La Cour de cassation a définitivement tranché, lundi 7 novembre, la question de savoir si une personne interpellée a l’obligation de fournir aux policiers le code permettant de déverrouiller son smartphone.
L’arrêt rendu en assemblée plénière, la formation la plus solennelle de la Cour de cassation, met ainsi un terme à une fronde de plusieurs juridictions de première instance et de cours d’appel.
Celles-ci avaient relaxé des personnes poursuivies pour violation de l’article 434-15-2 du Code pénal qui punit « de trois ans d’emprisonnement et de 270 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre ».
Comme l’avait expliqué Mediapart à l’occasion de l’audience, qui s’était tenue le vendredi 14 octobre, les relaxes avaient été motivées par le fait que le code de déverrouillage d’un smartphone n’est pas, en soit, une « convention secrète de déchiffrement » mais un simple moyen de débloquer son téléphone.
Selon cette interprétation, l’article 434-15-2 du Code pénal ne s’appliquerait ainsi qu’aux codes de déchiffrement intégrés, par exemple aux applications de messagerie chiffrée telles que Telegram ou Signal.
Saisie à deux reprises dans le cadre d’une affaire de stupéfiants, la Cour de cassation s’est prononcée en assemblée plénière dans une décision que la cour d’appel visée, celle de Douai, aura désormais l’obligation de suivre.
« Une convention de déchiffrement s’entend de tout moyen logiciel ou de toute autre information permettant la mise en clair d’une donnée transformée par un moyen de cryptologie, que ce soit à l’occasion de son stockage ou de sa transmission, affirme la Cour dans son arrêt. Il en résulte que le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d’un moyen de cryptologie. »
Retrouvez, ci-dessous l’article consacré par Mediapart à l’audience du 14 octobre.
*
La Cour de cassation s’est réunie vendredi 14 octobre en assemblée plénière pour trancher définitivement la question de savoir si un suspect interpelé par les forces d’ordre a, ou non, l’obligation de leur livrer le code de déverrouillage de son téléphone portable.
Cette audience dans la formation la plus solennelle de la juridiction suprême, visait à mettre fin à une fronde de plusieurs cours d’appel, qui refusent d’appliquer l’article 434-15-2 du Code pénal, créé par la loi du 15 novembre sur la sécurité quotidienne.
Celui-ci punit « de trois ans d’emprisonnement et de 270 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre ».
Or ces dernières années, plusieurs juridictions ont estimé que cette disposition ne pouvait s’appliquer au code de verrouillage des smartphones, contraignant la Cour de cassation à trancher définitivement la question.
Dans l’affaire qui lui avait été transmise, un homme avait été arrêté pour possession de stupéfiants ainsi que de deux iPhone. Placé en garde à vue, les policiers lui ont demandé le code de déverrouillage de ses appareils Apple. Le suspect a refusé, arguant de son droit à garder le silence.
Poursuivi pour violation de l’article 434-15-2 du Code pénal et pour infraction à la législation sur les stupéfiants, le suspect a tout d’abord comparu devant le tribunal correctionnel de Lille, qui l’a condamné pour possession de drogue, mais relaxé pour avoir refusé de donner le code de déverrouillage. Le juge de première instance avait en effet estimé que celui-ci n’était pas une « convention secrète de déchiffrement ». Saisi par le procureur de Lille, la cour d’appel de Douai a confirmé cette décision dans un arrêt rendu le 11 juillet 2019.
Quelle définition d’un « moyen de cryptologie » ?
Pour rejeter l’application de l’article 434-15-2 du Code pénal, les magistrats s’étaient penchés sur la définition qu’elle a retenu de « moyen de cryptologie » qui n’est pas précisée dans le texte.
Pour la déterminer, la cour d’appel s’est référée à la Loi pour la confiance en l’économie numérique (LCEN) du 21 juin 2004 qui décrit, dans son article 29, « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse ». « Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité », précise le texte.
Or le code de déverrouillage d’un « téléphone d’usage courant », selon les termes de la cour d’appel, permet d’activer celui-ci afin de pouvoir accéder à ses fichiers ou utiliser ses logiciels, éventuellement de chiffrement.
Selon le raisonnement de la cour d’appel, la « convention secrète de déchiffrement » désigne ainsi les logiciels de chiffrement intégrés par exemple à des messageries sécurisées. Et ne désigne pas le code de déverrouillage de l’appareil qui sert uniquement à y accéder. Pour que celui-ci soit considéré comme un outil de chiffrement, il faudrait un téléphone modifié, et non « d’usage courant », dont le code chiffrerait les données de l’appareil lors de son verrouillage.
Le procureur avait contesté cette interprétation en portant l’affaire devant la chambre criminelle de la Cour de cassation, qui avait infirmé la décision de la cour d’appel de Douai dans un arrêt rendu le 13 octobre 2020. Dans cette décision la juridiction suprême rejette la distinction faite par les cours d’appel entre des téléphones modifiés et ceux « d’usage courant », une « notion inopérante » affirme l’arrêt.
L’arrêt de la Cour donne également une définition de la « convention secrète de chiffrement » légèrement différente de celle retenue par les cours d’appel, indiquant que ce dispositif « contribue à la mise au clair des données qui ont été préalablement transformées ». Or le code de déverrouillage « contribue » bien à permettre l’accès aux données chiffrées de l’appareil. En conséquence, conclut l’arrêt, il « peut constituer une telle convention lorsque ledit téléphone est équipé d’un moyen de cryptologie ».
Les cours d’appel font de la résistance
L’affaire avait donc été renvoyée à nouveau devant la cour de Douai, composée d’autres magistrats comme le prévoit la loi en cas de cassation d’un arrêt. Cette nouvelle formation de la cour avait pourtant maintenu l’analyse faite par les premiers magistrats.
Or en cas de « résistance », terme désignant la contestation par les juridictions d’appel d’une jurisprudence de la Cour de cassation, la juridiction suprême doit se prononcer en séance plénière par un arrêt qui, cette fois, s’imposera à la cour d’appel qui devra se prononcer une nouvelle fois.
C’est donc dans la très solennelle Grand’chambre de la Cour de cassation que se sont réunis son président, ceux des six chambres de la juridiction ainsi que leurs six doyens pour trancher définitivement ce point de droit.
À l’audience de vendredi, l’avocat général, Jean-Paul Valat, a sans surprise entrepris de remettre en cause le raisonnement des cours d’appel. Celles-ci ont fait « une lecture partielle » de la LCEN, a-t-il plaidé. Tout d’abord, l’avocat général, a tenté de justifier le fait que l’article 434-15-2 du Code pénal ne vise pas explicitement le code de déverrouillage des smartphones. « Le texte de 2001 n’a pas été conçu pour le déverrouillage de téléphone tout simplement car les smartphones n’existaient pas à cette époque, a-t-il affirmé. Mais cela ne veut pas dire qu’il ne doit pas s’appliquer. »
Jean-Paul Valat a ainsi effectué un parallèle avec la question du vol d’électricité. Ce délit précis n’a été inscrit dans le Code pénal qu’en 1994. Mais avec le développement des réseaux électriques, une controverse juridique était née depuis bien longtemps sur le moyen de sanctionner le vol d’énergie, s’interrogeant sur son assimilation possible au vol d’un bien matériel, inscrit dans le Code pénal de 1810, à une époque où l’électricité n’avait pas encore été domestiquée. La controverse avait finalement été refermée par un arrêt de la Cour de cassation du 3 août 1912, affirmant que l’article du Code pénal réprimant le vol s’appliquait bien au vol d’électricité.
L’avocat général a en outre souligné que, désormais, « l’immense majorité des téléphones portables sur le marché », dont les iPhone, chiffraient automatiquement les données lors du verrouillage du téléphone. « La documentation publiée par Apple montre que les données étaient chiffrées », a-t-il pointé.
Ainsi, pour savoir s’ils ont le droit d’exiger d’un suspect son code de déverrouillage de son téléphone, les policiers n’auront qu’à vérifier si celui-ci chiffre ses données. Et « comment les enquêteurs peuvent savoir s’il est équipé d’un système de chiffrement ? », a poursuivi l’avocat général.
Pour cela, ils auraient deux solutions : soit se référer à la documentation technique du fabriquant qui, le plus souvent, précise ce point, soit faire appel à une expertise technique. L’avocat général a donc demandé la cassation de l’arrêt de la cour d’appel de Douai. La Cour de cassation rendra sa décision le lundi 7 novembre à 14 heures.
