Le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit
Par JB Thierry – Maître de conférences à l’Université de Lorraine
Dans un arrêt rendu le 7 novembre 2022, l’Assemblée plénière de la Cour de cassation répond à la question de savoir si le code permettant de déverrouiller un téléphone portable est une « convention secrète de déchiffrement d’un moyen de cryptologie » au sens du code pénal. Elle y répond par la positive : si le code de déverrouillage permet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès, le refus de communiquer ce code par le détenteur du téléphone susceptible d’avoir été utilisé pour préparer ou commettre une infraction peut qualifier un délit de « refus de remettre une convention secrète de déchiffrement ».
Quels étaient les faits en l’espèce et dans quelle mesure étaient-ils susceptibles de qualifier un délit prévu par le code pénal ?
Les faits étaient relativement simples. Un individu avait été placé en garde à vue pour des infractions à la législation sur les stupéfiants. À cette occasion, il avait refusé de donner aux enquêteurs les codes permettant de déverrouiller les deux téléphones portables qu’il avait en sa possession. Poursuivi et condamné pour les infractions en lien avec les stupéfiants, il avait en revanche été relaxé pour l’infraction prévue à l’article 434‑15‑2 du code pénal. Ce texte punit « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités […] ». Le ministère public considérait que le code du téléphone était assimilable à une convention secrète de déchiffrement d’un moyen de cryptologie ou nécessaire à sa mise en œuvre.
Cette infraction a été créée par la loi du 15 novembre 2001 relative à la sécurité quotidienne, à une époque où les téléphones portables n’étaient pas aussi répandus et où leur chiffrement n’existait pas, faute pour eux d’être « smart ». Il était alors question d’apporter, selon les travaux parlementaires, un «élément de lutte contre l’usage frauduleux de moyens de cryptologie qui interviennent dans la commission d’infractions particulièrement graves liées, on l’a vu, à des actes de terrorisme ou de grande criminalité ». À l’origine, il s’agissait donc de contraindre les personnes disposant de telles conventions de déchiffrement de les fournir aux autorités. L’infraction est longtemps restée inappliquée, jusqu’à ce que la question de l’accès au contenu des smartphones se pose. Pour ce faire, il a fallu adapter l’interprétation du texte à une hypothèse pour laquelle il n’a pas été conçu.
Sur quoi portait la divergence d’appréciation et par quel raisonnement la Cour de cassation décide-t-elle que le délinquant devait remettre pendant sa garde à vue le code de déverrouillage de son téléphone ?
L’enjeu était de savoir si le code permettant de déverrouiller le téléphone correspondait à la mise en œuvre d’une convention secrète de déchiffrement, au sens du code pénal. Dans d’autres affaires, la Cour de cassation avait déjà eu l’occasion de préciser ce qu’il fallait entendre par « réquisitions ». Elle avait également précisé les contours de l’élément intentionnel de l’infraction. Dans l’affaire ayant donné lieu à l’arrêt de l’assemblée plénière, les juges du fond avaient dans un premier temps considéré que le code d’un téléphone permettant de déverrouiller l’écran n’était pas assimilable à la mise en œuvre d’une convention secrète de déchiffrement : il ne s’agissait que d’un code d’accès, à l’image du mot de passe entré pour accéder à un intranet par exemple.
La chambre criminelle avait déjà eu l’occasion de dire, dans deux arrêts du 13 octobre 2020 (1er arrêt ; 2nd arrêt concernant l’affaire en cause) que « le code de déverrouillage d’un téléphone portable peut constituer une telle convention lorsque ledit téléphone est équipé d’un moyen de cryptologie ».
La cour d’appel de renvoi a résisté et maintenu la relaxe en jugeant que « la clé de déverrouillage de l’écran d’accueil d’un smartphone n’est pas une convention secrète de chiffrement, car elle n’intervient pas à l’occasion de l’émission d’un message et ne vise pas à rendre incompréhensibles ou compréhensibles données, […] mais tend seulement à permettre d’accéder aux données et aux applications d’un téléphone, lesquelles peuvent être ou non cryptées ». Un nouveau pourvoi ayant été formé, il était nécessaire que l’assemblée plénière de la Cour de cassation soit saisie.
Pour aboutir à la solution du 7 novembre, l’assemblée plénière a jugé qu’une convention de déchiffrement « s’entend de tout moyen logiciel ou de toute autre information permettant la mise au clair d’une donnée transformée par un moyen de cryptologie, que ce soit à l’occasion de son stockage ou de sa transmission ». En conséquence, le code d’un téléphone est bien une information qui, si elle permet la mise au clair des données stockées, entraîne la mise en œuvre de la convention de déchiffrement. Un accès par « schéma » ou biométrique semble également bien correspondre à une « information permettant la mise au clair des données ». En revanche, si le téléphone ne chiffre pas les données (et qu’il est donc ancien), le code d’accès ne déchiffre rien et le refus de le donner aux enquêteurs ne constitue aucune infraction. Mais ceux-ci auront facilement accès aux données sans avoir à brandir la menace de la non-coopération.
On peut noter une petite évolution dans la motivation de la Cour de cassation : les arrêts du 13 octobre 2020 relevaient que le code du téléphone peut constituer une clé de déchiffrement ; l’arrêt du 7 novembre juge que ce code est une information permettant la mise au clair des données chiffrées. Il permet donc de mettre en œuvre la convention de déchiffrement. Autrement dit, l’incrimination de l’article 434-15-2 concerne tout autant le prestataire qui refuse de donner la clé de déchiffrement que l’individu qui refuse de donner le code qui, une fois entré, permet non seulement d’accéder aux applications du téléphone, mais également à leur contenu déchiffré.
À votre sens, la décision trouve-t-elle l’équilibre approprié entre le respect du droit à ne pas s’auto-incriminer et l’efficacité dans les enquêtes ?
L’efficacité des investigations est évidemment renforcée par la solution de l’assemblée plénière, même si toutes les questions ne sont pas réglées. Le refus de communiquer le code de téléphone est puni (à la condition qu’il soit chiffré, que ce chiffrement soit constaté à la procédure et que des réquisitions de communication du code aient été prises) comme l’est, par exemple, le fait de refuser de se soumettre à un prélèvement biologique ou au dépistage de maladies sexuellement transmissibles pour les personnes soupçonnées d’avoir commis une infraction sexuelle. C’est la philosophie générale de textes qui font peser sur un individu une obligation pénalement sanctionnée de contribuer à la preuve. Ce mouvement marque, pour l’infraction en cause, une évolution de son contenu : créée de manière temporaire pour lutter contre des faits de nature terroriste, elle est aujourd’hui utilisée dans une finalité très différente de sa raison d’être originelle.
Toutefois, il faut tout de même préciser que les autorités en charge des investigations n’étaient pas démunies : le code de procédure pénale prévoit déjà la possibilité de requérir une personne qualifiée pour mettre au clair des données chiffrées. Par ailleurs, on peut même se demander si le suspect n’a pas tout intérêt à « s’orienter » vers une infraction de refus de donner le code de son téléphone plutôt que de permettre aux enquêteurs de recueillir la preuve d’une infraction punie plus lourdement.
Il faut en outre préciser que l’exploitation d’un téléphone portable est assimilée par la jurisprudence à une perquisition : l’avocat n’a donc pas à être présent, ni lors de la communication du code, ni lors de l’exploitation du téléphone. Se posera donc inévitablement la question de savoir si le refus de communiquer le code d’un téléphone dont les données sont chiffrées, dans le cadre d’une enquête préliminaire, est équivalent à l’opposition à une perquisition. Si oui, l’infraction de l’article 434-15-2 du code pénal ne pourrait pas être caractérisée. Si non, dans le cadre de la flagrance ou d’une information judiciaire, le consentement à la perquisition n’étant pas nécessaire, le refus de communiquer le code resterait constitutif d’une infraction.
S’agissant du droit de ne pas s’auto-incriminer, la réponse a déjà été apportée par le Conseil constitutionnel qui a jugé que cette infraction n’avait pas pour objet d’obtenir des aveux « mais permettent seulement le déchiffrement des données cryptées. En outre, l’enquête ou l’instruction doivent avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. Enfin, ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée ». Cette formule est très proche de la solution de la Cour européenne des droits de l’homme dans l’arrêt Saunders contre Royaume-Uni, dans lequel la Cour avait jugé que le droit de ne pas s’auto-incriminer « ne s’étend pas à l’usage, dans une procédure pénale, de données que l’on peut obtenir de l’accusé en recourant à des pouvoirs coercitifs mais qui existent indépendamment de la volonté du suspect, par exemple les documents recueillis en vertu d’un mandat, les prélèvements d’haleine, de sang et d’urine ainsi que de tissus corporels en vue d’une analyse de l’ADN ». La Cour de cassation avait fait sienne cette analyse.
La Cour européenne est d’ores et déjà saisie de la question et devra dire si la condamnation d’une personne sur le fondement de l’article 434-15-2 du code pénal porte atteinte au droit de ne pas contribuer à sa propre incrimination.
[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]En savoir plus…[/vcex_button]