Le suspect peut être contraint de déchiffrer du contenu crypté
Publié le 04/04/2018 par Etienne Wery
Le Conseil constitutionnel estime qu’il n’est pas contraire à la Constitution d’obliger un suspect, sous menace de sanctions pénales, de remettre aux enquêteurs la clé de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. Une décision qui fait autorité mais qui apparait pourtant pauvrement motivée.
Le problème
A ce jour, il n’y a quasiment plus aucune enquête pénale qui ne repose, au moins en partie, sur des outils technologiques : téléphone, mail, réseaux sociaux, messagerie telegram ou similaire, liste des applications utilisées, géo-localisation et relevé des déplacements, SMS, images échangées, historique d’utilisation, mots-clés recherchés, accès aux fichiers du PC, etc.
Ces outils sont très souvent protégés en accès, et les données sont fréquemment chiffrées.
Or, il faut statistiquement quelques centaines d’années à un PC robuste pour forcer une clé de chiffrement usuelle.
Les enquêteurs, qui croulent sous le travail et doivent aller vite notamment dans les enquêtes préventives (empêcher un crime), s’arrachent les cheveux et tentent de trouver des parades.
La parade la plus classique consiste à recourir au fournisseur. Quoi de plus simple, pour un policier qui veut accéder à un iPhone, que de demander à Apple d’en ouvrir l’accès ? C’est ce qui passé aux USA l’an passé, mais le fabricant qui tient à préserver la sécurité de ses appareils ne veut pas entendre parler de backdoor de ce type. L’affaire est politique, juridique et très sensible et oppose frontalement le FBI et la CIA d’un côté, et les plus célèbres sociétés américaines de l’autre.
L’autre parade consiste à forcer celui qui a chiffré les données à fournir la clé de déchiffrement.
Problème : quel suspect sera assez naïf pour donner avec plaisir aux enquêteurs qui veulent le coincer, le précieux sésame qui les aidera à y parvenir ? Un policier nous disait un jour que quand un suspect collabore volontairement au déchiffrement, il faut surtout se demander s’il n’essaie pas d’envoyer les enquêteurs dans une mauvaise direction.
D’où l’idée d’inscrire dans la loi une obligation assez large de collaboration : c’est, en droit français, l’article 434-15-2 du Code pénal.
L’article 434-15-2 du code pénal
« Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende. »
La question prioritaire de constitutionnalité
Tout le monde a déjà vu des films policiers dans lesquels, lors de l’arrestation, on signale au suspect : « vous avez le droit de garder le silence ».
Derrière cette formule, il y a un droit fondamental : celui de ne pas s’auto-incriminer. C’est aux enquêteurs à apporter la preuve de la culpabilité de la personne suspectée, et cette dernière peut, si elle le souhaite, ne pas contribuer du tout, par exemple en se taisant de façon systématique.
Ce principe est une des composantes importantes du droit au procès équitable, qui est lui-même un droit fondamental sacro-saint.
Lors de l’adoption de l’article 434-15-2 en 2001, la CNIL avait déjà averti que cette disposition ne peut pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête, car ce serait contraire au droit de ne pas s’auto-incriminer.
Cela concerne le suspect, mais aussi toutes les personnes qui gravitent autour de l’enquête et pourraient être impliquées : complice, coauteur, commanditaire.
La question est complexe.
Dans le cadre d’une affaire pénale ayant abouti devant la Cour de cassation, celle-ci a reconnu par arrêt du 10 janvier 2018, que le problème est sérieux : l’article 434-15-2 du code pénal contraint, sous menace de sanctions pénales, une personne suspectée dans le cadre d’une procédure pénale, à remettre aux enquêteurs la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, et cela pourrait porter atteinte au droit de ne pas faire de déclaration et à celui de ne pas contribuer à sa propre incrimination qui résultent des articles 9 et 16 de la Déclaration des Droits de l’homme et du Citoyen du 26 août 1789.
La QPC est ainsi rédigée :
« Les dispositions de l’article 434-15-2 du code pénal en ce qu’elles ne permettent pas au mis en cause, auquel il est demandé la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit :
- de faire usage de son droit au silence ;
- et du droit de ne pas s’auto-incriminer ;
sont-elles contraires au principe du droit au procès équitable prévu par l’article 16 de la Déclaration des Droits de l’homme et du Citoyen du 26 août 1789, au principe de la présomption d’innocence, duquel découle droit de ne pas s’auto-incriminer et le droit de se taire, prévu à l’article 9 de la Déclaration des Droits de l’Homme et du Citoyen du 26 août 1789 ? »
La décision du Conseil constitutionnel
Le Conseil relève tout d’abord que l’objectif du législateur ayant adopté l’article 434-15-2 est la prévention des infractions et la recherche des auteurs d’infractions, tous deux nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle.
Le Conseil relève encore que les dispositions critiquées :
- n’imposent à la personne suspectée d’avoir commis une infraction, en utilisant un moyen de cryptologie, de délivrer ou de mettre en œuvre la convention secrète de déchiffrement que s’il est établi qu’elle en a connaissance.
- n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées.
- N’ont de sens que dans le cas où l’enquête ou l’instruction ont permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit.
- Ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée.
Le Conseil en déduit que « les dispositions contestées ne portent pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances. »
Commentaires
Le premier commentaire relève de la technique juridique : le Conseil fonde son appréciation sur la Déclaration des droits de l’homme et du citoyen de 1789, et plus spécialement ses articles 2 (« Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l’homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l’oppression ». La liberté proclamée par cet article implique le droit au respect de la vie privée et le secret des correspondances. Pour être conformes à la Constitution, les atteintes à ces droits doivent être justifiées par un motif d’intérêt général et mises en œuvre de manière adéquate et proportionnée à cet objectif), 9 (« Tout homme étant présumé innocent jusqu’à ce qu’il ait été déclaré coupable, s’il est jugé indispensable de l’arrêter, toute rigueur qui ne serait pas nécessaire pour s’assurer de sa personne doit être sévèrement réprimée par la loi ». Il en résulte le principe selon lequel nul n’est tenu de s’accuser, dont découle le droit de se taire) et 16 (procès équitable).
En d’autres termes, même si les magistrats français s’inspirent autant que possible des textes supranationaux, ils ne les interprètent pas. Concrètement, la CEDH pourrait avoir une vision totalement contraire et ce serait en fin de compte elle qui imposerait sa position. Le messe n’est donc pas entièrement dite.
Le deuxième commentaire est purement subjectif : quelle pauvreté dans la motivation.
L’enjeu méritait mieux que ce raisonnement pauvre et sommaire qui ne répond pas à la question posée : pourquoi un individu pourrait-il se taire, refuser de répondre à toutes les questions sauf à une seule : quelle est la clé de déchiffrement ?
Quelqu’un est suspecté d’un crime. L’ADN prouve que le corps a séjourné dans la voiture, et on retrouve dans la voiture de la terre du bois dans lequel le corps est probablement enterré. Quand la police demande où le corps est enterré car le bois fait plusieurs hectares, le suspect a le droit de refuser de parler. Quand on lui demande s’il connait la victime, il peut se taire. Quand on lui demande son emploi du temps de la veille, il peut se taire. Pareil pour la question relative à l’arme utilisée. Mais quand on lui demande de donner accès à ses mails chiffrés, il devrait collaborer sous peine de sanction … Il y a là une différence de traitement qui tient plus du réflexe d’opportunité que du raisonnement juridique.
On a beau relire la décision, on ne trouve pas de réponse construite et cohérente.
Plus d’infos ?
En lisant la décision du Conseil constitutionnel, disponible en annexe.