Le Conseil constitutionnel a rendu, le 30 mars dernier, une décision s'intéressant à l'article 434-15-2 du Code pénal, lequel incrimine "le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre".

La Cour de cassation avait en effet considéré, le 10 janvier 2018, que la question de savoir si une telle incrimination était conforme aux exigences posées par les principes de présomption d'innocence et du droit de se taire et de ne pas participer à sa propre incrimination (articles 9 et 16 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789), était nouvelle et surtout, méritait d'être posée.

Fait notable, le Gouvernement lui-même avait considéré, à l'occasion de l'examen de cette QPC, que l'interprétation de l'article 434-15-2 du Code pénal pouvait poser une difficulté, et a considéré que cette incrimination devait s'interpréter en ce sens qu'elle n'était pas applicable aux personnes qui étaient elles-mêmes suspectées d'avoir tenté de commettre ou comme une infraction. En d'autres termes, seuls les tiers disposant de la clé de déchiffrement d'une convention de cryptographie pouvaient se voir poursuivis sur ce fondement, en cas de réquisition conforme et de refus de leur part de s'y plier.

Rappelons que l'article 434-15-2 du Code pénal a été introduit dans l'arsenal répressif français par la loi du 15 novembre 2001, soit au lendemain des attentats du 11-Septembre ; la loi du 3 juin 2016 (renforçant la lutte contre le crime organisé, le terrorisme et leur financement) a simplement alourdi les peines prévues, en augmentant l'amende encourue de 45.000 € à 270.000 €.

S'étaient joints à la QPC en tant que parties intervenantes une personne physique et l'association "La Quadrature du Net", connue pour défendre notamment les libertés publiques dans le domaine du numérique.

Las, le Conseil constitutionnel a déclaré conforme au bloc de constitutionnalité l'article déféré en mettant en avant les principes de prévention de la commission des infractions et d'efficacité de l'enquête pénale.

Une telle solution ne peut qu'appeler la critique. Tout d'abord, le Conseil fait manifestement l'économie de toute argumentation juridique, se contentant de confronter quelques principes fondamentaux pour en conclure qu'il  ne trouve rien à redire à un tel article.

Surtout, les "Sages" concluent que l'obligation légale de livrer le code de son téléphone ne constitue pas l'obligation de s'auto-incriminer, alors que c'est pourtant exactement l'objectif poursuivi. On cherche à obtenir une information détenue par le seul mis en cause, en vue d'accéder à une mémoire informatique susceptible de le confondre entièrement.

En quoi est-ce différent d'aveux ?

En outre, le Conseil constitutionnel n'a manifestement pas compris ce qui lui était demandé d'examiner, n'a pas saisi le sens et la portée des dispositions contestées, et méconnaît manifestement les ressorts techniques inhérents à l'utilisation d'un procédé de chiffrement de données.

La preuve en est qu'il confond allégrement, au fil de sa décision, les termes de "données cryptées" et de "données chiffrées", et qu'il semble considérer que le code de déverrouillage d'un téléphone constitue la mise en oeuvre d'un moyen de cryptographie, alors que rien n'est moins sûr.

Reprenons.

L'article 434-15-2 incrimine un comportement négatif, à savoir celui de refuser de livrer la convention secrète de déchiffrement d'un moyen de cryptographie, la cryptologie étant définie par l'article 29 de la loi du 21 juin 2004 comme "tout matériel ou logiciel conçu ou modifié pour transformer des donénes, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité".

Il est manifeste que le législateur de 2001 n'a jamais imaginé viser les citoyens ordinaires. En 2001, les smartphones n'existaient pas ou presque, et rares étaient ceux qui utilisaient au quotidien des services de cryptographie. Aujourd'hui, tous les smartphones récents, fonctionnant sous Android ou iOS, voient leur mémoire interne entièrement chiffrée par défaut (sans contrôle de l'utilisateur), ce qui rend très difficile pour les autorités publiques d'y accéder sans disposer du code de l'utilisateur.

Ce sont donc les personnes élaborant les services de cryptographie et les mettant à disposition qui étaient visées par cette incrimination.

Or, dans les faits ayant donné lieu à la QPC, il s'agissait d'un individu interpellé pour détention de stupéfiants, et à qui il avait été "requis" (sous quelle forme ?) de livrer le code de déverrouillage de son téléphone, ce qu'il avait refusé. Il avait donc été poursuivi sur le fondement de l'article 434-15-2.

L'histoire ne dit pas non plus quel était le modèle du téléphone du suspect ni son système d'exploitation, ce qui est pourtant fondamental pour déterminer si l'infraction peut, ou non, être constituée.

Deux difficultés peuvent en effet être soulevées à la lecture de cette décision.

Tout d'abord, l'article 434-15-2 du Code pénal précise expressément que ne peuvent être poursuivies que les personnes destinataires de "réquisitions des [autorités judiciaires] délivrées en application des titres II et III du livre Ier du code de procédure pénale".

Le Livre Ier du Code encadre "la conduite de la politique pénale, de l'exercice de l'action publique et de l'instruction", et le livre II s'intitule "des enquêtes et des contrôles d'identité" et le livre III "des juridictions d'instruction".

Cette précision apportée par le législateur a fait dire à un auteur (C. RIBEYRE, Jurisclasseur Code pénal, fasc. 20) que les réquisitions visées par le texte devaient nécessairement émaner du Procureur de la République ou du juge d'instruction (sous la forme d'une commission rogatoire).

Exit donc les réquisitions faites notamment par l'OPJ.

Or des réquisitions du parquet ou une commission rogatoire ne visent jamais la personne suspectée elle-même. Même si rien ne l'interdit formellement au regard des textes, il pourrait en effet être soulevé qu'il s'agirait d'une atteinte au droit de garder le silence et au principe de la présomption d'innocence.

En tant que praticien, je n'ai jamais vu un Procureur ou un magistrat instructeur prendre ce type d'acte à destination du mis en cause ou de la personne mise en examen.

En écrivant que l'article 434-15-2 peut s'appliquer au mis en cause, le Conseil constitutionnel commet manifestement une première erreur, et les juridictions du fond auront tout intérêt à être plus attentives aux conditions dans lesquelles les "réquisitions" visées par ce texte sont effectuées. Une telle position est d'autant plus surprenante que le Conseil écrit qu'il se réfère à la "jurisprudence constante de la Cour de cassation", or aucune décision concernant l'article 434-15-2 n'existe sur les bases de données juridiques ! Cette jurisprudence "constante" n'existe donc pas, car la Cour de cassation ne s'est jamais prononcée sur cette incrimination, autrement que via cette QPC.

C'était également la position du Gouvernement au cours de l'audience, qui avait habilement suggéré au Conseil de faire le choix d'une "réserve d'interprétation", qui aurait consisté à déclarer l'article conforme sous réserve qu'il ne s'applique pas à la personne suspectée elle-même.

Par ailleurs, le Conseil assimile clairement le code de verrouillage d'un smartphone à la mise en oeuvre d'un moyen de cryptographie. Ceci est hautement critiquable.

Prenons le cas des iPhones. Apple a implémenté un chiffrement des données contenues dans la mémoire interne à partir du modèle "3GS" de sa gamme. Ce chiffrement est totalement indépendant de la volonté de l'utilisateur qui ne peut choisir de ne pas chiffrer ses données.

Ce chiffrement est même tellement indépendant qu'il fait partie de la partie matérielle du téléphone. Le chiffrement utilise des clés 256 bits basées sur un identifiant propre à chaque téléphone ("UID"). Apple a intégré dans la puce physique du téléphone un coprocesseur cryptographique, ce qui rend impossible d'obtenir la clé elle-même (la convention de chiffrement / déchiffrement). Tout ce qu'on peut obtenir à partir du moteur cryptographique, c'est qu'il "décode" les données. La clé reste inaccessible, même à Apple lui-même.

Le moteur de chiffrement utilise AES-256, alogrithme réputé inviolable, en tout cas à ce jour. La seule solution reste le "brute force", c'est-à-dire une technique consistant à tester toutes les combinaisons possibles. Le hic : iOS est conçu pour effacer toute la mémoire après 10 tentatives, ce qui contrarie bien évidemment les autorités qui tenteraient d'accéder à la mémoire interne du téléphone sans disposer du code.

Il faut donc comprendre que le chiffrement utilisé par l'iPhone est indépendant du code de l'utilisateur (ou de l'utilisation de son empreinte en cas de recours à Touch ID ou Face ID). La convention de chiffrement est contenue dans le coprocesseur cryptographique, tout en étant basée sur un identifiant propre à chaque téléphone tel qu'il sort de l'usine. L'utilisateur n'a aucun contrôle à son sujet, et le code ne lui permet que d'accéder à ses données en clair telles qu'elles sont déchiffrées par le téléphone.

Apple explique même que depuis iOS 8, la société elle-même est incapable d'accéder à la mémoire d'un téléphone.

C'est le même principe pour de nombreux autres services proposant le chiffrement, tels que Whatsapp ou ProtonMail, qui utilisent des systèmes de chiffrement opensource et dont le principe est justement que la clé elle-même n'est accessible par personne. (La solution est différente pour Telegram, qui utilise une convention de chiffrement privée dont personne ne sait réellement ce qu'elle permet.)

L'intérêt pour ces entreprises est de pouvoir garantir à leurs clients / utilisateurs que leurs données ne seront jamais compromises, même si elles opèrent dans des Etats où la loi est susceptible de les obliger à en livrer l'accès aux autorités.

Il aurait été intéressant de savoir, dans les données de l'espèce ayant donné lieu à la QPC, comment la personne suspectée avait été "requise" de livrer son code de déverrouillage, et quelle a été l'argumentation soulevée, en dehors du dépôt de la QPC.

Si l'on comprend aisément l'objectif poursuivi par le Conseil constitutionnel (la poursuite des auteurs d'infractions et l'efficacité de l'enquête pénale), il est fort dommageable que l'article 434-15-2 du Code soit employé au mépris de tant de considérations techniques et juridiques.

Il serait pourtant loisible au législateur d'introduire dans l'arsenal répressif une incrimination qui vise expressément le refus de fournir le moyen de déverrouiller un téléphone portable. La constitutionnalité d'un tel texte serait assurée, à la lumière de la décision rendue le 30 mars 2018...