L’affaire Telegram : entre refus de collaboration et absence de modération
L’interpellation le 24 août 2024 de Pavel Durov, fondateur de Telegram, et sa mise en examen quatre jours plus tard a eu un retentissement international. Si la liberté d’expression et le chiffrement sont au cœur de cette affaire – notons parmi les nombreux soutiens apportés à Pavel Durov ceux d’Elon Musk ou encore d’Edward Snowden –, elle est aussi l’occasion de faire le point sur les facettes de la surveillance des plateformes en ligne.
Par Noémie Véron, Maître de conférences à l’Université de Lille.
Quels sont les faits reprochés à Pavel Durov ?
La compréhension des différents chefs d’accusation retenus ne peut se faire que par l’appréhension du caractère multidimensionnel de l’application Telegram. Celle-ci n’est pas seulement une application de messagerie instantanée (messages privés – chiffrés de bout en bout uniquement si les personnes ont activé l’option « conversation secrète » – ou en groupe), elle est aussi un réseau social grâce à ses multiples canaux de diffusion.
Le parquet reproche à Pavel Durov l’absence de collaboration avec les autorités de police judiciaire et administrative dans la réalisation des interceptions des communications, l’absence de déclaration auprès de l’ANSSI des moyens de chiffrement utilisés par la plateforme. Sa complicité dans la diffusion, en bande organisée, d’images à caractère pédopornographique, de trafic de stupéfiants, association de malfaiteurs en vue de commission de crimes ou délits, est même recherchée.
L’absence de modération, un risque de sanction pénale ?
L’absence de modération de la plateforme revendiquée par Paul Durov – libertarien assumé – constitue le cœur des inquiétudes. D’aucuns voyant dans Telegram une nouvelle zone de non-droit où prolifèrent entre autres trafiquants et pédocriminels. Le droit est pourtant clair et stabilisé sur ce point : les hébergeurs ne sont pas responsables civilement et pénalement des contenus qu’ils hébergent sauf dans le cas où le contenu illégal aurait été porté à leur connaissance et qu’ils n’auraient pas pris les mesures adéquates pour rendre les données, contenus, transactions ou services indisponibles (Loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique).
Plus récemment, le Digital Services Act (DSA) confirme l’inexistence d’une obligation de surveillance générale des contenus, mais renforce les contraintes pesant sur les plateformes : obligation de répondre aux injonctions d’agir contre les contenus illicites (art. 9), notification des contenus illicites (art. 16), notification des soupçons d’infraction pénale (art. 18). Les très grandes plateformes (celles qui comptent plus de 45 millions d’utilisateurs sur le sol de l’UE) doivent mettre en place des mesures d’atténuation raisonnables, proportionnées et efficaces pour éviter les risques inhérents à leurs outils, dont la prolifération des contenus illicites (art. 34 et 35).
L’enquête française n’a pourtant pas comme fondement le DSA dans la mesure où Telegram n’est pas considéré – pour le moment – comme une très grande plateforme (seulement 41 millions d’utilisateurs au sein de l’UE) même si une procédure de vérification des faits est enclenchée par la Commission européenne. Surtout, le DSA ne prévoit que des sanctions administratives et financières en cas de non-respect de ses exigences. L’enquête prend donc appui sur le nouvel article 323‑3‑2 du Code pénal (CP) introduit par la LOPMI du 24 janvier 2023 qui incrimine le fait pour les fournisseurs de plateforme de « permettre sciemment la cession de produits, de contenus ou de services dont la cession, l’offre, l’acquisition ou la détention sont manifestement illicites ».
L’affaire Telegram, illustration de la croisade contre le chiffrement ?
Le principal reproche adressé à Telegram réside dans son refus de communiquer les informations et documents nécessaires à la réalisation et l’exploitation des interceptions autorisées par la loi, y compris celles transitant par des messageries instantanées chiffrées (Cass. crim., 16 déc. 2015, no 15-82.642). Les conditions générales du réseau énoncent pourtant que les données des utilisateurs pourraient être transmises en matière de lutte contre le terrorisme ou d’affaire de pédocriminalité. Pavel Durov affirme même être en lien avec la DGSI sur des affaires de lutte contre le terrorisme dans le cadre des JO de Paris. Propos démentis par les services eux-mêmes… (cf. le Canard enchaîné, 4 septembre 2024)
Comprenons bien que pour répondre à ces réquisitions l’unique solution serait de divulguer aux autorités judiciaires les différentes clefs de déchiffrement entre les serveurs et chaque utilisateur. En quelques mots, cela reviendrait à briser le chiffrement pour l’ensemble des utilisateurs de la plateforme. Ce qui, pour l’heure, constitue une atteinte disproportionnée au droit au respect de la vie privée pour la Cour européenne des droits de l’homme (CEDH, 13 févr. 2024, Podchasov c/ Russie, no 33696/19).
Pour percevoir l’ampleur de la croisade contre le chiffrement, l’affaire Telegram doit être lue dans un contexte plus large. Depuis plusieurs années, le chiffrement est synonyme de suspicion sinon de criminalité. Le législateur a ainsi pénalisé le fait de refuser de communiquer aux autorités judiciaires les clefs de déchiffrement (CP, art. 434-15-2, y compris les codes de déverrouillage [Cass. ass., 7 nov. 2022, no 21-83.146]). L’utilisation de moyens de chiffrement est également une circonstance aggravante en cas de commission d’une infraction (CP, art. 132-79), voire une présomption de culpabilité comme l’a mis en lumière l’affaire du 8 décembre. Songeons aussi aux velléités politiques d’instaurer des portes dérobées pour contourner le chiffrement ou au Règlement européen établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants (dit « CSAR »), actuellement en discussion, qui pourrait imposer une surveillance du contenu des communications échangées pour lutter contre la pédocriminalité.