La Cour de Cassation précise ce qu'est l'obligation de déchiffrement
Le code de déverrouillage d'un téléphone portable peut constituer une « convention de déchiffrement » qui doit être fournie dans le cadre d'une enquête pénale. A l'occasion d'une jurisprudence de la Cour de Cassation, alors que l'ANSSI insiste sur la nécessité de chiffrer le SI, retour sur les obligations de répondre aux réquisitions des autorités au cours d'enquêtes judiciaires.
PublicitéPour la première fois, la Cour de cassation donne une définition de la « convention secrète de déchiffrement » et admet que le code de déverrouillage d'un téléphone mobile puisse relever de cette définition (Cass. Ch. crim., 13 oct. 2020, n°20-80.150).
Dans cette affaire, le prévenu, interpellé en possession de produits stupéfiants, avait refusé de transmettre les codes de déverrouillage de ses trois téléphones portables au fonctionnaire de police qui procédait à son audition. Le prévenu, outre son infraction relative à la détention de produits stupéfiants, a donc été poursuivi au titre de l'article 434-15-2 du Code pénal qui sanctionne le refus d'une personne de remettre aux autorités judiciaires ou de mettre en oeuvre sur les réquisitions de ces autorités « une convention de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Cette infraction peut être sanctionnée d'une peine de prison de trois ans et d'une amende de 270 000 euros. Ces peines peuvent être portées à cinq ans d'emprisonnement et à 450 000 euros d'amende « si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets ».
Revirement entre première instance et appel
Au cours de la première instance, le prévenu avait objecté que cet article du Code pénal contrevenait aux principes du procès équitable et de présomption d'innocence tels que définis par les articles 16 et 9 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789, en ce qu'il ne lui permettrait pas de faire usage de son droit au silence et du droit de ne pas s'auto-incriminer. Le Conseil constitutionnel, saisi de cette question prioritaire de constitutionnalité, a écarté cet argument, en considérant que l'article 434-15-2 du Code pénal répondait à « l'objectif de valeur constitutionnelle de prévention des infractions et de recherche des auteurs d'infractions » (Cons. Const., 30 mars 2018, n°2018-696 QPC). Le prévenu a donc été déclaré coupable du refus de remettre aux autorités judiciaires ou de mettre en oeuvre la convention secrète de déchiffrement d'un moyen de cryptologie (TGI Créteil, 10 septembre 2018, C17069000106).
Cependant, tel n'a pas été l'avis des juges d'appel qui, saisis à leur tour, ont considéré que le prévenu ne pouvait pas être condamné sur le fondement de l'article 434-15-2 du Code pénal, car d'une part, aucune réquisition judiciaire ne lui avait été adressée, d'autre part, un code de déverrouillage d'un téléphone portable ne pouvait pas, selon eux, constituer une convention secrète au sens de la loi du 21 juin 2004 (CA Paris, 16 avril 2019).
La Cour de Cassation a tranché
PublicitéCe n'est pas la solution finalement retenue par la Cour de cassation. La Haute juridiction admet que la simple demande de communication d'un code de déverrouillage d'un portable formulée par un fonctionnaire de police au cours d'une audition, bien que cette faculté leur ait été reconnue (CPP, art. 230-1), ne peut être perçue comme une réquisition judiciaire nécessaire à l'application de l'article 434-15-2 du Code pénal. Toutefois, elle considère qu'une convention secrète de déchiffrement s'entend d'« un moyen de cryptologie [contribuant] à la mise au clair des données qui ont été préalablement transformées, par tout matériel ou logiciel, dans le but de garantir la sécurité de leur stockage, et d'assurer ainsi notamment leur confidentialité ». Aussi, le code de déverrouillage d'un téléphone portable peut relever de cette définition s'il « est équipé d'un moyen de cryptologie ».
On notera que, dans un arrêt du même jour portant sur une affaire similaire, la Cour est venue préciser sa position en considérant que « le code de déverrouillage d'un téléphone portable constitue une convention de déchiffrement s'il permet de mettre au clair les données qu'il contient » et s'il ne s'agit pas d'un simple code servant « à débloquer l'usage de l'écran ». En l'espèce, le prévenu, appréhendé pour possession de drogues, avait refusé de communiquer aux enquêteurs les codes de déverrouillage de ses deux téléphones portables « susceptibles d'avoir été utilisés dans le cadre d'un trafic de stupéfiants » (Cass. Ch. crim. 13 octobre 2020, n° 19-85.984).
Ainsi, par ces deux arrêts (Cass. Ch. crim., 13 oct. 2020, n°20-80.150 ; Cass. Ch. crim. 13 octobre 2020, n°19-85.984) la Cour de cassation devrait mettre un point final au débat entourant l'application de l'article 434-15-2 du Code pénal.
Et les entreprises ayant chiffré leur SI ?
Un parallèle intéressant peut-être fait avec le système des réquisitions judiciaires faites aux organismes dont le système informatique peut contenir des informations intéressant les forces de l'ordre dans le cadre d'enquêtes pénales. En effet, « le procureur de la République ou l'officier de police judiciaire ou, sous le contrôle de ce dernier, l'agent de police judiciaire peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des informations intéressant l'enquête, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces informations (...) » (CPP, art. 60-1). Ainsi, à la lecture de cet article, il n'est pas prévu de laisser les forces de l'ordre accéder aux systèmes informatiques en leur fournissant par exemple, les identifiants et mots de passe, mais simplement de leur transmettre les informations demandées.
Toutefois, dès lors qu'un organisme est directement soupçonné d'être impliqué dans la commission d'une infraction pénale, les officiers de police judiciaire peuvent directement avoir accès aux données intéressant leur enquête et se trouvant sur un système informatique après avoir requis auprès de toute personne susceptible d'en avoir connaissance, les informations leur permettant d'atteindre les données stockées. Le refus de transmettre de telles informations est sanctionné d'une peine d'amende de 3750 euros (CPP, art. 57-1).
Ainsi, on observe un alignement des règles d'accès aux données d'un téléphone portable sur celles concernant les systèmes informatiques. Et si, dans un objectif de sécurité, l'ANSSI plaide en faveur du chiffrement de bout en bout des données et donc, du renforcement de leur inaccessibilité par un tiers, il faut également donner aux enquêteurs les moyens d'accéder aux données dont l'accès est protégé.
Article rédigé par
Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire