Ce lundi 7 novembre 2022, l’Assemblée plénière de la Cour de cassation vient de rendre une décision très attendue quant à l’application de l’article 434-15-2 du code pénal au mis en cause qui refuserait de communiquer aux enquêteurs le code de déverrouillage de son téléphone portable ; ledit article disposant que :
« Est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 € d’amende. »
Si cette affaire est parvenue devant l’Assemblée plénière de la Cour de cassation, c’est que les juridictions du fond ont fait de la résistance.
En effet :
- en premier lieu, la Chambre criminelle[1] a censuré, sans renvoi, le 13 octobre 2020 un arrêt de la Cour d’appel de Paris[2] aux termes duquel les juges d’appel considéraient que :
« un code de déverrouillage d’un téléphone portable d’usage courant, s’il permet d’accéder aux données de ce téléphone portable et donc aux éventuels messages qui y sont contenus, ne permet pas de déchiffrer des données ou messages cryptés et, en ce sens, ne constitue pas une convention secrète d’un moyen de cryptologie.
Le délit de refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie reproché au prévenu n’est donc pas constitué. »
Pour casser l’arrêt de la Cour d’appel de Paris, la Chambre criminelle a jugé que « Le code de déverrouillage d’un téléphone portable peut constituer une telle convention [secrète de déchiffrement d’un moyen de cryptologie] lorsque ledit téléphone est équipé d’un moyen de cryptologie » et que les juges d’appel avaient fondé leur décision sur « la notion inopérante de téléphone d’usage courant ».
- en second lieu, dans une autre décision du 13 octobre 2020[3], la Chambre criminelle a cassé l’arrêt du 11 juillet 2019 par lequel la Cour d’appel de Douai a confirmé la relaxe prononcée par le Tribunal correctionnel de Lille du chef de refus de remettre ou de mettre en œuvre la convention secrète d’un moyen de cryptologie. Saisie sur renvoi, la Cour d’appel de Douai a pourtant confirmé le 20 avril 2021 la décision de relaxe.
Le Procureur général près la Cour d’appel de Douai s’étant pourvu en cassation, la Chambre criminelle a ordonné le renvoi à la formation la plus solennelle de la Haute juridiction afin qu’elle apporte une réponse définitive à la question suivante :
« Le code permettant de déverrouiller l’écran d’accueil d’un téléphone est-il ou non une « convention secrète de déchiffrement d’un moyen de cryptologie », au sens de la loi pénale ? »[4]
Dans sa décision de ce jour, l’Assemblée plénière juge que, pour l’application de l’article 434-15-2 du code pénal et au sens de l’article 29 alinéa 1er de la loi n° 2004-575 du 21 juin 2004[5] pour la confiance dans l’économie numérique :
« une convention de déchiffrement s’entend de tout moyen logiciel ou de toute autre information permettant la mise au clair d’une donnée transformée par un moyen de cryptologie, que ce soit à l’occasion de son stockage ou de sa transmission. Il en résulte que le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d’un moyen de cryptologie.
- Dès lors, il incombe au juge de rechercher si le téléphone en cause est équipé d’un tel moyen et si son code de déverrouillage permet de mettre au clair tout ou partie des données cryptées qu’il contient ou auxquelles il donne accès.
- Pour confirmer la relaxe, l’arrêt retient que la clé de déverrouillage de l’écran d’accueil d’un smartphone n’est pas une convention secrète de déchiffrement, car elle n’intervient pas à l’occasion de l’émission d’un message et ne vise pas à rendre incompréhensibles ou compréhensibles des données, au sens de l’article 29 de la loi du 21 juin 2004, mais tend seulement à permettre d’accéder aux données et aux applications d’un téléphone, lesquelles peuvent être ou non cryptées.
- En statuant ainsi, la cour d’appel a violé les textes susvisés. »
Le raisonnement et la portée de l’arrêt rendu par l’Assemblée plénière sont d’importance, tant pour le succès des enquêtes que pour les éventuelles atteintes à la vie privée que l’accès à un téléphone portable peut constituer, dans la mesure où, aujourd’hui, la plupart des téléphones portables sont équipés d’application de messagerie dont les échanges sont chiffrés.
Il est donc à parier que les condamnations pour refus de remettre ou de mettre en œuvre la convention secrète d’un moyen de cryptologie risquent de se multiplier dès lors qu’un mis en cause n’aura pas accepté de communiquer aux enquêteurs le code de déverrouillage de son téléphone portable.
[1] Cass. Crim., 13 octobre 2020, n° 20.80150.
[2] CA Paris, Pôle 8, Chambre 3, 16 avril 2019, n° 18/09267.
[3] Cass. Crim., 13 octobre 2020, n° 19-85.984.
[4] https://www.courdecassation.fr/toutes-les-actualites/2022/10/05/audience-venir-le-refus-de-communiquer-le-code-de-deverrouillage
[5] Article 29 al. 1 de la loi de 2004 pour la confiance dans l’économie numérique :
« On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie visent principalement à garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. »