top of page

Droit pénal spécial : réflexions sur l’article 434-15-2 du Code pénal

Dernière mise à jour : 26 nov. 2023


Le délit de refus de communiquer la convention secrète de déchiffrement d’un moyen de cryptologie



Caractérisation du délit.- Conformément à l’article 434-15-2 alinéa 1 du Code pénal, est incriminé « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Le délit est constitué en cas de refus de communiquer et de mettre en œuvre une convention secrète de déchiffrement, après que les autorités judiciaires l’aient requis expressément. L’infraction ne sera caractérisée que si ladite convention permet de mettre au clair les données contenues dans un moyen de cryptologie identifié comme ayant pu être utilisé dans la préparation ou la commission d’une autre infraction de nature délictuelle ou criminelle. La Cour de cassation précise néanmoins, qu’une simple demande formulée au cours d’une audition, sans avertissement que le refus d'y déférer est susceptible de constituer une infraction pénale, ne constitue pas une réquisition, telle qu’exigée par cette disposition[1]. En sus, la connaissance de la convention secrète doit être établie.


Peines principales encourues.- Insérée dans le Code pénal en 2001, cette infraction fait encourir des peines principales de nature délictuelle. Ces dernières ont été modifiées par la loi n°2016-731 du 3 juin 2016. Sont encourus 3 ans d’emprisonnement et 270 000€ d’amende. Les peines sont portées à 5 ans d’emprisonnement et 450 000€ d’amende lorsque « la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets » (art. 434-15-2, al. 2 C.pén.).


Définition légale du moyen de cryptologie.- Or, la question se pose de savoir ce qu’est une convention secrète de déchiffrement d’un moyen de cryptologie. Si la loi n°2004-575 du 21 juin 2004, dite LCEN, définit en son article 29 le moyen de cryptologie comme « [t]out matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète ». Parallèlement, l’article R.871-3 du Code de la sécurité intérieure dispose que « les conventions permettant le déchiffrement des données » sont « des clés cryptographiques [ou] tout moyen logiciel ou de toute autre information permettant la mise au clair de ces données ».


S’appuyant sur ses définitions techniques dont la traduction pratique et l’appréhension semblent délicates, la Cour de cassation et le Conseil constitutionnel sont intervenus à plusieurs reprises pour brosser les contours de ce délit et tenter d’en définir l’élément matériel.

Mise en balance des intérêts en présence.- D’abord, saisi d’une QPC, le Conseil constitutionnel a eu à connaître de la conformité aux droits et libertés que la Constitution garantit de l’article 434-15-2 du Code pénal. Le requérant soutenait que cette incrimination portait notamment atteinte au droit au silence et au droit de ne pas contribuer à sa propre incrimination. Les Sages de la rue de Montpensier énoncent que cette disposition n’a « pas pour objet d’obtenir des aveux [de la part du mis en cause] mais [permet] seulement le déchiffrement des données cryptées ». Ils rappellent également que « ces données, déjà fixées sur un support, existent indépendamment de la volonté de la personne suspectée »[2]. Ainsi, cette disposition est conforme à la Constitution.


Parallèlement, la Cour de cassation énonce que « le droit de ne pas s'incriminer soi-même ne s'étend pas aux données que l'on peut obtenir de la personne concernée en recourant à des pouvoirs coercitifs mais qui existent indépendamment de la volonté de l'intéressé »[3].


En outre, les moyens de cryptologie participent d’un meilleur exercice du droit au respect de la vie privée et de la liberté d’expression. Pour autant, ils peuvent entraver la lutte contre la cybercriminalité, raison pour laquelle le Conseil constitutionnel rappelle que le législateur de 2001 a poursuivi les objectifs de valeur constitutionnelle de prévention des infractions et de recherche des auteurs d’infractions.


Problématique pratique.- Incriminé par la loi n°2001-1062 du 15 novembre 2001, suite aux attentats du 11 septembre 2001, ce délit n’avait pas pour objectif de réprimer le refus de communiquer le code d’accès ou de déverrouillage d’un téléphone portable. Dès lors, s’est posée la question de savoir si un code de déverrouillage d’un téléphone portable peut être une convention secrète de déchiffrement d’un moyen de cryptologie au sens de l’article 434-15-2 du Code pénal. Alors, le refus de remettre un tel code permet-il de caractériser ce délit ?


Définitions retenues par la Cour de cassation.- De manière schématique, est un moyen de cryptologie tout procédé rendant les données indéchiffrables. Celles-ci ne pourront « être mises au clair » que par l’utilisation d’une convention secrète de déchiffrement.


Ainsi, le matériel ou logiciel considéré comme un moyen de cryptologie transforme les données en les rendant inaccessibles afin de sécuriser leur stockage et de garantir leur confidentialité.

En 2020, saisie de cette question, la Cour de cassation énonce que les « caractéristiques de l’appareil ou des logiciels qui l’équipent ainsi que par les résultats d’exploitation des téléphones au moyen d’outils techniques, utilisés notamment par les personnes qualifiées requises ou experts désignés à cette fin »[4] permettent de caractériser l’existence d’un moyen de cryptologie. En outre, elle casse l’arrêt rendu par la Cour d’appel de Paris dans lequel les juges du fond s’étaient fondés sur la notion de « téléphone portable d’usage courant » pour estimer que le code de déverrouillage permettant d’accéder aux données dudit téléphone ne les déchiffre pas. Les Hauts Magistrats condamnent le recours à la notion précitée de « téléphone portable d’usage courant » en ce qu’elle est « inopérante » et décident que le code de déverrouillage d’un téléphone portable est une convention secrète d’un moyen de cryptologie.


Il ressort de cet arrêt que l’emploi des notions de moyen de cryptologie et de convention secrète de déchiffrement est malaisé. Partant, il est nécessaire de parvenir à une définition claire de ces concepts afin d’assurer une certaine prévisibilité dans l’application de la norme pénale.


Dans un deuxième arrêt rendu par la chambre criminelle, le demandeur au pourvoi arguait que le refus de communiquer ou de mettre en oeuvre « les codes d'accès au contenu d'un téléphone ou d'un ordinateur portable » ne tombe pas sous le coup de l’incrimination édictée par l’article 434-15-2 du Code pénal alors que la cour d'appel d'Aix-en-Provence l’avait reconnu coupable de ce chef.


Dans la droite ligne de l’arrêt précédemment évoqué, la Cour de cassation rappelle les définitions des concepts de moyen de cryptologie et de convention secrète de déchiffrement. Par ailleurs, elle énonce que « le code de déverrouillage d'un téléphone mobile peut constituer une clé de déchiffrement, si ce téléphone est équipé d'un moyen de cryptologie »[5]. En conséquence, afin de savoir si le délit peut être reproché à celui qui refuse de transmettre le code de déverrouillage d’un téléphone portable, il convient de s’assurer que ledit téléphone contient effectivement des données cryptées pouvant être mises au clair par la mise en oeuvre du code de déverrouillage.


Dans l’affaire ayant donné lieu à l’arrêt de la chambre criminelle en date du 13 octobre 2020, la cour d’appel de renvoi résiste. Elle relaxe le prévenu au motif que le code de déverrouillage d’un téléphone n’est pas une convention secrète de déchiffrement permettant de « rendre incompréhensibles ou compréhensibles des données ». Ledit code ne fait que permettre l’accès aux données contenues dans le téléphone ; données qui, par ailleurs, peuvent être cryptées ou ne pas l’être.


Rappelant les considérations développées dans les deux arrêts rendus par la chambre criminelle, l’Assemblée plénière de la Cour de cassation énonce que le code de déverrouillage d’un téléphone portable est une clé de déchiffrement à condition que le téléphone considéré soit équipé d’un moyen de cryptologie[6].

Ainsi, si le code de déverrouillage permet seulement de débloquer l’écran, mais ne permet pas de décrypter les données (parce qu’il n’y a pas de cryptage des données ou parce qu’un autre code est nécessaire sur une application spécifique par exemple), le refus opposé par son utilisateur ne permettra pas la répression.


Dans sa notice, la Cour de cassation rappelle que « l’immense majorité des smartphones récents (depuis 2011 pour Apple et 2015 pour Android) » sont équipés d’un moyen de cryptologie[7]. Elle considère donc qu'un matériel de cryptage est installé en série sur tous les smartphones. Alors, aucun accès au téléphone ne serait nécessaire. Il suffirait de « se référer aux caractéristiques techniques [...] publiées par [le] constructeur »[8]. Toutefois, il n’en demeure pas moins qu’il incombe au procureur de la République de démontrer que le téléphone considéré est équipé d’un moyen de cryptologie et que, conséquemment, le refus de communiquer le code de déverrouillage dudit téléphone permet la caractérisation de l’infraction.


Critiques.- La doctrine a mobilisé le concept de « mécanisme d’authentification » pour critiquer les arrêts rendus par la Cour de cassation. Ainsi, certains auteurs réfutent l’analyse proposée par la Cour de cassation. Ils estiment que ces arrêts tendent à une interprétation trop extensive du délit de refus de communiquer une convention secrète de déchiffrement d’un moyen de cryptologie et, partant, portent une atteinte excessive, notamment, au droit au respect de la vie privée des utilisateurs de smartphones.





Juliette SUSSOT


 

[1] Cass. Crim., 13 oct. 2020, n°20-80.150


[2] Décision n° 2018-696 QPC du 30 mars 2018, M. Malek B. [Pénalisation du refus de remettre aux autorités judiciaires la convention secrète de déchiffrement d’un moyen de cryptologie], Conformité


[3] Cass. Crim., 10 déc. 2019, n°18-86.878

[4] Cass. Crim., 13 oct. 2020, n°20-80.150


[5] Cass. Crim., 9 mars 2022, n°21-83.557


[6] Cass. Ass. Plén., 7 nov. 2022, n°21-83.146


[7] Notice au rapport relative à l’arrêt n°659 du 7 novembre 2022 Pourvoi n° 21-83.146 – Assemblée plénière


[8] Emmanuel Dreyer, [Jurisprudence] Clair-obscur sur la convention secrète de déchiffrement des téléphones portables, Le Quotidien, novembre 2022



38 vues0 commentaire

Posts récents

Voir tout

コメント


bottom of page