Village de la Justice www.village-justice.com
Verrouillage de smartphones et convention de chiffrement : décision du 7 novembre 2022 de la Cour de Cassation. Par Tatiana Gonçalves Da Silva, Etudiante.
Parution : jeudi 6 avril 2023
Adresse de l'article original :
https://www.village-justice.com/articles/verrouillage-smartphones-convention-chiffrement-novembre-2022,45758.html
Reproduction interdite sans autorisation de l'auteur.

Présentation de l’arrêt d’assemblée plénière du 7 novembre 2022 - Pourvoi n° 21-83.146 relatif à l’accès par les services d’enquêtes aux smartphones cryptés.

Les méthodes de chiffrement moderne, issues de la démocratisation d’outils diplomatiques et militaires, sont apparus dans un contexte de criminalisation de l’utilisation des moyens technologiques modernes [1].
Dans ce contexte, les enquêteurs et services judiciaires sont de plus en plus confrontés à des difficultés techniques pour accéder à des informations confidentielles.

C’est ainsi que la Cour de cassation a récemment élargi le cadre des enquêtes judiciaires affirmant que le refus de donner son code de déverrouillage de portable peut constituer un délit [2].
Elle conforte ainsi l’objectif du législateur depuis déjà plus de trente ans de « minimiser les effets négatifs de l’utilisation du chiffrement sur les enquêtes des infractions pénales ».

À l’origine de cette jurisprudence, une enquête pour trafic de stupéfiants aboutit à la garde à vue d’une personne, ce dernier refusant de communiquer aux enquêteurs les mots de passe des deux smartphones découverts en sa possession lors de son interpellation.

Le 16 avril 2019, la Cour d’appel de Paris relaxe le prévenu de l’infraction de l’article 434-15-2 du Code pénal correspondant en synthèse au refus de décrypter son téléphone [3].

Le 13 octobre 2020, la chambre criminelle de la Cour de cassation censure l’arrêt d’appel considérant que le code de déverrouillage d’un smartphone pouvait être considéré comme une clé de chiffrement.

Le 20 avril 2021, la Cour d’appel de Douai s’opposait à la décision des juges de cassation et relaxait la personne de l’infraction déclarant que le code de déverrouillage n’était pas une convention secrète de chiffrement au sens du texte pénal [4].

Le 7 novembre 2022, l’Assemblée plénière de la Cour de cassation confirme la position de la chambre criminelle et casse l’arrêt d’appel au motif que le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d’un moyen de cryptologie [5].

La juridiction fonde sa décision sur l’interprétation de l’article 434-15-2 du code pénal par l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [6].

La décision intervient dans un contexte jurisprudentiel difficile marqué par de nombreuses décisions jusqu’alors contradictoires [7]. L’enjeu porte sur la confusion entre d’une part le code de déverrouillage et d’autre part la convention de déchiffrement d’un moyen de cryptologie [8].

En synthèse et selon la haute juridiction, un « moyen de cryptologie » a pour but de rendre des informations incompréhensibles afin de sécuriser leur stockage ou leur transmission.
Une « convention secrète de déchiffrement » permet la mise au clair des informations cryptées [9].

L’originalité de la décision porte sur le syllogisme appliqué à l’interprétation de l’infraction en cause. Le fondement légal relatif à la convention secrète de déchiffrement visait historiquement le matériel informatique dans un contexte de sécurité public et terrorisme (attentats de 2001), consolidée par la loi du 5 juin 2016 relative à la lutte contre le crime organisée, le terrorisme et leur financement [10].
Il s’agit ici de l’extension d’une infraction très ancienne – loi de 1995 visant les opérateurs privés dépositaires de la clé de chiffrement - à tous les utilisateurs de smartphones, par le biais d’une interprétation du texte par une loi postérieure [11].

L’application procédurale de cette décision soulève plusieurs questions [12]. Sous réserve du cumul de quatre conditions, l’infraction devrait se trouver constituée [13] : un procès-verbal de réquisition mentionnant que le téléphone portable a été utilisé pour préparer, faciliter ou commettre un crime ou un délit ; le procès-verbal mentionnant que le téléphone portable est chiffré et que la non-communication du code de déverrouillage rend impossible l’exploitation des données qu’il contient ; une réquisition rédigée dans le cadre de l’enquête par le procureur de la République, l’officier de police judiciaire ou, sous le contrôle de ce dernier, par l’agent de police judiciaire ; la réquisition devra impérativement mentionner que l’éventuel refus, par le détenteur du téléphone, sera constitutif du délit prévu par l’article 434-15-2 du code pénal.

Par ailleurs, il reviendra au parquet de justifier de l’élément moral de l’infraction à savoir l’intention coupable en connaissance de cause [14] : « l’auteur doit savoir que les données contenues dans le téléphone étaient cryptées ou que, s’il l’ignorait, les enquêteurs le lui aient indiqué, le cas échéant après que des experts ou personnes qualifiées auront exploité le téléphone au moyen d’outils techniques » [15].

Se pose également la question difficile de l’ingérence massive voire disproportionnée de la vie privée au sens de l’article 8 de la CEDH d’une telle position jurisprudentielle [16]. De fait, l’ensemble des législations en la matière visent principalement à simplifier ou accélérer les recherches des enquêteurs, évitant l’usage de moyens techniques, longs, difficiles et couteux. Une décision de la CEDH - Affaire Lamin Inteh c. France [17] - sur le sujet est vivement attendue pour confirmer la position actuelle des juridictions françaises.

Plusieurs praticiens s’inquiètent enfin de la transformation des infractions pénales, impliquant selon cette jurisprudence des compétences techniques et technologiques qui peuvent devenir problématiques [18].

Tatiana Gonçalves Da Silva Etudiante en droit

[1« On sait que la Cour de cassation a déjà jugé que : "le droit au silence et celui de ne pas contribuer à sa propre incrimination ne s’étend[aient] pas au recueil de données qu’il convient d’obtenir indépendamment de la volonté de la personne concernée" (Crim. 6 janv. 2015, n° 13-87.652, D. 2015. 1738, obs. J. Pradel), cette interprétation n’étant en soit pas nouvelle (CEDH 17 déc. 1996, n° 19187/91, Saunders c/ Royaume-Uni, RSC 1997. 476, obs. R. Koering-Joulin ; Rev. UE 2015. 353, étude M. Mezaguer) ».

[2Ouest France, Refuser de donner son code de déverrouillage de portable peut désormais constituer un délit, 07.11.2022, https://www.ouest-france.fr/societe/justice/refuser-de-donner-son-code-de-deverrouillage-de-portable-peut-desormais-constituer-un-delit-7a057a1a-5e9e-11ed-be29-537312e67f82.

[3CA Paris, Pôle 8 – Chambre 3, 16 avril 2019, n° 18/09267.

[4Crim. 13 oct. 2020, n° 20-80.150.

[5LexisNexis, Art. 434-15-2 - Fasc. 20 : Refus de déchiffrement d’un moyen de cryptologie utilisé à des fins criminelles ; Droit pénal numérique - Un an de droit pénal numérique. - (octobre 2021 - octobre 2022) - Chronique par Romain Ollard ; La cour de cassation casse par la même occasion la notion « inopérante » de téléphone d’usage courante développé par la Cour d’appel ; Paris, 16 avr. 2019, n° 19/09267, AJ pénal 2019. 439, étude P. de Combles de Nayves , cassée par Crim. 13 oct. 2020, n° 20-80.150, D. 2021. 609 , note S. Vergnolle ; AJ pénal 2020. 587, obs. P. de Combles de Nayves ; Dalloz IP/IT 2021. 54, obs. M. Quéméner.

[6J. Brochot, Téléphone portable : faut-il donner son code de déverrouillage aux enquêteurs ?, 09.11.2022, https://www.actu-juridique.fr/penal/telephone-portable-faut-il-donner-son-code-de-deverrouillage-aux-enqueteurs/

[7N. Preguimbeau, Le refus de communiquer le code de verrouillage de son téléphone portable est-il constitutif d’un délit ?, 26.11.2022, https://consultation.avocat.fr/blog/nathalie-preguimbeau/article-45525-le-refus-de-communiquer-le-code-de-verrouillage-de-son-telephone-portable-est-il-constitutif-d-un-delit.html

[8Apparue dans la loi n°90-1170 du 29 décembre 1990 sur la réglementation des télécommunication, imposant synthétiquement un régime d’agrément, libéralisé par la suite à l’occasion de la Loi pour la Confiance dans l’Economie numérique du 21 juin 2004 ; le code de déverrouillage est pourtant techniquement décorrélé du chiffrement des données comme le confirme notamment les travaux parlementaires de 2003 en la matière.

[9Lamy - Économie numérique, Refus de communiquer le code de déverrouillage d’un téléphone portable : délit potentiel

[11Apparue dans la loi n°90-1170 du 29 décembre 1990 sur la réglementation des télécommunication, imposant synthétiquement un régime d’agrément, libéralisé par la suite à l’occasion de la Loi pour la Confiance dans l’Economie numérique du 21 juin 2004.

[12Lexis Refus de remettre une convention secrète de déchiffrement d’un moyen de cryptologie.

[13Refuser de communiquer le code de déverrouillage de son téléphone peut être une infraction – Matthieu Audibert – AJ pénal 2022. 577

[14Rappelé par Cass. crim., 9 mars 2022, n° 21-83.557

[15Crimes et délits - Suspects, allumez vos portables ! - À propos de l’arrêt du 7 novembre 2022 de l’Assemblée plénière.

[16Conseil constitutionnel, 30 mars 2018, n° 2018-696, s’appuyant notamment sur l’arrêt Saunders c/ Royaume-Uni : les dispositions de l’article 434-15-2 « ne portent pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondance ».

[18Refus de transmettre une convention secrète de déchiffrement : le code de déverrouillage d’un téléphone peut être une convention secrète de déchiffrement : « Il fut un temps, heureux, où l’on pouvait être pénaliste en sachant la différence entre un œuf et un bœuf, ce qui ne supposait pas une mise à niveau d’une difficulté insurmontable ».