La Cour de cassation vient de répondre définitivement à la question de savoir si le refus de communiquer aux autorités judiciaires ses mots de passe permettant de déverrouiller son matériel informatique est constitutif du délit de refus de remettre la convention secrète de déchiffrement d’un moyen de cryptologie.
« Est puni de trois ans d’emprisonnement et de 270 000 € d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 € d’amende ” (art. 434-15-2 du code pénal)
La Cour de cassation considère que le code de déverrouillage est une convention secrète de déchiffrement d’un moyen de cryptologie. En effet, lorsqu’un téléphone portable est équipé d’un moyen de cryptologie comme la plupart des iPhone et smartphone Android, Mac ou PC, le code de déverrouillage de son écran d’accueil peut constituer une clé de déchiffrement. Il incombe donc au juge de rechercher si le matériel en cause est équipé d’un tel moyen et si son code de déverouillage permet de mettre au clair tout ou partie des données cryptées auxquelles il donne accès.
L’analyse sur ce point de l’avocat général est remarquable :
– authentification par mot de passe / moyen de cryptologie : Le délit ne sera pas constitué si derrière le refus de fournir son mot de passe, il n’y a pas de possibilité de déchiffrement d’un moyen de cryptologie. Cela va dépendre alors des spécificités techniques du matériel en question et de l’utilisation effective d’un moyen de cryptologie (Security by Design).
– Refus / Oubli : Seul le refus de communiquer la convention secrète de déchiffrement d’un moyen de cryptologie est sanctionné. Le prévenu refuse la plupart du temps de communiquer ses mots de passe en invoquant la protection de sa vie privée. Sans doute serait-il plus utile d’invoquer l’oubli au risque cependant que cet oubli soit re-qualifié par le juge de refus.
La CEDH devrait très prochainement se prononcer sur la compatibilité d’une telle jurisprudence avec des droits fondamentaux que sont la protection de la vie privée, la présomption d’innocence, le droit au silence et le droit de ne pas contribuer à sa propre incrimination.