I. Sur le délit de refus de remettre une convention secrète de déchiffrement d’un moyen de cryptologie.
Aux termes de l’article 434-15-2 du Code pénal, constitue un délit le fait de ne pas remettre aux autorités judiciaires une convention secrète de déchiffrement d’un moyen de cryptologie si ce dernier est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit.
En cas de refus, ce délit est puni de 3 ans d’emprisonnement et 270.000 euros d’amende. La peine est susceptible d’être aggravée lorsque la remise de la convention - le code de déverrouillage - aurait permis d’éviter la commission d’une infraction ou d’en limiter les effets. La peine est alors portée à 5 ans d’emprisonnement et 450.000 euros d’amende [1].
Selon la jurisprudence, la demande tendant à la remise de la convention secrète de déchiffrement nécessite des indices permettant de supposer un usage dudit téléphone en rapport avec l’infraction [2].
En outre, même si le téléphone est bien équipé d’un moyen de cryptologie, le prévenu doit en avoir connaissance afin que l’élément moral de l’infraction soit constitué [3]. Ainsi, dans l’hypothèse où le prévenu n’aurait pas connaissance de l’existence d’un moyen de cryptologie sur son téléphone, l’officier de police judiciaire devra informer celui-ci de l’existence d’un tel dispositif sur son smartphone et des conséquences de son refus de donner le code de déverrouillage.
II. Sur la compréhension des notions clés.
Le moyen de cryptologie est défini par l’article 29 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (« Loi LCEN ») comme étant :
« Tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité ».
Cette notion a tout d’abord été définie par le Conseil constitutionnel, dans le cadre d’une QPC, par une décision du 30 mars 2018 portant sur l’article 434-15-2 du Code pénal [4], puis a été reprise par la chambre criminelle de la Cour de cassation dans des arrêts du 13 octobre 2020 et du 9 mars 2022 [5].
Selon la jurisprudence de la chambre criminelle de la Cour de cassation, l’existence d’un moyen de cryptologie : « […] peut se déduire des caractéristiques de l’appareil ou des logiciels qui l’équipent ainsi que par les résultats d’exploitation des téléphones au moyen d’outils techniques, utilisés notamment par les personnes qualifiées requises ou experts désignés à cette fin » [6].
Ainsi, le moyen de cryptologie rend les données sur le téléphone indéchiffrables, à moins d’avoir la convention de déchiffrement, c’est-à-dire le mot de passe qui rendra les données « lisibles ».
Concernant la convention de déchiffrement, la chambre criminelle de la Cour de cassation a eu l’occasion de donner une définition de cette notion dans l’arrêt du 13 octobre 2020 précité - définition d’ailleurs reprise dans l’arrêt du 9 mars 2022 [7].
La Haute juridiction s’est fondée sur les articles L871 et R871-3 du Code de la sécurité intérieure pour retenir que :
« […] la convention secrète de déchiffrement d’un moyen de cryptologie contribue à la mise au clair des données qui ont été préalablement transformées, par tout matériel ou logiciel, dans le but de garantir la sécurité de leur stockage, et d’assurer ainsi notamment leur confidentialité. Le code de déverrouillage d’un téléphone portable peut constituer une telle convention lorsque ledit téléphone est équipé d’un moyen de cryptologie » [8].
Ainsi, l’existence d’un moyen de cryptologie sur le téléphone doit être constatée afin de retenir que le code de déverrouillage constitue bien une convention de déchiffrement.
III. Sur la décision de l’Assemblée Plénière de la Cour de cassation du 7 novembre 2022.
Par jugement du Tribunal correctionnel de Lille du 15 mai 2018, le prévenu, condamné par le même jugement à des infractions à la législation sur les stupéfiants, a été relaxé du délit de refus de remettre la convention secrète d’un moyen de cryptologie [9].
Le 11 juillet 2019, la Cour d’appel de Douai a confirmé ce jugement en retenant : « […] un téléphone portable ne peut être considéré comme un moyen de cryptologie […] et que le code de déverrouillage de l’écran ne sert pas à décrypter les données contenues dans le téléphone, mais seulement à débloquer l’usage de l’écran pour accéder aux données » [10].
La chambre criminelle de la Cour de cassation a ensuite cassé l’arrêt de la Cour d’appel en retenant que : « Le code de déverrouillage d’un téléphone portable constitue une convention de déchiffrement s’il permet de mettre au clair les données qu’il contient » [11].
Or à l’issue de ce renvoi, par un arrêt du 20 avril 2021 la Cour d’appel de Douai n’épousait toujours pas la position de la Chambre criminelle, en retenant que :
« […] le code de déverrouillage de l’écran d’accueil d’un smartphone n’est pas une convention secrète de déchiffrement car elle n’intervient pas à l’occasion de l’émission d’un message et ne vise pas à rendre incompréhensibles ou compréhensibles des données » [12].
Le parquet a donc formé un nouveau pourvoi contre cet arrêt.
Par un arrêt du 7 novembre 2022, l’Assemblée Plénière confirme le raisonnement de la Chambre criminelle et casse l’arrêt de la Cour d’appel de Douai.
Après avoir réaffirmé ce qu’était un moyen de cryptologie et une convention de déchiffrement, la formation de jugement la plus solennelle de la Cour de cassation a retenu que : « […] le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d’un moyen de cryptologie » [13].
Par conséquent, l’Assemblée plénière casse l’arrêt de la Cour d’appel de Douai en estimant que les juges du fond n’ont pas recherché si : « […] le téléphone en cause est équipé d’un tel moyen [de cryptologie] et si son code de déverrouillage permet de mettre au clair tout ou partie des données cryptées qu’il contient ou auxquelles il donne accès » [14].
L’affaire a été renvoyée devant la Cour d’appel de Paris qui sera donc tenue de rechercher d’une part, si le téléphone est équipé d’un moyen de cryptologie ou non, d’autre part, si le code de déverrouillage dudit téléphone permet de mettre au clair les données cryptées qu’il contient.
En tout état de cause, et comme le laisser présager les jurisprudences antérieures, si un téléphone portable est doté d’un moyen de cryptologie, comme la plupart des smartphone actuels, et qu’il est susceptible d’avoir été utilisé pour la préparation ou la commission d’un crime ou d’un délit, le prévenu détenteur du téléphone, lequel aura été informé des conséquences pénales d’un refus par l’officier de police judiciaire, est alors tenu de donner le code de déverrouillage de son téléphone.
Dans le cas contraire, il s’expose alors à l’infraction de « refus de remettre une convention secrète de déchiffrement ».
IV. Considérations en balance.
Plusieurs éléments et arguments s’opposaient toutefois à ce qu’un code de déverrouillage d’un écran d’accueil de téléphone portable soit considéré comme une convention secrète de chiffrement d’un moyen de cryptologie.
Tout d’abord, le sens et l’utilisation de l’article 434-15-2 du Code pénal ont été dévoyés.
Pour rappel cet article avait été voté dans la foulée des attentats du 11 septembre 2001 et était donc initialement réservé aux infractions d’une certaine gravité, à savoir les actes terroristes ou relevant de la criminalité organisée.
Marylise Lebranchu, garde des Sceaux à l’époque de l’introduction de cette disposition, précisait d’ailleurs que l’incrimination était un « élément de lutte contre l’usage frauduleux de moyens de cryptologie qui interviennent dans la commission d’infractions particulièrement graves liées, on l’a vu, à des actes de terrorisme ou de grande criminalité » [15].
L’Avocat Général à l’audience de l’Assemblée Plénière précisait que ce délit ne concernait pas initialement une problématique d’écran de déverrouillage de smartphone, pour la bonne raison que ces derniers n’existaient pas, et reconnaissait, surtout, que « ce sont les parquets qui ont pris l’initiative de poursuivre » pour des codes de portables [16].
En outre, cette obligation de remettre de tels codes contrevient au principe de présomption d’innocence dont le corollaire est le droit de ne pas s’incriminer et donc le droit de garder le silence [17].
Ainsi, selon le Professeur Emmanuel Dreyer, cette obligation de fournir la convention de chiffrement revient :
« […] à demander à l’agent [le prévenu] d’ouvrir la porte du local où il a caché le moyen ou le produit de l’infraction, en s’auto-incriminant au mépris de la présomption d’innocence » [18].
Cela mènerait alors « au même résultat [que d’espérer] un aveu de culpabilité de leur part » [19].
Le prévenu est alors contraint d’agir dans un rôle semblable à un « collaborateur du service public de la justice » , menant à une inversion des rôles assez contestable [20].
La question se pose également de savoir si, au sens de la jurisprudence de la Cour européenne des droits de l’Homme, cette mesure ne porte pas atteinte au droit de se taire en ce que les enquêteurs « faute de pouvoir ou vouloir se les procurer par un autre moyen » - notamment via la police technique ou scientifique - tentent de contraindre le suspect à fournir lui-même la preuve d’infractions qu’il aurait commises [21].
Enfin, d’un point de vue technique, il peut être souligné que le code de déverrouillage d’un téléphone est un simple moyen d’authentification.
Ainsi, pour certains, le code de déverrouillage d’un écran de téléphone ne remplit aucun des critères d’une convention secrète de chiffrement d’un moyen de cryptologie car
« ce code permet de bloquer l’accès aux données du téléphone, soit ; mais il ne les modifie en aucune façon et il garantit encore moins une confidentialité et une sécurité générales » [22].
Or progressivement les autorités judiciaires ont fait prévaloir la solution selon laquelle le code de déverrouillage d’un écran de smartphone est bien une convention secrète de déchiffrement d’un moyen de cryptologie en se fondant sur différents arguments.
Les autorités judiciaires retiennent de manière constante que l’obligation de remettre son code de déverrouillage de téléphone ne serait pas contraire à la présomption d’innocence et au droit de ne pas s’incriminer.
Le Conseil Constitutionnel, dans sa décision du 30 mars 2018 [23], précisait ainsi que ces dispositions :
« […] n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées. […] Enfin, ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée ».
La chambre criminelle de la Cour de cassation, par un arrêt du 10 décembre 2019 précisait également que : « le droit de ne pas s’incriminer soi-même ne s’étend pas aux données que l’on peut obtenir de la personne concernée en recourant à des pouvoirs coercitifs mais qui existent indépendamment de la volonté de l’intéressé » [24].
Ainsi, pour les juridictions, le droit de ne pas s’incriminer ne s’applique pas lorsque ces données peuvent être obtenues par des moyens coercitifs.
Enfin, d’un point de vue technique, les informations données par les constructeurs de smartphones (Apple, Android) vont également dans le sens qu’un code de déverrouillage d’un écran d’accueil de smartphone est une convention secrète de déchiffrement [25].
Le guide de sécurité du système d’exploitation iOS rendu public par Apple présente notamment le fait que le système de protection des données crée une nouvelle clé de chiffrement à chaque fois qu’un fichier est créé sur le smartphone [26].
Quant au code de déverrouillage, le même guide indique que le fait de créer un code sur le smartphone par le propriétaire active la protection des données de façon automatique [27].
Il est toutefois indéniable qu’une telle position est principalement orientée afin de servir les besoins de l’enquête au détriment des droits de la défense. Ainsi préférer la remise du code de déverrouillage du téléphone permet à la police technique et scientifique de se dispenser d’effectuer des investigations pour limiter le coût et le ralentissement des enquêtes [28].
Cette décision entache encore un peu plus les droits de la défense, et notamment le principe de ne pas s’incriminer et le droit de garder le silence. Il est facile d’imaginer que les officiers de police judiciaire ne manqueront pas d’user de leur obligation d’information comme une menace afin d’ajouter à la pression exercée sur les mis en cause.
