Le Conseil constitutionnel impose de passer par un juge pour obtenir les clés de déchiffrement

Le Conseil constitutionnel impose de passer par un juge pour obtenir les clés de déchiffrement

Des chiffres et des QPC

Avatar de l'auteur

Guénaël Pépin

Publié dansInternet

30/03/2018
25
Le Conseil constitutionnel impose de passer par un juge pour obtenir les clés de déchiffrement

Saisis en janvier, les Sages déclarent que l'obligation de fournir une convention secrète de déchiffrement ne contrevient pas au droit de garder le silence. Pour autant, il est hors de question d'imposer sa livraison sans passage devant un juge. De quoi limiter la portée de futures lois sur le sujet.

Selon le Conseil constitutionnel, l'article 434-15-2 du code pénal est conforme à la Constitution, mais avec quelques réserves. C'est ce que révèle une décision tout juste sortie du four, répondant à une question prioritaire de constitutionnalité (QPC) posée le 12 janvier par « Malek B ».

L'article en question sanctionne de cinq ans de prison et de 450 000 euros le refus de fournir une convention secrète de déchiffrement dans le cadre d'une procédure judiciaire. En clair, refuser de livrer le moyen de déchiffrer un contenu est lourdement puni, le montant ayant été multiplié par six via la loi sur la réforme pénale de 2016.

Or, selon la QPC, l'obligation de fournir la convention de déchiffrement serait contraire aux droits de garder le silence et de ne pas s'auto-incriminer. En réponse, le Conseil constitutionnel donne une lecture restrictive de cette disposition.

Un champ d'application restreint

Si, sur le fond, l'institution valide le texte, elle douche toute volonté de réclamer les clés de déchiffrement en un claquement de doigt. Les considérants 7 et 8 de la décision sont pour le moins clairs.

Le premier fixe ainsi deux limites à l'obligation de fournir « une convention secrète de déchiffrement d'un moyen de cryptologie ». Elle est valable « uniquement si ce moyen de cryptologie est susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit et uniquement si la demande émane d'une autorité judiciaire ». Pour obtenir les clés, il faut donc que les forces de l'ordre prouvent à un juge que le contenu voulu est utile à une enquête.

Le second précise que les dispositions du code pénal « n'imposent à la personne suspectée d'avoir commis une infraction, en utilisant un moyen de cryptologie, de délivrer ou de mettre en œuvre la convention secrète de déchiffrement que s'il est établi qu'elle en a connaissance ». Si un policier ou gendarme ne peut pas prouver que la personne a bien le moyen de déverrouiller le contenu, elle ne peut pas l'y obliger.

Des gardes à vue plus sereines

En pratique, désormais, les smartphones sont chiffrés via une clé propre à l'appareil, via un système que les concepteurs espèrent ne pas pouvoir déchiffrer eux-mêmes. De même, les principaux services de messagerie (comme Facebook Messenger ou WhatsApp) intègrent du chiffrement de bout en bout (mais pas toujours par défaut), en théorie incassable par ces intermédiaires ; à moins de l'affaiblir volontairement et perdre la confiance des utilisateurs.

Concrètement, cela voudrait donc dire qu'une personne en garde à vue ne serait pas immédiatement tenue de déverrouiller son téléphone ou de fournir le mot de passe d'une application de messagerie. Les policiers devraient ainsi obtenir l'aval d'un juge et la certitude que la personne détient bien le moyen de déchiffrer le contenu recherché. Les intermédiaires techniques qui chiffrent de bout en bout les contenus sont, eux, hors de portée de telles demandes, du moins en principe.

Un barrage à de futures lois

Cette interprétation limite donc toute possibilité d'amende administrative. Les forces de l'ordre ne peuvent sévir à ce sujet qu'après un passage du dossier devant un juge, en prouvant le bien-fondé de leur demande. En principe, il empêche tout débordement sécuritaire futur.

Rappelons que le chiffrement est devenu l'un des principaux points d'achoppement entre les forces de l'ordre et les groupes technologiques. Selon la gendarmerie, dans un entretien fin novembre, il est désormais impliqué dans la plupart des enquêtes et en bloquerait certaines, même si l'institution refuse toujours de livrer la moindre statistique.

Les services de messagerie fournissent d'ailleurs, pour partie, les métadonnées (qui parle à qui, quand) mais sont bien plus chatouilleuses sur les contenus, en réclamant systématiquement une commission rogatoire internationale pour en livrer le moindre octet. Là-dessus, le chiffrement de bout en bout limite leur lecture.

En France, les autorités s'arrachent les cheveux pour trouver une solution ne compromettant pas le chiffrement, assure l'ANSSI... Cela alors que les autorités européennes réarment les forces de l'ordre contre cette technique. Celles de l'Hexagone espèrent beaucoup du futur Code des télécoms européen pour accéder aux données. Aux États-Unis, le FBI réclame aux messageries de conserver une copie en clair des communications, faisant fi de l'intérêt même de protéger ces contenus...

25
Avatar de l'auteur

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 Hard 10

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Preprint not PR-print

17:31 IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

LoL Micro$oft

16:33 Soft 23

Sommaire de l'article

Introduction

Un champ d'application restreint

Des gardes à vue plus sereines

Un barrage à de futures lois

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 10

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 23
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 17
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 18
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 8
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 15

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Fairphone 5 démonté par iFixit

Sans surprise, le Fairphone 5 obtient 10/10 chez iFixit

Hard 7

WhatsApp vocaux à vue/écoute unique

WhatsApp permet d’envoyer des vocaux à écoute unique

Soft 11

Logo de Google sur un ordinateur portable

Google propose un correctif aux disparitions mystérieuses sur Drive

Soft 22

Puce AMD Instinct

IA : AMD annonce la disponibilité des accélérateurs Instinct MI300A et MI300X

Hard 0

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Cloud : 1,2 milliard d’euros pour un Projet important d’intérêt européen commun

Web 13

Sonde OSIRIS-REx de la NASA lors du retour de la capsule des échantillons sur Terre

Échantillons d’OSIRIS-REx : la NASA a frôlé la catastrophe

Science 11

CPU AMD Ryzen avec NPU pour l’IA

Ryzen 8040 : AMD lance de nouveaux CPU mobiles (Zen 4, RDNA 3, NPU)

Hard 2

Commentaires (25)


fred42 Abonné
Le 30/03/2018 à 10h25

Pas une si bonne nouvelle que cela malgré le titre.

Certes, il faut passer par un juge pour obtenir les clés de déchiffrement, mais le Conseil Constitutionnel n’a pas reconnu le droit à ne pas s’auto-incriminer dans ce cas, ce qui était l’objet de la QPC.

Il ne reste plus que la CEDH pour reconnaître ce droit dans ce cas-ci. On a déjà vu que celle-ci pouvait être plus protectrice que notre Conseil Constitutionnel.

Enfin, je m’interroge sur un un dernier point quand je lis “uniquement si ce moyen de cryptologie est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”

Où est la limite ?
Le chiffrement d’un disque dur ou du contenu d’un smartphone rentre-t-il dans ce cadre ?
Ou bien est-ce uniquement l’échange de messages chiffrés qui est concerné ?

Pour moi, le premier est une mesure de protection générale qui ne concourt pas à la commission d’un crime ou délit, le second permet de se cacher lors d’échanges permettant la préparation ou la commission d’un crime ou délit.


alex.d. Abonné
Le 30/03/2018 à 10h56

Une victoire à la Pyrrhus.
Certes il faut un juge, mais c’est quand même une négation du droit à garder le silence.
En plus, ça s’applique à de simples délits, pas uniquement aux affaires de “terrorisme”.
 


Yss
Le 30/03/2018 à 11h09

Du coup il reste : “désolé j’ai oublier mon mot de passe”.

Je trouve quand même limite que le conseil constitutionnel passe outre le droit de ne pas s’auto-incriminer. Car si je ne me trompe pas, même face à un juge on peut tout à fait refuser de répondre.


tifounon
Le 30/03/2018 à 11h23

De ce que j’en ai compris de plusieurs lectures sur le sujet, même en n’étant pas légaliste, le droit à ne pas s’incriminer est absolu et ne peut être remis en cause par une autre loi.

Par conséquent, j’en déduis, peut être faussement, que le refus de fournir les clés de déchiffrements entre dans ce droit.

Il va falloir (encore) attendre que le CEDH se prononce.


B1gBr0ther Abonné
Le 30/03/2018 à 11h39






Yss a écrit :

Du coup il reste : “désolé j’ai oublier mon mot de passe”.


il y a toujours un moyen de le récupérer. sauf si tu as prévu le mail jetable disparu depuis, mais ça va se voir ^^



fred42 Abonné
Le 30/03/2018 à 11h48

Il me semble qu’il parle de mot de passe (ou plutôt de passphrase) qui protège une clé de déchiffrement) et cela, c’est impossible à trouver sauf par brute force si mal choisi. Il n’est stocké nulle part sauf dans la tête de la personne.


WereWindle
Le 30/03/2018 à 11h50






fred42 a écrit :

Il me semble qu’il parle de mot de passe (ou plutôt de passphrase) qui protège une clé de déchiffrement) et cela, c’est impossible à trouver sauf par brute force si mal choisi. Il n’est stocké nulle part sauf dans la tête de la personne… et sur un post-it sous son clavier


<img data-src=" />



fred42 Abonné
Le 30/03/2018 à 11h54

J’ose espérer que les gens ne procèdent pas ainsi pour leur mot de passe protégeant le chiffrement de leur disque dur ou de leur smartphone.

De toute façon, dans ce cas, le mot de passe aura été trouvé lors de la perquisition et les problèmes soulevés ici ne se poseront pas.


js2082
Le 30/03/2018 à 12h08






fred42 a écrit :

Il ne reste plus que la CEDH pour reconnaître ce droit dans ce cas-ci. On a déjà vu que celle-ci pouvait être plus protectrice que notre Conseil Constitutionnel.


A ma connaissance, la CEDH a quasi-systématiquement été plus protectrice que notre conseil constitutionnel (excepté dans certains cas où le lobbyisme industriel a fait son œuvre).

La France est condamnée tous les ans pour violation de la convention européenne des droits de l’homme, et tous les ans, plutôt que de corriger ses procédures internes, elle préfère payer des amendes creusant chaque fois un peu plus son déficit.

&nbsp;Le droit au silence est un droit fondamental dans la procédure pénale. Cette loi vient en contradiction pleine et entière avec ce droit. Obliger de donner ses codes, avec ou sans intervention du juge, signifie obliger le prévenu à parler, le forcer à rompre son droit au silence.&nbsp; L’intervention du juge ne changeant rien à cet état de fait.
Les droits de la défense ne sont donc pas respectés.

&nbsp;Le Conseil constitutionnel s’est clairement fourvoyé: je crois qu’il n’a pas compris que ces infos seraient demandées au prévenu et non à des tiers.

La condamnation par la CEDH est quasi-certaine (enfin sauf si les avocats de la défense sont mauvais)



Jarodd Abonné
Le 30/03/2018 à 12h18

Je suis plus pessimiste que le ton de l’actu… Certes il faut un juge, mais on se souvient il y a quelques années de ce(tte) juge, dans l’affaire Bluetooth il me semble, qui avait dit “mais c’est quoi ce gougueule dont vous parlez sans arrêt ?!?”

Donc il y a un risque, pas si minime que cela, que la décision soit prise en fonction de la pression des forces de l’ordre, quand de l’autre côté les arguments techniques ne porteront pas leurs fruits, par méconnaissance du sujet.


Vilainkrauko Abonné
Le 30/03/2018 à 12h21

Si j’ai tout comprite : Si on a un container protégé par une mot de passe (Avec Veracript par exemple), et que si l’on refuse d’en donner le mot de passe on risque des sushi …

J’ai bon ?


fred42 Abonné
Le 30/03/2018 à 12h27

Sur le fait que la CEDH est généralement plus protectrice, je suis d’accord, en particulier sur ce sujet de la non-auto-incrimination. On peut voir ici des cas très proches où les droits à la non auto-incrimination ou au silence sont reconnus.

Par contre, il ne faut pas sous-estimer le Conseil Constitutionnel, il avait bien compris qu’il s’agissait du prévenu, cela est clair à la lecture de sa décision (mise en lien dans l’article), voir particulièrement le point 8. Je ne partage pas forcément ses conclusions, mais il avait bien compris la question.


Amabaka Abonné
Le 30/03/2018 à 12h43

Je ne connaissais&nbsp; pas le gogleu, pas mal&nbsp;<img data-src=" />
&nbsphttps://beta.arretsurimages.net/articles/gogleu-a-la-cour-dappel-de-paris


js2082
Le 30/03/2018 à 13h00






fred42 a écrit :

Par contre, il ne faut pas sous-estimer le Conseil Constitutionnel, il avait bien compris qu’il s’agissait du prévenu, cela est clair à la lecture de sa décision (mise en lien dans l’article), voir particulièrement le point 8. Je ne partage pas forcément ses conclusions, mais il avait bien compris la question.


Effectivement.
En lisant ce paragraphe, j’avoue être quelque peu sidéré par la suite où le conseil précise :
“ ces dispositions n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées.”
et juste après&nbsp;
“ En outre, l’enquête ou l’instruction doivent avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit.”

Il dit un truc et son contraire juste après, sans même se rendre compte de son erreur.<img data-src=" />
&nbsp;

D’ailleurs, leur argument de la 1er phrase peut être aisément battu en brèche:
Si ces dispositions n’ont pas pour objet



                   d'obtenir des aveux de sa part, ni    


reconnaissance ni présomption de culpabilité, ça signifie qu’elles ne serviront alors à rien pour la procédure.
Pourquoi réclamer le déchiffrage de ces données alors?

Je sens que la condamnation de la France ne va pas tarder.



ragoutoutou Abonné
Le 30/03/2018 à 13h28






js2082 a écrit :

Je sens que la condamnation de la France ne va pas tarder.



Elle redemandera une suspension sélective de l’application de la convention européenne des droits de l’homme, elle a l’habitude, et la 11è fois c’est gratuit…



fred42 Abonné
Le 30/03/2018 à 13h39

Elle ne peut pas le faire hors état d’urgence.

De plus, cela ne concerne pas que les cas de terrorisme ou autres faits graves, mais aussi les délits.


ragoutoutou Abonné
Le 30/03/2018 à 13h52






fred42 a écrit :

Elle ne peut pas le faire hors état d’urgence.
&nbsp;
De plus, cela ne concerne pas que les cas de terrorisme ou autres faits graves, mais aussi les délits.


L’état d’urgence a servi à pas mal de choses qui n’avaient aucun lien avec le terrorisme, ou même avec des faits graves (autre que les violations des droits humains effectuées dans le cadre de l’état d’urgence).

Puis bon, on est jamais loi de voir l’état d’urgence réactivé …



fred42 Abonné
Le 30/03/2018 à 14h01

Je parlais d’un point de vue légal par rapport à la convention européenne des droits de l’homme.

L’état d’urgence ne sera pas réactivé par ce gouvernement, toutes leurs déclarations récentes sont claires là-dessus.

Et je doute que Laurent Wauquiez ou Marine Le Pen n’accèdent au pouvoir rapidement.


psn00ps Abonné
Le 30/03/2018 à 14h13

Je n’oublie pas leur “en même temps” qui est malheureusement très à la mode.


fred42 Abonné
Le 30/03/2018 à 14h16

Si tu as quelque chose de concret à dire sur le sujet, n’hésite surtout pas. Là, ton intervention est inutile.


hellmut Abonné
Le 30/03/2018 à 14h20

c’est juste que vu le nombre de mesures de l’état d’urgence qui sont maintenant dans le régime commun, il n’y a effectivement aucun intérêt à réactiver l’état d’urgence. A moins évidemment de refaire 10000 perquisitions comme le réclame Ciotti (autrement dit: faire du chiffre pour faire semblant d’agir, puisqu’on sait très bien à quoi ont servi toutes ces perqui pendant l’état d’urgence).


Zerdligham Abonné
Le 30/03/2018 à 14h32






fred42 a écrit :

J’ose espérer que les gens ne procèdent pas ainsi pour leur mot de passe protégeant le chiffrement de leur disque dur ou de leur smartphone.


Pour les gens qui se protègent à titre personnel, probablement pas.
Pour les gens qui savent pas se servir des outils fournit par leur employeur, je l’ai déjà vu à plusieurs reprises…



js2082 a écrit :

D’ailleurs, leur argument de la 1er phrase peut être aisément battu en brèche:
Si ces dispositions n’ont pas pour objet d’obtenir des aveux de sa part, ni reconnaissance ni présomption de culpabilité, ça signifie qu’elles ne serviront alors à rien pour la procédure.
Pourquoi réclamer le déchiffrage de ces données alors?


Déchiffrement <img data-src=" />

Pour choper leurs complices?
Je ne connais pas les textes de loi en vigueur, mais peut-être pourrait-il être considéré qu’un accusé n’a pas le droit de refuser l’accès à des données qui pourraient servir à inculper d’autres personnes. Dans ce cas-là, il se retrouverait un peu dans la même situation que l’intermédiaire technique pour lequel refuser de livrer la clé serait considéré comme de l’obstruction à une enquête sur quelqu’un d’autre.
Bon, en pratique, je ne vois pas trop comment on pourrait garantir que ça ne soit pas utilisé contre lui.



Ricard
Le 30/03/2018 à 20h14






fred42 a écrit :

Si tu as quelque chose de concret à dire sur le sujet, n’hésite surtout pas. Là, ton intervention est inutile.


vive la liberté d’expression.<img data-src=" />



fred42 Abonné
Le 30/03/2018 à 21h13

Il a le droit de dire n’importe quoi et j’ai le droit de lui dire que son message ne sert à rien.

C’est ça la liberté d’expression.


Ricard
Le 31/03/2018 à 11h15






fred42 a écrit :

Il a le droit de dire n’importe quoi et j’ai le droit de lui dire que son message ne sert à rien.



C’est ton point de vue. Ca se discute pas.<img data-src=" />