« La liberté, ce bien qui fait jouir des autres biens », écrivait Montesquieu. Et Tocqueville : « Qui cherche dans la liberté autre chose qu’elle même est fait pour servir ». Qui s’intéresse aujourd’hui à la liberté ? A celle qui ne se confond pas avec le libéralisme économique, dont on mesure combien il peut être source de prospérité mais aussi d’inégalités et de contraintes sociales ? A celle qui fonde le respect de la vie privée et la participation authentique à la vie publique ? La liberté devrait être au cœur de la démocratie et de l’Etat de droit. En même temps, elle ne peut être maintenue et garantie que par la vigilance et l’action des individus. Ils ne sauraient en être simples bénéficiaires ou rentiers, ils doivent non seulement l’exercer mais encore surveiller attentivement ses conditions d’exercice. Tâche d’autant plus nécessaire dans une période où les atteintes qui lui sont portées sont aussi insidieuses que multiples.


samedi 31 mars 2018

Le code du téléphone devant le Conseil constitutionnel

Dans une décision M. Malek B. du 30 mars 2018, rendue sur question prioritaire de constitutionnalité, le Conseil constitutionnel déclare conforme à la Constitution le délit sanctionné par l'article 434-15-2 du code pénal. Il punit  de trois ans d'emprisonnement et de 270 000  € d'amende le fait "pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorité". 

Le législateur avait défini la cryptologie, dès la loi du 21 juin 2004 pour la confiance dans l'économie numérique, comme "tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité".

Dans le cas de Malek B., les faits à l'origine de la QPC sont d'une grande banalité. L'intéressé est arrêté en possession produits stupéfiants et, lors de l'enquête de flagrance, la police lui demande le code d'accès à son téléphone portable. Il refuse, et invoque essentiellement deux moyens, à l'appui de sa QPC. Il estime en effet que les dispositions de l'article 434-15-2 du code pénal ne lui sont applicables et qu'elles portent atteinte à son droit de ne pas s'auto-incriminer.

Au-delà du terrorisme

 

Le Conseil constitutionnel ne reprend pas l'argument reposant sur l'idée que la loi du 3 juin 2016 ne s'appliquerait qu'à la lutte contre le terrorisme, au sens le plus étroit du terme. Malek B., arrêté en possession de drogue ne pourrait donc faire l'objet d'une procédure prévue par ce texte. Un tel argument ne repose en effet sur aucun fondement sérieux. La loi du 3 juin 2016 ne vise pas seulement à renforcer la lutte contre le terrorisme, mais vise aussi la grande criminalité et donc le trafic de produits stupéfiants. Le délit de refus de communiquer la convention de déchiffrement figure d'ailleurs dans une section du code pénal consacrée aux entraves à l'exercice de la justice. Les infractions qui y figurent sont d'ordre très général, et on y trouve aussi bien les mesures d'intimidations commises envers un magistrat ou, au contraire, les mesures de corruption visant à obtenir une décision de justice en sa faveur. Le délit visé par l'article 434-15-2 ne s'applique donc pas aux seules poursuites engagées pour des faits de terrorisme.

Le téléphon. Nino Ferrer. 1967

La cryptologie


De manière plus précise, le requérant affirme qu'un code d'accès à un téléphone n'est pas une  convention secrète de chiffrement d'un moyen de cryptologie. A ses yeux, la loi ne vise que les personnes qui ont fourni les moyens de cryptologie, par exemple Apple ou Samsung, et non pas l'utilisateur. Une telle limitation du champ d'application serait un peu étrange, tout simplement parce que la communication des conventions de déchiffrement par les opérateurs est déjà organisée par l'article L 871-1 du code de la sécurité intérieure. Dans son arrêt de renvoi de janvier 2018, la Cour de cassation ne reprend d'ailleurs pas cet argument, estimant donc implicitement qu'il ne s'agit pas d'un moyen sérieux de nature à justifier une QPC. Le Conseil constitutionnel se réfère expressément à cette jurisprudence et mentionne que l'obligation de livrer ses codes pèse sur "toute personne, y compris celle suspectée d'avoir commis l'infraction à l'aide de ce moyen de cryptologie". 

La vie privée


Le débat se concentre donc sur les atteintes aux droits et libertés de la personne à laquelle la communication de ses codes est ainsi réclamée. La vie privée, et plus précisément le secret de la correspondance, est invoquée par le requérant, mais le Conseil constitutionnel l'écarte rapidement. En effet, la prévention des infractions et la recherche de leurs auteurs constituent des objectifs de valeur constitutionnelle. Une ingérence dans la vie privée des personnes est donc possible, dès lors qu'elle est réalisée sous le contrôle d'une autorité judiciaire, est proportionnée à ces objectifs.

Le droit de ne pas s'auto-incriminer


Plus sérieuse est la question du droit à ne pas s'auto-incriminer. Directement inspiré du droit américain, plus exactement du 5è Amendement à la Constitution des Etats-Unis, il ne figure pas dans le code pénal mais trouve son origine dans la jurisprudence de la Cour européenne, décidément souvent influencée par une Common Law qui repose sur des principes bien différents à ceux du droit français. Consacré par un arrêt du 25 février 1993 Funke c. France, et considéré comme un élément du droit au procès équitable, il interdit à l'accusation de recourir à des éléments de preuve obtenus sous la contrainte ou par la ruse. Dans un arrêt très remarqué du 6 mars 2015, l'Assemblée plénière de la Cour de cassation reprend ce principe et sanctionne pour défaut de loyauté le fait d'avoir sonorisé deux cellules de garde à vue dans lesquelles ont été enfermées des individus soupçonnés d'avoir dévalisé une bijouterie. 

Dans sa QPC du 30 mars 2018, le Conseil estime que le délit sanctionnant le refus de communication des codes aux enquêteurs ne porte pas une atteinte excessive au droit de ne pas contribuer à sa propre incrimination. Son analyse est identique à celle développée par la CEDH, dans son arrêt du 17 décembre 1996 Saunders c. Royaume-Uni. Il précise en effet que le droit de ne pas s'auto-incriminer ne s'étend pas aux données que l'on peut obtenir de l'accusé en usant de pouvoirs coercitifs qui existent en dehors de la volonté de l'intéressé. C'est ainsi par exemple, que le prélèvement d'ADN durant une enquête judiciaire constitue une obligation légale, à laquelle le suspect ne peut se soustraire.  Le code donnant accès à un téléphone n'est pas différent. Fixé sur un support, il existe indépendamment de la volonté de la personne suspectée, et l'autorité judiciaire pourrait, en tout état de cause, l'exiger du fournisseur d'accès. Celui-ci dispose cependant d'un délai de 72 heures pour répondre à la demande, et le législateur a donc choisi de raccourcir la procédure : demander le code à la personne suspectée permet d'avoir accès aux données pendant la durée d'une garde à vue.

Le Conseil constitutionnel ne donne cependant pas à un blanc-seing dans ce domaine. D'une part, il rappelle que "l'enquête ou l'instruction doivent avoir permis d'identifier l'existence des données traitées par le moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit". Il affirme ainsi que cette procédure ne peut exister que durant l'enquête judiciaire. Encore ne doit-elle pas avoir pour objectif d'obtenir directement des aveux ni de reconnaissance de culpabilité. Là encore, le Conseil se réfère à la décision de la Chambre criminelle de la Cour de cassation de mars 2015 qui sanctionne une reconnaissance de culpabilité obtenue par la sonorisation d'une cellule de garde à vue. Le droit au silence comme le droit de ne pas s'auto-incriminer sont donc toujours garantis, dès lors qu'ils résultent, quant à eux, de la seule volonté de l'intéressé.

Le Conseil constitutionnel s'inscrit ainsi dans la droite ligne des jurisprudences de la CEDH et de la Cour de cassation. Plus largement, il s'intègre dans une évolution constante du droit pénal qui conduit à relativiser la place de l'aveu dans la procédure. C'est aux enquêteurs, dans le cadre d'une procédure exclusivement judiciaire, de démontrer la culpabilité du suspect. Le droit de procéder à des investigations dans le téléphone du suspect apparaît ainsi comme la conséquence de son droit au silence et à ne pas s'auto-incriminer. S'il ne veut pas coopérer dans la recherche de la vérité, son téléphone, quant à lui, risque de parler...


Sur le procès équitable : Chapitre 4 section 1 § 1 du manuel de libertés publiques : version e-book, version papier.






1 commentaire:

  1. Il y a dans ce papier, et possiblement dans la décision du Conseil Constitutionnel, une incompréhension manifeste de la technique qui entraîne une erreur de droit du point de vue de la CEDH.

    Il est en effet incorrect de dire que la clé de chiffrement d'un téléphone (ou autre support chiffré) est fixée sur un support ou disponible chez le fournisseur d'accès. La convention de chiffrement qui sert au déchiffrage des données est uniquement disponible dans le cerveau de l'utilisateur. Le fournisseur n'y a absolument pas accès (on parle d'un chiffrement local, là) et celle-ci n'est pas non-plus, sauf exception, enregistrée sur un support de mémoire morte, sans quoi n'importe quelle personne un peu compétente techniquement pourrait déchiffrer le contenu et le chiffrement aurait fort peu d'intérêt.

    Techniquement, la clé n'est disponible en permanence que dans la mémoire de la personne. Lorsqu'il l'entre sur son téléphone, celle-ci est alors fixée en mémoire vive qui ne subsiste que tant que le téléphone est alimenté. Sitôt celui-ci éteint, la clé disparaît et n'existe à nouveau que dans la mémoire de l'individu mis en cause.

    Une clé de chiffrement n'est pas un élément informatique comme pourrait l'être une clé physique. Une clé de chiffrement est une information que l'utilisateur connaît et qu'il saisit pour permettre le déchiffrage des données.

    Pour donner un exemple, c'est comme si je décidais de garder mon texte secret en décalant toutes les lettres d'un cran sur la droite du clavier : vpùùr vrvo ("comme ceci"). La solution de déchiffrement ("redécaler d'un cran vers la gauche") n'existe que dans ma tête, pas dans le texte où un autre endroit de mon ordinateur.

    Dès lors, l'appui sur Saunders c./ Royaume-Uni est incorrect et inapproprié, et il y a fort à parier que la Cour Européenne des Droits de l'Homme condamnera la France pour ce texte de loi et son usage par les tribunaux, puisque la Cour de Cassation vient apparemment de décider de ne pas respecter le droit à ne pas s'auto-incriminer. Du moins si le recours devant la CEDH a lieu et que les choses sont correctement expliquées aux juges européens.

    RépondreSupprimer