Mis à jour le 7 novembre 2022

Une personne a été arrêtée pour possession de stupéfiants. Pendant sa garde à vue, elle a refusé de donner aux enquêteurs les codes permettant de déverrouiller deux téléphones susceptibles d’avoir été utilisés dans le cadre d’un trafic de stupéfiants.

Cette personne, poursuivie devant une juridiction correctionnelle, n’a pas été condamnée pour avoir refusé de donner ses codes de déverrouillage de téléphones ; elle a été relaxée.

Les mots de passe et les conventions de chiffrement permettent la protection des données, et leur divulgation imposée par les autorités peut mettre en danger la liberté individuelle et la démocratie mais aussi permettre la répression du crime.

Le Conseil Constitutionnel, sur QPC où intervient la Quadrature du Net, juge que l’incrimination de refus de communication de mot de passe n’est pas contraire à la Constitution.

L’article 434-15-2 du code pénal, dans sa rédaction résultant de la loi du 3 juin 2016 prévoit :


« Est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. 

« Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 € d’amende ».
L’article 29 alinéa 1 de la loi de 2004 pour la confiance dans l’économie numérique (loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique) prévoit :

On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie visent principalement à garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

 
Le Conseil fait une lecture classique du texte, c’est-à-dire stricte, en application du principe selon lequel la loi pénale est d’interprétation stricte, et en déduit la constitutionnalité de la disposition (en l’occurrence l’alinéa 1 de l’article, seul visé).
 
L’accusation devra caractériser contre la personne suspectée :
 
– la connaissance du mot de passe ou de la convention (la personne qui est requise est bien celle qui a effectivement connaissance du mot de passe, et non pas seulement la personne qui est censée connaître, ou qui pourrait, ou devrait, connaître…les intermédiaires techniques en tant qu’entreprises s’en remettant à leurs machines pour gérer et accéder aux mots de passe pourraient justifier leur refus en opposant l’absence de tout organe personne physique (être humain) ayant accès à la convention secrète) ;
– la probabilité que le moyen de cryptologie a été utilisé à des fins criminelles ou délictueuses.
 
Les autorités judiciaires visées sont celles qui interviennent dans le cadre de l’enquête préliminaire ou de flagrance ou de l’instruction (titres II et III du livre I du code de procédure pénale). La requête doit répondre à un formalisme (notification officielle des conséquences d’un refus).
 
Décision 2018-696 du Conseil Constitutionnel du 30 mars 2018.
Une simple demande de communication de mot de passe par un enquêteur fonctionnaire de police ne paraît donc pas permettre de qualifier les faits. Et le refus de communiquer le code de verrouillage, un « PIN » (pour Personal Identification Number) n’est pas un refus de communiquer une convention de cryptage. En ce sens d’ailleurs Paris 16 avril 2019, n°19/09267.
 
Conventionnalité. La Cour de cassation a jugé que le délit de refus de remettre une convention secrète de déchiffrement cryptologique ne portait pas en soi atteinte au droit de se taire et de ne pas s’auto-incriminer découlant de l’article 6 de la Convention européeenne des droits de l’homme (Cass. crim., 10 déc. 2019, n° 18-86.878)
 
La Cour de cassation indique que le refus de livrer le PIN peut équivaloir à refuser de livrer la convention de déchiffrement (Crim.13 oct.2020, n°20-80150).
 
Il s’agit de distinguer le code permettant d’accéder à un terminal (ordinateur, téléphone, serveur, carte SIM…) et la clé permettant de déchiffrer les données ou métadonnées stockées ou circulantes.
 
Dans certains cas le PIN ou autres codes secrets et mots de passe ne permettent pas d’empêcher l’accès aux données, dans d’autres oui, la jurisprudence est par conséquent hésitante (CA Paris 16 avril 2019, 18-09.267 ;  Cass. crim., 13 oct. 2020, n° 20-80.150 ; Cass. crim., 13 oct. 2020, n° 19-85.984).
 

Dans son arrêt du 7 novembre 2022, la Cour de cassation, assemblée plénière, pourvoi n° K 2183.146, indique, dans son communiqué de presse :

Un « moyen de cryptologie » a pour but de rendre des informations incompréhensibles, afin de sécuriser leur stockage ou leur transmission. Une « convention secrète de déchiffrement » permet la mise au clair des informations cryptées. Lorsqu’un téléphone portable est équipé d’un « moyen de cryptologie », le code de déverrouillage de son écran d’accueil peut constituer une « clé de déchiffrement » si l’activation de ce code a pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès. Dès lors, si un téléphone portable doté de ces caractéristiques techniques – comme c’est le cas aujourd’hui de la plupart des téléphones portables –  est susceptible d’avoir été utilisé pour la préparation ou la commission d’un crime ou d’un délit, son détenteur, qui aura été informé des conséquences pénales d’un refus, est tenu de donner aux enquêteurs le code de déverrouillage de l’écran d’accueil. S’il refuse de communiquer ce code, il commet l’infraction de « refus de remettre une convention secrète de déchiffrement ». Par conséquent, en l’espèce, la décision de la cour d’appel est cassée et une autre cour d’appel est désignée pour rejuger l’affaire.