Après que la question prioritaire de constitutionnalité ait été soulevée et acceptée par la Cour de cassation [1] et, par la décision n°2018-696 QPC du 30 mars 2018 [2], le Conseil constitutionnel a jugé que l’article 434-15-2 du Code pénal était conforme à la Constitution [3].
Ainsi : « Est puni de trois ans d’emprisonnement et de 270.000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450.000 € d’amende. »
Par cette décision importante, le Conseil constitutionnel juge conforme au texte suprême la pénalisation d’un individu qui refuserait de remettre la convention secrète de déchiffrement d’un moyen de cryptologie.
Aucune atteinte à la vie privée ou secret des correspondances n’a lieu ici, ni d’ailleurs aucune atteinte aux droits de la défense.
La mesure de pénalisation en cas de refus de donner les clés de cryptage se justifie seulement en cas de connaissance d’un délit lié à un outil juridique utilisant de moyen de cryptage.
Liée à une mesure d’enquête, c’est donc l’instruction qui justifie la pénalisation potentielle. De la sorte, les dispositions attaquées « n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées. En outre, l’enquête ou l’instruction doivent avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. Enfin, ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée » [4].
La décision du Conseil constitutionnel est logique puisqu’elle s’inscrit dans un mouvement général de protection des données et de lutte contre les différentes menaces informatiques qui pourraient porter atteinte à la sécurité nationale [5].
Ainsi, la position du juge de la rue de Montpensier s’explique par la pénalisation des crimes et délits liés à l’outil de cryptologie, à une procédure pénale qui est connexe aux sanctions pénales. Plus encore, s’il y a répression pénale, il y a aussi la mise en place d’un outil administratif défensif, où ici, la cryptologie sert à protéger.
Une décision justifiée par l’utilisation de moyens cryptologiques servant à commettre un crime ou un délit.
Si l’État protège ses traitements automatisés de données, les personnes privées peuvent aussi recourir à la cryptologie, en entravant les enquêtes et investigations comme l’indique François Molins, l’ancien Procureur de la République de Paris pour qui, « au moins huit smartphones n’ont pas pu être pénétrés dans des affaires de terrorisme ou de crime organisé ».
En réponse, c’est la loi du 15 novembre 2001 sur la sécurité quotidienne a mis en place une sanction liée à l’absence de remise ou au refus de cette remise des clés de cryptographie [6] en insérant l’article 434-15-2 du Code pénal qui punit « de trois ans d’emprisonnement et de 270.000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du Code de procédure pénale ».
Par la suite, la loi pour la confiance dans l’économique numérique du 21 juin 2004 a alourdi les sanctions concernant la cryptologie si celle-ci sert à commettre un crime ou un délit [7], de telle sorte que le nouvel article 132-79 du Code pénal issu de la loi du 21 juin 2004 aggrave les peines encourues « lorsqu’un moyen de cryptologie au sens de l’article 29 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique a été utilisé pour commettre un crime ou un délit, ou pour en faciliter la commission ».
De la sorte, la pénalisation du refus de remettre la convention secrète de décryptement n’est ni arbitraire, ni le fruit du hasard. Il faut au moins être en lien avec une affaire de criminalité organisée ou de terrorisme pour avoir à utiliser des conventions de décryptement des moyens de cryptologie sophistiqués, au point qu’il est impossible aux forces de sécurité de pouvoir les déchiffrer par eux-mêmes.
L’outil administratif de la cryptologie dans le cadre de la procédure pénale.
Depuis la loi du 15 novembre 2001 relative à la sécurité intérieure [8], les articles 230-1 à 230-5 du Code de procédure pénale ont été insérés afin de mettre au clair les données chiffrées ou procéder au décryptage de données protégées.
Ainsi, il est prévu à l’article 230-1 du Code de procédure pénale [9] que, « lorsqu’il apparaît que des données saisies ou obtenues au cours de l’enquête ou de l’instruction ont fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair qu’elles contiennent ou de les comprendre, ou que ces données sont protégées par un mécanisme d’authentification, le procureur de la République, la juridiction d’instruction, l’officier de police judiciaire, sur autorisation du procureur de la République ou du juge d’instruction, ou la juridiction de jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue d’effectuer les opérations techniques permettant d’obtenir l’accès à ces informations, leur version en clair ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire ».
L’article 230-2 du Code de procédure pénale prévoit la procédure, modifiée cependant en ce qu’elle concerne une mise au clair nécessitant des moyens couverts par le secret de la défense nationale. Concrètement, jusqu’en 2017, les données ayant besoin d’être mises au clair sont transmises par le juge à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), en lien avec le Centre technique d’assistance (CTA) créé en 2002 au sein du ministère de l’Intérieur [10] « pour servir d’intermédiaire avec les services disposant de moyens plus confidentiels » [11].
Depuis le 24 avril 2017, un Service à compétence nationale a été créé, l’Agence nationale des techniques d’enquêtes numériques judiciaires, qui a pour mission de mettre « en œuvre la plate-forme nationale des interceptions judiciaires (…). Elle est également compétente pour les techniques d’enquêtes numériques » [12].
L’article 230-45 prend donc désormais [13] en compte la plateforme nationale des interceptions judiciaires pour centraliser les demandes de réquisitions électroniques, sauf si, l’impossibilité technique nécessitait une expertise extérieure, voire la remise de la convention secrète des clés de décryptement.
L’instrument défensif de cryptologie.
La loi du 29 décembre 1990 sur la réglementation des télécommunications est venue définir les prestations de cryptologie comme « toutes prestations visant à transformer à l’aide de conventions secrètes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l’opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet » [14]. Par ailleurs, la loi prévoyait expressément la cryptologie comme moyen de préservation des « intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État » [15].
Si la loi du 26 juillet 1996 [16] est intervenue pour appliquer les dispositions sur la cryptologie, établies par la loi du 29 décembre 1990, les décret et arrêté du 17 mars 1999 ont, quant à eux, été pris pour apporter des éléments techniques sur la cryptographie : un tableau est annexé au décret du 17 mars 1999 [17] afin de définir les catégories de moyens et de prestations de cryptologie n’ayant pas besoin de formalité préalable tandis que l’arrêté du 17 mars 1999 [18] concerne les déclarations ou demandes d’autorisation relatives aux moyens et prestations de cryptologie.
De ces dix années de réglementation concernant la cryptologie, il ressort une « volonté française de maîtriser les évolutions technologiques et de prendre en compte leurs différentes dimensions (industrielles, économiques, mais aussi juridiques et en termes de sécurité publique et de sécurité nationale) » [19].
Cependant, la prise en compte par l’État français de cette question montre « que si l’État colbertiste sait encore s’appuyer sur ses missions régaliennes de sécurité pour jouer un rôle actif sur certains segments de marché des technologies nouvelles, il n’est plus capable de tirer des avantages durables de cette posture » [20].
L’évolution juridique sur la cryptologie se fait par la loi du 21 juin 2004 ou loi pour la confiance dans l’économie numérique (LCEN), venant définir à l’article 29 le moyen de cryptologie comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, et permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité » [21].
Non seulement l’autorité administrative pourra protéger ses communications ou données au moyen de la cryptologie, mais la loi du 21 juin 2004 permet aussi que « lorsqu’un fournisseur de moyens de cryptologie, même à titre gratuit, ne respecte pas les obligations auxquelles il est assujetti en application de l’article 30, le Premier ministre peut, après avoir mis l’intéressé à même de présenter ses informations, prononcer l’interdiction de mise en circulation du moyen de cryptologie concerné » [22].
Enfin, à la suite de la loi pour la confiance dans l’économie numérique du 21 juin 2004, le décret du 2 mars 2007 vient préciser les régimes d’autorisation concernant les régimes de dispense ou d’autorisation préalable sur les moyens de cryptologie [23].
La législation et la réglementation sont complétées par des textes infra-réglementaires émis par la Direction centrale de la sécurité des systèmes d’information (DCSSI) aujourd’hui Agence nationale de la sécurité des systèmes d’information (ANSSI) : un acte du 28 mars 2006 portant sur la gestion des clés cryptographiques [24] et l’instruction du 6 novembre 2006 relative aux fournitures nécessaires à l’analyse de mécanismes cryptographiques [25].
De manière pratique et illustrative, l’Intranet sécurité interministériel pour la synergie gouvernementale (ISIS) et le réseau interministériel de téléphonie fixe Raimbaud sont des instruments de cryptage interministériels qui permettent, d’une part pour ISIS, « l’échange et le partage d’informations classifiées « secret défense » entre les acteurs gouvernementaux » [26] et, d’autre part, pour Raimbaud d’assurer le réseau de téléphonie et de télécopie « de services publics ou d’opérateurs chargés d’une mission de service public d’importance vitale » [27].
Surtout, ce travail de cryptologie et de protection de sécurité des systèmes d’information est aujourd’hui la mission principale de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui gagne en importance et mérite une forte reconnaissance pour le travail qu’elle effectue jour après jour.
Plus que le droit, l’enjeu est de toujours pouvoir s’adapter au niveau technologique, tant en matière de cryptologie pour protéger nos systèmes d’information, qu’en matière de déchiffrement de systèmes informations qui mettent en jeu la sécurité nationale.