La chambre criminelle de la Cour de cassation vient de rendre un arrêt important. Contrairement à la cour d’appel, elle considère que refuser de fournir le code de déverrouillage d’un téléphone peut constituer une infraction s’il a un lien avec le chiffrement des données.
« Un code de déverrouillage d’un téléphone portable d’usage courant, s’il permet d’accéder aux données de ce téléphone portable et donc aux éventuels messages qui y sont contenus, ne permet pas de déchiffrer des données ou messages cryptés et, en ce sens, ne constitue pas une convention secrète d’un moyen de cryptologie ».
Voilà ce qu’indiquait la cour d’appel de Paris le 16 avril 2019 avant de relaxer un certain Malek B.
En garde à vue dans le cadre d’une enquête en matière de trafic de drogue, celui-ci avait refusé de fournir le code de déverrouillage de ses trois téléphones. Il fut alors poursuivi pour « refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie ».
Cependant, la cour estima, sans grand détail, que le code, s’il permet de déverrouiller le téléphone, ne permet pas de déchiffrer les données ou messages qui y sont stockés.
Une nuance importante pour cette disposition du Code pénal qui fut « introduite par la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne après les attentats du 11 septembre 2001 où il était clairement apparu que les terroristes utilisaient les réseaux numériques en cryptant leurs échanges », retraçait Myriam Quéméne, magistrate, en 2018 dans la revue Dalloz IP/IT, avant de préciser que « cette infraction a vu ses sanctions aggravées par la loi n° 2016-731 du 3 juin 2016 en son article 16 ».
Le Code pénal prévoit jusqu’à trois ans d'emprisonnement et 270 000 € d'amende à l’encontre de la personne réticente, voire cinq ans d'emprisonnement et 450 000 € d'amende « si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets ».
L’arrêt d’appel avait été salué par l’avocat de Malek B., celui-ci affirmant dans les colonnes du Parisien que « le code de déverrouillage d'un portable ne peut pas être considéré comme une clé de déchiffrement d'un moyen de cryptologie. Cela fait plusieurs années que nous nous battons sur cette question. La cour d'appel de Paris vient, enfin, de nous donner raison. C'est une grande avancée. »
Le Conseil constitutionnel avait préalablement déjà souligné le 30 mars 2018 que cet article 434-15-2 ici en jeu ne porte « pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances » (notre actualité).
Ces dispositions, en effet, n'ont pas pour objet d'obtenir des aveux « et n'emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées ». Une décision contestée par la Quadrature du Net.
La mise au clair de la Cour de cassation
Ce jour, toujours dans le même dossier, la chambre criminelle de la Cour de cassation vient de mettre au clair cette jurisprudence qui posait des soucis opérationnels pour les forces de l’ordre.
Et pour cause, « aujourd’hui, il n’est malheureusement pas exagéré d’affirmer que des enquêtes portant sur des structures criminelles majeures sont rendues impossibles, ou sont extrêmement ralenties, par l’utilisation de messageries cryptées que les enquêteurs ne peuvent pas intercepter en temps réel », relevaient Benoist Hurel et Vincent Lemonier, dans un article de 2018 relatif à l’enquête pénale à l’épreuve du chiffrement.
Contrairement à la cour d’appel, la Cour de cassation pose que le code de déverrouillage d’un téléphone portable peut constituer une convention, du moins « lorsque ledit téléphone est équipé d’un moyen de cryptologie ».
En effet, rappelle-t-elle à l’aide de la loi sur la confiance dans l’économie numérique, « la convention secrète de déchiffrement d’un moyen de cryptologie contribue à la mise au clair des données qui ont été préalablement transformées, par tout matériel ou logiciel, dans le but de garantir la sécurité de leur stockage, et d’assurer ainsi notamment leur confidentialité ».
Une définition suffisamment large pour y inclure les matériels. Cependant, comment savoir si un tel moyen est effectivement présent sur le téléphone ? Cette démonstration, nous apprend l’arrêt, « peut se déduire des caractéristiques de l’appareil ou des logiciels qui l’équipent ainsi que par les résultats d’exploitation des téléphones au moyen d’outils techniques, utilisés notamment par les personnes qualifiées requises ou experts désignés à cette fin, portés, le cas échéant, à la connaissance de la personne concernée ».
Par contraste, en s’appuyant sur l’expression vague de « téléphone d’usage courant », la cour d’appel avait été un peu vite en besogne, loin du seuil d’expertise réclamé par la haute juridiction.
Justifier le lien entre code de déverrouillage et chiffrement
« Autrement dit, explique Matthieu Audibert, officier de gendarmerie et doctorant en droit privé et sciences criminelles, il faut justifier en procédure que le code de déverrouillage a un rôle sur le chiffrement du terminal, ce qui est techniquement le cas des derniers smartphones ».
Ainsi, « le fait de refuser de communiquer le code de déverrouillage de son téléphone à la demande officielle d’un OPJ est une infraction, dès lors qu’il est démontré que ce code a un impact sur le chiffrement des données du téléphone ».
Comme expliqué lors de l’affaire de la tuerie de San Bernardino, depuis l’arrivée d’iOS 8, les données utilisateurs sur iOS sont chiffrées, mais la clé générée dépend du code de déverrouillage choisi par le propriétaire du téléphone (voir également cette note d’Apple)
L’infraction doit aussi obéir à un formalisme. Elle peut être constituée en cas de refus « de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités ».
Dans la lignée de la décision du Conseil constitutionnel, la cour a considéré qu’une réquisition délivrée par un officier de police judiciaire entrait bien dans ce champ, lorsque celui-ci agit en vertu des articles 60-1, 77-1-1 et 99-3 du code de procédure pénale, sous le contrôle de l’autorité judiciaire.
« Autrement dit, l’OPJ doit donc matérialiser sa demande et avertir le mis en cause que le refus constitue une infraction. Cela ne doit pas être une simple demande orale » détaille Matthieu Audibert.
Tout n’est pas si simple cependant puisqu’au surplus, il faudra aussi démontrer que le moyen de cryptologie est « susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Des éléments contextuels apportés par les investigations, « à l’aide d’éléments factuels et objectifs relatifs à l’usage d’un téléphone pour commettre l’infraction », nous indique un membre des forces de l’ordre.
