[Jurisprudence] Clair-obscur sur la convention secrète de déchiffrement des téléphones portables

Mots-clés : entrave à la justice • omission • convention de déchiffrement • téléphone • code de déverrouillage

La Cour de cassation maintient que le code de déverrouillage d'un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d'un moyen de cryptologie. Cassant l’arrêt en sens contraire attaqué, elle exige en conséquence de la cour de renvoi qu’elle vérifie si le téléphone au sujet duquel un prévenu a refusé de communiquer son code de déverrouillage était ou non équipé d’un moyen de cryptologie.

1. Solution. Réunie en assemblée plénière, la Cour de cassation a jugé, le 7 novembre 2022, que « le code de déverrouillage d'un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d'un moyen de cryptologie ». Elle a reproché en conséquence à une cour d’appel d’avoir relaxé un individu poursuivi pour non-transmission du code de déverrouillage de son téléphone sans avoir au préalable vérifié si le téléphone en cause était équipé d'un moyen de cryptologie et si ledit code de déverrouillage permettait de mettre au clair tout ou partie des données cryptées que le téléphone contenait ou auxquelles il donnait accès.

2. Hors sujet. En premier lieu, on conviendra d’une certaine frustration alors que l’affaire en cause posait une question de principe sur laquelle la Haute juridiction ne revient pas. Il s’agit de déterminer si l’obligation faite à un suspect de remettre aux autorités judiciaires la convention secrète de déchiffrement d'un moyen de cryptologie dont il a connaissance (alors que ce moyen de cryptologie est susceptible d'avoir été utilisé par lui pour préparer, faciliter ou commettre un crime ou un délit) est ou non conforme au droit de ne pas s’auto-incriminer tel qu’il découle du respect dû à la présomption d’innocence. Pour la Cour de cassation, cette question est tranchée [1]. En effet, la Cour européenne considère que le droit de ne pas s’auto-incriminer « ne s’étend pas à l’usage, dans une procédure pénale, de données que l’on peut obtenir de l’accusé en recourant à des pouvoirs coercitifs mais qui existent indépendamment de la volonté du suspect » [2]. Notre Haute juridiction ne cherche pas à se montrer plus protectrice. Toutefois, l’arrêt sur lequel elle s’appuie est ancien et peu convaincant [3]. À notre sens, l’interprétation même de cet arrêt peut être discutée car il suppose que l’autorité publique recherche la preuve et non contraigne autrui à l’apporter [4]. Mais tel n’est pas le problème soulevé par le pourvoi en l’espèce. Avec prudence, le procureur général près la cour de Douai s’est tenu éloigné de toute question de principe pour ne reprocher à l’arrêt attaqué qu’une motivation insuffisante, ce dont convient la Cour de cassation dans sa formation la plus solennelle.

3. Faits et procédure. En second lieu, il convient d’expliquer le recours à cette procédure quelque peu exceptionnelle. En l’occurrence, à l’origine de toute l’affaire, se trouve le refus d’un individu placé en garde à vue, à l’occasion d'une enquête ouverte pour infractions à la législation sur les stupéfiants, de communiquer aux enquêteurs les mots de passe de deux smartphones découverts en sa possession lors de son interpellation. Cet individu a été poursuivi pour détention et offre ou cession de produits stupéfiants ainsi que pour l’infraction de l’article 434-15-2 N° Lexbase : L4889K8L classée dans le Code pénal parmi les entraves à l’exercice de la justice. Le premier juge l’a condamné pour trafic de stupéfiants mais relaxé pour ce refus de remettre la convention secrète d'un moyen de cryptologie qu’il aurait utilisé pour participer audit trafic. Sur appel du procureur de la République, la cour de Douai a confirmé cette relaxe. Elle a estimé qu'un téléphone portable ne peut être considéré comme un moyen de cryptologie et que le code permettant de déverrouiller l'écran d'accueil d'un téléphone, qu'il s'agisse d'un code chiffré ou d'un ensemble de points à relier dans un sens prédéfini par l'utilisateur, ne peut être qualifié de convention secrète de déchiffrement. En effet, elle a observé « qu'un tel code de déverrouillage de l'écran ne sert pas à décrypter les données contenues dans le téléphone, mais seulement à débloquer l'usage de l'écran, pour accéder aux données contenues dans le téléphone », ce que son procureur général a contesté à l’occasion d’un premier pourvoi. La Chambre criminelle s’est ainsi déjà prononcée dans cette affaire. Après avoir rappelé les textes applicables, elle a jugé que « le code de déverrouillage d'un téléphone mobile peut constituer une clé de déchiffrement, si ce téléphone est équipé d'un moyen de cryptologie » [5]. En conséquence, elle a censuré le premier arrêt attaqué.

L’affaire ayant été renvoyée devant la même cour d’appel autrement composée, celle-ci a refusé de s’incliner. Par arrêt du 20 avril 2021, la cour de Douai a confirmé de plus belle la décision de relaxe au motif « que la clé de déverrouillage de l'écran d'accueil d'un smartphone n'est pas une convention secrète de déchiffrement, car elle n'intervient pas à l'occasion de l'émission d'un message et ne vise pas à rendre incompréhensibles ou compréhensibles des données mais tend seulement à permettre d'accéder aux données et aux applications d'un téléphone, lesquelles peuvent être ou non cryptées ». Un nouveau pourvoi ayant été formé par le procureur général contre cette décision, reprochant à la cour de ne pas avoir tiré les conséquences qui s’imposaient de l’arrêt précédent, la Chambre criminelle a estimé que sa doctrine était en cause et qu’il appartenait dès lors à la Cour de cassation de statuer toutes chambres confondues.

À l’occasion de l’arrêt commenté du 7 novembre 2022, elle réitère sa position. Sans plus faire référence aux articles L. 871-1 N° Lexbase : L4997KKB et R. 871-3 N° Lexbase : L3940KYL du Code de la sécurité intérieure qu’elle avait cumulativement invoqués dans sa précédente décision, elle censure le nouvel arrêt attaqué au visa de l’article 434-15-2 du Code pénal et de l’article 29 de la loi n° 2004-575, du 21 juin 2004, pour la confiance dans l'économie numérique (LCEN) N° Lexbase : C15764ZE. Elle réaffirme qu'« une convention de déchiffrement s'entend de tout moyen logiciel ou de toute autre information permettant la mise au clair d'une donnée transformée par un moyen de cryptologie, que ce soit à l'occasion de son stockage ou de sa transmission », ce qui lui permet d’asseoir la solution selon laquelle le code de déverrouillage d'un téléphone mobile peut constituer une clé de déchiffrement (dès lors que ce téléphone est effectivement équipé d'un moyen de cryptologie). En conséquence, les parties sont renvoyées devant la cour de Paris. On ignore ce qui a justifié ce choix. Mais on précisera tout de même que cette cour a initialement jugé, dans une autre affaire, elle-aussi, que le code de déverrouillage d’un téléphone n’est pas une convention secrète de déchiffrement [6]. Son arrêt retiendra donc, à son tour, l’attention…

4. Mais que penser ici du nouvel arrêt rendu par la Cour de cassation ? On pourrait se contenter de renvoyer à notre précédent commentaire dès lors que la réponse apportée par cette Haute juridiction est identique à celle formulée lors du précédent pourvoi. Néanmoins, quelques observations supplémentaires méritent d’être formulées. Elles reviennent à se demander ce qu’est une convention de déchiffrement (I) et si le problème se posait vraiment dans ces termes en l’espèce (II).

I. Qu’est-ce qu’une convention de déchiffrement ?

5. Caractère secret. Au cœur du délit de l’article 434-15-2 du Code pénal apparaît la notion de « convention de déchiffrement ». Ce texte évoque plus particulièrement une convention « secrète » de déchiffrement, un tel caractère renvoyant essentiellement à la fonction que ladite convention remplit. Pour que le chiffrement de données permette de les faire échapper au regard de personnes non autorisées à en prendre connaissance, cette convention doit être réservée aux initiés ; inversement, pour permettre l’accès à ces données, la convention de (dé)chiffrement doit être révélée. C’est même une obligation, pour celui qui la connaît, dès lors qu’un moyen de cryptologie est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. Quiconque pouvant le faire s’abstient d’une telle communication aux autorités judiciaires s’expose désormais à trois ans d’emprisonnement et 270 000 euros d’amende.

6. Tâtonnements. Qu’est-ce donc qu’une convention de chiffrement (ou déchiffrement) ? Aucune disposition légale ne l’indique clairement. L’article 434-15-2 précité ne définit pas les termes qu’il emploie. Par ailleurs, l’article 29, alinéa 1^er, de la LCEN, dont il semble pouvoir être rapproché, évoque lui aussi cette notion sans la préciser. Sa première phrase dispose : « on entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète ». Autant dire qu’aucun des deux textes visés ici par la Cour de cassation ne précise la convention de déchiffrement dont la non-remise constitue un délit. La solution peut surprendre au regard du principe de légalité. Mais la surprise est d’autant plus grande qu’ici la Haute juridiction se dispense de viser un autre texte qui contient, lui, une définition. En effet, l’article R. 871-3 du Code de la sécurité intérieure dispose que « les conventions mentionnées à l'article L. 871-1 s'entendent des clés cryptographiques ainsi que de tout moyen logiciel ou de toute autre information permettant la mise au clair de ces données ». Il faut comprendre que les conventions de déchiffrement, au sens de l’article L. 871-1 précité, peuvent correspondre non seulement à des clés cryptographiques mais aussi à toute information permettant la mise au clair de données. Si la référence à l’article L. 871-1 du Code de la sécurité intérieure relatif aux seules réquisitions des agents du renseignement n’aurait pas été pertinente en l’espèce, la référence à son texte d’application aurait pu être utile (l’objet de ces réquisitions ne variant pas suivant qu’elles relèvent de la police administrative ou de la police judiciaire). Il est surprenant qu’une telle référence ait disparu à l’occasion de ce second pourvoi alors que ce texte était expressément visé à l’appui de la première cassation. De toute évidence, la Cour de cassation a voulu être libre de définir la convention de (dé)chiffrement au sens de l’article 432-15-2 comme elle l’entend. Toutefois, la conception qu’elle s’en fait appelle des réserves.

7. Distinctions. En effet, l’élément qui disparaît dans la définition jurisprudentielle pose problème. La Cour de cassation réduit la convention de (dé)chiffrement à un moyen logiciel ou à toute autre information permettant la mise au clair de données transformées par un moyen de cryptologie. Au contraire, on l’a vu, l’article R. 871-3, du Code de la sécurité intérieur distingue en soulignant que la convention de chiffrement peut être entendue aussi bien d’une clé cryptographique (lorsqu’un moyen de cryptologie a été utilisé), que d’un moyen logiciel ou d’une information quelconque (faute d’utilisation d’un moyen de cryptologie) permettant la mise au clair de données. Cette définition s’avère plus large. Il en résulte qu’il peut y avoir convention de (dé)chiffrement non seulement lorsqu’il y a utilisation d’un moyen de cryptologie (la convention correspondant alors à la clé cryptographique) mais aussi en l’absence d’un tel moyen dès lors qu’un code (traité ou non informatiquement) empêche ou permet de prendre connaissance de données. Transposée à l’univers du téléphone, cette définition réglementaire signifie qu’un code de déverrouillage constitue nécessairement une convention (secrète) de déchiffrement. Peu importe que le déverrouillage soit effectué par un moyen de cryptologie ou par un logiciel : tant que le téléphone est verrouillé, les données qu’il contient ne sont pas visibles ; elles le deviennent lorsqu’il est déverrouillé. Il y a donc bien chiffrement au sens de l’article R. 871-3. Mais cela ne signifie pas pour autant que tout code de déverrouillage doit être communiqué à l’autorité judiciaire sur réquisition de celle-ci sous peine de sanctions pénales. En effet, l’article 434-15-2 ne commande, sous la menace de sanctions pénales, que la transmission de la convention de déchiffrement d’un moyen de cryptologie dont ce téléphone serait équipé. Ce qui renvoie bien davantage à la clé cryptographique dont parle l’article R. 871-3 précité qu’au mot de passe [7].

Il s’ensuit que l’affirmation de la Cour de cassation selon laquelle un code de déverrouillage « peut » constituer une clé de déchiffrement si un téléphone est équipé d’un moyen de cryptologie s’avère inexacte. Certes, tout code de déverrouillage est bien une clé (convention) de déchiffrement mais il n’est pas nécessairement la clé de déchiffrement d’un moyen de cryptologie. Pour qu’un code de déverrouillage soit la clé de déchiffrement d’un moyen de cryptologique, il faut qu’il soit plus qu’un simple mot de passe (une « information » permettant la mise au clair de données). Il faut qu’il soit associé à une clé cryptographique. Ce qui – semble-t-il – est de plus en plus souvent le cas. Mais cela n’autorise pas la Cour de cassation en l’espèce à juger qu’un code de déverrouillage est nécessairement une clé de déchiffrement lorsqu’un téléphone est équipé d’un moyen de cryptologie. La fonction première d’un code de déverrouillage n’est pas de crypter des données mais d’empêcher l’accès aux fonctionnalités d’un téléphone (et, indirectement, aux données qu’il contient). Tout code de déverrouillage n’est pas ainsi nécessairement associé à une clé cryptographique alors même que le téléphone est équipé d’un moyen de cryptologie. Le lien fait par l’arrêt entre ces deux questions nous semble abusif. En effet, on peut tout à fait concevoir qu’un code de déverrouillage existe, permettant d’utiliser le téléphone, et qu’une clé cryptographique distincte soit supplémentairement proposée à l’utilisateur de ce téléphone pour protéger les données transmises ou stockées. Dès lors, la formule utilisée par la Cour selon laquelle « le code de déverrouillage d'un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d'un moyen de cryptologie » semble bien discutable car elle repose sur une éclipse qui - lorsqu’on en prend conscience - rend la formule tautologique : ce n’est pas tout code de déverrouillage d’un téléphone mobile qui « peut » constituer une clé de déchiffrement mais seulement les codes de déverrouillage auxquels sont associées des clés cryptographiques… lorsque ledit téléphone est équipé d’un moyen de cryptologie ! Était-il bien utile de se réunir en assemblée plénière pour dire qu’une clé cryptographique suppose l’emploi d’un moyen de cryptologie ?

Si on part du principe que le code de verrouillage et la clé cryptographique sont nécessairement associés lorsqu’un téléphone est équipé d’un moyen de cryptographie, on peut comme la Cour de cassation considérer que la communication de ce code s’impose. Mais c’est postuler un lien qui ne s’impose pas nécessairement. En cela, l’analyse de la cour de Douai était sans doute bien plus exacte, elle qui soulignait que l’on ne pouvait reprocher au prévenu de ne pas avoir transmis son code de verrouillage alors que c’était sa clé cryptographique qui aurait dû lui être demandée.

8. Transition. Au bénéfice de cette observation, il convient de se demander maintenant si, dans cette affaire, le problème n’a pas été mal posé dès l’origine.

II. De quoi est-il question ici ?

9. Rappels. À la lettre, l’article 434-15-2 du Code pénal n’incrimine pas la non-transmission de tout code de déverrouillage des téléphones portables, fort heureusement ! Il n’incrimine que la non-transmission de la clé (secrète) de déchiffrement permettant de mettre au clair les données stockées ou transmises par un téléphone portable lorsque l’utilisateur de celui-ci a activé le moyen de cryptologie dont il est équipé. Ce qui n’est pas du tout la même chose. Pire : pour qu’une sanction pénale soit encourue à ce titre, l’autorité de poursuite doit être en mesure d’établir que ce moyen de cryptologie est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. On en est loin ici. Au regard des termes de l’article 434-15-2 précité, les juges du fond ont eu raison de considérer que le seul refus par le prévenu de remettre le code de déverrouillage de ses téléphones ne constituait pas un délit.

10. Interrogation. Au cas particulier, ce qui surprend, c’est l’attitude de l’autorité de poursuites qui s’acharne à prétendre le contraire. La guérilla judiciaire qu’elle mène en l’espèce poursuit néanmoins un objectif bien particulier : il s’agit de permettre à la police judiciaire d’aller vérifier le plus simplement du monde le contenu de tous les téléphones portables sans avoir besoin de procéder à une expertise technique parfois longue et toujours couteuse pour craquer le code de déverrouillage (indépendamment de tout cryptage des données). Mais c’est tout de même forcer un peu trop violemment les termes de la loi que d’estimer que tout refus de communiquer un code équivaut à cacher une clé cryptographique. L’efficacité de la répression ne saurait justifier une telle interprétation de l’article 434-15-2. Il en va spécialement ainsi en l’espèce où l’autorité de poursuite prétend poursuivre un refus de transmission sans même avoir établi que les téléphones litigieux étaient dotés d’un moyen de cryptologie. C’est pourtant une condition préalable à l’établissement du délit. Celui-ci ne se conçoit que si un tel moyen a été utilisé afin de préparer, faciliter ou commettre un crime ou un délit (ce qui est encore moins établi à ce stade). Cette preuve incombe au ministère public : le refus de communiquer la clé de déchiffrement ne peut être sanctionné si un tel moyen n’a pas été employé. Or, cette preuve liminaire fait défaut en l’espèce (c’est précisément ce que la Cour de cassation demande à la cour de renvoi de vérifier).

On aurait pu, éventuellement, comprendre le raisonnement consistant à dire qu’un refus de communiquer un code de déverrouillage équivaudrait à un refus de communiquer une clé cryptographique si, au moins, la preuve de l’équipement d’un moyen de cryptologie sur les téléphones avait été établie en l’espèce. La présomption aurait pu reposer alors sur des faits la rendant vraisemblable. Mais cette preuve minimale n’étant pas rapportée ici, l’association des deux s’avère nécessairement excessive. On peut sérieusement se demander si le débat engagé devant la Cour de cassation sur la définition de la « convention de chiffrement » n’est pas un débat purement théorique, les faits constatés ne permettant pas – en l’état – d’établir l’infraction reprochée.

11. Objection. Et c’est en vain que le ministère public pourrait nous opposer que, en l’absence de transmission du code de déverrouillage, il est précisément impossible de vérifier si le téléphone est équipé d’un moyen de cryptologie et si, en l’espèce, une clé cryptographique a précisément été utilisée pour masquer les données transmises ou stockées, afin de préparer, faciliter ou commettre un crime ou un délit. Ce que l’on veut bien admettre. Mais un tel raisonnement pêche à sa base.

En effet, la Cour de cassation semble considérer qu’un moyen de cryptologie est désormais installé en série sur tous les téléphones portables (ce qui lui permet de considérer, on l’a vu, que – nécessairement – le code de déverrouillage est associé à une clé cryptographique dès lors qu’un téléphone est équipé d’un moyen de cryptologie) [8]. C’est aussi le raisonnement implicitement tenu par le procureur général qui indique dans le moyen développé à l’appui de son pourvoi (détail autrement inutile) que les portables en question sont des iPhone 4. Or, si tel est le cas, il n’est pas nécessaire d’avoir accès aux téléphones eux-mêmes pour déterminer si une clé cryptographique est nécessairement associée à leur code de déverrouillage. Il suffit de se référer aux caractéristiques techniques de ces téléphones telles qu’elles sont publiées par leur constructeur. En d’autres termes, il incombe encore et toujours à l’autorité de poursuites (c’est son rôle !) d’établir que tous les téléphones de la catégorie des téléphones litigieux associent nécessairement au code de déverrouillage une clé cryptographique qui permet de masquer, ou mettre au clair, les données que ce type de téléphones transmet ou stocke. C’est le préalable à toute démonstration de l’infraction qu’il importera à l’autorité de poursuite d’effectuer devant la nouvelle cour de renvoi faute de l’avoir fait jusque-là [9].

Il conviendra ensuite au ministère public d’établir que cette catégorie de téléphones a été spécialement choisie à raison d’une telle spécificité pour préparer, faciliter ou commettre un crime ou un délit car, encore une fois, le simple refus de communiquer le code de déverrouillage d’un téléphone, même équipé d’un moyen de cryptologie, ne saurait être puni sur le fondement de l’article 434-15-2. Or, même en rappelant qu’il n’est pas nécessaire que le moyen de cryptologie ait été effectivement utilisé pour commettre une infraction, dès lors qu’il doit seulement avoir été susceptible de l’être, une telle preuve paraît impossible à rapporter. Ce qui est de nature à calmer nos inquiétudes. Le refus de transmettre ce code devrait pouvoir intervenir sans trop de risque pénal compte tenu de la difficulté à établir que le moyen de cryptologie dont seraient automatiquement équipés les nouveaux téléphones (tous les utilisateurs en ont-ils conscience ?) a précisément été choisi pour commettre une infraction.

12. Conclusion. Beaucoup de bruit pour rien ? Peut-être si les termes de la loi sont respectés, peu importe que ces termes, en l’espèce, la réduisent à l’impuissance.

© Reproduction interdite, sauf autorisation écrite préalable