GuiGui's Show

Ces trois dernières années, le cadre juridique a évolué, et beaucoup de choses ont circulé. Faisons le point.

Historique

• 1990 / 1991 : lois qui réglementent fortement l'utilisation de la cryptographie (crypto) dans les télécoms (loi 90-1170) et le secret des correspondances électroniques (loi 91-646) ;
  
  
• 2001 : dans la foulée des attentats, la loi sur la sécurité quotidienne (LSQ) crée le fameux délit de refus de communication d'une « convention de déchiffrement » dont une personne a la connaissance (434-15-2 du Codé pénal). Le même article de la même LSQ ajoute aussi l'article 11-1 à la loi 91-646 (secret des correspondances électroniques) qui s'applique aux prestataires crypto ;
  
  

• 2004 : la LCEN libéralise l'utilisation de la crypto (suppression des agréments prévus en 1990, entre autres). Néanmoins, il demeure des obligations déclaratives (comprenant la fourniture d'une description des caractéristiques et le code source des logiciels utilisés) en fonction du contexte et des caractéristiques (exemples : si chiffrement, si import/export hors UE, si telle ou telle caractéristique, etc.) prévues aux articles 29 et suivants de la LCEN et par le décret 2007-663 (vu sa formulation, bon courage pour identifier si telle ou telle techno tombe sous le coup de ce décret) ;

• 2016 :

  • Le délit créé en 2001 n'a pas été utilisé jusque-là (lire p.97, deux derniers paragraphes). C'est logique puisque les smartphones grand-public ont été pourvus de chiffrement vers 2013-2014. Vu la tournure de l'article de loi (« quiconque ayant connaissance »), le contexte historique ci-dessus, et les formules du rapporteur (« refus des opérateurs privés qui fournissent des moyens de cryptologie de collaborer avec la justice ») ce délit a été conçu pour contraindre les prestataires techniques, pas un mis en cause ;
    
    
  • La loi de réforme pénale de juin (j'avais bataillé contre) augmente les amendes prévues par le 434-15-2 CP.

• 2018 : lors d'une QPC, le Conseil constitutionnel juge qu'il n'y a pas d'atteinte au droit de ne pas s'auto-incriminer puisque les données chiffrées sont des traces indépendantes de la volonté de l'auteur d'une infraction (comme le sang, le sperme ou les empreintes d'une scène de crime). Il reprend une notion d'un arrêt de 1996 de la CEDH (référence : 19187/91). Sauf que celle-ci dégageait également un principe de proportionnalité et que l'affaire portait sur des documents papier en clair ;

  • Donc soit on suppose que la communication de la convention de déchiffrement n'est qu'une modalité pour contourner le chiffrement (et donc pourquoi punir un refus puisqu'il existe une autre manière de faire ?), soit on suppose que c'est bien la seule volonté humaine qui permet d'obtenir les données en clair, donc qu'elles n'en sont pas indépendantes et donc qu'elles sont englobées dans le droit à ne pas s'auto-incriminer ;
    
    
  • Le CC rappelle ce que dit la loi : il faut que l'enquête montre l'existence de données chiffrées susceptibles d'avoir été utilisées pour commettre un crime / délit.

• 2020 : dans son arrêt, la Cour de cassation juge que le code de déverrouillage peut constituer une convention de déchiffrement (si un chiffrement des données lui est associé, quoi). Il appartient à l'enquêteur de le déterminer et d'en informer le mis en cause (car la constitution du délit nécessite de savoir que son smartphone est chiffré). L'enquêteur doit aussi informer le mise en cause que son refus de communiquer sa convention de déchiffrement constitue un délit. Un OPJ peut demander ladite convention quand il agit dans le cadre d'une réquisition (60-1 CPP = réquisition de portée générale = enquête de flagrance ; 77-1-1 CPP : enquête préliminaire ; 99-3 CPP = commission rogatoire = information judiciaire). Habituellement, une réquisition oblige des tiers à collaborer à l'action de la justice, pas un mis en cause… ;

• 2021 :

  • En janvier, la Cour de cassation juge que la loi n'oblige pas la présence d'un avocat lors de l'exploitation du smartphone, qui est « assimilable à une perquisition ». La Cour ne le dit pas, mais la loi n'impose pas non plus la présence du mis en cause durant l'analyse de son smartphone ;
    
    
  • En mars, elle confirme son arrêt de 2020 : un code de déverrouillage peut être une convention ; l'enquêteur doit établir ce lien et en informer le prévenu ; un OPJ peut la requérir.

• 2022 :

  • En mars, la Cour de cassation rappelle : un code de déverrouillage peut être une convention ; l'enquête doit établir ce lien ; le prévenu doit être informé de ce lien ;
    
    
  • En novembre, elle re-juge, en plénière, l'affaire de 2020 car la Cour d'appel n'a pas suivi son arrêt. Elle étend sa définition d'une convention de déchiffrement : tout logiciel ou information permettant la mise en clair de données transformées par un moyen crypto, que ce soit à l'occasion de leur stockage ou de leur transmission (la notion de stockage / transmission est ajoutée, en gros). Elle confirme que l'enquête doit établir si le code de déverrouillage est une convention de déchiffrement en s'appuyant sur les caractéristiques techniques du smartphone.
• Pendant ce temps-là, aux États-Unis d'Amérique, les Cours suprêmes des États divergent.

En cours

• CJUE : C‑548/21. L'avocat général pense que c'est OK, peu importe la gravité de l'infraction, et qu'un contrôle au cas par cas est suffisant. Reste à voir ce que décidera la Cour ;
  
  
• CEDH : 23624/20. Sur le droit au silence et à ne pas contribuer à son incrimination.

Concrètement

• Le délit de refus de communication d'une convention de déchiffrement (434-15-2 Code pénal) est constitué quand tous les éléments suivants sont cumulés :

  • Pour pouvoir être demandé, le code de déverrouillage doit servir à déchiffrer des données (c'est le cas sur les iPhone récents, pas sur tous les modèles d'Android, pas forcément sur les systèmes ésotériques genre mon Lineage, pas sur les téléphones mobiles standard), l'enquêteur doit établir ce lien (en se basant sur les caractéristiques techniques du smartphone, par exemple), et il doit informer le prévenu de l'existence du code et du fait qu'il s'agit d'une convention de déchiffrement ;

    • Pour moi, la même logique s'applique au code de déverrouillage d'une appli : identification / autorisation ou chiffrement ?
  • L'enquêteur doit informer le prévenu que le refus de communiquer sa convention de déchiffrement est un délit ;
    
    
  • L'enquête doit établir l'existence de données chiffrées « susceptibles d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit », et le prévenu doit être informé de ce lien. Si ce qu'on te reproche à la base est un outrage à agent, y'a peu de chance que ton smartphone contienne quelque chose en rapport. Mais si c'est un fourre-tout genre groupement en vue de commettre un délit (souvent utilisé en manif, appartenance / militantisme d'ultragauche, etc.), tu perds en latitude sur ce point ;
    
    
  • Seul un OPJ peut demander, s'il est dans le cadre d'une réquisition (mouvement social = enquête en flagrance, donc réquisition 60-1 CPP). Tu peux toujours lui demander dans quel cadre il intervient, mais il très improbable qu'il réponde (la vérité). Le code doit être demandé "explicitement"… sans quoi il n'y a pas refus de le communiquer… ;
• En cas de refus de communication, rien n'empêche les flics d'exploiter le smartphone. Un simple branchement USB permet de choper photos, vidéos et autres via MTP/PTP (sur Android, ça se désactive dans les options pour développeur). Pour le reste, il y a les failles de sécurité. Ou le fait que la carte SD n'est pas chiffrée. Ou… les « kiosks » / kiosques de Cellebrite utilisés par les flics français (aussi nommés « Universal Forensic Extraction Device »), même si leur conception semble laisser à désirer. Comme d'hab en sécurité informatique, l'énergie qu'on passera sur ton smartphone dépendra de la gravité de l'infraction reprochée, je dirais ;
  
  
• De même, les flics ou le tribunal (par la suite) pourront saisir ton smartphone (bon courage pour le récupérer), même si tu n'es pas poursuivi pour l'infraction initiale (celle qui a permis à un flic de te demander ton code). Y compris si l'issue est un classement pénal sous conditions ou un avertissement pénal probatoire (anciennement : rappel à la loi) ;
  
  
• Je rejoins les conseils de la « legal team Paris » : ne pas apporter son smartphone à un mouv' social. Si le mal est fait : ne pas donner le code de déverrouillage et conserver le silence (sauf pour demander un avocat), ce qui implique aussi de ne pas reconnaître les faits (ce qui évite les aberrations comme se manger un avertissement pénal pour refus de filer son code alors qu'on n'avait pas son smartphone sur soi au moment des faits). Eolas nous a longuement appris qu'une garde à vue est très souvent basée sur du vent : le dossier est vide, les flics veulent le remplir, que ce soit avec des aveux, des données issues d'un smartphone ou autre chose. Tout aveu est trop souvent définitif, même si la garde à vue est ensuite annulée par un juge alors que, de l'autre côté, il sera toujours temps de contester, à tête reposée, avec des arguments et devant les personnes plus neutres que des flics (même si c'est souvent de peu), un délit de refus de filer sa convention de déchiffrement.

Sources (ordre chronologique inversé) :

• Code pin s'il vous plaît (mai 2023) ;
  
  
• En GAV, t’es fiché·e ! – La Quadrature du Net (avril 2023) ;
  
  
• Téléphone portable : faut-il donner son code de déverrouillage aux enquêteurs ? - Actu-Juridique (novembre 2022) ;
  
  
• Du nouveau sur l'obligation de donner son code de téléphone en garde-à-vue : comment éviter le traquenard - Paris-luttes.info (mai 2021).
  
  
• Tweets d'Eolas de juin 2025 : « ‒ Eeeeeet encore non pas une, non pas deux, mais trois relaxes pour refus de donner le code de déverrouillage. Avec restitution des scellés ; ‒ Sur la base du jugement de la CJUE du 4 octobre 2024 ? ; ‒ Même pas besoin. L'arrêt du 7 nov. 2022 me suffit ; ‒ OK. Le cumul des quatre conditions n’était donc pas rempli… »