Le Conseil constitutionnel impose de passer par un juge pour obtenir les clés de déchiffrement

Le Conseil constitutionnel impose de passer par un juge pour obtenir les clés de déchiffrement

Des chiffres et des QPC

25

Le Conseil constitutionnel impose de passer par un juge pour obtenir les clés de déchiffrement

Saisis en janvier, les Sages déclarent que l'obligation de fournir une convention secrète de déchiffrement ne contrevient pas au droit de garder le silence. Pour autant, il est hors de question d'imposer sa livraison sans passage devant un juge. De quoi limiter la portée de futures lois sur le sujet.

Selon le Conseil constitutionnel, l'article 434-15-2 du code pénal est conforme à la Constitution, mais avec quelques réserves. C'est ce que révèle une décision tout juste sortie du four, répondant à une question prioritaire de constitutionnalité (QPC) posée le 12 janvier par « Malek B ».

L'article en question sanctionne de cinq ans de prison et de 450 000 euros le refus de fournir une convention secrète de déchiffrement dans le cadre d'une procédure judiciaire. En clair, refuser de livrer le moyen de déchiffrer un contenu est lourdement puni, le montant ayant été multiplié par six via la loi sur la réforme pénale de 2016.

Or, selon la QPC, l'obligation de fournir la convention de déchiffrement serait contraire aux droits de garder le silence et de ne pas s'auto-incriminer. En réponse, le Conseil constitutionnel donne une lecture restrictive de cette disposition.

Un champ d'application restreint

Si, sur le fond, l'institution valide le texte, elle douche toute volonté de réclamer les clés de déchiffrement en un claquement de doigt. Les considérants 7 et 8 de la décision sont pour le moins clairs.

Le premier fixe ainsi deux limites à l'obligation de fournir « une convention secrète de déchiffrement d'un moyen de cryptologie ». Elle est valable « uniquement si ce moyen de cryptologie est susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit et uniquement si la demande émane d'une autorité judiciaire ». Pour obtenir les clés, il faut donc que les forces de l'ordre prouvent à un juge que le contenu voulu est utile à une enquête.

Le second précise que les dispositions du code pénal « n'imposent à la personne suspectée d'avoir commis une infraction, en utilisant un moyen de cryptologie, de délivrer ou de mettre en œuvre la convention secrète de déchiffrement que s'il est établi qu'elle en a connaissance ». Si un policier ou gendarme ne peut pas prouver que la personne a bien le moyen de déverrouiller le contenu, elle ne peut pas l'y obliger.

Des gardes à vue plus sereines

En pratique, désormais, les smartphones sont chiffrés via une clé propre à l'appareil, via un système que les concepteurs espèrent ne pas pouvoir déchiffrer eux-mêmes. De même, les principaux services de messagerie (comme Facebook Messenger ou WhatsApp) intègrent du chiffrement de bout en bout (mais pas toujours par défaut), en théorie incassable par ces intermédiaires ; à moins de l'affaiblir volontairement et perdre la confiance des utilisateurs.

Concrètement, cela voudrait donc dire qu'une personne en garde à vue ne serait pas immédiatement tenue de déverrouiller son téléphone ou de fournir le mot de passe d'une application de messagerie. Les policiers devraient ainsi obtenir l'aval d'un juge et la certitude que la personne détient bien le moyen de déchiffrer le contenu recherché. Les intermédiaires techniques qui chiffrent de bout en bout les contenus sont, eux, hors de portée de telles demandes, du moins en principe.

Un barrage à de futures lois

Cette interprétation limite donc toute possibilité d'amende administrative. Les forces de l'ordre ne peuvent sévir à ce sujet qu'après un passage du dossier devant un juge, en prouvant le bien-fondé de leur demande. En principe, il empêche tout débordement sécuritaire futur.

Rappelons que le chiffrement est devenu l'un des principaux points d'achoppement entre les forces de l'ordre et les groupes technologiques. Selon la gendarmerie, dans un entretien fin novembre, il est désormais impliqué dans la plupart des enquêtes et en bloquerait certaines, même si l'institution refuse toujours de livrer la moindre statistique.

Les services de messagerie fournissent d'ailleurs, pour partie, les métadonnées (qui parle à qui, quand) mais sont bien plus chatouilleuses sur les contenus, en réclamant systématiquement une commission rogatoire internationale pour en livrer le moindre octet. Là-dessus, le chiffrement de bout en bout limite leur lecture.

En France, les autorités s'arrachent les cheveux pour trouver une solution ne compromettant pas le chiffrement, assure l'ANSSI... Cela alors que les autorités européennes réarment les forces de l'ordre contre cette technique. Celles de l'Hexagone espèrent beaucoup du futur Code des télécoms européen pour accéder aux données. Aux États-Unis, le FBI réclame aux messageries de conserver une copie en clair des communications, faisant fi de l'intérêt même de protéger ces contenus...

Commentaires (25)


Pas une si bonne nouvelle que cela malgré le titre.



Certes, il faut passer par un juge pour obtenir les clés de déchiffrement, mais le Conseil Constitutionnel n’a pas reconnu le droit à ne pas s’auto-incriminer dans ce cas, ce qui était l’objet de la QPC.



Il ne reste plus que la CEDH pour reconnaître ce droit dans ce cas-ci. On a déjà vu que celle-ci pouvait être plus protectrice que notre Conseil Constitutionnel.



Enfin, je m’interroge sur un un dernier point quand je lis “uniquement si ce moyen de cryptologie est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”



Où est la limite ?

Le chiffrement d’un disque dur ou du contenu d’un smartphone rentre-t-il dans ce cadre ?

Ou bien est-ce uniquement l’échange de messages chiffrés qui est concerné ?



Pour moi, le premier est une mesure de protection générale qui ne concourt pas à la commission d’un crime ou délit, le second permet de se cacher lors d’échanges permettant la préparation ou la commission d’un crime ou délit.


Une victoire à la Pyrrhus.

Certes il faut un juge, mais c’est quand même une négation du droit à garder le silence.

En plus, ça s’applique à de simples délits, pas uniquement aux affaires de “terrorisme”.

 


Du coup il reste : “désolé j’ai oublier mon mot de passe”.



Je trouve quand même limite que le conseil constitutionnel passe outre le droit de ne pas s’auto-incriminer. Car si je ne me trompe pas, même face à un juge on peut tout à fait refuser de répondre.


De ce que j’en ai compris de plusieurs lectures sur le sujet, même en n’étant pas légaliste, le droit à ne pas s’incriminer est absolu et ne peut être remis en cause par une autre loi.



Par conséquent, j’en déduis, peut être faussement, que le refus de fournir les clés de déchiffrements entre dans ce droit.



Il va falloir (encore) attendre que le CEDH se prononce.








Yss a écrit :



Du coup il reste : “désolé j’ai oublier mon mot de passe”.





il y a toujours un moyen de le récupérer. sauf si tu as prévu le mail jetable disparu depuis, mais ça va se voir ^^



Il me semble qu’il parle de mot de passe (ou plutôt de passphrase) qui protège une clé de déchiffrement) et cela, c’est impossible à trouver sauf par brute force si mal choisi. Il n’est stocké nulle part sauf dans la tête de la personne.








fred42 a écrit :



Il me semble qu’il parle de mot de passe (ou plutôt de passphrase) qui protège une clé de déchiffrement) et cela, c’est impossible à trouver sauf par brute force si mal choisi. Il n’est stocké nulle part sauf dans la tête de la personne… et sur un post-it sous son clavier





<img data-src=" />



J’ose espérer que les gens ne procèdent pas ainsi pour leur mot de passe protégeant le chiffrement de leur disque dur ou de leur smartphone.



De toute façon, dans ce cas, le mot de passe aura été trouvé lors de la perquisition et les problèmes soulevés ici ne se poseront pas.








fred42 a écrit :



Il ne reste plus que la CEDH pour reconnaître ce droit dans ce cas-ci. On a déjà vu que celle-ci pouvait être plus protectrice que notre Conseil Constitutionnel.





A ma connaissance, la CEDH a quasi-systématiquement été plus protectrice que notre conseil constitutionnel (excepté dans certains cas où le lobbyisme industriel a fait son œuvre).



La France est condamnée tous les ans pour violation de la convention européenne des droits de l’homme, et tous les ans, plutôt que de corriger ses procédures internes, elle préfère payer des amendes creusant chaque fois un peu plus son déficit.



&nbsp;Le droit au silence est un droit fondamental dans la procédure pénale. Cette loi vient en contradiction pleine et entière avec ce droit. Obliger de donner ses codes, avec ou sans intervention du juge, signifie obliger le prévenu à parler, le forcer à rompre son droit au silence.&nbsp; L’intervention du juge ne changeant rien à cet état de fait.

Les droits de la défense ne sont donc pas respectés.



&nbsp;Le Conseil constitutionnel s’est clairement fourvoyé: je crois qu’il n’a pas compris que ces infos seraient demandées au prévenu et non à des tiers.



La condamnation par la CEDH est quasi-certaine (enfin sauf si les avocats de la défense sont mauvais)



Je suis plus pessimiste que le ton de l’actu… Certes il faut un juge, mais on se souvient il y a quelques années de ce(tte) juge, dans l’affaire Bluetooth il me semble, qui avait dit “mais c’est quoi ce gougueule dont vous parlez sans arrêt ?!?”



Donc il y a un risque, pas si minime que cela, que la décision soit prise en fonction de la pression des forces de l’ordre, quand de l’autre côté les arguments techniques ne porteront pas leurs fruits, par méconnaissance du sujet.


Si j’ai tout comprite : Si on a un container protégé par une mot de passe (Avec Veracript par exemple), et que si l’on refuse d’en donner le mot de passe on risque des sushi …



J’ai bon ?


Sur le fait que la CEDH est généralement plus protectrice, je suis d’accord, en particulier sur ce sujet de la non-auto-incrimination. On peut voir ici des cas très proches où les droits à la non auto-incrimination ou au silence sont reconnus.



Par contre, il ne faut pas sous-estimer le Conseil Constitutionnel, il avait bien compris qu’il s’agissait du prévenu, cela est clair à la lecture de sa décision (mise en lien dans l’article), voir particulièrement le point 8. Je ne partage pas forcément ses conclusions, mais il avait bien compris la question.


Je ne connaissais&nbsp; pas le gogleu, pas mal&nbsp;<img data-src=" />

&nbsphttps://beta.arretsurimages.net/articles/gogleu-a-la-cour-dappel-de-paris








fred42 a écrit :



Par contre, il ne faut pas sous-estimer le Conseil Constitutionnel, il avait bien compris qu’il s’agissait du prévenu, cela est clair à la lecture de sa décision (mise en lien dans l’article), voir particulièrement le point 8. Je ne partage pas forcément ses conclusions, mais il avait bien compris la question.





Effectivement.

En lisant ce paragraphe, j’avoue être quelque peu sidéré par la suite où le conseil précise :

“ ces dispositions n’ont pas pour objet d’obtenir des aveux de sa part et n’emportent ni reconnaissance ni présomption de culpabilité mais permettent seulement le déchiffrement des données cryptées.”

et juste après&nbsp;

“ En outre, l’enquête ou l’instruction doivent avoir permis d’identifier l’existence des données traitées par le moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit.”



Il dit un truc et son contraire juste après, sans même se rendre compte de son erreur.<img data-src=" />

&nbsp;



D’ailleurs, leur argument de la 1er phrase peut être aisément battu en brèche:

Si ces dispositions n’ont pas pour objet



                   d'obtenir des aveux de sa part, ni    



reconnaissance ni présomption de culpabilité, ça signifie qu’elles ne serviront alors à rien pour la procédure.

Pourquoi réclamer le déchiffrage de ces données alors?



Je sens que la condamnation de la France ne va pas tarder.









js2082 a écrit :



Je sens que la condamnation de la France ne va pas tarder.







Elle redemandera une suspension sélective de l’application de la convention européenne des droits de l’homme, elle a l’habitude, et la 11è fois c’est gratuit…



Elle ne peut pas le faire hors état d’urgence.



De plus, cela ne concerne pas que les cas de terrorisme ou autres faits graves, mais aussi les délits.








fred42 a écrit :



Elle ne peut pas le faire hors état d’urgence.

&nbsp;

De plus, cela ne concerne pas que les cas de terrorisme ou autres faits graves, mais aussi les délits.





L’état d’urgence a servi à pas mal de choses qui n’avaient aucun lien avec le terrorisme, ou même avec des faits graves (autre que les violations des droits humains effectuées dans le cadre de l’état d’urgence).



Puis bon, on est jamais loi de voir l’état d’urgence réactivé …



Je parlais d’un point de vue légal par rapport à la convention européenne des droits de l’homme.



L’état d’urgence ne sera pas réactivé par ce gouvernement, toutes leurs déclarations récentes sont claires là-dessus.



Et je doute que Laurent Wauquiez ou Marine Le Pen n’accèdent au pouvoir rapidement.


Je n’oublie pas leur “en même temps” qui est malheureusement très à la mode.


Si tu as quelque chose de concret à dire sur le sujet, n’hésite surtout pas. Là, ton intervention est inutile.


c’est juste que vu le nombre de mesures de l’état d’urgence qui sont maintenant dans le régime commun, il n’y a effectivement aucun intérêt à réactiver l’état d’urgence. A moins évidemment de refaire 10000 perquisitions comme le réclame Ciotti (autrement dit: faire du chiffre pour faire semblant d’agir, puisqu’on sait très bien à quoi ont servi toutes ces perqui pendant l’état d’urgence).








fred42 a écrit :



J’ose espérer que les gens ne procèdent pas ainsi pour leur mot de passe protégeant le chiffrement de leur disque dur ou de leur smartphone.





Pour les gens qui se protègent à titre personnel, probablement pas.

Pour les gens qui savent pas se servir des outils fournit par leur employeur, je l’ai déjà vu à plusieurs reprises…







js2082 a écrit :



D’ailleurs, leur argument de la 1er phrase peut être aisément battu en brèche:

Si ces dispositions n’ont pas pour objet d’obtenir des aveux de sa part, ni reconnaissance ni présomption de culpabilité, ça signifie qu’elles ne serviront alors à rien pour la procédure.

Pourquoi réclamer le déchiffrage de ces données alors?





Déchiffrement <img data-src=" />



Pour choper leurs complices?

Je ne connais pas les textes de loi en vigueur, mais peut-être pourrait-il être considéré qu’un accusé n’a pas le droit de refuser l’accès à des données qui pourraient servir à inculper d’autres personnes. Dans ce cas-là, il se retrouverait un peu dans la même situation que l’intermédiaire technique pour lequel refuser de livrer la clé serait considéré comme de l’obstruction à une enquête sur quelqu’un d’autre.

Bon, en pratique, je ne vois pas trop comment on pourrait garantir que ça ne soit pas utilisé contre lui.









fred42 a écrit :



Si tu as quelque chose de concret à dire sur le sujet, n’hésite surtout pas. Là, ton intervention est inutile.





vive la liberté d’expression.<img data-src=" />



Il a le droit de dire n’importe quoi et j’ai le droit de lui dire que son message ne sert à rien.



C’est ça la liberté d’expression.








fred42 a écrit :



Il a le droit de dire n’importe quoi et j’ai le droit de lui dire que son message ne sert à rien.







C’est ton point de vue. Ca se discute pas.<img data-src=" />



Fermer