Doit-on donner les codes protégeant des données en enquête pénale ?

Secure internet  data processing concept

Droit au silence et protection des données en enquête pénale : les limites du secret et du silence

 

 

 « Vous pouvez garder le silence, sauf s’il s’agit de votre code de téléphone portable ». C’est ce qui résulte d’une décision pour le moins surprenante du Conseil Constitutionnel en date du 30 mars 2018, n°2018-696 QPC

 A cette occasion, les Sages ont eu l’opportunité de se prononcer sur la conformité de l’article 434-15-2 du Code pénal à la Constitution.

 

Protection des données et besoins d’une enquête 

 

Ce texte instaure le délit qui suit :

Est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 € d’amende.

L’infraction définie par cet article suppose donc la la réunion de plusieurs éléments :

  • la connaissance d’une convention secrète de déchiffrement de cryptologie (c’est à dire, le moyen d’accéder à du contenu crypté),
  • le fait que ce contenu crypté soit susceptible d’avoir été utilisé pour préparer, faciliter, ou commettre un crime ou un délit,
  • le fait de refuser de remettre la convention aux autorités judiciaires.

 Ces dispositions ont, naturellement, pour but de renforcer l’action des enquêteurs qui procèdent régulièrement à des investigations sur du matériel informatique.

 Ces investigations peuvent demeurer vaines dès lors que les enquêteurs ne disposent pas des « clés » ou des « codes » pour accéder aux données cryptées.

 

Accès aux données susceptibles d’avoir facilité ou permis une infraction

 

Afin de renforcer l’efficacité de l’enquête, le législateur a entendu pénaliser le comportement de toute personne qui a connaissance de ces « clés » mais refuse de les transmettre. A la condition toutefois que le contenu crypté (dont on ignore alors la teneur) soit susceptible d’avoir été utilisé pour préparer, faciliter ou commettre une infraction.

Saisis par renvoi de la Cour de Cassation dans le cadre d’une question prioritaire de constitutionnalité (QPC), les Sages de la rue Montpensier devaient s’interroger sur la constitutionnalité de ce texte au regard de deux droits constitutionnellement protégés : 

 

Objectif de prévention et répression garantissant les droits de la défense ?

 

Pour le Conseil Constitutionnel, les dispositions en cause respectent parfaitement les principes précités.

Premièrement, car le délit institué à l’article 434-15-2 du Code pénal poursuit deux objectifs légitimes : prévenir les infraction et rechercher les auteurs d’infractions :

« Le législateur a poursuivi les objectifs de valeur constitutionnelle de prévention des infractions et de recherche des auteurs d’infractions, tous deux nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle. »

Secondement, car plusieurs garanties sont prévues par la loi :

  • Il doit être établi que la personne a connaissance du code qu’on lui demande ;
  • Les dispositions en cause n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées ;
  • L’enquête ou l’instruction doit avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ;
  • Enfin, ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée. 

Ces « garanties » suffisent, pour le Conseil Constitutionnel à ce que « les dispositions contestées ne portent pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances. »

 

Cette appréciation semble critiquable.

En effet, les cas de figure visés par le délit sont très larges : le moyen de cryptologie doit être susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit :

  • Il ne s’agit donc pas de la seule commission du crime ou du délit, mais bien de sa préparation, de sa facilitation ou de sa commission.
  • Il ne s’agit pas seulement de certains crimes ou délits, mais bien de tous les crimes et de tous les délits, quelle que soit leur nature.

 De surcroit, les « garanties » que mentionne le Conseil Constitutionnel sont difficiles à caractériser en pratique :

  • Comment savoir que la personne avait bien connaissance des codes ?
  • Comment l’enquête permet-elle d’identifier l’existence des données comme étant susceptibles d’avoir été utilisées pour préparer, faciliter ou commettre l’infraction ? Et ce, alors pourtant que, par définition, ces données sont secrètes.
  • Quelle définition recouvre « les moyens de cryptologie » ?

Cette dernière question a notamment fait l’objet d’un débat devant la Cour de Cassation ayant renvoyé la QPC puisque l’intéressé soutenait qu’il ne lui avait pas été demandé une « convention secrète de déchiffrement d’un moyen de cryptologie ».

Et pour cause, l’intéressé était poursuivi pour ne pas avoir donné le code de son téléphone portable…

Pourtant, la Cour de cassation juge que ce cas de figure rentre bien dans le cadre de la loi. Et le Conseil Constitutionnel considère que cette loi est constitutionnelle.

Ce délit, bien que très peu utilisé en pratique (lors de sa modification, en 2016 le rapporteur du Sénat avait relevé qu’aucune condamnation n‘avait jusqu’alors été prononcée sur ce fondement), devra vraisemblablement faire l’objet d’un nouvel examen.

 A n’en pas douter, ce délit devrait être prochainement confronté à la Convention de sauvegarde des Droits de l’Homme et des libertés fondamentales.

La question, fondamentale, de l’auto-incrimination étant, à l’évidence, une question à laquelle les Juges Européens accordent une place plus importante, un combat pourrait prochainement être mené devant la Cour Européenne des Droits de l’Homme.

 

Nicolas CHARREL, Avocat associé au barreau de Paris et à la Cour du Luxembourg

Bérenger JACQUINET, Avocat collaborateur