Accueil Actualités juridiques du village Droit pénal

Actualité sur la réglementation de la cryptologie : QPC 2018-696 du 30 mars 2018.

Par Alexis Deprau, Docteur en droit.

1ere Publication

Avec l’évolution des nouvelles technologies et des menaces informatiques afférentes (cybercriminalité, ingérences informatiques), il est devenu vital de pouvoir réglementer la cryptologie dans une optique défensive, mais aussi, quand cela est nécessaire, d’accéder aux clés de cryptage.
C’est tout le sens de la récente QPC du 30 mars 2018.

Après que la question prioritaire de constitutionnalité ait été soulevée et acceptée par la Cour de cassation [1] et, par la décision n°2018-696 QPC du 30 mars 2018 [2], le Conseil constitutionnel a jugé que l’article 434-15-2 du Code pénal était conforme à la Constitution [3].

Ainsi : « Est puni de trois ans d’emprisonnement et de 270.000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450.000 € d’amende. »

Par cette décision importante, le Conseil constitutionnel juge conforme au texte suprême la pénalisation d’un individu qui refuserait de remettre la convention secrète de déchiffrement d’un moyen de cryptologie.
Aucune atteinte à la vie privée ou secret des correspondances n’a lieu ici, ni d’ailleurs aucune atteinte aux droits de la défense.
La mesure de pénalisation en cas de refus de donner les clés de cryptage se justifie seulement en cas de connaissance d’un délit lié à un outil juridique utilisant de moyen de cryptage.
Liée à une mesure d’enquête, c’est donc l’instruction qui justifie la pénalisation potentielle. De la sorte, les dispositions attaquées « n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées. En outre, l’enquête ou l’instruction doivent avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. Enfin, ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée » [4].

La décision du Conseil constitutionnel est logique puisqu’elle s’inscrit dans un mouvement général de protection des données et de lutte contre les différentes menaces informatiques qui pourraient porter atteinte à la sécurité nationale [5].
Ainsi, la position du juge de la rue de Montpensier s’explique par la pénalisation des crimes et délits liés à l’outil de cryptologie, à une procédure pénale qui est connexe aux sanctions pénales. Plus encore, s’il y a répression pénale, il y a aussi la mise en place d’un outil administratif défensif, où ici, la cryptologie sert à protéger.

Une décision justifiée par l’utilisation de moyens cryptologiques servant à commettre un crime ou un délit.

Si l’État protège ses traitements automatisés de données, les personnes privées peuvent aussi recourir à la cryptologie, en entravant les enquêtes et investigations comme l’indique François Molins, l’ancien Procureur de la République de Paris pour qui, « au moins huit smartphones n’ont pas pu être pénétrés dans des affaires de terrorisme ou de crime organisé ».

En réponse, c’est la loi du 15 novembre 2001 sur la sécurité quotidienne a mis en place une sanction liée à l’absence de remise ou au refus de cette remise des clés de cryptographie [6] en insérant l’article 434-15-2 du Code pénal qui punit « de trois ans d’emprisonnement et de 270.000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du Code de procédure pénale ».

Par la suite, la loi pour la confiance dans l’économique numérique du 21 juin 2004 a alourdi les sanctions concernant la cryptologie si celle-ci sert à commettre un crime ou un délit [7], de telle sorte que le nouvel article 132-79 du Code pénal issu de la loi du 21 juin 2004 aggrave les peines encourues « lorsqu’un moyen de cryptologie au sens de l’article 29 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique a été utilisé pour commettre un crime ou un délit, ou pour en faciliter la commission ».
De la sorte, la pénalisation du refus de remettre la convention secrète de décryptement n’est ni arbitraire, ni le fruit du hasard. Il faut au moins être en lien avec une affaire de criminalité organisée ou de terrorisme pour avoir à utiliser des conventions de décryptement des moyens de cryptologie sophistiqués, au point qu’il est impossible aux forces de sécurité de pouvoir les déchiffrer par eux-mêmes.

L’outil administratif de la cryptologie dans le cadre de la procédure pénale.

Depuis la loi du 15 novembre 2001 relative à la sécurité intérieure [8], les articles 230-1 à 230-5 du Code de procédure pénale ont été insérés afin de mettre au clair les données chiffrées ou procéder au décryptage de données protégées.
Ainsi, il est prévu à l’article 230-1 du Code de procédure pénale [9] que, « lorsqu’il apparaît que des données saisies ou obtenues au cours de l’enquête ou de l’instruction ont fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair qu’elles contiennent ou de les comprendre, ou que ces données sont protégées par un mécanisme d’authentification, le procureur de la République, la juridiction d’instruction, l’officier de police judiciaire, sur autorisation du procureur de la République ou du juge d’instruction, ou la juridiction de jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue d’effectuer les opérations techniques permettant d’obtenir l’accès à ces informations, leur version en clair ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire ».

L’article 230-2 du Code de procédure pénale prévoit la procédure, modifiée cependant en ce qu’elle concerne une mise au clair nécessitant des moyens couverts par le secret de la défense nationale. Concrètement, jusqu’en 2017, les données ayant besoin d’être mises au clair sont transmises par le juge à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), en lien avec le Centre technique d’assistance (CTA) créé en 2002 au sein du ministère de l’Intérieur [10] « pour servir d’intermédiaire avec les services disposant de moyens plus confidentiels » [11].

Depuis le 24 avril 2017, un Service à compétence nationale a été créé, l’Agence nationale des techniques d’enquêtes numériques judiciaires, qui a pour mission de mettre « en œuvre la plate-forme nationale des interceptions judiciaires (…). Elle est également compétente pour les techniques d’enquêtes numériques » [12].
L’article 230-45 prend donc désormais [13] en compte la plateforme nationale des interceptions judiciaires pour centraliser les demandes de réquisitions électroniques, sauf si, l’impossibilité technique nécessitait une expertise extérieure, voire la remise de la convention secrète des clés de décryptement.

L’instrument défensif de cryptologie.

La loi du 29 décembre 1990 sur la réglementation des télécommunications est venue définir les prestations de cryptologie comme « toutes prestations visant à transformer à l’aide de conventions secrètes des informations ou signaux clairs en informations ou signaux inintelligibles pour des tiers, ou à réaliser l’opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet » [14]. Par ailleurs, la loi prévoyait expressément la cryptologie comme moyen de préservation des « intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État » [15].

Si la loi du 26 juillet 1996 [16] est intervenue pour appliquer les dispositions sur la cryptologie, établies par la loi du 29 décembre 1990, les décret et arrêté du 17 mars 1999 ont, quant à eux, été pris pour apporter des éléments techniques sur la cryptographie : un tableau est annexé au décret du 17 mars 1999 [17] afin de définir les catégories de moyens et de prestations de cryptologie n’ayant pas besoin de formalité préalable tandis que l’arrêté du 17 mars 1999 [18] concerne les déclarations ou demandes d’autorisation relatives aux moyens et prestations de cryptologie.

De ces dix années de réglementation concernant la cryptologie, il ressort une « volonté française de maîtriser les évolutions technologiques et de prendre en compte leurs différentes dimensions (industrielles, économiques, mais aussi juridiques et en termes de sécurité publique et de sécurité nationale) » [19].
Cependant, la prise en compte par l’État français de cette question montre « que si l’État colbertiste sait encore s’appuyer sur ses missions régaliennes de sécurité pour jouer un rôle actif sur certains segments de marché des technologies nouvelles, il n’est plus capable de tirer des avantages durables de cette posture » [20].

L’évolution juridique sur la cryptologie se fait par la loi du 21 juin 2004 ou loi pour la confiance dans l’économie numérique (LCEN), venant définir à l’article 29 le moyen de cryptologie comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, et permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité » [21].

Non seulement l’autorité administrative pourra protéger ses communications ou données au moyen de la cryptologie, mais la loi du 21 juin 2004 permet aussi que « lorsqu’un fournisseur de moyens de cryptologie, même à titre gratuit, ne respecte pas les obligations auxquelles il est assujetti en application de l’article 30, le Premier ministre peut, après avoir mis l’intéressé à même de présenter ses informations, prononcer l’interdiction de mise en circulation du moyen de cryptologie concerné » [22].

Enfin, à la suite de la loi pour la confiance dans l’économie numérique du 21 juin 2004, le décret du 2 mars 2007 vient préciser les régimes d’autorisation concernant les régimes de dispense ou d’autorisation préalable sur les moyens de cryptologie [23].

La législation et la réglementation sont complétées par des textes infra-réglementaires émis par la Direction centrale de la sécurité des systèmes d’information (DCSSI) aujourd’hui Agence nationale de la sécurité des systèmes d’information (ANSSI) : un acte du 28 mars 2006 portant sur la gestion des clés cryptographiques [24] et l’instruction du 6 novembre 2006 relative aux fournitures nécessaires à l’analyse de mécanismes cryptographiques [25].

De manière pratique et illustrative, l’Intranet sécurité interministériel pour la synergie gouvernementale (ISIS) et le réseau interministériel de téléphonie fixe Raimbaud sont des instruments de cryptage interministériels qui permettent, d’une part pour ISIS, « l’échange et le partage d’informations classifiées « secret défense » entre les acteurs gouvernementaux » [26] et, d’autre part, pour Raimbaud d’assurer le réseau de téléphonie et de télécopie « de services publics ou d’opérateurs chargés d’une mission de service public d’importance vitale » [27].

Surtout, ce travail de cryptologie et de protection de sécurité des systèmes d’information est aujourd’hui la mission principale de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui gagne en importance et mérite une forte reconnaissance pour le travail qu’elle effectue jour après jour.

Plus que le droit, l’enjeu est de toujours pouvoir s’adapter au niveau technologique, tant en matière de cryptologie pour protéger nos systèmes d’information, qu’en matière de déchiffrement de systèmes informations qui mettent en jeu la sécurité nationale.

Alexis Deprau,
Docteur en droit, élève-avocat à l’EFB

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

14 votes

Notes :

[1Cass. crim., 10 janvier 2018, M. Malek B., n°17-90019.

[2Cons. const. 30 mars 2018, M. Malek B., n°2018-696 QPC.

[3La Cour de cassation a d’ailleurs refusé de renvoyer devant le Conseil constitutionnel à bon droit le 10 avril 2018, une requête qui portait elle aussi sur l’article 434-15-2 du Code pénal. Voir Cass. crim. 10 avril 2018, n°18-900002.

[4Ibid., cons. 8.

[5« La politique publique de renseignement concourt à la stratégie de sécurité nationale ainsi qu’à la défense et à la promotion des intérêts fondamentaux de la Nation. Elle relève de la compétence exclusive de l’Etat. », CSI, art. L. 811-1.

[6L. n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, JORF, n°266, 16 novembre 2001, p. 18 215, texte n°1, art. 31.

[7L. n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, JORF, n°143, 22 juin 2004, p. 11 168, texte n°37.

[8L. n°2001-1062 du 15 novembre 2001 préc.

[9Modifié par la L. n°2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, JORF, n°263, 14 novembre 2014, p. 19 162, texte n°5, art. 15.

[10D. n°2002-1073 du 7 août 2002 d’application de l’article 30 de la loi n°2001-1062 du 15 novembre 2001 relative à la quotidienne et portant création du Centre technique d’assistance, JORF, n°186, 10 août 2002, p. 13 173, texte n°3.

[11FREYSSINET (E.), La cybercriminalité en mouvement, Lavoisier, Cachan, 2012, p. 137.

[12D. n°2017-614 du 24 avril 2017 portant création d’un service à compétence nationale dénommé « Agence nationale des techniques d’enquêtes numériques judiciaires » et d’un comité d’orientation des techniques d’enquêtes numériques judiciaires, JORF, n°97, 25 avril 2017, texte n°27, art. 2.

[13L. n°2018-699 du 3 août 2018 visant à garantir la présence des parlementaires dans certains organismes extérieurs au Parlement et à simplifier les modalités de leur nomination, JORF, n°179, 5 août 2018, texte n°3.

[14L. n°90-1170 du 29 décembre 1990 sur la réglementation des communications, JORF, 30 décembre 1990, pp. 16 439- 16 446, art. 28.

[15Ibid.

[16L. n°96-659 du 26 juillet 1996, JORF, n°174, 27 juillet 1996, p. 11 384.

[17D. n° 99-200 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable, JORF, n°66, 19 mars 1999, p. 4 051.

[18Arr. du 17 mars 1999 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d’autorisation relatives aux moyens et prestations de cryptologie, JORF, n°66, 19 mars 1999, p. 4 052.

[19WARUSFEL (B.), « Dix ans de réglementation de la cryptologie en France du contrôle à la liberté concédée », pp. 657-661, Annuaire français de relations internationales, n°1, 2000, p. 661.

[20Ibid., p. 661.

[21L. 2004-575 du 21 juin 2004 préc, art. 29.

[22Ibid., art. 34.

[23D. n°2007-663 du 2 mai 2007 pris pour l’application des articles 30, 31 et 36 de la L. n°2004-575 pour la confiance dans l’économie numérique et relatif aux moyens et aux prestations de cryptologie, JORF, n°104, 4 mai 2007, p. 7 865, texte n°1.

[24Gestion des clés cryptographiques – Règlements et recommandations concernant la gestion des clés utilisées dans les mécanismes cryptographiques de niveau robustesse standard, 28 mars 2006, n°724/SGDN/DCSSI/SDS/AsTeC.

[25Instr. du 6 novembre 2006 relative aux fournitures nécessaires à l’analyse de mécanismes cryptographiques, version 1.2, n°2336/SGDN/DCSSI/SDS.

[26LEONETTI (X.), Guide de cybersécurité. Droits, méthodes et bonnes pratiques, L’Harmattan, Paris, 2015, p. 115.

[27Ibid.