Un suspect doit-il remettre sa clé de chiffrement même si cela peut contribuer à sa propre incrimination?

Dans une question prioritaire de constitutionnalité (QPC) n°2017-696 rendue le 30 mars 2018(1), le conseil constitutionnel a dû se prononcer au sujet de l’article 434-15-2 du Code pénal qui contraint une personne suspectée à remettre aux enquêteurs la clé secrète de déchiffrement de tout moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. Cet article sanctionne ces faits de cinq ans d’emprisonnement et de 450 000 euros d’amende, le montant ayant été multiplié par six via une loi portant sur la réforme pénale de 2016(2).

La Cour de cassation avait renvoyé la QPC au Conseil constitutionnel se demandant si cela portait atteinte au droit de garder le silence ainsi qu’au droit à ne pas contribuer à sa propre incrimination(3).

Qu’est-ce que le droit de garder le silence ?

« Vous avez le droit de garder le silence », cette formule si souvent entendue dans les séries américaines est également de fait applicable en France même si nos policiers n’ont pas à l’indiquer au moment de l’arrestation contrairement aux Etats-Unis où elle est si inlassablement répétée.

En effet, le droit au silence est garanti à l’article 14 du Pacte international relatif aux droits civils et politiques, d’application directe en France (4) :

Article 14
3. Toute personne accusée d’une infraction pénale a droit, en pleine égalité, au moins aux garanties suivantes :
g) À ne pas être forcée de témoigner contre elle-même ou de s’avouer coupable.

Mais également à l’article 6 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales portant sur le procès équitable (5). Même si l’article 6 ne les mentionne pas expressément, le droit de se taire et le droit de ne pas contribuer à sa propre incrimination sont au cœur de la notion de procès équitable.

Ce droit permet à une personne entendue lors d’une enquête à rester silencieuse sans que l’on puisse en déduire automatiquement sa culpabilité. Au-delà de cet aspect, ce droit a pour conséquence le droit de ne pas s’auto-incriminer et empêche ainsi de justifier juridiquement tout emploi de contraintes pour faire parler absolument la personne suspectée.

L’arrivée des nouvelles technologies…

De nos jours, la majeure partie des enquêtes pénales repose sur l’analyse des outils informatiques : téléphones portables, clients de messageries électroniques, comptes de réseaux sociaux, messageries cryptées (ex. : Telegram), fichiers d’un ordinateur cryptés par un logiciel de cryptage (ex. : TrueCrypt(6) )…

A titre d’exemple, ce dernier logiciel a démontré sa robustesse face au FBI (7) dans l’affaire Daniel Dantas. En effet, un banquier brésilien l’avait employé sur son ordinateur personnel, le rendant ainsi inaccessible même après une année de tentatives infructueuses.

En temps normal un utilisateur standard, un particulier, n’a pas besoin d’utiliser ces méthodes de chiffrement avancées, sauf professions particulières. Le législateur a donc commencé à s’y intéresser. Dans l’hypothèse d’une personne suspectée d’actes cybercriminels dont l’ensemble des preuves reposerait sur un matériel informatique crypté, comment peut-on la forcer à donner ses clés de chiffrement ? Le législateur a pris le parti d’incriminer le fait de refuser la remise de clé de chiffrement d’une personne suspecte employant un procédé entravant le bon déroulement des enquêtes.

Néanmoins, obliger un suspect à remettre sa « convention secrète de déchiffrement » ne serait-il pas un obstacle au droit précédemment cité de garder le silence et de ne pas s’auto-incriminer ? C’est tout l’intérêt de l’argument développé dans la QPC.

L’analyse opérée par le Conseil constitutionnel

La question posée au Conseil constitutionnel était la suivante (8) :

« Les dispositions de l’article 434-15-2 du Code pénal en ce qu’elles ne permettent pas au mis en cause, auquel il est demandé la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit : de faire usage de son droit au silence ; et du droit de ne pas s’auto-incriminer ; sont-elles contraires au principe du droit au procès équitable prévu par l’article 16 de la Déclaration des Droits de l’homme et du Citoyen du 26 août 1789, au principe de la présomption d’innocence, duquel découle droit de ne pas s’auto-incriminer et le droit de se taire, prévu à l’article 9 de la Déclaration des Droits de l’Homme et du Citoyen du 26 août 1789 ? »

Durant l’audience(9) , les débats ont porté sur la non-remise d’une clé de déchiffrement de téléphone portable d’un suspect dans une affaire de produits stupéfiants. Une contextualisation de la loi prise dans un environnement de lutte contre l’antiterrorisme a également été faite. L’association « la quadrature du net » est intervenue (10) dénonçant les dispositions contestées comme étant « disproportionnées » et portant également atteinte au droit au respect à la vie privée, au droit du secret des correspondances, à la liberté d’expression, aux droits de la défense et au droit à un procès équitable.

Dans un premier point, le Conseil constitutionnel explicite la volonté du législateur qui, au travers de l’article 434-15-2 du Code pénal, cherchait à poursuivre les objectifs de valeur constitutionnelle de prévention des infractions et de recherche des auteurs d’infractions, tous deux nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle.

Dans un second point, le Conseil constitutionnel a énoncé que les dispositions visées :

« N’imposent à la personne suspectée d’avoir commis une infraction, en utilisant un moyen de cryptologie, de délivrer ou de mettre en œuvre la convention secrète de déchiffrement que s’il est établi qu’elle en a connaissance.
N’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées.
N’ont de sens que dans le cas où l’enquête ou l’instruction ont permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. »

Ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée. Le Conseil constitutionnel en déduit que « les dispositions contestées ne portent pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances. »

Une décision lourde de conséquences

Tout d’abord, il convient de noter que le Conseil constitutionnel émet des réserves quant à l’application de cet article. Il sera nécessaire pour l’autorité judiciaire d’établir que la personne concernée a effectivement eu connaissance de la clef de déchiffrement, cette précision ayant pour but de renforcer la présomption d’innocence.

Le conseil impose également une autre réserve selon laquelle « l’enquête ou l’instruction doivent avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Les autorités chargées de l’enquête devront donc, pour retenir ce délit, prouver que des données spécifiques intéressant l’enquête existent bien sur le support concerné. Il ne sera donc pas possible de sanctionner une personne refusant de délivrer son accès sans avoir préalablement démontré que le support concerné contient bien des données de nature délictueuse intéressant l’enquête. Un apport de la décision du Conseil constitutionnel plus que bienvenue pour limiter les atteintes à la présomption d’innocence.

Néanmoins si l’on suit l’application de ce texte, désormais les constructeurs tels Apple, Samsung ou encore les producteurs de moyens cryptologiques devront remettre aux enquêteurs des « backdoors », comme aux Etats-Unis(11), permettant de déchiffrer un contenu crypté ayant servi à la réalisation d’infractions sous peine d’être sanctionné par les dispositions de l’article 434-15-2 du Code pénal, faute pour le texte de ne pas cibler uniquement les suspects mais « quiconque ayant connaissance de la convention secrète de déchiffrement. »

Pire encore, qu’en est-il du gardé à vue souhaitant garder le silence mais ayant crypté ses données ? La conciliation entre le droit de garder le silence lors de la garde à vue et l’obligation de remettre une clé de déchiffrement sera alors impossible à mettre en œuvre : le suspect devra donner aux enquêteurs la convention secrète de décryptage malgré son droit à garder le silence au cours de la garde à vue, sous peine d’être sanctionné par les dispositions de l’article.

Enfin, aucune réserve n’a été prise pour les professions règlementées ou même les autorités étatiques. Bien que celles-ci soient régies par des dispositions particulières du code de procédure pénale régissant leur perquisition(12), elles restent concernées par l’application de ce texte.
Il faut ainsi imaginer un médecin, un avocat ou un militaire suspecté dans une affaire qui se verrait alors contraint de remettre ses clés de déchiffrement livrant alors du contenu confidentiel de très grande importance dépassant l’affaire en cours…

D’un point de vue technique, la remise d’une clé de déchiffrement nuira alors aux moyens de cryptologies employés. Au cours d’une enquête, si la remise d’un passe permettant de décrypter tout contenu chiffré par un logiciel précis est effective, quel serait alors l’utilité de ce moyen de cryptologie ?

Plus grave encore, les sites web protégés par les certificats SSL (les sites « https ») risquent de perdre leur protection par la remise aux forces de police des clés de cryptages : les autorités de certification mettraient alors fin à leur indépendance et le trafic des données des utilisateurs se verraient alors livrées publiquement en cas d’enquête. Les navigateurs pourraient alors bloquer les sites web ayant livrés leurs clefs de chiffrement et les rendre indisponibles comme cela a déjà été le cas (13).

Au-delà encore, si la France oblige l’ICANN (14) à remettre ses clés de chiffrement au motif d’une affaire en cours, elle obtiendrait alors le contrôle total d’internet (15). Certes son but premier ne serait pas d’avoir la maitrise d’internet, simplement un droit d’accès des données lors d’une enquête. Mais une fois les clés en sa possession nous ne sommes pas à l’abri de dérives de la part des services de renseignement qui en profiterait. Sans compter qu’au nom d’appliquer la nouvelle loi contre les « fakes news »(16), la France pourrait alors demander ces accès à l’ICANN et censurer des sites web délictueux (cela avait été fait précédemment sur Facebook(17) ), attention donc aux nombreuses dérives que ce texte peut créer…

Lucas SZTANDAROWSKI

1 – http://www.conseil-constitutionnel.fr/conseil-constitutionnel/root/bank/download/2018696QPC2018696qpc.pdf
2 – https://www.nextinpact.com/news/99870-des-amendes-multipliees-par-six-en-cas-refus-remettre-convention-dechiffrement.htm
3 – https://www.courdecassation.fr/jurisprudence_2/qpc_3396/3478_10_38354.html
4 – Voir Le pacte international relatif aux droits civils et politiques de Emmanuel Decaux, Economica.
« Ses dispositions sont d’application directe en droit interne, directement justiciables devant les juridictions nationales, et […] la France a accepté la compétence du Comité des droits de l’homme »
5 – https://www.echr.coe.int/Documents/Guide_Art_6_criminal_FRA.pdf
6 – https://fr.wikipedia.org/wiki/TrueCrypt
7 – http://g1.globo.com/English/noticia/2010/06/not-even-fbi-can-de-crypt-files-daniel-dantas.html
8 – http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2018/2018-696-qpc/decision-de-renvoi-cass.150857.html
9 – Consultable en vidéo à l’adresse suivante : http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/videos/2018/mars/affaire-n-2017-696-qpc.150779.html
10 – http://www.laquadrature.net/fr/conseil-constitutionnel-clefs-chiffrement
11 – https://www.cultofmac.com/260213/nsa-spyware-allegedly-gives-backdoor-access-iphones/
12 – https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006071154&idArticle=LEGIARTI000006575030&dateTexte=&categorieLien=cid
https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=C61EE5EBBCC9DEE59CA5D408998B29B9.tpdjo04v_1?cidTexte=LEGITEXT000006070705&idArticle=LEGIARTI000006407002&dateTexte=29990101&categorieLien=cid
13 – https://news.icodia.com/securite/23-000-certificats-ssl-revoques-divulgation-cles-privees
14 – Internet Corporation for Assigned Names and Numbers, gérant les noms de domaines des sites internet
15 – http://www.businessinsider.fr/internet-est-reellement-controle-par-14-personnes-qui-detiennent-7-cles-secretes/
16 – https://www.nextinpact.com/news/106262-exclusif-telecharger-future-loi-contre-fakes-news.htm
17 – http://www.lemonde.fr/pixels/article/2017/04/13/facebook-lance-une-campagne-publicitaire-contre-les-fausses-informations_5110899_4408996.html

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.