Ces trois dernières années, le cadre juridique a évolué, et beaucoup de choses ont circulé. Faisons le point.
2004 : la LCEN libéralise l'utilisation de la crypto (suppression des agréments prévus en 1990, entre autres). Néanmoins, il demeure des obligations déclaratives (comprenant la fourniture d'une description des caractéristiques et le code source des logiciels utilisés) en fonction du contexte et des caractéristiques (exemples : si chiffrement, si import/export hors UE, si telle ou telle caractéristique, etc.) prévues aux articles 29 et suivants de la LCEN et par le décret 2007-663 (vu sa formulation, bon courage pour identifier si telle ou telle techno tombe sous le coup de ce décret) ;
2016 :
2018 : lors d'une QPC, le Conseil constitutionnel juge qu'il n'y a pas d'atteinte au droit de ne pas s'auto-incriminer puisque les données chiffrées sont des traces indépendantes de la volonté de l'auteur d'une infraction (comme le sang, le sperme ou les empreintes d'une scène de crime). Il reprend une notion d'un arrêt de 1996 de la CEDH (référence : 19187/91). Sauf que celle-ci dégageait également un principe de proportionnalité et que l'affaire portait sur des documents papier en clair ;
2020 : dans son arrêt, la Cour de cassation juge que le code de déverrouillage peut constituer une convention de déchiffrement (si un chiffrement des données lui est associé, quoi). Il appartient à l'enquêteur de le déterminer et d'en informer le mis en cause (car la constitution du délit nécessite de savoir que son smartphone est chiffré). L'enquêteur doit aussi informer le mise en cause que son refus de communiquer sa convention de déchiffrement constitue un délit. Un OPJ peut demander ladite convention quand il agit dans le cadre d'une réquisition (60-1 CPP = réquisition de portée générale = enquête de flagrance ; 77-1-1 CPP : enquête préliminaire ; 99-3 CPP = commission rogatoire = information judiciaire). Habituellement, une réquisition oblige des tiers à collaborer à l'action de la justice, pas un mis en cause… ;
2021 :
2022 :
Le délit de refus de communication d'une convention de déchiffrement (434-15-2 Code pénal) est constitué quand tous les éléments suivants sont cumulés :
Pour pouvoir être demandé, le code de déverrouillage doit servir à déchiffrer des données (c'est le cas sur les iPhone récents, pas sur tous les modèles d'Android, pas forcément sur les systèmes ésotériques genre mon Lineage, pas sur les téléphones mobiles standard), l'enquêteur doit établir ce lien (en se basant sur les caractéristiques techniques du smartphone, par exemple), et il doit informer le prévenu de l'existence du code et du fait qu'il s'agit d'une convention de déchiffrement ;
Sources (ordre chronologique inversé) :