Le refus de déverrouiller son GSM est un délit

Publié le par - 1755 vues

Un enquêteur demande à un suspect de déverrouiller son téléphone, et ce dernier refuse. Que risque-t-il ? La Cour de cassation vient de mettre un terme à un dossier fleuve dans lequel la cour d’appel avait, à deux reprises, fait de la résistance : l’assemblée plénière juge que le refus de communiquer le code secret de déverrouillage est punissable.

Une longue procédure …

Le 12 mai 2018, M. [O] a été interpellé et placé en garde à vue pour infractions à la législation sur les stupéfiants. Il a refusé de communiquer aux enquêteurs les mots de passe permettant de déverrouiller deux téléphones portables, iPhone 4s et iPhone 10, découverts dans son véhicule.

Il a été poursuivi devant le tribunal correctionnel de Lille, pour détention et offre ou cession de cannabis ainsi que pour refus de remettre la convention secrète de déchiffrement d’un moyen de cryptologie, en refusant de fournir le code de déverrouillage d’un téléphone susceptible d’avoir été utilisé dans le cadre d’un trafic de stupéfiants.

Par jugement du 15 mai 2018, le tribunal correctionnel de Lille :

  • l’a condamné à des peines d’emprisonnement et d’amende pour infractions à la législation sur les stupéfiants et
  • l’a relaxé du délit de refus de remettre ou de mettre en œuvre la convention secrète d’un moyen de cryptologie.

Sur cette dernière question seulement, le procureur de la République fait appel. Par arrêt du 11 juillet 2019, la cour d’appel de Douai a confirmé le jugement déféré sur cette question.

Sur pourvoi du procureur général, la chambre criminelle de la Cour de cassation est saisie de la question. Elle décode de casser l’arrêt d’appel (Crim., 13 octobre 2020, pourvoi n° 19-85.984) :

« 11. Pour confirmer la relaxe, la cour d’appel énonce qu’un téléphone portable ne peut être considéré comme un moyen de cryptologie au sens des textes précités, et que le code permettant de déverrouiller l’écran d’accueil d’un téléphone, qu’il s’agisse d’un code chiffré ou d’un ensemble de points à relier dans un sens prédéfini par l’utilisateur, ne peut être qualifié, au sens des mêmes dispositions, de convention secrète de déchiffrement. L’arrêt retient qu’un tel code de déverrouillage de l’écran ne sert pas à décrypter les données contenues dans le téléphone, mais seulement à débloquer l’usage de l’écran, pour accéder aux données contenues dans le téléphone

12. En prononçant ainsi, par un motif général et erroné, alors que le code de déverrouillage d’un téléphone portable constitue une convention de déchiffrement s’il permet de mettre au clair les données qu’il contient, la cour d’appel n’a pas justifié sa décision. »

Par arrêt du 20 avril 2021, statuant sur renvoi après cassation, la cour d’appel de Douai, autrement composée, poursuit sa résistance, jugeant que :

« Toutefois, la mise en œuvre d’un moyen de cryptologie suppose la transformation, à l’occasion de la communication entre plusieurs personnes, de données claires pour les rendre incompréhensibles, ou de données codées pour les rendre claires. Dès lors, la clé de déverrouillage de l’écran d’accueil d’un smartphone n’est pas une convention secrète de chiffrement, car elle n’intervient pas à l’occasion de l’émission d’un message et ne vise pas à rendre incompréhensibles ou compréhensibles des données, au sens de l’article de la loi du 21 juin 2004, mais tend seulement à permettre d’accéder aux données et aux applications d’un téléphone, lesquelles peuvent être ou non cryptées. »

Nouveau pourvoi du procureur général en avril 2021.

L’affaire est transmise devant l’assemblée plénière de la Cour de cassation qui vient de rendre son arrêt. C’est la décision commentée.

L’article 434-15-2 : entrave à la justice

L’article 434-15-2 du code pénal figure dans la section intitulée « Des entraves à l’exercice de la justice » et dispose :

« Est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 € d’amende. »

Cette disposition a été introduite dans le code pénal par l’article 31 de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne. On est à l’époque en plein traumatisme après les attentats de New York. Plusieurs enquêteurs se plaignent de n’avoir pas été en mesure de prévenir les attentats parce qu’ils étaient confrontés à des messages cryptés. L’idée est de pouvoir requérir toute personne en mesure de fournir les clés de déchiffrement. On songe surtout à l’époque aux fournisseurs de technologie, opérateurs télécoms, etc.

C’est dans ce contexte qu’est votée la disposition précitée.

L’article 29 al. 1 LCEN : le moyen de cryptologie

Selon l’article 29 al.1 de la loi de 2004 pour la confiance dans l’économie numérique, on entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie visent principalement à garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

Le code de déverrouillage est-il un moyen de cryptologie ?

La question posée à la Cour de cassation se résume à ceci : le code permettant de déverrouiller l’écran d’accueil d’un téléphone est-il ou non une « convention secrète de déchiffrement d’un moyen de cryptologie », au sens de la loi pénale ?

L’assemblée plénière confirme la jurisprudence de la chambre criminelle :

  • Un « moyen de cryptologie » a pour but de rendre des informations incompréhensibles, afin de sécuriser leur stockage ou leur transmission : cela vise « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Les moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. »
  • Une « convention secrète de déchiffrement » permet la mise au clair des informations cryptées : cela vise « tout moyen logiciel ou de toute autre information permettant la mise au clair d’une donnée transformée par un moyen de cryptologie, que ce soit à l’occasion de son stockage ou de sa transmission. Il en résulte que le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d’un moyen de cryptologie. »
  • Lorsqu’un téléphone portable est équipé d’un « moyen de cryptologie », le code de déverrouillage de son écran d’accueil peut constituer une « clé de déchiffrement » si l’activation de ce code a pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès.
  • Dès lors, « Il incombe au juge de rechercher si le téléphone en cause est équipé d’un tel moyen et si son code de déverouillage permet de mettre au clair tout ou partie des données cryptées qu’il contient ou auxquelles il donne accès. »
  • Si un téléphone portable doté de ces caractéristiques techniques est susceptible d’avoir été utilisé pour la préparation ou la commission d’un crime ou d’un délit, son détenteur, qui aura été informé des conséquences pénales d’un refus, est tenu de donner aux enquêteurs le code de déverrouillage de l’écran d’accueil. S’il refuse de communiquer ce code, il commet l’infraction de « refus de remettre une convention secrète de déchiffrement ».

Le principe même de l’incrimination est-il acceptable ?

Cette obligation de collaborer avec les enquêteurs sous la forme de la remise du code, n’est-elle pas contraire au droit au silence, au droit de ne pas faire de déclaration et à celui de ne pas contribuer à sa propre incrimination ?

La question s’est posée il y a quelques années déjà. Saisie d’une QPC, la chambre criminelle de la Cour de cassation avait renvoyé la question devant le Conseil constitutionnel qui avait, par une décision n° 2018-696 du 30 mars 2018, déclaré le premier alinéa de l’article 434-15-2 du code pénal conforme à la Constitution :

« 7. En premier lieu, en imposant à la personne ayant connaissance d’une convention secrète de déchiffrement d’un moyen de cryptologie de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre uniquement si ce moyen de cryptologie est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit et uniquement si la demande émane d’une autorité judiciaire, le législateur a poursuivi les objectifs de valeur constitutionnelle de prévention des infractions et de recherche des auteurs d’infractions, tous deux nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle.

8. En second lieu, aux termes de la première phrase de l’article 29 de la loi du 21 juin 2004 mentionnée ci-dessus constitue un moyen de cryptologie « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète ». Les dispositions critiquées n’imposent à la personne suspectée d’avoir commis une infraction, en utilisant un moyen de cryptologie, de délivrer ou de mettre en œuvre la convention secrète de déchiffrement que s’il est établi qu’elle en a connaissance. Elles n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées. En outre, l’enquête ou l’instruction doivent avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. Enfin, ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée.

9. Il résulte de ce qui précède que les dispositions contestées ne portent pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances.

10. Le premier alinéa de l’article 434-15-2 du code pénal, qui ne méconnaît pas non plus les droits de la défense, le principe de proportionnalité des peines et la liberté d’expression, ni aucun autre droit ou liberté que la Constitution garantit, doit être déclaré conforme à la Constitution. »

Commentaires et informations supplémentaires

On peut ne pas être d’accord avec l’opinion de l’assemblée plénière, mais il faut admettre que sa logique se tient. Dès l’instant où elle définit le moyen de cryptologie en se fondant sur la « transformation des données » en vue de l’accomplissement d’une finalité (« la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité »), elle permet de voir dans le code de déverrouillage de la plupart des smartphones actuels une convention de déchiffrement au sens de la loi.

Autre chose est la position du Conseil constitutionnel qui nous parait pour le moins fragile. Le point 8 de sa décision, repris ci-dessus, ne nous parait pas répondre à la question fondamentale qui se pose :

  • Argument : les dispositions critiquées n’imposent à la personne suspectée de délivrer la convention secrète de déchiffrement « que s’il est établi qu’elle en a connaissance ».  On a envie de dire : encore heureux ! Quelqu’un imagine-t-il qu’il en soit autrement ?
  • Argument : l’enquête ou l’instruction doivent avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. A nouveau on a envie de dire : encore heureux ! Ce n’est pas un argument ; c’est l’énonciation d’une évidence dans un état de droit : nul ne sera inquiété s’il n’y a des indices sérieux de son implication.
  • Argument : la clé de déchiffrement n’a pas pour objet d’obtenir des aveux et n’emporte ni reconnaissance ni présomption de culpabilité mais permet seulement le déchiffrement des données cryptées. La police qui fouille un domicile à la recherche de drogue ne peut pas exiger du suspect qu’il précise l’endroit où il l’a supposément cachée : il a le droit de se taire et de ne pas collaborer. Pourquoi la même police pourrait-elle exiger autre chose, ou plus, en se servant du GSM du même suspect ? Le Conseil constitutionnel esquive.
  • Argument : ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée. Quel est le rapport ? En quoi l’existence d’une preuve indépendamment de la volonté du prévenu d’y donner accès, répond-elle à la question de fond ?

La question est absolument fondamentale, aussi bien pour la police que pour l’état de droit.

Les outils dont disposent les enquêteurs doivent évidemment évoluer avec la technologie et l’on ne saurait nier l’importance de pouvoir accéder aux données électroniques qui sont, en effet, souvent chiffrées.

Pour autant, l’état de droit ne saurait transiger sur des questions aussi fondamentales que la présomption d’innocence, le droit au silence (ne pas faire de déclaration) et le droit de ne pas contribuer à sa propre incrimination. L’importance de la question mérite mieux que la décision sommaire du Conseil constitutionnel, dont la pauvreté argumentative est une invitation à tenter la CEDH.

Et puis pour finir, une réflexion de fond entendue d’un magistrat off the record avec un grand soupir : « C’est de la poudre aux yeux ce ‘bidule’. Ça sert à faire pression sur les petits poissons, mais le vrai méchant, le terroriste ou le criminel récidiviste qui risque de passer sa vie en prison, s’en fiche pas mal de prendre 2 ou 3 ans de plus parce qu’il refuse de donner son code. On a créé cela pour lutter contre le terrorisme, mais les terroristes se marrent quand on leur demande leur code ».

Plus d’infos ?

L’arrêt de la Cour, l’avis du rapporteur et autres documents sont disponibles en annexe.

Droit & Technologies

Annexes

arret cour de cassation

file_download Télécharger l'annexe

rapport du conseiller

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK