La Cour de cassation a souligné que le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit. Elle a aussi lié ce code à la convention secrète de déchiffrement, notion essentielle pour chiffrer les smartphones Android et des iPhone.

Refuser de transmettre à un enquêteur le code de déverrouillage d’un smartphone peut constituer un délit en France. C’est à cette conclusion qu’est parvenue la Cour de cassation, dans une décision rendue le 7 novembre 2022 en assemblée plénière — la formation la plus solennelle, avec dix-neuf magistrats. La nouvelle décision de la Cour s’impose aux autres juridictions judiciaires.

En France, la loi prévoit une peine de prison de trois ans et 270 000 euros d’amende pour quiconque refusant de remettre aux autorités judiciaires la « convention secrète de déchiffrement d’un moyen de cryptologie », lorsque ce moyen de cryptologie a été impliqué dans un délit ou un crime. Ces peines sont alourdies si la remise de la convention aurait pu empêcher ce délit ou ce crime.

Cette disposition dans le Code pénal, qui existe depuis 2016, provient de la loi visant à renforcer « la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale ». Elle a posé l’enjeu du droit au silence face à cette obligation de parler. Le Conseil constitutionnel a validé la conformité de cette mesure en 2018.

Un moyen de cryptologie est, selon la loi, « tout matériel ou logiciel conçu ou modifié pour transformer des données, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète ». Il sert à « garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. »

Du chiffrement généralisé dans Android et iOS

Aujourd’hui, les smartphones proposent de base un moyen de cryptologie — il assure le chiffrement de l’appareil, pour le rendre illisible sans la clé. C’est le cas d’Android et d’iOS. Ici, le mot de passe utilisé pour déverrouiller le contenu d’un smartphone protégé par ce moyen de cryptologie fait office, justement, de « convention secrète de déchiffrement ».

Source : Apple
Les téléphones les plus récents disposent désormais d’outils pour sécuriser leur contenu. // Source : Apple

« Pratiquement tous les appareils Android sur le marché sont désormais dotés d’un système de chiffrement activé par défaut », rappelait en octobre Android Authority. Et, la solution pour déverrouiller le téléphone (code PIN, mot de passe, schéma, etc) sert juste de clé de déchiffrement. C’est la même logique chez Apple et ses produits — en particulier l’iPhone et l’iPad.

Cette spécificité dans le fonctionnement d’Android et d’iOS — et cela depuis plusieurs générations de ces deux systèmes d’exploitation — fait entrer le code de déverrouillage d’un écran de téléphone dans la catégorie de la convention secrète de déchiffrement. Dès lors, il faut la communiquer en garde à vue, lorsque le téléphone est impliqué dans un crime ou un délit.

Des critères précis pour obtenir le code

L’individu en garde à vue peut certes ne pas le faire, mais dans ce cas, il s’expose à l’article du Code pénal mentionné précédemment. Cependant, cela ne signifie pas que ce scénario surviendra désormais dès qu’une enquête aura lieu. C’est le rappel de la Cour de cassation et de l’officier de gendarmerie Matthieu Audibert, spécialiste en droit privé et sciences criminelles.

Plusieurs critères doivent être satisfaits : le téléphone doit être équipé d’un moyen de cryptologie (c’est le cas de la plupart des téléphones). Il faut également montrer que le téléphone a servi pour préparer ou commettre un crime ou un délit. Enfin, il faut prévenir le propriétaire de ces deux spécificités et de plus lui expliquer que ne rien dire constitue une infraction.

Ce n’est pas la première fois que la Cour de cassation considère que le refus de transmettre le code de déverrouillage constitue bien une infraction, dans le cadre prévu par la loi. La chambre criminelle a déjà statué ainsi en octobre 2020. Le lien entre code de déverrouillage et convention secrète de déchiffrement d’un moyen de cryptologie restait à établir.

L’affaire concerne une personne arrêtée pour possession de stupéfiants et dont les deux téléphones sont susceptibles d’avoir été utilisés dans le cadre d’un trafic. Elle repart devant une cour d’appel, après deux premiers passages qui ont été cassés par la Cour de cassation. La cour d’appel devra rejuger, mais en tenant compte cette fois de la décision de novembre 2022.

La CEDH pourrait être d’accord

Pour autant, tout n’est pas encore terminé : un éventuel rebond reste possible auprès de la Cour européenne des droits de l’homme. Si le Conseil constitutionnel et la Cour de cassation considèrent que l’obligation de divulguer son code ne remet pas cause le droit à garder le silence, la juridiction européenne pourrait toujours créer la surprise. Une procédure est en cours.

european-court-of-human-rights-cedh
Une décision de la CEDH est attendue. // Source : Barnyz

Les juristes tablent toutefois sur une Cour européenne des droits de l’homme qui irait dans le sens des juridictions françaises. C’est le cas de Matthieu Audibert. On retrouve une lecture identique chez Orphée Haddad, avocat au barreau de Paris, dans un article sur Dalloz. Dans les deux cas, ils s’appuient sur une jurisprudence de 1996.

« Le droit de ne pas s’incriminer soi-même concerne en premier lieu le respect de la détermination d’un accusé de garder le silence […]. Il ne s’étend pas à l’usage, dans une procédure pénale, de données que l’on peut obtenir de l’accusé en recourant à des pouvoirs coercitifs, mais qui existent indépendamment de la volonté du suspect. »

Consultez notre comparateur des gestionnaires de mots de passe dans notre section sur la sécurité numérique.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !