Aujourd’hui, plus de 94% de la population française est équipée d’un téléphone mobile et 84% des français disposent d’un smartphone[1]. Ces appareils sont une mine d’informations pour les services de police et il est devenu commun que des enquêteurs demandent à accéder leur contenu, notamment lorsque la personne visée par l’enquête est placée en garde à vue.
Le principal obstacle à cette curiosité demeure le code de déverrouillage du téléphone. Tout avocat pénaliste a déjà été témoin de cette scène où le fonctionnaire de police demande au gardé à vue de fournir son code de téléphone pour qu’ils regardent ensemble si l’appareil ne contient pas des messages ou des photos susceptibles de corroborer l’existence de l’infraction pour laquelle la personne est auditionnée. Face aux hésitations du gardé à vue à fournir ce sésame, le fonctionnaire de police lui indique que son refus serait constitutif d’une nouvelle infraction pour laquelle il pourrait être poursuivi.
Que faire dans cette situation ? Le gardé à vue peut-il refuser de donner son code de téléphone ? Quel risque juridique encourt-il en cas de refus ? La jurisprudence récente de la Cour de cassation est venue apporter quelques éclaircissements sur ces questions qui font aujourd’hui encore l’objet de nombreux débats juridiques.
Par un arrêt du 13 octobre 2020, la chambre criminelle de la Cour de cassation s’est prononcée sur le champ d’application de l’article 434-15-2 du code pénal qui sert de fondement aux poursuites pour refus de donner un code de téléphone.
L’article 434-15-2 du code pénal énonce en substance : « Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. »
L’affaire soumise à la Cour de cassation concernait des infractions à la législation sur les stupéfiants. Au cours de sa garde à vue, le suspect s’est vu réclamer par le fonctionnaire de police qui procédait à son audition, les codes de déverrouillage des trois téléphones portables qui ont été découverts en sa possession. Il a refusé de les communiquer. Le prévenu a été condamné en première instance puis relaxé en appel. L’affaire a été porté devant le juge de cassation.
La question était de savoir si le délit de refus de remise d’une convention secrète de déchiffrement d’un moyen de cryptologie au sens de l’article 434-15-2 du code pénal pouvait s’appliquer au refus de remettre un code de téléphone.
Soucieuse d’être exhaustive, la Cour de cassation a décidé de vérifier les deux conditions d’application de l’article 434-15-2 du code pénal. Tout d’abord elle s’assure que la condition préalable de la « réquisition par une autorité judiciaire » soit remplie puis elle vérifie si le code de déverrouillage d’un téléphone constitue bien une « convention secrète de déchiffrement ». Si la première partie de la décision apparaît surprenante, la seconde ouvre une certaine marge de manœuvre pour les droits de la défense.
I – L’exigence d’une réquisition de l’autorité judiciaire peut être satisfaite même lorsque la réquisition provient uniquement d’un officier de police judiciaire
Devant la cour d’appel, le prévenu avait été relaxé au motif qu’il avait refusé de communiquer le code de déverrouillage de son téléphone portable, sur la demande d’un fonctionnaire de police, faite au cours de son audition, et non en vertu d’une réquisition émanant d’une autorité judiciaire de le communiquer ou de le mettre en œuvre.
La Cour de cassation a toutefois contredit cette interprétation en indiquant que l’article 434-15-2 du code pénale pouvait très bien s’appliquer à une réquisition délivrée par un officier de police judiciaire agissant en enquête de flagrance[2], en enquête préliminaire[3] ou à l’occasion d’une information judiciaire[4].
Cette interprétation est surprenante dans la mesure où la notion « d’autorité judiciaire » renvoie normalement aux seuls magistrats du parquet et magistrats du siège, comme cela ressort des articles 64 et suivants de la Constitution[5].
En enquête préliminaire, cette solution ne semble pas soulever de difficulté dans la mesure où l’officier de police judicaire doit nécessairement obtenir l’autorisation du procureur de la République. Idem au cours d’une information judiciaire où le fonctionnaire de police doit être commis par le juge d’instruction. En revanche, en enquête de flagrance, certes l’enquête a lieu sous le contrôle du procureur de la République mais le fonctionnaire de police peut très bien délivrer une réquisition de son propre chef sans aucun contrôle préalable du procureur de la République.
On soulignera par ailleurs que la notion d’autorité judiciaire telle que définie en droit français n’est pas dénuée de critiques notamment au regard du droit européen. Ainsi, la Cour européenne des droits de l’homme refuse d’assimiler le ministère public français à une véritable autorité judiciaire au sens de l’article 5 de la Convention européenne de sauvegarde des droits de l’homme[6].
Au sens de la Cour européenne des droits de l’homme, l’article 434-15-2 du code pénal pourrait donc être invoquée uniquement si la réquisition émane d’un juge du siège (ex. juge des libertés et de la détention ou juge d’instruction). Reste à faire naître un tel contentieux devant les juridictions européennes et espérer une évolution de cette disposition en cas de condamnation de la France.
En tout état de cause, la Cour de cassation indique que :
- la réquisition doit être formulée sans ambiguïté, il ne doit pas s’agir d’une simple demande ; et
- le fonctionnaire de police doit préciser que le refus d’y déférer est susceptible de constituer une infraction pénale.
Sans satisfaction de ces critères, la première condition de l’article 434-15-2 du code pénal n’est pas remplie.
II – Le code de déverrouillage d’un téléphone peut constituer une convention secrète de déchiffrement… mais ce n’est pas systématique !
Dans l’affaire au principal, la cour d’appel avait également relaxé le prévenu en énonçant qu’« un code de déverrouillage d’un téléphone portable d’usage courant, qui ouvre l’accès aux données qui y sont contenues, ne constitue pas une convention secrète d’un moyen de cryptologie, en ce qu’il ne permet pas de déchiffrer des données ou messages cryptés. »
La Cour de cassation a censuré l’arrêt de la cour d’appel en considérant que la notion de « téléphone portable d’usage courant » était inopérante. En effet, cette notion apparaît beaucoup trop imprécise pour offrir une quelconque sécurité juridique à ceux qui sont chargés de l’appliquer.
Pour autant, la Cour de cassation ne dit pas qu’un code de déverrouillage d’un téléphone constitue une « convention secrète de déchiffrement d’un moyen de cryptologie » au sens de l’article 434-15-2 du code pénal.
Elle fait tout d’abord référence à la définition de l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique selon laquelle « la convention secrète de déchiffrement d’un moyen de cryptologie contribue à la mise au clair des données qui ont été préalablement transformées, par tout matériel ou logiciel, dans le but de garantir la sécurité de leur stockage, et d’assurer ainsi notamment leur confidentialité ». De cette définition, la chambre criminelle en déduit que « le code de déverrouillage d’un téléphone portable peut constituer une telle convention lorsque ledit téléphone est équipé d’un moyen de cryptologie. »
La Cour de cassation ajoute que l’existence d’un tel moyen de cryptologie « peut se déduire des caractéristiques de l’appareil ou des logiciels qui l’équipent ainsi que par les résultats d’exploitation des téléphones au moyen d’outils techniques, utilisés notamment par les personnes qualifiées requises ou experts désignés à cette fin, portés, le cas échéant, à la connaissance de la personne concernée. »
Il ressort clairement de cette jurisprudence l’existence du moyen de cryptologie n’est pas présumée :
- Les autorités de poursuite doivent démontrer l’existence de ce moyen de cryptologie en s’appuyant sur (i) les caractéristiques de l’appareil, (ii) les logiciels qui l’équipent ou (iii) les résultats d’exploitation par des personnes qualifiées requises ou experts désignés.
- Par ailleurs, l’existence de ce moyen de cryptologie et sa démonstration doivent être portés à la connaissance de la personne concernée.
Une telle solution ouvre à l’évidence une certaine marge de manœuvre pour les droits de la défense. Il n’est en effet pas évident pour des autorités de poursuites de démontrer l’existence d’un moyen de cryptologie au regard des critères précités, notamment dans le temps contraint d’une garde à vue. Il est encore moins évident de démontrer que ce moyen de cryptologie a volontairement été utilisé pour préparer ou commettre un crime ou un délit ou pour en faciliter la préparation ou la commission.
[1] Arcep, Baromètre du numérique, édition 2021
[2] Article 60-1 du code de procédure pénale
[3] Article 77-1-1 du code de procédure pénale
[4] Article 99-3 du code de procédure pénale
[5] Conseil constitutionnel, 30 mars 2018, n° 2018-696 QPC
[6] CEDH 29 mars 2010, Medvedyev et a. c/ France, n° 3394/03 ; CEDH 23 nov. 2010, Moulin c/ France, n° 37104/06
Pas de contribution, soyez le premier