Le refus de déverrouiller son smartphone n’est pas un délit automatique.

I. Contexte.

1. Le 14 octobre dernier, une audience a eu lieu devant l’Assemblée plénière de la Cour de cassation, à l’issue de laquelle un arrêt sera rendu le 07 novembre 2022, concernant l’application de l’article 434-15-12 du code pénal aux téléphones portables et en particulier aux smartphones.

2. Ce texte, pour la clarté duquel on remercie le législateur qui a de nouveau fait ses meilleurs efforts pour le rendre intelligible au commun des mortels, réprime de trois ans d’emprisonnement et de 270.000 euros d’amende le fait :

« pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités ».

3. En gros, pour le Tribunal correctionnel de Paris (et d’autres), particulièrement en comparution immédiate, cet article signifie que si, dans le cadre d’une enquête, un policier vous demande votre code de smartphone (après vous avoir prévenu qu’un refus était une infraction), et que vous refusez quand même de le lui donner, vous êtes coupable de cette infraction et serez automatiquement condamné (je sais d’ailleurs, pour avoir pu la consulter, que les magistrats du tribunal ont même reçu une note en ce sens…).

4. Cet article, qui n’a intéressé personne pendant longtemps, est désormais utilisé régulièrement, pour ne pas dire systématiquement, depuis le développement des smartphones, puisque par cet intermédiaire, il est possible d’avoir accès, aisément et sans autorisation judiciaire, à un nombre bien plus important d’informations que dans un domicile perquisitionné, et ce quelle que soit la gravité de l’infraction.

C’est pourquoi, au motif d’une atteinte disproportionnée à de nombreux droits fondamentaux, il a été attaqué devant le Conseil constitutionnel et la Cour de cassation, qui ont néanmoins balayé ces critiques en quelques paragraphes peu convaincants [1].

Ceci étant, quoi qu’en dise ces juridictions (parce que nul n’ignore qu’un avocat n’a jamais réellement tort), compte tenu de l’immensité des informations contenues ou accessibles (par le cloud par exemple) sur/par un tel appareil, il y a dans la condamnation, systématique et sans égard pour la gravité de l’infraction initiale, de toute personne s’étant refusée à faire entrer un inconnu, fût-il policier, dans les méandres de sa vie et de son intimité, une atteinte de grande ampleur aux droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

5. Néanmoins, je pense que la jurisprudence actuelle de la Cour de cassation est bien suffisante pour reléguer cette infraction aux faits initiaux les plus graves, comme le démontre une décision récente obtenue auprès de la Cour d’appel de Paris.

II. Position de la Cour de cassation.

1. Pour la Cour de cassation :

« Le code de déverrouillage d’un téléphone mobile constitue une convention de déchiffrement […] s’il permet de mettre au clair les données contenues dans ce téléphone, lorsque celui-ci est équipé d’un logiciel permettant de transformer ces données. Le refus de remettre ce code de déchiffrement aux autorités judiciaires […] constitue alors l’infraction… » [2].

Autrement dit, « le code de déverrouillage d’un téléphone portable peut constituer une telle convention » [3].

Et ce qui compte ici, c’est bien évidemment le « peut », car en l’absence de certitude ou de présomption, il appartient au parquet (puisque c’est sur lui que repose la charge de la preuve compte tenu du principe de la présomption d’innocence) de démontrer que le smartphone en question est équipé d’un moyen de crypter les données au moment de son verrouillage et de les décrypter à son déverrouillage.

A défaut, la relaxe d’un prévenu s’impose.

2. Je précise que cette appréciation est justement celle sur laquelle il est demandé à l’assemblée plénière de la Cour de cassation de se prononcer le 07 novembre prochain (parce que la Cour d’appel de Douai, à l’origine de l’arrêt attaqué, considère que le code de déverrouillage n’est pas une convention de déchiffrement mais un simple moyen d’authentification).

Mais, à mon humble avis, la position de la Cour de cassation ne sera pas modifiée, tout simplement parce que je ne vois pas comment on pourrait exclure définitivement et en toute circonstance qu’un code de déverrouillage puisse permettre de déchiffrer les données d’un téléphone.

3. Quoi qu’il en soit, comment exploiter le « peut » ?

III. Angle d’attaque principale.

1. Pour bien comprendre là où je veux en venir, il faut rappeler la différence entre le verrouillage, qui tend à rendre inaccessibles les données, et le chiffrement, qui tend à les rendre inintelligibles (même à une personne qui contournerait le verrouillage).

Autrement dit, ce n’est pas parce que l’on verrouille un smartphone que les données qu’il contient sont nécessairement chiffrées, il s’agit de deux mesures de protection distinctes.

Pour donner un exemple concret, si je ferme la porte de mon domicile à clé (verrouillage), que vous parvenez à rentrer par la fenêtre et que vous ouvrez mon journal intime, soit il est chiffré et globalement vos efforts ont été vains, soit il ne l’est pas et vous aurez accès à mes paroles d’évangile.

Tout ça pour dire qu’il ne suffit pas que le smartphone puisse être verrouillé pour établir qu’il contient un moyen de cryptologie chiffrant les données au moment de son verrouillage et les déchiffrant au moment de son déverrouillage.

Or, comme je le disais plus haut, s’il n’y a pas de preuve dans le dossier d’enquête de l’existence d’un moyen de cryptologie installé sur le téléphone, l’infraction ne peut pas être caractérisée et la relaxe s’impose.

A cet égard, il me semble que la Cour d’appel de Douai, dont l’arrêt fait l’objet de la procédure devant la Cour de cassation que j’évoquais préalablement, est allée trop loin en soutenant que le code de déverrouillage n’était qu’un moyen d’authentification et non de déchiffrement dans la mesure où il ne lui appartenait pas de porter cette appréciation, elle devait plutôt se contenter de constater que le dossier ne prouvait pas que le téléphone en question (et si le dossier est taiseux sur la question même de savoir s’il s’agit d’un smartphone, l’argument est encore plus fort) était équipé d’un moyen de cryptologie au verrouillage.

2. En outre, le moyen de cryptologie d’un téléphone est nécessairement un logiciel et, en particulier, son système d’exploitation.

Et si on connait tous Android et iOS, il en existe en réalité des dizaines d’autres, tout utilisateur pouvant d’ailleurs choisir de changer de système d’exploitation.

Android est lui-même un logiciel libre pouvant être modifié par tout fabricant de smartphones (et plus généralement tous ceux en ayant les compétences).

3. Aussi, à mon sens, et c’est ce que j’ai soutenu devant la Cour d’appel de Paris, il appartenait au parquet d’apporter quatre éléments pour espérer une confirmation de la condamnation (le parquetier moyen rêve en effet de geôles pleines) :
 La marque et les caractéristiques du téléphone ;
 La marque et la version du système d’exploitation installé sur le smartphone ;
 Que ce système, en cette version, comporte un moyen de cryptologie tendant au chiffrement des données du téléphone par son verrouillage et à leur déchiffrement par son déverrouillage ;
 Que ce système, en cette version, ne permet pas à l’utilisateur de désactiver ce moyen de cryptologie ou, si cette option existe, que l’utilisateur ne l’avait effectivement pas désactivée.

Sans cette quadruple preuve, il n’était tout simplement pas démontré, au-delà du doute raisonnable qui profite au prévenu, que son téléphone était bien équipé d’un moyen de cryptologie, dont le code de déverrouillage, qui lui avait été réclamé, aurait constitué la convention secrète de déchiffrement.

IV. Décision de la cour d’appel.

C’est ainsi que la Cour d’appel de Paris, par arrêt du 24 mars 2022 (RG n° 21/03551), dans une affaire où on ignorait même le système d’exploitation (on savait en revanche qu’il s’agissait d’un smartphone puisque la cour a rouvert les débats pour accéder aux scellés), a jugé que :

« Après présentation aux parties du téléphone portable Samsung placé sous scellé et examen par la Cour de celui-ci, il n’est pas établi que celui-ci soit équipé d’un moyen de cryptologie de sorte que l’infraction n’est pas caractérisée en tous ses éléments constitutifs ».

Il ne saurait donc y avoir de condamnation automatique en présence d’un smartphone et d’un refus.

Je précise que le parquet ne s’est pas risqué à un pourvoi contre cet arrêt.

V. Angles d’attaque subsidiaires.

A. La violation des libertés fondamentales.

1. Cet argument se fondait sur deux textes, la directive Police-Justice, pendant pénal du RGPD, et la directive e-Privacy, telle qu’interprétée par la CJUE.

2. La première prévoit que les traitements (la simple consultation est un traitement) par les autorités des données personnelles sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données concernant la santé ou la vie sexuelle ou l’orientation sexuelle) ne sont autorisés qu’en cas de « nécessité absolue ».

Or, la consultation d’un smartphone et de toutes les données qui y sont contenues ou qui sont accessibles depuis risque fort de permettre de prendre connaissance d’une donnée sensible ou de données susceptibles de divulguer indirectement des données sensibles, ce qui revient depuis peu au même [4].

3. La seconde directive consacre le secret des communications électroniques et des données de trafic et de localisation afférentes, qui sont certes accessibles aux opérateurs mais bien souvent aussi directement depuis le smartphone.

A ce titre, la CJUE [5], nous dit, en substance, que cette directive s’oppose à une loi autorisant l’accès du parquet (ou donnant compétence au parquet pour autoriser l’accès) à ces données, qui permettent de tirer des conclusions très précises sur la vie privée d’un prévenu (plus largement, bien que la Cour de cassation semble résister par ses arrêts du 12 juillet dernier en l’acceptant pour la criminalité grave, la directive s’oppose purement et simplement à l’accès à ces données, par qui que ce soit, sauf enquête relevant de la sécurité nationale).

Il me semble que la même interprétation s’impose pour la confidentialité des communications.

4. Partant, je ne vois pas comment, hors la sécurité nationale et la nécessité absolue, une condamnation pour refus de remettre son code de déverrouillage pourrait ne pas violer ces textes et, ce faisant, les droits fondamentaux au respect de la vie privée et à la protection des données personnelles, quand bien même il serait apporté la quadruple preuve que j’évoquais ci-dessus.

B. L’accès au téléphone est assimilable à une perquisition.

J’ajoute, pour donner un maximum d’arguments contre cette infraction, que la Cour de cassation [6] a jugé que « l’exploitation d’un téléphone portable est assimilable à une perquisition ».

Or, en matière d’enquête préliminaire, une perquisition nécessite l’accord de la personne soumise à cette mesure ou, à défaut, pour les infractions punies de plus de 3 ans d’emprisonnement, l’autorisation du juge des libertés et de la détention.

Aussi, dans ce cadre, et hors ces autorisations, les éléments obtenus à l’issue de l’exploitation du téléphone devraient être déclarés irrecevables.

Au total, nombreux sont donc les arguments pour contester cette infraction et la demande pressante d’un policier à lui remettre le code de votre téléphone.