Ces trois dernières années, le cadre juridique a évolué, et beaucoup de choses ont circulé. Faisons le point.
Historique
- 1990 / 1991 : lois qui réglementent fortement l'utilisation de la cryptographie (crypto) dans les télécoms (loi 90-1170) et le secret des correspondances électroniques (loi 91-646) ;
- 2001 : dans la foulée des attentats, la loi sur la sécurité quotidienne (LSQ) crée le fameux délit de refus de communication d'une « convention de déchiffrement » dont une personne a la connaissance (434-15-2 du Codé pénal). Le même article de la même LSQ ajoute aussi l'article 11-1 à la loi 91-646 (secret des correspondances électroniques) qui s'applique aux prestataires crypto ;
-
2004 : la LCEN libéralise l'utilisation de la crypto (suppression des agréments prévus en 1990, entre autres) ;
-
2016 :
- Le délit créé en 2001 n'a pas été utilisé jusque-là (lire p.97, deux derniers paragraphes). C'est logique puisque les smartphones grand-public ont été pourvus de chiffrement vers 2013-2014. Vu la tournure de l'article de loi (« quiconque ayant connaissance »), le contexte historique ci-dessus, et les formules du rapporteur (« refus des opérateurs privés qui fournissent des moyens de cryptologie de collaborer avec la justice » ce délit a été conçu pour contraindre les prestataires techniques, pas un mis en cause ;
- La loi de réforme pénale de juin (j'avais bataillé contre) augmente les amendes prévues par le 434-15-2 CP.
-
2018 : lors d'une QPC, le Conseil constitutionnel juge qu'il n'y a pas d'atteinte au droit de ne pas s'auto-incriminer puisque les données chiffrées sont des traces indépendantes de la volonté de l'auteur d'une infraction (comme le sang, le sperme ou les empreintes d'une scène de crime). Il reprend une notion d'un arrêt de 1996 de la CEDH (référence : 19187/91). Sauf que celle-ci dégageait également un principe de proportionnalité et que l'affaire portait sur des documents papier en clair ;
- Donc soit on suppose que la communication de la convention de déchiffrement n'est qu'une modalité pour contourner le chiffrement (et donc pourquoi punir un refus puisqu'il existe une autre manière de faire ?), soit on suppose que c'est bien la seule volonté humaine qui permet d'obtenir les données en clair, donc qu'elles n'en sont pas indépendantes et donc qu'elles sont englobées dans le droit à ne pas s'auto-incriminer ;
- Le CC rappelle ce que dit la loi : il faut que l'enquête montre existence de données chiffrées susceptibles d'avoir été utilisés pour un crime / délit.
-
2020 : dans son arrêt, la Cour de cassation juge que le code de déverrouillage peut constituer une convention de déchiffrement (si un chiffrement des données lui est associé, quoi). Il appartient à l'enquêteur de le déterminer et d'en informer le mis en cause (car la constitution du délit nécessite de savoir que son smartphone est chiffré). L'enquêteur doit aussi informer le mise en cause que son refus de communiquer sa convention de déchiffrement constitue un délit. Un OPJ peut demander ladite convention quand il agit dans le cadre d'une réquisition (60-1 CPP = réquisition de portée générale = enquête de flagrance ; 77-1-1 CPP : enquête préliminaire ; 99-3 CPP = commission rogatoire = information judiciaire). Normalement, une réquisition oblige des tiers à collaborer à l'action de la justice, pas le mis en cause… ;
-
2021 :
- En janvier, la Cour de cassation juge que la loi n'oblige pas la présence d'un avocat lors de l'exploitation du smartphone, qui est « assimilable à une perquisition ». La Cour ne le dit pas, mais la loi n'impose pas non plus la présence du mis en cause durant l'analyse de son smartphone ;
- En mars, elle confirme son arrêt de 2020 : un code de déverrouillage peut être une convention ; l'enquêteur doit établir ce lien et en informer le prévenu ; un OPJ peut la requérir ;
- 2022 :
- En mars, la Cour de cassation rappelle : un code de déverrouillage peut être une convention ; l'enquête doit établir ce lien ; le prévenu doit être informé de ce lien ;
- En novembre, elle re-juge, en plénière, l'affaire de 2020 car la Cour d'appel n'a pas suivi son arrêt. Elle étend sa définition d'une convention de déchiffrement : tout logiciel ou information permettant la mise en clair de données transformées par un moyen crypto, que ce soit à l'occasion de leur stockage ou de leur transmission (la notion de stockage / transmission est ajoutée). Elle confirme que l'enquête doit établir si le code de déverrouillage est une convention de déchiffrement en s'appuyant sur les caractéristiques techniques du smartphone.
En cours
- CJUE : C‑548/21. L'avocat général pense que c'est OK, peu importe la gravité de l'infraction, et qu'un contrôle au cas par cas est suffisant. Reste à voir ce que décidera la Cour ;
- CEDH : 23624/20. Sur le droit au silence et à ne pas contribuer à son incrimination.
Concrètement
Sources (ordre chronologique inversé) :