Le suspect peut être contraint de déchiffrer

Le Conseil constitutionnel estime qu’il n’est pas contraire à la Constitution d’obliger un suspect, sous menace de sanctions pénales, de remettre aux enquêteurs la clé de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. Une décision qui fait autorité mais qui apparait pourtant pauvrement motivée.

Le problème
A ce jour, il n’y a quasiment plus aucune enquête pénale qui ne repose, au moins en partie, sur des outils technologiques : téléphone, mail, réseaux sociaux, messagerie telegram ou similaire, liste des applications utilisées, géo-localisation et relevé des déplacements, SMS, images échangées, historique d’utilisation, mots-clés recherchés, accès aux fichiers du PC, etc.

Ces outils sont très souvent protégés en accès, et les données sont fréquemment chiffrées.

Or, il faut statistiquement quelques centaines d’années à un PC robuste pour forcer une clé de chiffrement usuelle.

Les enquêteurs, qui croulent sous le travail et doivent aller vite notamment dans les enquêtes préventives (empêcher un crime), s’arrachent les cheveux et tentent de trouver des parades.

La parade la plus classique consiste à recourir au fournisseur. Quoi de plus simple, pour un policier qui veut accéder à un iPhone, que de demander à Apple d’en ouvrir l’accès ? C’est ce qui passé aux USA l’an passé, mais le fabricant qui tient à préserver la sécurité de ses appareils ne veut pas entendre parler de backdoor de ce type. L’affaire est politique, juridique et très sensible et oppose frontalement le FBI et la CIA d’un côté, et les plus célèbres sociétés américaines de l’autre.

L’autre parade consiste à forcer celui qui a chiffré les données à fournir la clé de déchiffrement.

Problème : quel suspect sera assez naïf pour donner avec plaisir aux enquêteurs qui veulent le coincer, le précieux sésame qui les aidera à y parvenir ? Un policier nous disait un jour que quand un suspect collabore volontairement au déchiffrement, il faut surtout se demander s’il n’essaie pas d’envoyer les enquêteurs dans une mauvaise direction.

D’où l’idée d’inscrire dans la loi une obligation assez large de collaboration : c’est, en droit français, l’article 434-15-2 du Code pénal.

L’article 434-15-2 du code pénal
« Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende. »

La question prioritaire de constitutionnalité
Tout le monde a déjà vu des films policiers dans lesquels, lors de l’arrestation, on signale au suspect : « vous avez le droit de garder le silence ».

Derrière cette formule, il y a un droit fondamental : celui de ne pas s’auto-incriminer. C’est aux enquêteurs à apporter la preuve de la culpabilité de la personne suspectée, et cette dernière peut, si elle le souhaite, ne pas contribuer du tout, par exemple en se taisant de façon systématique.

Ce principe est une des composantes importantes du droit au procès équitable, qui est lui-même un droit fondamental sacro-saint.

Lors de l’adoption de l’article 434-15-2 en 2001, la CNIL avait déjà averti que cette disposition ne peut pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête, car ce serait contraire au droit de ne pas s’auto-incriminer.

Cela concerne le suspect, mais aussi toutes les personnes qui gravitent autour de l’enquête et pourraient être impliquées : complice, coauteur, commanditaire.

La question est complexe.

Dans le cadre d’une affaire pénale ayant abouti devant la Cour de cassation, celle-ci a reconnu par arrêt du 10 janvier 2018, que le problème est sérieux : l’article 434-15-2 du code pénal contraint, sous menace de sanctions pénales, une personne suspectée dans le cadre d’une procédure pénale, à remettre aux enquêteurs la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, et cela pourrait porter atteinte au droit de ne pas faire de déclaration et à celui de ne pas contribuer à sa propre incrimination qui résultent des articles 9 et 16 de la Déclaration des Droits de l’homme et du Citoyen du 26 août 1789.

La QPC est ainsi rédigée :

« Les dispositions de l’article 434-15-2 du code pénal en ce qu’elles ne permettent pas au mis en cause, auquel il est demandé la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit :

de faire usage de son droit au silence ;
et du droit de ne pas s’auto-incriminer ;
sont-elles contraires au principe du droit au procès équitable prévu par l’article 16 de la Déclaration des Droits de l’homme et du Citoyen du 26 août 1789, au principe de la présomption d’innocence, duquel découle droit de ne pas s’auto-incriminer et le droit de se taire, prévu à l’article 9 de la Déclaration des Droits de l’Homme et du Citoyen du 26 août 1789 ? »

La décision du Conseil constitutionnel
Le Conseil relève tout d’abord que l’objectif du législateur ayant adopté l’article 434-15-2 est la prévention des infractions et la recherche des auteurs d’infractions, tous deux nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle.

Le Conseil relève encore que les dispositions critiquées :

n’imposent à la personne suspectée d’avoir commis une infraction, en utilisant un moyen de cryptologie, de délivrer ou de mettre en œuvre la convention secrète de déchiffrement que s’il est établi qu’elle en a connaissance.
n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées.
N’ont de sens que dans le cas où l’enquête ou l’instruction ont permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit.
Ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée.
Le Conseil en déduit que « les dispositions contestées ne portent pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances. »