Téléphone portable : faut-il donner son code de déverrouillage aux enquêteurs ?

La décision est très attendue ! Le 7 novembre prochain, la Cour de cassation doit se prononcer en assemblée plénière sur le point de savoir si la législation existante impose ou non de communiquer son code de déverrouillage de téléphone portable. Me Julien Brochot explique pourquoi l’application de l’article 434-15-2 du Code pénal servant de fondement actuel à cette obligation est hautement contestable. 

L’assemblée plénière de la Cour de cassation rendra, le 7 novembre 2022, son arrêt afin de déterminer si le délit prévu à l’article 434-15-2 du Code pénal est applicable au mis en cause qui refuse de communiquer son code de déverrouillage de téléphone portable.

L’enjeu pratique se comprend aisément :

Le chiffrement des données sur les téléphones mobiles empêche les enquêteurs d’accéder au contenu de l’appareil.

Pour accéder à ce contenu, il existe deux solutions :

*engager des moyens techniques pour accéder aux données intéressant l’enquête – ce qui peut-être long, difficile et coûteux,

*obtenir le sacro-saint code de déverrouillage et ainsi gagner un temps très précieux.

Ainsi, le fait de pouvoir contraindre, sous peine de poursuites, un mis en cause à remettre son code de téléphone portable constituerait un outil efficace à disposition des enquêteurs.

Toutefois, il est loin d’être certain que la loi permette une telle faculté de contrainte.

En l’état actuel de notre droit positif, le texte précité dispose :

« Est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du Code de procédure pénale.

 Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 € d’amende ».

En 2018, le Conseil constitutionnel avait considéré que l’article 434-15-2 était conforme à la Constitution^[1].

Cette décision rendue sur question prioritaire de constitutionnalité n’est pas tout à fait satisfaisante au regard de sa motivation quelque peu lapidaire et péremptoire.

Les juridictions du fond ont, pour leur part, relaxé des prévenus qui étaient poursuivis pour ne pas avoir communiqué leurs codes de déverrouillage en marge d’une procédure judiciaire engagée à leur encontre.

À titre d’exemple, la cour d’appel de PARIS a pu considérer que :

« un code de déverrouillage d’un téléphone portable d’usage courant, s’il permet d’accéder aux données de ce téléphone portable et donc aux éventuels messages qui y sont contenus, ne permet pas de déchiffrer des données ou messages cryptés et, en ce sens, ne constitue pas une convention secrète d’un moyen de cryptologie ».^[2]

La Cour de cassation, par arrêt du 13 octobre 2020, a cassé cette décision dans le seul intérêt de la loi.

Selon elle :

« Le code de déverrouillage d’un téléphone portable peut constituer une telle convention (secrète de déchiffrement NDLR) lorsque ledit téléphone est équipé d’un moyen de cryptologie (…). En se référant (…) à la notion inopérante de téléphone d’usage courant, la cour d’appel a méconnu les textes susvisés et les principes ci-dessus rappelés »^[3].

La cour d’appel a résisté à cette interprétation de la Cour de cassation de telle sorte que l’Assemblée plénière devra la trancher dans quelques jours.

Selon le communiqué de cette dernière, serait au cœur des débats la notion de convention secrète de déchiffrement.

Cette affirmation n’est pas inexacte mais malheureusement bien trop restrictive au regard des très nombreuses interrogations qui entourent l’incrimination dont s’agit.

Pour tenter un « décryptage » concret, il y a lieu de revenir sur la création du délit et du contexte qui l’a entourée mais également de procéder à une analyse juridique de ses éléments constitutifs.

Qu’est-ce que la cryptologie ?

On pourrait presque dire que la cryptologie est vieille comme le monde : ses premières manifestations datent de l’Antiquité soit bien avant l’apparition de nos techniques numériques modernes.

Concrètement, la cryptologie pourrait être qualifiée de science du secret, consistant à rendre impossible la compréhension d’informations ou de messages afin d’en conserver « la confidentialité, l’authenticité et l’intégrité »^[4].

Seuls l’émetteur et le destinataire disposent du moyen, de la méthode, pour procéder au déchiffrement du message.

Le chiffrement « moderne » était, à l’origine, essentiellement utilisé dans les domaines militaires et diplomatiques.

Le milieu bancaire et certains milieux sensibles se sont également emparés de ces techniques de cryptographie – on pense naturellement à nos cartes bleues équipées d’une puce sécurisée.

Les usages civils se sont également développés : si l’on peut évoquer les messages « cachés » diffusés via des canaux diversifiés – pour déclarer sa flamme, communiquer une information secrète etc. – il va également de soi que la progression du numérique dans le quotidien et les tout premiers balbutiements d’internet ont encore renforcé l’intérêt du grand public pour la cryptologie.

Ce développement s’est accompagné de l’émergence de nouveaux dangers puisque les procédés de cryptographie,  à des fins délictuelles ou criminelles, peuvent être utilisés pour faciliter la préparation, la commission ou la dissimulation d’infractions.

Nécessairement, les pouvoirs publics ont dû s’emparer de la question du chiffrement avec une manifestation remarquable dès les années quatre-vingt-dix.

L’apparition de la « convention secrète de déchiffrement »

La loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications a posé un cadre pour l’utilisation de la cryptographie.

Ainsi, l’usage de ces moyens était plus ou moins libre mais… très réglementé.

Ce paradoxe résulte de la confrontation entre d’un côté la nécessité de lutter contre le crime et, de l’autre, l’obligation de respecter les libertés individuelles, la vie privée et le secret des correspondances.

En substance, selon le texte (article 28 de la loi), lorsqu’un moyen ou une prestation de cryptographie assurait des fonctions de confidentialité, le prestataire de services – qui fournissait ce moyen – devait être préalablement agréé.

Il devait également conserver les « conventions secrètes » qu’il gérait et les remettre aux autorités à leur demande.

Telle fut donc la première référence à ces conventions secrètes dont on a vu que la définition serait au cœur du contentieux qui aujourd’hui occupe nos juridictions françaises.

Or, cette notion de convention secrète est assez difficile à appréhender : selon le texte, il semblerait qu’il s’agisse du moyen permettant de transformer des informations claires en signaux indéchiffrables par les tiers.

Pour beaucoup, elle était entendue comme une « backdoor » détenue par le prestataire, laquelle permet de déchiffrer les informations chiffrées détenues par l’utilisateur du service.

La littérature juridique et parlementaire n’était à cette époque pas très prolixe en la matière et ne semble pas pouvoir nous éclairer davantage.

C’est 11 ans plus tard qu’a été instauré le délit de refus de remise ou de mise en œuvre de la convention secrète.

La raison qui a commandé la création de cette incrimination est l’attentat perpétré le 11 septembre 2001 à New York : en effet, les enquêteurs américains se sont très tôt aperçus que les terroristes communiquaient via des messages chiffrés les rendant plus difficilement détectables.

C’est donc la menace terroriste qui a justifié le vote du texte précité – contenu dans la loi du 15 novembre 2001 n° 2001-1062 relative à la sécurité quotidienne.

À ce stade, il faut noter que la terminologie « convention secrète de déchiffrement » de la loi ancienne de 1990 a été conservée en dépit des doutes qui pouvaient subsister quant à l’interprétation de ces termes.

La loi LCEN n° 2004-575 du 21 juin 2004 a libéralisé l’usage de la cryptographie – notamment en supprimant les agréments – et précisé sa définition.

Cependant, bien qu’abrogeant l’article 28 de la loi de 1990 et les obligations d’agrément, elle n’a pas fondamentalement clarifié la définition de convention secrète.

Il faut toutefois noter que les travaux parlementaires ont, cette fois, permis une bien meilleure compréhension de cette notion.

En effet, le rapport de l’Assemblée nationale du 12 février 2003 précise que :

« La notion juridique de convention secrète (correspond) à celle de clé privée, il s’agit donc d’une définition qui ne couvre que ce qu’il est convenu d’appeler la cryptologie à clé privée ou symétrique. Le principal objet de l’article 17 (devenu article 29 de la LCEN, NDLR) est d’étendre cette définition pour couvrir la cryptologie asymétrique »^[5].

Ainsi, l’amphigourique expression « convention secrète de déchiffrement » semble correspondre à la définition, plus claire, de clé privée de chiffrement^[6].

L’avènement des téléphones portables avec chiffrement des données

En 2014, Apple a mis en place un système de chiffrement décrit comme « si (profond) qu’Apple ne pourrait plus se conformer aux mandats gouvernementaux demandant l’extraction d’informations sur les clients à partir des appareils »^[7].

Depuis lors, les méthodes de chiffrement à destination du public n’ont eu de cesse de se perfectionner et de se diversifier – via les messageries sécurisées notamment.

En pratique, cela rendait le travail des enquêteurs bien plus délicat lorsque des infractions étaient commises avec un téléphone portable doté d’une clé privée de chiffrement.

On peut évoquer, par exemple, le terrorisme, le trafic de stupéfiant, le proxénétisme ou les phénomènes de harcèlement téléphonique ou en ligne.

De fait, pour faire avancer les procédures, il était nécessaire d’avoir accès aux données contenues sur les smartphones.

Or, les moyens techniques susceptibles de permettre de déchiffrer le contenu de ces appareils pouvaient s’avérer coûteux, complexes et longs à mettre en œuvre.

Ainsi, il était tout à fait tentant d’envisager tout moyen de se faire remettre le code du téléphone pour accéder à l’ensemble des applications et des messages qu’il contient.

C’est à cette occasion que le ministère public à (re) découvert l’article 434-15-2 du Code pénal sanctionnant le refus de communiquer ou mettre en œuvre convention secrète de déchiffrement.

Pourquoi peut-on parler de découverte ? Parce qu’en 2016 les sénateurs s’apercevaient que le texte n’avait jamais été mis en œuvre à l’égard des opérateurs privés^[8] – le législateur n’envisageait même pas, à l’époque, que le texte puisse être utilisé contre un mis en cause.

Le premier arrêt de la Cour de cassation relatif au texte précité date du 10 janvier 2018^[9]. On notera qu’il se contente de renvoyer une QPC, transmise par le tribunal correctionnel de Créteil le 2 octobre 2017 au Conseil constitutionnel

Ce qui achève de convaincre que le recours à ce texte est bien lié à l’avènement récent du chiffrement généralisé, c’est qu’entre 2018 et 2022, seuls 6 arrêts de la chambre criminelle visent l’article 434-15-2 du Code pénal.

Ce dernier a donc été exhumé de façon très opportune par le ministère public.

Mais est-ce seulement possible juridiquement ?

Cette question se pose nécessairement dans la mesure où l’incrimination, qui soufflera bientôt sa 21^e bougie, n’avait pas pour vocation de réprimer le refus de déverrouiller un téléphone dont les données sont chiffrées dans la mesure où cette technologie n’équipait pas les appareils à l’époque de sa création.

Un texte daté et impropre à réprimer le refus de communiquer le code de déverrouillage du téléphone

Passé les considérations générales et/ou contextuelles, il convient de rentrer dans les détails de l’analyse du texte et plus précisément sur les éléments constitutifs du délit.

On le sait, le droit pénal est d’interprétation stricte de telle sorte qu’il semble toujours essentiel de se livrer à une analyse littérale de la règle.

Tâchons donc de décomposer le texte et d’analyser les éléments constitutifs de l’infraction.

Premier élément : le code de déverrouillage est-il une convention secrète de déchiffrement ?

Si l’on se tient à la définition de la cryptologie telle qu’énoncée par l’article 29 de la loi LCEN, force est de constater que le code de déverrouillage, en tant que tel, ne joue aucun rôle dans le chiffrement des données.

Sa seule utilité est de déverrouiller l’écran d’accueil de l’appareil.

Les travaux parlementaires de 2003 confortent clairement cette idée que la convention secrète de déchiffrement n’est pas un code de déverrouillage ou un mot de passe (v. supra).

Il s’agit en réalité de la clé privée qui se trouve dans le téléphone, à l’intérieur de la puce fixée sur la carte mère.

Ainsi, techniquement, la convention secrète de déchiffrement n’est pas le mot de passe/le code de déverrouillage de l’écran d’accueil.

Deuxième élément : que signifie la remise ou la mise en œuvre de la convention secrète ?

Le texte incrimine le fait de refuser de remettre la convention secrète ou de la mettre en œuvre.

On l’a vu, la clé/convention est contenue dans le téléphone.

Il y a donc remise de la convention dès le moment où le téléphone passe de la main de son propriétaire à celles des autorités judiciaires.

Concernant la mise en œuvre, on peut légitimement considérer que le fait de taper son code de déverrouillage, parce que cet acte donne accès aux données déchiffrées, répond aux exigences du texte.

Autrement exprimé, le code de déverrouillage n’est pas une convention secrète de déchiffrement, mais il permet la mise en œuvre de celle-ci pour déchiffrer l’information.

Encore faut-il rappeler que le mis en cause a le droit, après avoir décliné son identité, de se taire^[10] et d’exercer ainsi un droit fondamental.

Sauf à admettre que le code de déverrouillage du téléphone est un élément d’identité, il semble que sa communication ne peut se faire qu’à la discrétion du mis en cause.

Il est souvent opposé à cet argument que la communication du code ne saurait constituer un acte d’auto-incrimination.

En effet, en 2018, le Conseil constitutionnel a considéré qu’il n’y avait pas d’atteinte au principe de la présomption d’innocence dès lors que les éléments contenus dans le téléphone existaient « indépendamment de la volonté de la personne suspectée ».

Ce critère d’indépendance a été auparavant dégagé par la Cour européenne des droits de l’Homme dans son célèbre arrêt SAUNDERS C. ROYAUME-UNI^[11].

L’analyse du Conseil constitutionnel n’est donc pas dénuée de pertinence.

Elle semble cependant un peu rapide et, par conséquent, pas exempte de critiques.

L’arrêt SAUNDERS a été rendu en 1996 et envisageait comme données existant « indépendamment de la volonté de l’auteur » les documents – à l’époque non chiffrés – ou les prélèvements corporels.

De plus, il s’attachait à une certaine notion de proportionnalité de la coercition dans l’obtention des données/informations en cause.

Il serait donc possible de contredire le Conseil constitutionnel en indiquant :

*que la révélation des données déchiffrées est dépendante de la volonté de leur propriétaire puisque c’est sa seule action qui permet leur consultation immédiate,

*qu’en cas de refus de déverrouiller le code du téléphone, il existe déjà des moyens de coercition permettant de le « forcer». Il n’est en revanche pas possible de forcer un individu à se soumettre à des prélèvements, d’où l’existence de délits autonomes visant à réprimer ce refus.

En somme, de ce point de vue, le débat n’est pas définitivement clos – notamment au regard de la jurisprudence récente de la CJUE.

Troisième élément : Qui le terme « quiconque» désigne-t-il ?

Le texte énonce que les personnes concernées par l’incrimination sont toutes celles qui ont « connaissance de la convention secrète de déchiffrement ».

De ce point de vue, le texte est anormalement vague.

Doit-on entendre par « ayant connaissance » le seul fait de savoir que l’appareil est doté d’un dispositif de cryptographie ? Ou au contraire doit-on considérer que cela implique d’avoir une connaissance plus complète de cette convention secrète – fonctionnement, méthode de chiffrement etc. ? C’est d’autant plus vrai que tous les téléphones ne sont pas chiffrés ou pas tous de la même manière.

Or, on peut légitimement s’interroger sur la question de savoir si, finalement, il n’y a pas que le seul prestataire qui a une connaissance de la clé de déchiffrement.

Le Conseil constitutionnel estime, pour sa part, que l’obligation de remettre ou mettre en œuvre la convention secrète de déchiffrement « pèse sur toute personne, y compris celle suspectée d’avoir commis l’infraction à l’aide d’un moyen de cryptologie ».

Cette interprétation ressortirait, selon le Conseil, de la jurisprudence constante de la Cour de cassation.

Il poursuit en indiquant que le législateur, en votant le texte litigieux et en visant les mis en cause, a poursuivi un objectif de valeur constitutionnelle.

Si une telle motivation peut impressionner au regard de son caractère implacable, elle ne repose pourtant sur rien !

La jurisprudence constante de la Cour de cassation ? Le seul arrêt de cette juridiction portant sur le texte en question est la décision de renvoi de la QPC au Conseil en 2018.

La volonté du législateur ? Dans tous les débats parlementaires, députés et sénateurs n’ont toujours fait référence qu’aux seuls tiers et en particulier les prestataires.

Le rapport du Sénateur Mercier est même très clair de ce point de vue en distinguant le régime d’accès direct qu’est la perquisition et le régime d’accès indirect qu’est la réquisition.

Il est précisé :

« Votre rapporteur partage le constat de nos collègues députés sur la nécessité de sanctionner les refus des opérateurs privés qui fournissent des moyens de cryptologie de collaborer avec la justice ».

Ainsi, pour fonder sa décision, le Conseil constitutionnel s’est appuyé sur une volonté du législateur et une jurisprudence constante qui manifestement n’existaient pas.

Pour sa part, par son arrêt du 13 octobre 2020, la chambre criminelle a encore davantage semé le doute quant à l’interprétation de la loi.

Dans cette espèce, il était reproché au mis en cause des infractions à la législation des stupéfiants.

Dans le cadre de sa garde à vue, il a refusé de donner son code aux enquêteurs.

Il avait donc un statut de mis en cause en amont et avant que l’infraction visée à l’article 434-15-2 du Code pénal ne lui soit reprochée.

Pour justifier le recours à l’article 434-15-2, la Cour de cassation a considéré que l’officier de police judiciaire agissait « en vertu des articles 60-1, 77-1-1 et 99-3 du Code de procédure pénale » entrant « dans les prévisions de l’article 434-15-2 du Code pénal ».

La Cour fait donc un lien direct entre les réquisitions judiciaires (articles 60-1, 77-1-1 et 99-3 du Code de procédure pénale) et le délit de l’article 434-15-2. Ce lien a été confirmé par la Cour en 2021^[12].

Or, le régime des réquisitions judiciaires ne concerne que les tiers et non les mis en cause.

Cette réalité est confirmée par les travaux parlementaires qui attestent d’une part, d’une volonté de sévérité à l’égard des tiers et d’autre part, du lien entretenu entre les réquisitions judiciaires et la sanction du refus de remettre ou mettre en œuvre une convention secrète (v. supra note 8).

Ainsi la Cour de cassation, en faisant très justement le lien entre les réquisitions judiciaires (articles 60-1, 77-1-1 et 99-3 du Code de procédure pénale) et le délit d’entrave par refus de remise ou de mise en œuvre de la convention secrète (article 434-15-2 du Code de procédure pénale), n’a pas tiré les conséquences juridiques de ses constatations.

Quatrième élément : l’infraction n’est applicable que dans trois cas particuliers

Le délit prévu à l’article 434-15-2 n’est caractérisé que si le moyen de cryptologie a été susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit.

Comment donc caractériser cet élément ? Faut-il de simples suppositions ? Des raisons plausibles ? Un faisceau d’indices ? Des indices graves ou concordants ?

La question se pose véritablement en matière de flagrance : alors qu’aucun acte d’enquête n’a pu être accompli, serait-il possible de déterminer que le moyen de cryptologie a été un outil de préparation, de facilitation ou de commission ?

Un contrôle méticuleux de la défense devra s’exercer à cet égard conformément à la lettre du texte.

La problématique pourrait se poser de façon moindre en matière d’enquête préliminaire ou d’instruction dans la mesure où des investigations préalables auront pu être effectuées précisément pour répondre aux conditions exigées par le texte.

En tout état de cause, c’est dans ces seules trois hypothèses que le refus de la remise ou la mise en œuvre de la convention secrète peut être poursuivi.

L’infraction ne sera pas constituée si le téléphone contenait simplement des informations susceptibles d’étayer la manifestation de la vérité indépendamment de tout rôle causal entre l’utilisation du chiffrement et la commission de l’infraction.

Si l’on envisage le cas d’une agression sexuelle basique dans un bar, les enquêteurs pourraient tout à fait vouloir vérifier le téléphone portable du mis en cause afin de rechercher s’il n’a pas confessé son forfait par message auprès d’un tiers.

En pareille hypothèse, le téléphone équipé d’un dispositif de chiffrement n’a pas servi à préparer, faciliter ou commettre l’infraction.

Dès lors, le refus du mis en cause d’ouvrir son téléphone ne pourrait être poursuivi.

Conclusion

Il ressort de l’analyse du contexte entourant la création du délit prévu par l’article 434-15-2 du code pénal ainsi que de l’analyse rigoureuse des éléments constitutifs de l’infraction que le texte n’est absolument pas applicable au mis en cause qui refuserait de déverrouiller son téléphone portable.

La référence aux articles 60-1, 77-1-1 et 99-3 du Code de procédure pénale – qui ne sont applicables qu’aux tiers – formalisée par le législateur et par la Cour de cassation démontre que le mis en cause ne saurait se voir reprocher un délit d’entrave en refus de donner son code.

C’est d’autant plus vrai qu’à l’égard du suspect, les enquêteurs sont loin d’être démunis :

*ils peuvent naturellement solliciter les opérateurs – c’est toute l’utilité de les sanctionner en cas d’absence de réponse de leur part,

*ils peuvent mettre en œuvre des moyens techniques pour forcer l’accès au téléphone – les textes le prévoient expressément et spécialement.

Admettre la solution inverse reviendrait à autoriser le recours aux réquisitions judiciaires à l’égard des mis en cause et ce en toute hypothèse, bien au-delà du seul cas du téléphone chiffré.

La conséquence serait une atteinte grave portée au droit de ne pas s’auto-incriminer et plus généralement aux droits de la défense.

Cette atteinte serait d’autant moins justifiée que, si le législateur avait voulu réprimer directement le mis en cause, il n’aurait pas manqué de le faire et de le faire savoir. À ce titre, le Conseil constitutionnel a clairement ouvert la voie à une telle réforme aux termes de sa décision du 30 mars 2018.

Pour l’ensemble de ces raisons, la décision de l’Assemblée plénière du 7 novembre prochain est très attendue par les praticiens et sera certainement abondamment commentée.

^[1] Conseil constitutionnel, 30 mars 2018, n° 2018-696

^[2] CA PARIS, Pôle 8 – Chambre 3, 16 avril 2019, n° 18/09267

^[3] Crim., 13 octobre 2020, n° 20-80.150

^[4] chiffrer.info

^[5] Rapport de l’Assemblée nationale n° 612 du 12 février 2003, Jean DIONIS DU SEJOUR

^[6] On notera ici que des textes bien plus récents, tels que les articles L. 871-1 et R. 871-3 du code de la sécurité intérieure, font référence à la notion de « clé cryptographique »

^[7] David E. Sanger et Brian X. Chen, « Signaling Post-Snowden Era, New iPhone Locks Out N.S.A. », The New York Times, 27 septembre 2014

^[8] Rapport de la commission des lois n° 491 du 23 mars 2016, de Michel MERCIER

^[9] Crim., 10 janvier 2018, n° 17-90.019

^[10] article 63-1 3° du code de procédure pénale

^[11] CEDH, SAUNDERS c. RU, 17 décembre 1996, n° 19187/91

^[12] Crim., 3 mars 2021, n° 19-86.757

 

Mise à jour du 9 novembre à 10h53 :  la Cour de cassation a tranché : ne pas communiquer son code est un délit.  Il est consultable ici.