Le législateur avait défini la cryptologie, dès la loi du 21 juin 2004 pour la confiance dans l'économie numérique, comme "tout matériel ou logiciel conçu ou modifié pour transformer des données,
qu'il s'agisse d'informations ou de signaux, à l'aide de conventions
secrètes ou pour réaliser l'opération inverse avec ou sans convention
secrète. Ces moyens de cryptologie ont principalement pour objet de
garantir la sécurité du stockage ou de la transmission de données, en
permettant d'assurer leur confidentialité, leur authentification ou le
contrôle de leur intégrité".
Dans le cas de Malek B., les faits à l'origine de la QPC sont d'une grande banalité. L'intéressé est arrêté en possession produits stupéfiants et, lors de l'enquête de flagrance, la police lui demande le code d'accès à son téléphone portable. Il refuse, et invoque essentiellement deux moyens, à l'appui de sa QPC. Il estime en effet que les dispositions de l'article 434-15-2 du code pénal ne lui sont applicables et qu'elles portent atteinte à son droit de ne pas s'auto-incriminer.
Au-delà du terrorisme
Le Conseil constitutionnel ne reprend pas l'argument reposant sur l'idée que la loi du 3 juin 2016 ne s'appliquerait qu'à la lutte contre le terrorisme, au sens le plus étroit du terme. Malek B., arrêté en possession de drogue ne pourrait donc faire l'objet d'une procédure prévue par ce texte. Un tel argument ne repose en effet sur aucun fondement sérieux. La loi du 3 juin 2016 ne vise pas seulement à renforcer la lutte contre le terrorisme, mais vise aussi la grande criminalité et donc le trafic de produits stupéfiants. Le délit de refus de communiquer la convention de déchiffrement figure d'ailleurs dans une section du code pénal consacrée aux entraves à l'exercice de la justice. Les infractions qui y figurent sont d'ordre très général, et on y trouve aussi bien les mesures d'intimidations commises envers un magistrat ou, au contraire, les mesures de corruption visant à obtenir une décision de justice en sa faveur. Le délit visé par l'article 434-15-2 ne s'applique donc pas aux seules poursuites engagées pour des faits de terrorisme.
Le téléphon. Nino Ferrer. 1967
La cryptologie
De manière plus précise, le requérant affirme qu'un code d'accès à un téléphone n'est pas une convention secrète de chiffrement d'un moyen de cryptologie. A ses yeux, la loi ne vise que les personnes qui ont fourni les moyens de cryptologie, par exemple Apple ou Samsung, et non pas l'utilisateur. Une telle limitation du champ d'application serait un peu étrange, tout simplement parce que la communication des conventions de déchiffrement par les opérateurs est déjà organisée par l'article L 871-1 du code de la sécurité intérieure. Dans son arrêt de renvoi de janvier 2018, la Cour de cassation ne reprend d'ailleurs pas cet argument, estimant donc implicitement qu'il ne s'agit pas d'un moyen sérieux de nature à justifier une QPC. Le Conseil constitutionnel se réfère expressément à cette jurisprudence et mentionne que l'obligation de livrer ses codes pèse sur "toute personne, y
compris celle suspectée d'avoir commis l'infraction
à l'aide de ce moyen de cryptologie".
La vie privée
Le débat se concentre donc sur les atteintes aux droits et libertés de la personne à laquelle la communication de ses codes est ainsi réclamée. La vie privée, et plus précisément le secret de la correspondance, est invoquée par le requérant, mais le Conseil constitutionnel l'écarte rapidement. En effet, la prévention des
infractions et la recherche de leurs auteurs constituent des objectifs de valeur constitutionnelle. Une ingérence dans la vie privée des personnes est donc possible, dès lors qu'elle est réalisée sous le contrôle d'une autorité judiciaire, est proportionnée à ces objectifs.
Le droit de ne pas s'auto-incriminer
Plus sérieuse est la question du droit à ne pas s'auto-incriminer. Directement inspiré du droit américain, plus exactement du 5è Amendement
à la Constitution des Etats-Unis, il ne figure pas
dans le code pénal mais trouve son origine dans la
jurisprudence de la Cour européenne, décidément souvent influencée par une Common Law qui repose sur des principes bien différents à ceux du droit français. Consacré par un arrêt du 25 février 1993 Funke c. France,
et considéré comme un élément du droit au procès équitable, il interdit à l'accusation de recourir à des éléments de preuve obtenus
sous la contrainte ou par la ruse. Dans un arrêt très remarqué du 6 mars 2015, l'Assemblée
plénière de la Cour de cassation reprend ce principe et sanctionne pour
défaut de loyauté le fait d'avoir sonorisé deux cellules de garde à vue
dans lesquelles ont été enfermées des individus soupçonnés d'avoir
dévalisé une bijouterie.
Dans sa QPC du 30 mars 2018, le Conseil estime que le délit sanctionnant le refus de communication des codes aux enquêteurs ne porte pas une atteinte excessive au droit de ne pas contribuer à sa propre incrimination. Son analyse est identique à celle développée par la CEDH, dans son arrêt du 17 décembre 1996 Saunders c. Royaume-Uni. Il précise en effet que le droit de ne pas s'auto-incriminer ne s'étend pas aux données que l'on peut obtenir de l'accusé en usant de pouvoirs coercitifs qui existent en dehors de la volonté de l'intéressé. C'est ainsi par exemple, que le prélèvement d'ADN durant une enquête judiciaire constitue une obligation légale, à laquelle le suspect ne peut se soustraire. Le code donnant accès à un téléphone n'est pas différent. Fixé sur un support, il existe indépendamment de la volonté de la personne suspectée, et l'autorité judiciaire pourrait, en tout état de cause, l'exiger du fournisseur d'accès. Celui-ci dispose cependant d'un délai de 72 heures pour répondre à la demande, et le législateur a donc choisi de raccourcir la procédure : demander le code à la personne suspectée permet d'avoir accès aux données pendant la durée d'une garde à vue.
Le Conseil constitutionnel ne donne cependant pas à un blanc-seing dans ce domaine. D'une part, il rappelle que "l'enquête ou l'instruction doivent avoir permis
d'identifier l'existence des données traitées par le moyen de
cryptologie susceptible d'avoir été utilisé pour préparer,
faciliter ou commettre un crime ou un délit". Il affirme ainsi que cette procédure ne peut exister que durant l'enquête judiciaire. Encore ne doit-elle pas avoir pour objectif d'obtenir directement des aveux ni de reconnaissance de culpabilité. Là encore, le Conseil se réfère à la décision de la Chambre criminelle de la Cour de cassation de mars 2015 qui sanctionne une reconnaissance de culpabilité obtenue par la sonorisation d'une cellule de garde à vue. Le droit au silence comme le droit de ne pas s'auto-incriminer sont donc toujours garantis, dès lors qu'ils résultent, quant à eux, de la seule volonté de l'intéressé.
Le Conseil constitutionnel s'inscrit ainsi dans la droite ligne des jurisprudences de la CEDH et de la Cour de cassation. Plus largement, il s'intègre dans une évolution constante du droit pénal qui conduit à relativiser la place de l'aveu dans la procédure. C'est aux enquêteurs, dans le cadre d'une procédure exclusivement judiciaire, de démontrer la culpabilité du suspect. Le droit de procéder à des investigations dans le téléphone du suspect apparaît ainsi comme la conséquence de son droit au silence et à ne pas s'auto-incriminer. S'il ne veut pas coopérer dans la recherche de la vérité, son téléphone, quant à lui, risque de parler...
Sur le procès équitable : Chapitre 4 section 1 § 1 du manuel de libertés publiques : version e-book, version papier.
Il y a dans ce papier, et possiblement dans la décision du Conseil Constitutionnel, une incompréhension manifeste de la technique qui entraîne une erreur de droit du point de vue de la CEDH.
RépondreSupprimerIl est en effet incorrect de dire que la clé de chiffrement d'un téléphone (ou autre support chiffré) est fixée sur un support ou disponible chez le fournisseur d'accès. La convention de chiffrement qui sert au déchiffrage des données est uniquement disponible dans le cerveau de l'utilisateur. Le fournisseur n'y a absolument pas accès (on parle d'un chiffrement local, là) et celle-ci n'est pas non-plus, sauf exception, enregistrée sur un support de mémoire morte, sans quoi n'importe quelle personne un peu compétente techniquement pourrait déchiffrer le contenu et le chiffrement aurait fort peu d'intérêt.
Techniquement, la clé n'est disponible en permanence que dans la mémoire de la personne. Lorsqu'il l'entre sur son téléphone, celle-ci est alors fixée en mémoire vive qui ne subsiste que tant que le téléphone est alimenté. Sitôt celui-ci éteint, la clé disparaît et n'existe à nouveau que dans la mémoire de l'individu mis en cause.
Une clé de chiffrement n'est pas un élément informatique comme pourrait l'être une clé physique. Une clé de chiffrement est une information que l'utilisateur connaît et qu'il saisit pour permettre le déchiffrage des données.
Pour donner un exemple, c'est comme si je décidais de garder mon texte secret en décalant toutes les lettres d'un cran sur la droite du clavier : vpùùr vrvo ("comme ceci"). La solution de déchiffrement ("redécaler d'un cran vers la gauche") n'existe que dans ma tête, pas dans le texte où un autre endroit de mon ordinateur.
Dès lors, l'appui sur Saunders c./ Royaume-Uni est incorrect et inapproprié, et il y a fort à parier que la Cour Européenne des Droits de l'Homme condamnera la France pour ce texte de loi et son usage par les tribunaux, puisque la Cour de Cassation vient apparemment de décider de ne pas respecter le droit à ne pas s'auto-incriminer. Du moins si le recours devant la CEDH a lieu et que les choses sont correctement expliquées aux juges européens.