Une personne a été arrêtée pour possession de stupéfiants. Pendant sa garde à vue, elle a refusé de donner aux enquêteurs les codes permettant de déverrouiller deux téléphones susceptibles d’avoir été utilisés dans le cadre d’un trafic de stupéfiants.

Cette personne, poursuivie devant une juridiction correctionnelle, n’a pas été condamnée pour avoir refusé de donner ses codes de déverrouillage de téléphones ; elle a été relaxée.

Les mots de passe et les conventions de chiffrement permettent la protection des données, et leur divulgation imposée par les autorités peut mettre en danger la liberté individuelle et la démocratie mais aussi permettre la répression du crime.

Le Conseil Constitutionnel, sur QPC où intervient la Quadrature du Net, juge que l’incrimination de refus de communication de mot de passe n’est pas contraire à la Constitution.

L’article 434-15-2 du code pénal, dans sa rédaction résultant de la loi du 3 juin 2016 prévoit :


« Est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. 

« Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 € d’amende ».
L’article 29 alinéa 1 de la loi de 2004 pour la confiance dans l’économie numérique (loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique) prévoit :

On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie visent principalement à garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

 
Le Conseil fait une lecture classique du texte, c’est-à-dire stricte, en application du principe selon lequel la loi pénale est d’interprétation stricte, et en déduit la constitutionnalité de la disposition (en l’occurrence l’alinéa 1 de l’article, seul visé).
 
L’accusation devra caractériser contre la personne suspectée :
 
– la connaissance du mot de passe ou de la convention (la personne qui est requise est bien celle qui a effectivement connaissance du mot de passe, et non pas seulement la personne qui est censée connaître, ou qui pourrait, ou devrait, connaître…les intermédiaires techniques en tant qu’entreprises s’en remettant à leurs machines pour gérer et accéder aux mots de passe pourraient justifier leur refus en opposant l’absence de tout organe personne physique (être humain) ayant accès à la convention secrète) ;
– la probabilité que le moyen de cryptologie a été utilisé à des fins criminelles ou délictueuses.
 
Les autorités judiciaires visées sont celles qui interviennent dans le cadre de l’enquête préliminaire ou de flagrance ou de l’instruction (titres II et III du livre I du code de procédure pénale). La requête doit répondre à un formalisme (notification officielle des conséquences d’un refus).
 
Décision 2018-696 du Conseil Constitutionnel du 30 mars 2018.
Une simple demande de communication de mot de passe par un enquêteur fonctionnaire de police ne paraît donc pas permettre de qualifier les faits. Et le refus de communiquer le code de verrouillage, un « PIN » (pour Personal Identification Number) n’est pas un refus de communiquer une convention de cryptage. En ce sens d’ailleurs Paris 16 avril 2019, n°19/09267.
 
Conventionnalité. La Cour de cassation a jugé que le délit de refus de remettre une convention secrète de déchiffrement cryptologique ne portait pas en soi atteinte au droit de se taire et de ne pas s’auto-incriminer découlant de l’article 6 de la Convention européeenne des droits de l’homme (Cass. crim., 10 déc. 2019, n° 18-86.878)
 
La Cour de cassation indique que le refus de livrer le PIN peut équivaloir à refuser de livrer la convention de déchiffrement (Crim.13 oct.2020, n°20-80150).
 
Il s’agit de distinguer le code permettant d’accéder à un terminal (ordinateur, téléphone, serveur, carte SIM…) et la clé permettant de déchiffrer les données ou métadonnées stockées ou circulantes.
 
Dans certains cas le PIN ou autres codes secrets et mots de passe ne permettent pas d’empêcher l’accès aux données, dans d’autres oui, la jurisprudence est par conséquent hésitante (CA Paris 16 avril 2019, 18-09.267 ;  Cass. crim., 13 oct. 2020, n° 20-80.150 ; Cass. crim., 13 oct. 2020, n° 19-85.984).
 

Dans son arrêt du 7 novembre 2022, la Cour de cassation, assemblée plénière, pourvoi n° K 2183.146, indique, dans son communiqué de presse :

Un « moyen de cryptologie » a pour but de rendre des informations incompréhensibles, afin de sécuriser leur stockage ou leur transmission. Une « convention secrète de déchiffrement » permet la mise au clair des informations cryptées. Lorsqu’un téléphone portable est équipé d’un « moyen de cryptologie », le code de déverrouillage de son écran d’accueil peut constituer une « clé de déchiffrement » si l’activation de ce code a pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès. Dès lors, si un téléphone portable doté de ces caractéristiques techniques – comme c’est le cas aujourd’hui de la plupart des téléphones portables –  est susceptible d’avoir été utilisé pour la préparation ou la commission d’un crime ou d’un délit, son détenteur, qui aura été informé des conséquences pénales d’un refus, est tenu de donner aux enquêteurs le code de déverrouillage de l’écran d’accueil. S’il refuse de communiquer ce code, il commet l’infraction de « refus de remettre une convention secrète de déchiffrement ». Par conséquent, en l’espèce, la décision de la cour d’appel est cassée et une autre cour d’appel est désignée pour rejuger l’affaire.

 
Dans la pratique, on s’interroge néanmoins sur la pertinence de l’incriminiation au regard de ce que cela implique comme ingérence dans l’exercice du droit au repsect de la vie privée dans les affaires de délinquance mineure, comme c’est le cas dans le débat sur les questions d’accès aux données de connexion détenues par les opérateurs téléphoniques.
Il semble aussi qu’un conflit existe entre cette incrimination et l’exercice du droit au silence en garde à vue.
 

————————

La CJUE s’est pronconcée sur le sujet (v. CJUE 30 avr. 2024, La Quadrature du Net e.a., aff. C-470/21). Dans l’affaire C-548/21 | Bezirkshauptmannschaft Landeck (Tentative d’accès aux données personnelles stockées sur un téléphone portable), la CJUE (arrêt du 4 octobre 2024) indique que l’accès aux métadonnées (de connexion : de trafic et de localisation, et adresse IP et données du compte opérateur) n’est pas limité à la criminalité grave mais pose des critères limitatifs :  cet accès  » être subordonné à une autorisation préalable par une juridiction ou une autorité indépendante, sauf dans un cas d’urgence dûment justifié. La personne concernée doit être informée des motifs de l’autorisation dès que la communication de cette information n’est plus susceptible de compromettre les enquêtes ».

Une simple autorisation du parquet est insuffisante (en ce sens cf. Pourvois n° 21-83.710, 21-83.820, 21-84.096 et 20-86.652), et encourt la nullité en cas de démonstration d’un grief par le titulaire de la ligne.

La question du refus de communiquer les codes est néanmoins une autre question : le refus peut être constaté par l’enquêteur, et celui-ci peut s’abstenir d’accéder aux contenus du téléphone (à distinguer des métadonnées), c’est ensuite le juge qui prononcera la sanction du refus.