Le code de téléphone n’est pas un secret
L’assemblée plénière de la Cour de cassation vient de rendre une décision très attendue relative au refus de communiquer le « code secret » de son téléphone. En effet, elle estime que le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement s’il est accompagné d’un moyen de cryptologie. Par conséquent, le refus de le communiquer peut constituer un délit passible d’une peine de trois ans d’emprisonnement et d’une amende de 270 000 euros.
Cass. ass. plén., 7 nov. 2022, no 21-83146
Un individu avait été interpellé en possession de cannabis puis placé en garde à vue pour infraction à la législation sur les stupéfiants. Admettant avoir acquis, détenu, consommé et cédé de la drogue, il avait cependant refusé de communiquer aux enquêteurs les codes de déverrouillage de ses deux smartphones potentiellement utilisés pour la commission de l’infraction. En plus de ses poursuites pour détention et offre ou cession de cannabis, d’autres ont été engagées à son encontre pour refus de remettre ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie.
Condamné pour infraction à la législation sur les stupéfiants, il a été relaxé par les juges du fond du chef de refus de remettre la convention secrète de déchiffrement d’un moyen de cryptologie, aux motifs que le code de déverrouillage d’un smartphone ne serait pas une convention secrète de déchiffrement en ce qu’il servirait uniquement à accéder aux données contenues dans le téléphone.
Erreur de droit selon la chambre criminelle de la haute juridiction qui a une première fois jugé en octobre 2020 que « le code de déverrouillage d’un téléphone portable constitue une convention de déchiffrement s’il permet de mettre au clair les données qu’il contient »1. Néanmoins, saisie sur renvoi, la cour d’appel de Douai a résisté et n’a pas suivi ce raisonnement, confirmant de nouveau la relaxe.
C’est dans ce contexte qu’il revenait à l’assemblée plénière de la Cour de cassation de déterminer si le code de déverrouillage d’un smartphone constitue une convention secrète de déchiffrement permettant de décrypter les données qu’il contient.
Deux textes viennent ici s’appliquer. En premier lieu, l’article 434-15-2 du Code pénal qui réprime « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ». En second lieu, l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) qui donne une définition des moyens de cryptologie, à savoir « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité ».
Sans surprise, l’assemblée plénière a suivi le raisonnement de la chambre criminelle et a sanctionné la considération générale de la cour d’appel en jugeant qu’il ressort de la lecture combinée des deux textes applicables à l’espèce que « le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d’un moyen de cryptologie ».
Le contrôle de l’existence d’un moyen de chiffrement attaché au code de déverrouillage incombe au juge
La constitution de cette infraction dépend de l’existence d’un moyen de chiffrement attaché au code de déverrouillage. L’assemblée plénière précise qu’il incombe au juge de rechercher cette information. La juridiction de jugement, seule à même de juger ou non de la constitution de l’infraction, devra donc rechercher si le code de déverrouillage entraîne également le décryptage des données contenues dans le téléphone.
Cette recherche ne sera possible en pratique que si cette information préexiste, par exemple en dressant une liste de modèles de téléphone qui indique la faculté des codes de déverrouillage à décrypter les données (code PIN, code d’accès au téléphone, code d’accès à une application particulière, etc.), ou si le juge fait appel à un expert au cas par cas pour effectuer cette recherche.
Une atteinte justifiée au droit de ne pas s’auto-incriminer ?
L’obligation du mis en cause de donner l’accès à des données qui sont susceptibles de l’incriminer soulève évidemment la question de la violation du droit de garder le silence et de ne pas s’auto-incriminer. La Cour de cassation était déjà venue limiter le droit de ne pas s’auto-incriminer en jugeant qu’il « ne s’étend pas aux données que l’on peut obtenir de la personne concernée en recourant à des pouvoirs coercitifs mais qui existent indépendamment de la volonté de l’intéressé »2. Ce qui est en cause ici, ce sont moins les données elles-mêmes que leur accessibilité. Le mis en cause n’est pas tenu de donner aux enquêteurs le chemin d’accès aux messages ou aux données l’incriminant, mais seulement de leur donner l’accès à la base de données, en l’espèce aux téléphones. Pour faire un parallèle avec les perquisitions, il n’est pas demandé au mis en cause de montrer aux enquêteurs où sont les objets ou documents l’incriminant à son domicile, mais seulement d’accéder à son domicile. L’accès aux données cryptées, comme l’accès au domicile, peut se faire de manière coercitive. Le Conseil constitutionnel a lui aussi adhéré à cette vision pragmatique de l’article 434-15-2 du Code pénal en le jugeant conforme à la Constitution au motif qu’il « n’a pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées »3.
La question de la proportionnalité des peines
L’infraction dont il est question est liée à la suspicion de la commission d’une ou plusieurs autres infractions principales. Mais contrairement à la catégorie des infractions de conséquence, ici l’infraction peut être retenue indépendamment de la constitution des infractions qui font l’objet de l’enquête. Il convient donc de s’interroger sur la proportionnalité de la peine encourue en cas de refus de communiquer la convention secrète de déchiffrement, par rapport aux peines encourues pour la commission des infractions principales. Il faut rappeler que cet argument avait déjà été soulevé devant le Conseil constitutionnel, qui a jugé que cette disposition ne méconnaissait pas le principe de proportionnalité des peines4 garanti par l’article 8 de la Déclaration des droits de l’Homme et du citoyen (DDHC), mais sans pour autant apporter de raisonnement éclairant5.
L’alinéa premier de l’article 434-15-2 du Code pénal réprime cette infraction par trois ans d’emprisonnement et 270 000 euros d’amende. Ce délit d’entrave s’applique lorsque le « moyen de cryptologie [est] susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Qu’en est-il si la répression des faits qui font l’objet de l’enquête est moins lourde que celle prévue par le délit d’entrave ? Ne pouvons-nous pas considérer que la peine est, dans ce cas-là, disproportionnée ? À défaut, cela signifie que le législateur permet une répression plus forte pour l’entrave à l’exercice de la justice que pour le délit qui fait justement la justice se mouvoir.
Une conception large de la qualité d’autorité judiciaire
Aux termes de l’article 434-15-2 du Code pénal, ce sont les autorités judiciaires qui sont les destinataires de la convention de déchiffrement, étant entendu qu’au sens de la Constitution, l’autorité judiciaire fait référence aux magistrats. Si, en l’espèce, la Cour de cassation n’a pas jugé nécessaire de rappeler les conditions dans lesquelles une réquisition pouvait rentrer dans le champ d’application de cet article, il reste important de rappeler la jurisprudence en la matière.
Ainsi, dans le cadre d’une enquête de flagrance pour infractions à la législation sur les stupéfiants, un fonctionnaire de police avait sollicité la communication des codes de déverrouillage de trois téléphones qui avaient été découverts en la possession de l’individu gardé à vue. Refusant de les communiquer, celui-ci avait alors été cité devant le tribunal correctionnel pour refus de remettre la convention secrète de déchiffrement d’un moyen de cryptologie. Or, la demande de communication ayant émané d’un fonctionnaire de police au cours d’une audition et non en vertu d’un réquisitoire d’une autorité judiciaire, la cour d’appel de Paris avait alors estimé que le délit n’était pas constitué6.
Toutefois, la Cour de cassation a souligné que « la réquisition délivrée par un officier de police judiciaire agissant en vertu des articles 60-1, 77-1-1 et 99-3 du Code de procédure pénale (…) sous le contrôle de l’autorité judiciaire, entre dans les prévisions de l’article 434-15-2 du Code pénal ». Autrement dit, les fonctionnaires de police sont bien habilités à solliciter le code de déverrouillage d’un téléphone portable dans ce cadre, mais le délit ne saurait être caractérisé si la demande n’est pas précédée d’un avertissement selon lequel le refus est susceptible de constituer une infraction pénale7.
Une infraction non systématique
Il est important de mettre l’accent sur les critères de caractérisation de cette infraction. En effet, le délit est constitué sous plusieurs conditions cumulatives. Notamment, il est nécessaire qu’il y ait refus de communiquer ou de mettre en œuvre la convention de déchiffrement d’un moyen de cryptologie. Mais surtout, ce moyen de cryptologie doit être « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Cela implique deux conséquences.
D’abord, cela signifie que les autorités judiciaires ne sauraient, lors d’un simple contrôle, exiger d’une personne qu’elle communique le code de déverrouillage de son téléphone dans la mesure où une telle démarche ne s’inscrirait pas dans le cadre d’une enquête.
Surtout, une telle démarche doit se justifier par des éléments de nature à établir que le téléphone ait été utilisé dans le cadre de l’infraction objet de l’enquête. C’est notamment ce qu’avait rappelé le Conseil constitutionnel, estimant que « l’enquête ou l’instruction doivent avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit »8.
Notes de bas de pages
-
1.
Cass. crim., 13 oct. 2020, n° 19-85984.
-
2.
Cass. crim., 10 déc. 2019, n° 18-86878.
-
3.
Cons. const., QPC, 30 mars 2018, n° 2018-696.
-
4.
V. Rép. pén. Dalloz, vo Question prioritaire de constitutionnalité, A. Cappello, n° 198 : « Le principe de proportionnalité des peines signifie que le législateur ne doit prévoir que des peines proportionnées aux infractions qu’elles répriment. Les peines prévues dans la loi doivent être mesurées par rapport aux faits qu’il s’agit de sanctionner ».
-
5.
Cons. const., QPC, 30 mars 2018, n° 2018-696 : « Le premier alinéa de l’article 434-15-2 du Code pénal, qui ne méconnaît pas non plus les droits de la défense, le principe de proportionnalité des peines et la liberté d’expression, ni aucun autre droit ou liberté que la Constitution garantit, doit être déclaré conforme à la Constitution ».
-
6.
CA Paris, 16 avr. 2019, n° 18/09267.
-
7.
Cass. crim., 13 oct. 2020, n° 20-80150.
-
8.
Cons. const., QPC, 30 mars 2018, n° 2018-696.
Référence : AJU007h8