Saisis en janvier, les Sages déclarent que l'obligation de fournir une convention secrète de déchiffrement ne contrevient pas au droit de garder le silence. Pour autant, il est hors de question d'imposer sa livraison sans passage devant un juge. De quoi limiter la portée de futures lois sur le sujet.
Selon le Conseil constitutionnel, l'article 434-15-2 du code pénal est conforme à la Constitution, mais avec quelques réserves. C'est ce que révèle une décision tout juste sortie du four, répondant à une question prioritaire de constitutionnalité (QPC) posée le 12 janvier par « Malek B ».
L'article en question sanctionne de cinq ans de prison et de 450 000 euros le refus de fournir une convention secrète de déchiffrement dans le cadre d'une procédure judiciaire. En clair, refuser de livrer le moyen de déchiffrer un contenu est lourdement puni, le montant ayant été multiplié par six via la loi sur la réforme pénale de 2016.
Or, selon la QPC, l'obligation de fournir la convention de déchiffrement serait contraire aux droits de garder le silence et de ne pas s'auto-incriminer. En réponse, le Conseil constitutionnel donne une lecture restrictive de cette disposition.
Un champ d'application restreint
Si, sur le fond, l'institution valide le texte, elle douche toute volonté de réclamer les clés de déchiffrement en un claquement de doigt. Les considérants 7 et 8 de la décision sont pour le moins clairs.
Le premier fixe ainsi deux limites à l'obligation de fournir « une convention secrète de déchiffrement d'un moyen de cryptologie ». Elle est valable « uniquement si ce moyen de cryptologie est susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit et uniquement si la demande émane d'une autorité judiciaire ». Pour obtenir les clés, il faut donc que les forces de l'ordre prouvent à un juge que le contenu voulu est utile à une enquête.
Le second précise que les dispositions du code pénal « n'imposent à la personne suspectée d'avoir commis une infraction, en utilisant un moyen de cryptologie, de délivrer ou de mettre en œuvre la convention secrète de déchiffrement que s'il est établi qu'elle en a connaissance ». Si un policier ou gendarme ne peut pas prouver que la personne a bien le moyen de déverrouiller le contenu, elle ne peut pas l'y obliger.
Des gardes à vue plus sereines
En pratique, désormais, les smartphones sont chiffrés via une clé propre à l'appareil, via un système que les concepteurs espèrent ne pas pouvoir déchiffrer eux-mêmes. De même, les principaux services de messagerie (comme Facebook Messenger ou WhatsApp) intègrent du chiffrement de bout en bout (mais pas toujours par défaut), en théorie incassable par ces intermédiaires ; à moins de l'affaiblir volontairement et perdre la confiance des utilisateurs.
Concrètement, cela voudrait donc dire qu'une personne en garde à vue ne serait pas immédiatement tenue de déverrouiller son téléphone ou de fournir le mot de passe d'une application de messagerie. Les policiers devraient ainsi obtenir l'aval d'un juge et la certitude que la personne détient bien le moyen de déchiffrer le contenu recherché. Les intermédiaires techniques qui chiffrent de bout en bout les contenus sont, eux, hors de portée de telles demandes, du moins en principe.
Un barrage à de futures lois
Cette interprétation limite donc toute possibilité d'amende administrative. Les forces de l'ordre ne peuvent sévir à ce sujet qu'après un passage du dossier devant un juge, en prouvant le bien-fondé de leur demande. En principe, il empêche tout débordement sécuritaire futur.
Rappelons que le chiffrement est devenu l'un des principaux points d'achoppement entre les forces de l'ordre et les groupes technologiques. Selon la gendarmerie, dans un entretien fin novembre, il est désormais impliqué dans la plupart des enquêtes et en bloquerait certaines, même si l'institution refuse toujours de livrer la moindre statistique.
Les services de messagerie fournissent d'ailleurs, pour partie, les métadonnées (qui parle à qui, quand) mais sont bien plus chatouilleuses sur les contenus, en réclamant systématiquement une commission rogatoire internationale pour en livrer le moindre octet. Là-dessus, le chiffrement de bout en bout limite leur lecture.
En France, les autorités s'arrachent les cheveux pour trouver une solution ne compromettant pas le chiffrement, assure l'ANSSI... Cela alors que les autorités européennes réarment les forces de l'ordre contre cette technique. Celles de l'Hexagone espèrent beaucoup du futur Code des télécoms européen pour accéder aux données. Aux États-Unis, le FBI réclame aux messageries de conserver une copie en clair des communications, faisant fi de l'intérêt même de protéger ces contenus...
Commentaires (25)
Pas une si bonne nouvelle que cela malgré le titre.
Certes, il faut passer par un juge pour obtenir les clés de déchiffrement, mais le Conseil Constitutionnel n’a pas reconnu le droit à ne pas s’auto-incriminer dans ce cas, ce qui était l’objet de la QPC.
Il ne reste plus que la CEDH pour reconnaître ce droit dans ce cas-ci. On a déjà vu que celle-ci pouvait être plus protectrice que notre Conseil Constitutionnel.
Enfin, je m’interroge sur un un dernier point quand je lis “uniquement si ce moyen de cryptologie est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”
Où est la limite ?
Le chiffrement d’un disque dur ou du contenu d’un smartphone rentre-t-il dans ce cadre ?
Ou bien est-ce uniquement l’échange de messages chiffrés qui est concerné ?
Pour moi, le premier est une mesure de protection générale qui ne concourt pas à la commission d’un crime ou délit, le second permet de se cacher lors d’échanges permettant la préparation ou la commission d’un crime ou délit.
Une victoire à la Pyrrhus.
Certes il faut un juge, mais c’est quand même une négation du droit à garder le silence.
En plus, ça s’applique à de simples délits, pas uniquement aux affaires de “terrorisme”.
Du coup il reste : “désolé j’ai oublier mon mot de passe”.
Je trouve quand même limite que le conseil constitutionnel passe outre le droit de ne pas s’auto-incriminer. Car si je ne me trompe pas, même face à un juge on peut tout à fait refuser de répondre.
De ce que j’en ai compris de plusieurs lectures sur le sujet, même en n’étant pas légaliste, le droit à ne pas s’incriminer est absolu et ne peut être remis en cause par une autre loi.
Par conséquent, j’en déduis, peut être faussement, que le refus de fournir les clés de déchiffrements entre dans ce droit.
Il va falloir (encore) attendre que le CEDH se prononce.
Il me semble qu’il parle de mot de passe (ou plutôt de passphrase) qui protège une clé de déchiffrement) et cela, c’est impossible à trouver sauf par brute force si mal choisi. Il n’est stocké nulle part sauf dans la tête de la personne.
J’ose espérer que les gens ne procèdent pas ainsi pour leur mot de passe protégeant le chiffrement de leur disque dur ou de leur smartphone.
De toute façon, dans ce cas, le mot de passe aura été trouvé lors de la perquisition et les problèmes soulevés ici ne se poseront pas.
Je suis plus pessimiste que le ton de l’actu… Certes il faut un juge, mais on se souvient il y a quelques années de ce(tte) juge, dans l’affaire Bluetooth il me semble, qui avait dit “mais c’est quoi ce gougueule dont vous parlez sans arrêt ?!?”
Donc il y a un risque, pas si minime que cela, que la décision soit prise en fonction de la pression des forces de l’ordre, quand de l’autre côté les arguments techniques ne porteront pas leurs fruits, par méconnaissance du sujet.
Si j’ai tout comprite : Si on a un container protégé par une mot de passe (Avec Veracript par exemple), et que si l’on refuse d’en donner le mot de passe on risque des sushi …
J’ai bon ?
Sur le fait que la CEDH est généralement plus protectrice, je suis d’accord, en particulier sur ce sujet de la non-auto-incrimination. On peut voir ici des cas très proches où les droits à la non auto-incrimination ou au silence sont reconnus.
Par contre, il ne faut pas sous-estimer le Conseil Constitutionnel, il avait bien compris qu’il s’agissait du prévenu, cela est clair à la lecture de sa décision (mise en lien dans l’article), voir particulièrement le point 8. Je ne partage pas forcément ses conclusions, mais il avait bien compris la question.
Je ne connaissais pas le gogleu, pas mal 
" />
 https://beta.arretsurimages.net/articles/gogleu-a-la-cour-dappel-de-paris
Elle ne peut pas le faire hors état d’urgence.
De plus, cela ne concerne pas que les cas de terrorisme ou autres faits graves, mais aussi les délits.
Je parlais d’un point de vue légal par rapport à la convention européenne des droits de l’homme.
L’état d’urgence ne sera pas réactivé par ce gouvernement, toutes leurs déclarations récentes sont claires là-dessus.
Et je doute que Laurent Wauquiez ou Marine Le Pen n’accèdent au pouvoir rapidement.
Je n’oublie pas leur “en même temps” qui est malheureusement très à la mode.
Si tu as quelque chose de concret à dire sur le sujet, n’hésite surtout pas. Là, ton intervention est inutile.
c’est juste que vu le nombre de mesures de l’état d’urgence qui sont maintenant dans le régime commun, il n’y a effectivement aucun intérêt à réactiver l’état d’urgence. A moins évidemment de refaire 10000 perquisitions comme le réclame Ciotti (autrement dit: faire du chiffre pour faire semblant d’agir, puisqu’on sait très bien à quoi ont servi toutes ces perqui pendant l’état d’urgence).
Il a le droit de dire n’importe quoi et j’ai le droit de lui dire que son message ne sert à rien.
C’est ça la liberté d’expression.