Peut-on refuser de donner aux autorités judiciaires le code de déverrouillage d’un téléphone portable ?
Ass. Plén, 7 novembre 2022, n°21-83.146
En l’espèce, une personne est placée en garde à vue pour des infractions à la législation sur les stupéfiants et refuse de communiquer aux enquêteurs les codes permettant de déverrouiller ses téléphones portables.
Poursuivie sur le fondement de l’article 434-15-2 du Code pénal pour refus de remettre la convention secrète de déchiffrement d’un moyen de cryptologie, cette personne est relaxée de ces faits tant par le tribunal correctionnel que par la Cour d’appel.
Les juges du fond considèrent, en effet, que le code de déverrouillage d’un téléphone portable ne constitue pas une clé de déchiffrement, dès lors qu’il permet uniquement d’accéder à l’écran d’accueil du téléphone, celui-ci pouvant contenir des données cryptées ou non.
Saisie d’un pourvoi, la Chambre criminelle de la Cour de cassation casse l’arrêt d’appel et renvoie l’affaire devant la Cour d’appel de Douai. Celle-ci résiste, toutefois.
Elle estime, en effet, que la mise en œuvre d’un moyen de cryptologie suppose la transformation, à l’occasion de la communication entre plusieurs personnes, de données claires pour les rendre incompréhensibles ou de données codées pour les rendre claires.
Selon ce raisonnement, le code de déverrouillage d’un téléphone portable ne peut être considéré comme une clé de déchiffrement, dès lors qu’il n’intervient pas lors de la transmission d’un message et ne vise pas à rendre compréhensibles ou incompréhensibles des données. Il tend seulement à permettre d’accéder aux données et aux applications du téléphone, qui peuvent être ou non cryptées.
Un nouveau pourvoi ayant été formé, l’affaire est renvoyée devant l’Assemblée plénière de la Cour de cassation.
Celle-ci devait donc déterminer si le code de déverrouillage de l’écran d’accueil d’un téléphone constitue ou non une convention secrète de déchiffrement d’un moyen de cryptologie, au sens de l’article 434-15-2 du Code pénal.
Pour répondre à cette question, l’Assemblée plénière s’appuie sur l’article 29 de la loi n°2005-575 du 21 juin 2004 pour la confiance dans l’économie numérique. Selon ce texte, des moyens de cryptologie peuvent intervenir tant pour la transmission de données que pour assurer la confidentialité et la sécurité de leur stockage.
Elle en déduit qu’une convention de déchiffrement s’entend « de tout moyen logiciel ou de toute autre information permettant la mise au clair d’une donnée transformée par un moyen de cryptologie, que ce soit à l’occasion de son stockage ou de sa transmission ».
Ainsi, il suffit qu’un téléphone soit équipé d’un moyen de cryptologie (ce qui est le cas de la majorité des téléphones aujourd’hui) pour que le code de déverrouillage apparaisse comme une clé de déchiffrement.
En conséquence, pour caractériser le délit prévu à l’article 434-15-2 du Code pénal, les juges du fond doivent vérifier :
- que le téléphone est susceptible d’avoir été utilisé pour la commission d’un délit ou d’un crime ;
- qu’il est équipé d’un moyen de cryptologie ;
- qu’il comporte des données cryptées.
Si cette solution a fait l’objet de vives critiques (notamment en ce qu’elle confondrait clé de déchiffrement et moyen d’authentification), elle n’est toutefois guère étonnante.
Il faut, en effet, rappeler que le Conseil constitutionnel a été saisi, en 2018, d’une QPC portant sur la conformité à la Constitution de l’article 434-15-2 du Code pénal. Le requérant soutenait que cette disposition portait atteinte au droit au silence, au droit de ne pas contribuer à sa propre incrimination et au principe de présomption d’innocence.
Le Conseil constitutionnel a jugé la disposition conforme à la Constitution (CC, 30 mars 2018, n°2018-696 QPC). Il a, en effet, considéré que cette disposition poursuivait les objectifs à valeur constitutionnelle de prévention des infractions et de recherche des auteurs d’infraction.
En outre, il a estimé que ces dispositions n’ont pas pour objet d’obtenir des aveux et n’emportent pas une présomption de culpabilité. Elles permettent uniquement le déchiffrement de données cryptées déjà fixées sur un support indépendamment de la volonté de la personne suspectée.
De même, dans un arrêt précédent, la Chambre criminelle avait jugé, au visa notamment des articles 6 et 8 de la Conv. EDH, que le droit de ne pas s’incriminer soi-même ne s’étend pas aux données que l’on peut obtenir de la personne concernée en recourant à des pouvoirs coercitifs mais qui existent indépendamment de la volonté de l’intéressé.
Cette solution s’inscrit donc dans la droite ligne de décisions connexes et apparaît certainement souhaitable au regard de la nécessité d’identifier et de poursuivre les auteurs d’infractions.
Certes, comme l’ont relevé la CNIL et le Conseil des droits de l’homme des Nations Unies, l’utilisation du cryptage permet de favoriser la liberté d’expression, la liberté d’opinion et le respect de la vie privée, de sorte qu’elle doit être protégée.
Il reste qu’un téléphone peut aujourd’hui constituer un véritable « bureau virtuel », au-delà de sa vocation première de permettre une correspondance entre individus. Il n’est dès lors pas anormal que ce « bureau » puisse faire l’objet d’investigations, dès lors qu’il est susceptible d’avoir servi à préparer, faciliter ou commettre un crime ou un délit.
Retrouvez toutes nos actualités