subsister de (trop) nombreuses interrogations, et constitue un véritable risque pour les libertés individuelles.

Cass. ass. plén., 7 nov. 2022, no 21-83146

Le langage (y compris informatique) est-il, comme le soutenait Spinoza, un outil de contrôle politique ?

À n’en point douter, si l’on considère qu’à l’ère numérique les capacités de surveillance des États sont aujourd’hui techniquement et légalement si développées que le droit fondamental à la vie privée, garant dans une société démocratique de la liberté d’expression, d’opinion et d’information, est depuis quelques années profondément remis en cause, notamment au nom de la sécurité publique.

Dès lors, si la capacité de chiffrer1 ses communications numériques et ses données informatiques doit être considérée – pour certains – comme une condition indispensable à la préservation des droits et libertés fondamentales, mais aussi comme l’un des derniers remparts, individuels et collectifs, aux intrusions arbitraires et illégales de nombreux acteurs (étatiques, privés, ou criminels2), le droit au chiffrement soulève malgré tout de nombreuses interrogations quant à son usage.

En effet, la question de l’articulation entre les objectifs de protection de la vie privée d’une part, et la nécessité pour les autorités publiques d’accéder aux informations qui leur sont nécessaires d’autre part, se pose (ou s’oppose) désormais de manière frontale, notamment dans le cadre de l’accès par les autorités judiciaires aux documents, informations et données « intéressant l’enquête », « utiles à la manifestation de la vérité » ou qui peuvent « servir de preuve à l’élucidation d’une infraction ». De fait, le législateur3 a prévu à cet effet de nombreuses dispositions spécifiques, telles que les réquisitions de données ou l’accès aux données informatiques chiffrées. Ainsi, l’article 434-15-2 du Code pénal, issu de la loi n° 2016-731 du 3 juin 2016, prévoit un emprisonnement de trois ans et 270 000 € d’amende « pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du Code de procédure pénale ».

Dans la pratique, cet article est régulièrement utilisé par les enquêteurs depuis le développement des Smartphones, puisque par cet intermédiaire, il est possible d’avoir accès, aisément et sans autorisation judiciaire, à un nombre important d’informations, et ce quelle que soit la gravité de l’infraction.

À l’origine de l’arrêt de la Cour de cassation, une banale affaire de trafic de stupéfiants, dans laquelle un homme, interpellé en possession de cannabis et soupçonné de détenir sur ses téléphones des informations pouvant faire progresser l’enquête, a refusé pendant sa garde à vue de communiquer les codes permettant le déverrouillage de son téléphone. Le tribunal correctionnel de Lille4, puis la cour d’appel de Douai ont d’abord estimé que le suspect était dans son bon droit sur ce point, puisque le code de déverrouillage de son téléphone ne constituait pas « une convention de déchiffrement », car il ne servait pas à décrypter des données, mais uniquement à débloquer un écran d’accueil permettant d’accéder aux données contenues dans l’appareil.

En 2020, la chambre criminelle de la Cour de cassation a censuré cette décision5 mais, par un arrêt du 21 avril 2021, la cour d’appel de Douai a confirmé la décision de relaxe. Saisie d’un pourvoi par le procureur général de la cour d’appel, la chambre criminelle ordonne le renvoi de l’affaire devant l’assemblée plénière de la Cour de cassation, qui estime donc que le fait de ne pas communiquer le code de déverrouillage de son téléphone à un policier qui le réclame lors d’une enquête peut, dans certains cas, constituer un délit.

La décision de l’assemblée plénière de la Cour de cassation est importante car, au-delà de sa solution, elle opère un recadrage important du droit au chiffrement et fixe les limites de son utilisation dans un cadre légitime de poursuite des infractions.

C’est une décision parfaitement intégrée dans l’évolution actuelle du droit pénal tendant à la marginalisation de l’aveu dans la procédure, qui se veut certainement équilibrée entre le respect de la vie privée et la lutte contre les nouvelles formes de criminalité, mais dont on peut douter de l’efficacité et de la pertinence, car elle constitue, de fait, un affaiblissement du droit à ne pas s’incriminer (I) et une réelle menace pour le droit à la vie privée et à la liberté de communication (II).

I – Un affaiblissement du droit à ne pas s’incriminer

Bien que ne figurant pas directement dans le droit pénal français, le droit à ne pas s’auto-incriminer6 tient une place à part entière en procédure pénale, et est considéré comme un élément du procès équitable depuis l’arrêt de la Cour européenne des droits de l’Homme (CEDH) du 25 février 1993 Funke contre France7, interdisant notamment à l’accusation de recourir à des éléments de preuve obtenus sous la contrainte ou par la ruse.

En réalité, la décision rapportée nous rappelle la décision du Conseil constitutionnel du 30 mars 20188, qui estimait alors, dans sa réponse à QPC, que le délit sanctionnant le refus de communication de la clé de déchiffrement aux enquêteurs ne porte pas une atteinte excessive au droit de ne pas contribuer à sa propre incrimination, et qui considérait que ce droit ne s’étend pas aux données que l’on peut obtenir d’un suspect en dehors de sa volonté. Ainsi, de la même façon que le prélèvement ADN au cours d’une enquête judiciaire est une obligation légale, à laquelle le suspect ne peut se soustraire, le code d’accès au téléphone relève du même régime. En effet, fixé sur un support, il existe en dehors de la volonté de la personne suspectée et les autorités judiciaires peuvent l’exiger du fournisseur d’accès, qui dispose alors d’un délai de 72 heures pour y répondre. C’est donc pour raccourcir la procédure que le législateur a prévu l’incrimination de l’article 434-15-2 du Code pénal.

Néanmoins, cette position, confirmée implicitement par la Cour de cassation, est discutable car elle déstabilise fortement l’équilibre déjà précaire entre la poursuite légitime des infractions d’un côté, les droits de la défense et le respect de la présomption d’innocence de l’autre, d’autant plus qu’elle contredit la position de la CNIL, qui affirmait en 20169 que les obligations de révéler des clefs de déchiffrement « ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête ». La CNIL précisait que « le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l’Homme et dans la jurisprudence de la Cour européenne ».

Dans l’arrêt rapporté, au-delà de cette difficulté liée à l’auto-incrimination, l’interrogation des juges portait plus particulièrement sur la question de savoir ce qu’est juridiquement une « convention de chiffrement » ou, plus simplement, une clé privée de chiffrement.

Jusque-là, les jugements précédents avaient estimé qu’un code de déverrouillage « ne permet pas de déchiffrer des données ou messages cryptés », mais simplement d’accéder à l’écran d’accueil du téléphone. Seuls les codes d’accès aux applications de communications chiffrées telles que Signal et Telegram pouvaient entrer dans la définition juridique de la convention secrète de chiffrement.

Mais la Cour de cassation a considéré que cette lecture de la loi était erronée, puisque « le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d’un moyen de cryptologie ». En conséquence, il est obligatoire de transmettre ce fameux code s’il est demandé par les forces de l’ordre. Dans le cas où le propriétaire du téléphone en été informé, son refus de communiquer ledit code peut constituer un délit.

Cependant, si la poursuite par l’institution judiciaire d’infractions pénales graves peut justifier qu’il soit porté atteinte à des libertés individuelles et collectives, dans des conditions d’encadrement strict et sous réserve du respect des principes de proportionnalité, de nécessité et de non-excessivité, il convient également de préciser que la restriction du droit au chiffrement, en tant que technique policière intrusive, ainsi que l’aggravation des peines encourues en cas de non-collaboration, peuvent paraître excessives et inefficaces, et constituer, dans un état démocratique, un danger pour la liberté de communication.

II – Une menace sur le droit à la vie privée et à la liberté de communication

La décision de l’assemblée plénière de la Cour de cassation est importante car, en remettant en cause le droit au chiffrement, elle va bien au-delà de la procédure pénale, et pose clairement la question de l’intérêt de son usage pour les particuliers dans un contexte sécuritaire et judiciaire fortement hostile à sa pratique.

En effet, alors que le règlement général sur la protection des données (RGPD)10 – dont l’objectif est de renforcer la protection des données à caractère personnel au sein de l’union européenne – est aujourd’hui incontournable, la position de la Cour de cassation ne va-t-elle pas à contre-courant ? Le droit au chiffrement ne doit pas, en effet, être considéré de manière simpliste comme le moyen de dissimuler des actes dans le cadre d’activités criminelles. C’est avant tout une technologie qui permet de garantir que seuls l’émetteur et le(s) destinataire(s) légitime(s) d’un message puissent en connaître le contenu car, une fois chiffré, et faute d’avoir la clé, le message est inaccessible et illisible, ce qui en fait un élément de liberté individuelle.

Alors que le débat sur le droit au chiffrement semble de plus en plus devoir sacrifier la vie privée et la confidentialité des communications sur l’autel de la sécurité nationale, ce droit est pourtant devenu une nécessité pour garantir, à l’ère du numérique, la vie privée et les libertés fondamentales. Sans évoquer directement « Big Brother » ou Black Mirror, il est évident que l’État souhaite, dans de nombreux pays – y compris en France –, instaurer une société de surveillance. En 2015, l’assemblée parlementaire du Conseil de l’Europe rappelait ainsi que, « jusqu’à ce que les États acceptent de fixer des limites aux programmes de surveillance massive menés par leurs agences de renseignement, le chiffrement généralisé visant à renforcer la vie privée constitue la solution de repli la plus efficace pour permettre aux gens de protéger leurs données »11.

En France, c’est l’avènement des téléphones portables avec chiffrement de données, et leur utilisation dans de nombreux trafics, qui a rendu nécessaire l’accès aux données contenues dans ces téléphones. Or, les moyens techniques susceptibles de permettre de déchiffrer le contenu de ces appareils sont souvent coûteux, complexes et longs à mettre en œuvre.

L’article 434-15-2 du Code pénal – dont la vocation initiale n’était pas, rappelons-le, de réprimer le refus de déverrouiller un téléphone dont les données sont chiffrées, puisque cette technologie n’existait pas au moment de sa rédaction – constitue pour les enquêteurs une véritable aubaine procédurale qui leur permet d’avoir accès facilement à certaines informations.

Or, l’accès aux données stockées sur nos ordinateurs, nos téléphones ou sur nos serveurs est non seulement une mesure extrêmement intrusive, mais parfois également tout à fait illégale, notamment en matière de flagrance, où il est bien difficile de déterminer si l’élément de cryptologie a été un outil de préparation, de facilitation ou de commission de l’infraction.

En réalité, dans un contexte sécuritaire très tendu, le droit au chiffrement des données apparaît comme le seul moyen de rétablir un peu de l’équilibre perdu entre les capacités de surveillance des États et le droit à la vie privée. Or, avec cette décision du 7 novembre 2022, la Cour de cassation admet que le simple fait d’être suspect justifie que l’État puisse forcer la personne à révéler des données relevant de son intimité, alors même que les enquêteurs disposent d’autres moyens d’investigation pour élucider une affaire. Un recadrage législatif s’impose.

Notes de bas de pages

  • 1.
    Le chiffrement est un procédé qui permet de transformer un message en clair, lisible par tous, en un message codé uniquement compréhensible par qui dispose du code. Les techniques de chiffrement (de cryptologie) sont nombreuses, ont des fonctions différentes et sont utilisées par différents types de services. On peut ainsi distinguer le chiffrement en ligne (données « en mouvement/en transit » – data in motion) qui est un chiffrement de flux de données : circulant sur internet (discussions instantanées chiffrées, TLS, HTTPS2…), et le chiffrement hors ligne (données au repos – data at rest) qui est un chiffrement de tout ou partie de la mémoire de stockage d’un téléphone, d’une tablette, d’un ordinateur ou simplement d’un disque dur ; il est utilisé pour rendre inintelligibles les informations présentes sur un appareil à toute personne qui ne dispose pas de la clé de déchiffrement.
  • 2.
    Observatoire des libertés et du numérique.
  • 3.
    Notamment depuis la loi n° 2004-575 du 21 juin 2004, pour la confiance dans l’économie numérique, définissant la cryptologie comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes, ou pour réaliser l’opération inverse avec ou sans convention secrète », et modifiant certaines dispositions du Code pénal.
  • 4.
    Par jugement du 15 mai 2018, le tribunal correctionnel l’a condamné pour infractions à la législation sur les stupéfiants, mais relaxé du délit de refus de remettre ou de mettre en œuvre la convention secrète d’un moyen de cryptologie.
  • 5.
    Cass. crim., 13 oct. 2020, n° 19-85984, PB.
  • 6.
    Le droit à ne pas s’auto-incriminer est inspiré pour l’essentiel du cinquième amendement à la Constitution des États-Unis. On le retrouve dans l’article 63-1 du Code de procédure pénale.
  • 7.
    CEDH, 25 févr. 1993, n° 10588/83.
  • 8.
    Cons. const., QPC, 30 mars 2018, n° 2018-696. Le Conseil constitutionnel a été saisi le 12 janvier 2018 par la Cour de cassation (Cass. crim., 10 janv. 2018, n° 17-90019, arrêt n° 3478), d’une QPC relative à la conformité aux droits et libertés, que la Constitution garantit à l’article 434-15-2 du Code pénal. Dans sa décision, le Conseil relève que l’objectif du législateur ayant adopté l’article 434-15-2 est la prévention des infractions et la recherche des auteurs d’infractions, tous deux nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle, et que les dispositions critiquées « n’imposent à la personne suspectée d’avoir commis une infraction, en utilisant un moyen de cryptologie, de délivrer ou de mettre en œuvre la convention secrète de déchiffrement que s’il est établi qu’elle en a connaissance. Elles n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées ».
  • 9.
    CNIL, Les enjeux de 2016 : quelle position de la CNIL en matière de chiffrement ?, 8 avr. 2016.
  • 10.
    Ce règlement, applicable depuis le 25 mai 2018 est « obligatoire dans tous ses éléments et directement applicable dans tout État membre ».
  • 11.
    P. Omtzigt. Les opérations de surveillance massive, assemblée parlementaire du Conseil de l’Europe, Strasbourg, mars 2015.
Plan