Un tel refus peut constituer un délit au sens de l’article 434-15-2 du code pénal qui « punit de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale ».

L’article ajoute que : « Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende. »

Cette disposition établit que refuser de communiquer aux autorités la convention secrète de déchiffrement d’un moyen de cryptologie ayant potentiellement servi à commettre une infraction constitue, en soi, un délit pénal.

Cependant, l’article ne précise pas ce qu’il faut entendre par l’expression « convention secrète de déchiffrement d’un moyen de cryptologie ».

La jurisprudence a donc largement été amené à examiner si le code de déverrouillage d’un téléphone portable pouvait être inclus dans le champ d’application de cette disposition pénale.

Selon la Cour de cassation, le refus de donner le code de déverrouillage d’un téléphone portable est susceptible d’entrer dans les prévisions de l’article 434-15-2 du Code pénal.

Dans un arrêt de la chambre criminelle du 13 octobre 2020 (pourvoi n°20-80.150), la Cour de cassation avait ainsi jugé, au visa notamment de la loi du 21 juin 2004 pour la confiance dans l’économie numérique et des articles L.871-1 et R.871-3 du code de la sécurité intérieure, que :

« La convention secrète de déchiffrement d'un moyen de cryptologie contribue à la mise au clair des données qui ont été préalablement transformées, par tout matériel ou logiciel, dans le but de garantir la sécurité de leur stockage, et d'assurer ainsi notamment leur confidentialité. Le code de déverrouillage d'un téléphone portable peut constituer une telle convention lorsque ledit téléphone est équipé d'un moyen de cryptologie. »

Pourtant, l’article 29 de la loi du 21 juin 2004 définit le moyen de cryptologie comme : « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète ».

Compte-tenu de cette définition légale, l’assimilation du code PIN ou du code de déverrouillage à une convention de déchiffrement est largement discutable, et cette interprétation a donné lieu à la résistance des juges du fond dans une procédure concernant une personne placée en garde à vue pour infractions à la législation sur les stupéfiants.

 

Dans cette affaire, un homme placé en garde à vue dans le cadre d’une enquête pour infractions à la législation sur les stupéfiants avait refusé de fournir aux enquêteurs les codes de déverrouillage des deux téléphones saisis lors de son interpellation.

Il a été poursuivi non seulement pour les infractions liées aux stupéfiants, mais également pour avoir refusé de communiquer la convention secrète de déchiffrement d’un moyen de cryptologie, les téléphones étant soupçonnés d’avoir servi dans le cadre d’un trafic de stupéfiants.

En première instance, si l’individu a été condamné pour les infractions à la législation sur les stupéfiants, il a en revanche été relaxé concernant le délit de refus de transmettre ou de mettre en œuvre la convention secrète d’un moyen de cryptologie.

Le ministère public a alors interjeté appel mais la cour d’appel a confirmé la lecture des premiers juges, et a considéré que :

« la clé de déverrouillage de l’écran d’accueil d’un smartphone n’est pas une convention secrète de déchiffrement, car elle n’intervient pas à l’occasion de l’émission d’un message et ne vise pas à rendre incompréhensibles ou compréhensibles des données, mais tend seulement à permettre d’accéder aux données et aux applications d’un téléphone, lesquelles peuvent être ou non cryptées » (Cour d’appel de Douai, 6e chambre des appels correctionnels, 20 avril 2021).

Le Procureur Général a formé un pourvoi contre cet arrêt et la Cour de cassation, réunie en assemblée plénière a censuré cette décision.

Par un arrêt du 7 novembre 2022 (pourvoi n°21-83.146), la Cour de cassation réunie en Assemblée Plénière a confirmé la position de la chambre criminelle et a jugé que :

  • « Alors qu'il ressort des dispositions de l'article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique et des articles 132-79 du code pénal et R871-3 du code de la sécurité intérieure que l'on entend comme « conventions permettant le déchiffrement des données transformées au moyen des prestations de cryptologie » les « clés cryptographiques ainsi que tout moyen logiciel ou de toute information permettant la mise au clair de ces données »
  • Qu'en affirmant de manière générale que le code de déverrouillage d'un smartphone n'est pas une convention secrète de chiffrement sans effectuer l'analyse des caractéristiques techniques du téléphone concerné I-phone 4, pourtant indispensable pour fonder sa décision, la cour d'appel a insuffisamment motivé sa décision. »

Ainsi, selon la Cour de cassation, refuser de communiquer son code PIN ne constitue une infraction pénale que si le téléphone concerné est équipé d’un « moyen de cryptologie ». Autrement dit, le code ne doit pas seulement permettre l’authentification de l’utilisateur, mais aussi déchiffrer des données.

La Cour de cassation estime qu’il revient aux juges du fond de vérifier si le téléphone en question est doté d’un tel moyen et si le code de déverrouillage permet d’accéder en clair à tout ou partie des données cryptées qu’il contient ou auxquelles il donne accès.

Par conséquent, cette infraction ne s’applique pas à tous les téléphones portables.

Si la plupart des smartphones modernes disposent d’un moyen de cryptologie et entrent dans le champ de cette réglementation, tel n’est pas le cas de téléphones anciens ou basiques, dépourvus de système de chiffrement, dont le code de déverrouillage ne permet pas de décrypter les données.

Par ailleurs, les autres éléments constitutifs du délit doivent être établis.

Il est nécessaire de prouver que le téléphone est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, et que la personne concernée a connaissance du code de déverrouillage en question.

Enfin, La demande de communication du code de déverrouillage d’un téléphone portable en garde à vue doit revêtir un caractère formel. La Cour de cassation précise ainsi que :

« une simple demande formulée au cours d'une audition, sans avertissement sur le fait que le refus de s’y conformer peut constituer une infraction pénale, ne peut être qualifiée de réquisition » (Cass. Crim. 13 octobre 2020, n° 20-80.150).

Cette demande doit donc prendre la forme d’une réquisition judiciaire, émise par un officier ou un agent de police judiciaire, et inclure une information claire sur les conséquences pénales d’un refus de communiquer le code, comme le prévoit expressément les dispositions de l’article 434-15-2 du Code pénal.

Quoiqu’il en soit, la position adoptée par la Cour de cassation soulève des interrogations au regard de plusieurs principes fondamentaux, notamment le droit au silence (droit de la défense), du droit au respect de la vie privée et le droit de ne pas contribuer à sa propre incrimination.

Une personne soupçonnée peut choisir de garder le silence, mais se voit néanmoins contrainte de « faire parler son téléphone », devenant ainsi partie prenante de sa propre accusation.

Le Conseil Constitutionnel, saisi d’une question prioritaire de constitutionnalité, a été amené à se prononcer sur la conformité de l’article 434-15-2 du code pénal à la Constitution.

Dans une décision QPC n°2018-696 du 30 mars 2018, il a jugé ces dispositions conforme à la Constitution en considérant, que l’obligation, pour une personne ayant connaissance d’une convention secrète de déchiffrement d’un moyen de cryptologie, de la transmettre aux autorités judiciaires est subordonnée à la condition que ce moyen de cryptologie soit susceptible d’avoir servi à préparer, faciliter ou commettre un crime ou un délit, et que la demande émane d’une autorité judiciaire.

Le Conseil a précisé que l’objectif de cette disposition n’est pas d’obtenir des aveux de la personne suspectée, mais de permettre l’accès aux données cryptées qui existent indépendamment de la volonté de la personne suspectée.

Il a également rappelé que cette obligation ne concerne que des données déjà identifiées dans le cadre de l’enquête ou de l’instruction comme susceptibles d’avoir été utilisées pour préparer une infraction.

Pourtant, il semble que le droit européen amène à une lecture différente des dispositions précitées.

Ainsi, par un arrêt du 4 octobre 2024 (CG c. Bezirkshauptmannschaft Landeck, aff. C-548/21), la Cour de justice de l’Union européenne vient justement remettre en cause la possibilité pour les autorités de police d’exploiter un téléphone portable sans avoir besoin au préalable d’en demander l’autorisation à un juge indépendant.

Sur le fondement de la directive 2016/680 du 27 avril 2016 dite « police-justice », la Cour de justice de l’Union européenne considère que :

  • l'accès aux données d'un téléphone portable est autorisé dans le cadre de la poursuite d'infractions pénales, sans se limiter aux crimes graves ;
  • toutefois, cet accès nécessite l’obtention préalable d'une autorisation de la part d'une juridiction ou d'une autorité administrative indépendante ;
  • enfin, la personne concernée doit être informée des raisons justifiant l'autorisation d'accès à ses données.

S’agissant du second point, la Cour dispose précisément que :

« C’est notamment en vue d’assurer que le principe de proportionnalité est respecté dans chaque cas concret en effectuant une pondération de l’ensemble des éléments pertinents qu’il est essentiel que, lorsque l’accès des autorités nationales compétentes aux données à caractère personnel comporte le risque d’une ingérence grave, voire particulièrement grave, dans les droits fondamentaux de la personne concernée, cet accès doit être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante »

La notion de « juridiction » renvoie évidemment à celle d’un juge « indépendant », ce qui n’est pas le cas d’une autorité judiciaire de poursuite tel qu’un procureur de la République ou tout autre magistrat du ministère public.

Cette dernière décision est-elle susceptible de modifier l’approche de la Cour de cassation ?

La Cour de cassation française pourrait appliquer l’arrêt CG c. Bezirkshauptmannschaft Landeck comme elle l'a fait par le passé (arrêt H.K c. Prokuratuur) :

La Cour de cassation (Cour de cassation, 12 juillet 2022, n°21-83.719, 21-83.820, 21-84.096 et 20-86.652) avait alors considéré que la législation française permettant aux procureurs et à la police d'accéder aux données de connexion sans ce contrôle préalable était contraire au droit de l’Union européenne, mais elle avait précisé que les réquisitions d'accès aux données ne seraient pas systématiquement annulées.

Ainsi, il appartient à la juridiction saisie de la régularité de ces actes, de s’assurer l'accès a porté sur des données limitées dans la durée, et strictement liées aux nécessités de l’enquête.

Par ailleurs, il appartient en outre à la personne visée par la mesure et qui souhaite se prévaloir de cette irrégularité de démontrer l’existence d’un grief sur le fondement de l’article 802 du code de procédure pénale.

Ainsi, la Cour de cassation pourrait suivre le même raisonnement, en ce qui concerne l’arrêt rendu le 4 octobre dernier. L'accès sans autorisation préalable serait illégal au regard du droit de l'UE, mais pourrait être validé a posteriori si le grief n'est pas démontré, l'infraction est grave et l'accès est proportionnel. (https://baudelinavocat.fr/garde-a-vue-cour-de-justice-de-union-europeenne-ne-permet-plus-police-fouiller-telephone-suspect-sans-autorisation-prealable-juge-independant/)