Les méthodes de chiffrement moderne, issues de la démocratisation d’outils diplomatiques et militaires, sont apparus dans un contexte de criminalisation de l’utilisation des moyens technologiques modernes [1].
Dans ce contexte, les enquêteurs et services judiciaires sont de plus en plus confrontés à des difficultés techniques pour accéder à des informations confidentielles.
C’est ainsi que la Cour de cassation a récemment élargi le cadre des enquêtes judiciaires affirmant que le refus de donner son code de déverrouillage de portable peut constituer un délit [2].
Elle conforte ainsi l’objectif du législateur depuis déjà plus de trente ans de « minimiser les effets négatifs de l’utilisation du chiffrement sur les enquêtes des infractions pénales ».
À l’origine de cette jurisprudence, une enquête pour trafic de stupéfiants aboutit à la garde à vue d’une personne, ce dernier refusant de communiquer aux enquêteurs les mots de passe des deux smartphones découverts en sa possession lors de son interpellation.
Le 16 avril 2019, la Cour d’appel de Paris relaxe le prévenu de l’infraction de l’article 434-15-2 du Code pénal correspondant en synthèse au refus de décrypter son téléphone [3].
Le 13 octobre 2020, la chambre criminelle de la Cour de cassation censure l’arrêt d’appel considérant que le code de déverrouillage d’un smartphone pouvait être considéré comme une clé de chiffrement.
Le 20 avril 2021, la Cour d’appel de Douai s’opposait à la décision des juges de cassation et relaxait la personne de l’infraction déclarant que le code de déverrouillage n’était pas une convention secrète de chiffrement au sens du texte pénal [4].
Le 7 novembre 2022, l’Assemblée plénière de la Cour de cassation confirme la position de la chambre criminelle et casse l’arrêt d’appel au motif que le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d’un moyen de cryptologie [5].
La juridiction fonde sa décision sur l’interprétation de l’article 434-15-2 du code pénal par l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [6].
La décision intervient dans un contexte jurisprudentiel difficile marqué par de nombreuses décisions jusqu’alors contradictoires [7]. L’enjeu porte sur la confusion entre d’une part le code de déverrouillage et d’autre part la convention de déchiffrement d’un moyen de cryptologie [8].
En synthèse et selon la haute juridiction, un « moyen de cryptologie » a pour but de rendre des informations incompréhensibles afin de sécuriser leur stockage ou leur transmission.
Une « convention secrète de déchiffrement » permet la mise au clair des informations cryptées [9].
L’originalité de la décision porte sur le syllogisme appliqué à l’interprétation de l’infraction en cause. Le fondement légal relatif à la convention secrète de déchiffrement visait historiquement le matériel informatique dans un contexte de sécurité public et terrorisme (attentats de 2001), consolidée par la loi du 5 juin 2016 relative à la lutte contre le crime organisée, le terrorisme et leur financement [10].
Il s’agit ici de l’extension d’une infraction très ancienne – loi de 1995 visant les opérateurs privés dépositaires de la clé de chiffrement - à tous les utilisateurs de smartphones, par le biais d’une interprétation du texte par une loi postérieure [11].
L’application procédurale de cette décision soulève plusieurs questions [12]. Sous réserve du cumul de quatre conditions, l’infraction devrait se trouver constituée [13] : un procès-verbal de réquisition mentionnant que le téléphone portable a été utilisé pour préparer, faciliter ou commettre un crime ou un délit ; le procès-verbal mentionnant que le téléphone portable est chiffré et que la non-communication du code de déverrouillage rend impossible l’exploitation des données qu’il contient ; une réquisition rédigée dans le cadre de l’enquête par le procureur de la République, l’officier de police judiciaire ou, sous le contrôle de ce dernier, par l’agent de police judiciaire ; la réquisition devra impérativement mentionner que l’éventuel refus, par le détenteur du téléphone, sera constitutif du délit prévu par l’article 434-15-2 du code pénal.
Par ailleurs, il reviendra au parquet de justifier de l’élément moral de l’infraction à savoir l’intention coupable en connaissance de cause [14] : « l’auteur doit savoir que les données contenues dans le téléphone étaient cryptées ou que, s’il l’ignorait, les enquêteurs le lui aient indiqué, le cas échéant après que des experts ou personnes qualifiées auront exploité le téléphone au moyen d’outils techniques » [15].
Se pose également la question difficile de l’ingérence massive voire disproportionnée de la vie privée au sens de l’article 8 de la CEDH d’une telle position jurisprudentielle [16]. De fait, l’ensemble des législations en la matière visent principalement à simplifier ou accélérer les recherches des enquêteurs, évitant l’usage de moyens techniques, longs, difficiles et couteux. Une décision de la CEDH - Affaire Lamin Inteh c. France [17] - sur le sujet est vivement attendue pour confirmer la position actuelle des juridictions françaises.
Plusieurs praticiens s’inquiètent enfin de la transformation des infractions pénales, impliquant selon cette jurisprudence des compétences techniques et technologiques qui peuvent devenir problématiques [18].