Il n'y a pas eu qu'un seul arrêt ce 13 octobre dernier sur le sujet. Le même jour, la Cour de cassation a confirmé que le code de déverrouillage d’un téléphone est une convention secrète lorsqu’il a une incidence sur le chiffrement. Le refus de le remettre peut alors bien être sanctionné.
Comme dans la première affaire, un individu avait été interpellé le 12 mai 2018 en possession de cannabis. Il fut mis en garde à vue où il admit avoir acquis, détenu, consommé et même cédé de la drogue.
Toutefois, durant cette phase, il a refusé de communiquer aux forces de l’ordre le code de déverrouillage de ses deux téléphones. Une source d’informations potentiellement importantes pour les enquêteurs afin d’identifier les éventuelles personnes impliquées dans un réseau.
L’individu, qui était déjà sous le coup d’un sursis, fut condamné à 6 mois d’emprisonnement le 12 mai 2018 par le tribunal correctionnel de Lille pour infraction à la législation sur les stupéfiants. Les juges le relaxèrent toutefois du chef de refus de remettre ou mettre en œuvre la convention secrète d’un moyen de déchiffrement.
Selon l’article 434-15-2 du Code pénal, un tel fait est pourtant puni en principe jusqu’à trois ans d’emprisonnement et 270 000 euros d’amende, voire cinq ans et 450 000 euros lorsque « la remise ou la mise en oeuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets ».
Des faits suffisamment graves pour que le procureur de la République décide de faire appel.
Quand le code de déverrouillage devient convention de déchiffrement
Le 11 juillet 2019, la cour d’appel de Douai a toutefois confirmé cette relaxe. Il faut dire qu’entre-temps, la cour d’appel de Paris avait en avril 2019 jugé qu’ « un code de déverrouillage d’un téléphone portable d’usage courant, s’il permet d’accéder aux données de ce téléphone portable et donc aux éventuels messages qui y sont contenus, ne permet pas de déchiffrer des données ou messages cryptés ».
De cette affirmation, elle en avait déduit que ce code n’est « pas une convention secrète d’un moyen de cryptologie ». Le 13 octobre dernier, dans un autre arrêt non encore publié, mais que nous avons obtenu en marge des Assises de la cybersécurité, la Cour de cassation va annuler la décision d’appel de Douai, tout comme elle annula le même jour la décision parisienne.
Déverrouillage et mise au clair des données
Elle a reproché aux juges d’appel d’avoir soutenu sans nuance et analyse précise qu’un code de déverrouillage « ne sert pas à décrypter les données, mais à débloquer l’usage de l’écran, pour accéder aux données contenues dans le téléphone ».
Pour la haute juridiction, au contraire, « le code de déverrouillage d’un téléphone portable constitue une convention de déchiffrement s’il permet de mettre au clair les données qu’il contient ».
Crédits : Chambre criminelle C.Cass, 13 octobre 2020 (19-85.984)
Une situation qui peut se rencontrer sur les téléphones récents, comme déjà expliqué. Les juridictions de fond (tribunaux correctionnels et cours d’appel) ne pourront plus désormais prononcer une relaxe ou la culpabilité d’une personne avec des arguments si généralistes, mais devront au contraire vérifier si dans le cas présent, le code de déverrouillage a une incidence sur le chiffrement des données contenues sur tel smartphone.
