L’arrestation du co-fondateur [1] de Telegram sur le territoire français s’est déroulée le 24 août 2024, Pavel Durov descend alors de son avion, pose pied au Bourget ; c’est l’arrestation immédiate [2].
I- Le régime juridique européen.
Le droit européen prime le droit national, raison pour laquelle il importe de l’envisager prioritairement [3]. Le droit européen primaire [4] contient des dispositions protectrices de la vie privée et, en cela, des échanges y compris électroniques : il s’agit notamment de l’article 7 de la Charte des Droits Fondamentaux en vertu duquel « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ». Le principe est donc posé : il y a un droit au respect de ses communications. L’on peut demander à ce que ses communications soient respectées mais, pour autant, cela ne saurait être une exigence devant laquelle nul argument ne pourrait être invoqué.
En termes de droit dérivé [5], l’attention doit être portée sur un texte particulier : la directive vie privée et communications électroniques [6]. Selon le premier article de cette directive, il s’agit d’harmoniser « […] les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté […] ». Se pose la question de savoir ce qu’il y a lieu d’entendre par « communications électroniques » : l’article 2, 1) de la version refondue de la directive 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen fournit la définition de « réseau de communications électroniques » : il s’agit de « systèmes de transmission, qu’ils soient ou non fondés sur une infrastructure permanente ou une capacité d’administration centralisée et, le cas échéant, les équipements de commutation ou de routage et les autres ressources, y compris les éléments de réseau qui ne sont pas actifs, qui permettent l’acheminement de signaux par câble, par la voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques, comprenant les réseaux satellitaires, les réseaux fixes (avec commutation de circuits ou de paquets, y compris l’internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise ». Sans rentrer dans les détails techniques, il y a lieu de considérer que Telegram correspond à la définition d’un réseau de communications électroniques et tombe dans le champ de la directive vie privée et communications électroniques.
La directive vie privée et communications électroniques pose un principe fondamental, à savoir celui de la confidentialité des communications, pour citer le titre de son cinquième article. Ce principe, comme tous les autres, connaît nécessairement des exceptions, ici envisagée à l’article 15 de ladite directive. Pour reprendre le contenu de l’article 5 : les États membres « interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1 » de la directive.
Selon ce texte, « les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et autres de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale - c’est-à-dire la sûreté de l’État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/ 46/CE » (Voir l’article La CJUE précise les limites de la surveillance des données dans le secteur des communications électroniques. Par Katia Bouslimani, Directrice juridique.).
II- L’appréhension française des exigences européennes.
En France, la directive mentionnée fut intégrée dans le droit national notamment via l’adoption de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (ci-après « la loi ») (Consultable sur Legifrance). Précisément, les enjeux de l’article 15 de ladite directive se retrouvent au troisième titre de la loi, lequel s’intitule « De la sécurité dans l’économie numérique » et comprend 17 articles (de 29 à 46).
L’article 29 de la loi fournit une définition assez claire des outils de cryptologie :
« On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.
On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie ».
Dès lors qu’une application, par exemple, permet d’assurer la confidentialité de données via leur transformation, il s’agit d’un outil de cryptologie ; dès lors, Telegram est bien, au sens de la loi, un outil de cryptologie.
Il y a cependant lieu de s’intéresser de plus près au contenu de cette loi.
Tout d’abord, l’article 6, I.-1 de la LCEN dispose que : l’« on entend par fournisseur d’un “service d’accès à internet” toute personne fournissant un service de simple transport, défini au i du paragraphe g de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), dont l’activité consiste à offrir un accès à des services de communication au public en ligne ». Un fournisseur d’un service d’accès à Internet revient alors à un service de « “simple transport”, consistant à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service ou à fournir l’accès à un réseau de communication » [7].
De surcroît, l’article 18 de ce règlement envisage la question de la notification de soupçons en cas de potentielle infraction pénale :
« 1. Lorsqu’un fournisseur de services d’hébergement a connaissance d’informations conduisant à soupçonner qu’une infraction pénale présentant une menace pour la vie ou la sécurité d’une ou de plusieurs personnes a été commise, est en train d’être commise ou est susceptible d’être commise, il informe promptement les autorités répressives ou judiciaires de l’État membre ou des États membres concernés de son soupçon et fournit toutes les informations pertinentes disponibles.
2. Lorsque le fournisseur de services d’hébergement n’est pas en mesure de déterminer avec une certitude raisonnable l’État membre concerné, il informe les autorités répressives de l’État membre dans lequel il est établi ou dans lequel son représentant légal réside ou est établi ou informe Europol, ou les deux.
Aux fins du présent article, l’État membre concerné est l’État membre dans lequel l’infraction est suspectée d’avoir été commise, d’être commise ou est susceptible d’être commise, ou l’État membre dans lequel l’auteur présumé de l’infraction réside où se trouve, ou l’État membre dans lequel la victime de l’infraction suspectée réside où se trouve ».
Dès l’instant où les services de Telegram ont connaissance d’éléments laissant penser la préparation ou la commission d’une infraction pénale, les autorités nationales doivent en être informées « promptement », c’est-à-dire sans délai.
Le communiqué de presse du 28 août 2024 du Parquet de Madame la Procureur de la République près le Tribunal judiciaire de Paris renseigne sur les infractions pénales que Telegram aurait laissé perpétrer sans informer les autorités :
« Ce 28 août 2024, Pavel Durov a été mis en examen de l’ensemble des infractions visées au réquisitoire introductif :
- Complicité d’administration d’une plateforme en ligne pour permettre une transaction illicite, en bande organisée (délit faisant encourir au maximum la peine de 10 ans d’emprisonnement et 500.000 € d’amende)
- Refus de communiquer, sur demande des autorités habilitées, les informations ou documents nécessaires pour la réalisation et l’exploitation des interceptions autorisées par la loi
- Complicité des infractions notamment de mise à disposition sans motif légitime d’un programme ou de données conçus pour une atteinte à un système de traitement automatisé de données, de diffusion en bande organisée d’image de mineur présentant un caractère pédopornographique, de trafic de stupéfiants, d’escroquerie en bande organisée, association de malfaiteurs en vue de la commission de crimes ou délits
- Blanchiment de crimes ou délits en bande organisée
- Fourniture de prestations de cryptologie visant à assurer des fonctions de confidentialité sans déclaration conforme
- Fourniture et importation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité sans déclaration préalable » [8].
En outre, la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement ([Consultable sur Legifrance) a, elle aussi, fourni des éléments intéressant les plateformes de messagerie et particulièrement l’application Telegram. En effet, l’article 17 de cette loi a modifié l’article L34-1 du Code des postes et des communications électroniques en y ajoutant certaines dispositions relatives à la conservation de certaines informations par lesdites plateformes. Pour bien comprendre l’importance de cet article, il y a d’abord lieu de souligner que d’après son point I : « le présent article s’applique au traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques ; il s’applique notamment aux réseaux qui prennent en charge les dispositifs de collecte de données et d’identification ». L’expression « traitement des données à caractère personnel est à comprendre, conformément au règlement général sur la protection des données [9] comme étant toute action menée sur des éléments permettant d’identifier une personne physique [10]. N’importe quel utilisateur de la plateforme Telegram voit donc ses données personnelles conservées par elle conformément aux dispositions invoquées.
Les modalités de cette obligation de conservation sont clairement établies à l’article L34-1, II bis du Code des postes et des communications électroniques :
« II bis.- Les opérateurs de communications électroniques sont tenus de conserver :
1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l’identité civile de l’utilisateur, jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat ;
2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que les informations relatives au paiement, jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;
3° Pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux ».
Concrètement, une plateforme de messagerie se doit de conserver les données envisagées à l’article R34-13 du Code des postes et des communications électroniques :
« I.-Les informations relatives à l’identité civile de l’utilisateur, au sens du 1° du II bis de l’article L34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :
1° Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d’une personne morale ;
2° La ou les adresses postales associées ;
3° La ou les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ;
4° Le ou les numéros de téléphone.
II.-Les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte, mentionnées au 2° du II bis de l’article L34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont :
1° L’identifiant utilisé ;
2° Le ou les pseudonymes utilisés ;
3° Les données destinées à permettre à l’utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l’intermédiaire d’un double système d’identification de l’utilisateur, dans leur dernière version mise à jour ».
Une certaine mise en relief de cet exposé est offerte par une ordonnance de référé délivrée par le Tribunal judiciaire de Paris en date du 12 novembre 2024 [11]. Il s’agissait d’une affaire où un pirate informatique avait capté et utilisé à mauvais escient des données personnelles et des informations bancaires de personnes abonnées chez Free et Free Mobile. Cette captation fut réalisée par l’envoi de messages sur la plateforme Telegram. Les sociétés Free et Free Mobile ont donc exigé du juge qu’il ordonnât la communication des informations visées dans les dispositions précitées afin d’identifier ledit pirate.
Le raisonnement du juge des référés du Tribunal judiciaire de Paris montre comment de telles dispositions peuvent être appliquées :
« En l’espèce, il convient de relever que les faits dénoncés par les sociétés Free et Free mobile sont susceptibles de constituer les infractions d’accès et maintien frauduleux dans un système de traitement automatisé de données, d’extraction et de détention frauduleuses de données contenues dans un système de traitement et de tentative d’escroquerie ».
Il s’agit de faits pour lesquels les opérateurs de communication électroniques, tels que la société Telegram Messenger Inc, sont tenus de conserver les données d’identification pendant une durée de cinq ans et qui justifient la communication des données d’identification dans le cadre prévu par l’article L34-1 II bis 1° et 2° du Code des postes et des télécommunications « pour les besoins des procédures pénales.
Dans ces conditions, il convient de faire droit à la demande de communication de données d’identification formée par les sociétés demanderesses suivant les termes du présent dispositif, cette mesure étant proportionnée et adaptée à l’objectif poursuivi par les sociétés défenderesses, ce aux fins exclusives de poursuites engagées contre les auteurs présumés d’infractions pénales, dont le droit à la protection des données cède ici légitimement face au droit au respect de la vie privée des abonnés Free et Free mobile dont les données personnelles et bancaires ont été détournées ».
En résumé.
Les plateformes ayant recours à des services de cryptologie ne sont pas prohibées en soi : elles ne sombrent dans l’illégalité qu’à partir du moment où elles ne s’inscrivent plus en phase avec les exigences d’information et de transparence des autorités nationales, notamment dans le cadre d’infractions pénales dont elles sont amenées à avoir connaissance.
Une question se pose toutefois : comment déterminer avec exactitude que les services d’une plateforme de messagerie sont informés ? Pavel Durov pouvait-il sérieusement être informé ? Si les services de cryptologie de Telegram sont si puissants qu’en dit leur réputation, comment aurait-il pu accéder à ces informations ? On le voit, l’affaire Telegram illustre une dialectique entre deux intérêts parfois contradictoires : le droit à la vie privée et l’obligation, pour l’Etat, de lutter en faveur de la sécurité publique.