Le Conseil constitutionnel impose de passer par un juge pour obtenir les clés de déchiffrement
Par Guénaël Pépin le vendredi 30 mars 2018 à 11:57 Guénaël PépinSaisis en janvier, les Sages déclarent que l’obligation de fournir une convention secrète de déchiffrement ne contrevient pas au droit de garder le silence. Pour autant, il est hors de question d’imposer sa livraison sans passage devant un juge. De quoi limiter la portée de futures lois sur le sujet.
Selon le Conseil constitutionnel, l’article 434-15-2 du code pénal est conforme à la Constitution, mais avec quelques réserves. C’est ce que révèle une décision tout juste sortie du four, répondant à une question prioritaire de constitutionnalité (QPC) posée le 12 janvier par « Malek B ».
L’article en question sanctionne de cinq ans de prison et de 450 000 euros le refus de fournir une convention secrète de déchiffrement dans le cadre d’une procédure judiciaire. En clair, refuser de livrer le moyen de déchiffrer un contenu est lourdement puni, le montant ayant été multiplié par six via la loi sur la réforme pénale de 2016.
Or, selon la QPC, l’obligation de fournir la convention de déchiffrement serait contraire aux droits de garder le silence et de ne pas s’auto-incriminer. En réponse, le Conseil constitutionnel donne une lecture restrictive de cette disposition.
Un champ d’application restreintSi, sur le fond, l’institution valide le texte, elle douche toute volonté de réclamer les clés de déchiffrement en un claquement de doigt. Les considérants 7 et 8 de la décision sont pour le moins clairs.
Le premier fixe ainsi deux limites à l’obligation de fournir « une convention secrète de déchiffrement d’un moyen de cryptologie ». Elle est valable « uniquement si ce moyen de cryptologie est susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit et uniquement si la demande émane d’une autorité judiciaire ». Pour obtenir les clés, il faut donc que les forces de l’ordre prouvent à un juge que le contenu voulu est utile à une enquête.
Le second précise que les dispositions du code pénal « n’imposent à la personne suspectée d’avoir commis une infraction, en utilisant un moyen de cryptologie, de délivrer ou de mettre en œuvre la convention secrète de déchiffrement que s’il est établi qu’elle en a connaissance ». Si un policier ou gendarme ne peut pas prouver que la personne a bien le moyen de déverrouiller le contenu, elle ne peut pas l’y obliger.
Des gardes à vue plus sereinesEn pratique, désormais, les smartphones sont chiffrés via une clé propre à l’appareil, via un système que les concepteurs espèrent ne pas pouvoir déchiffrer eux-mêmes. De même, les principaux services de messagerie (comme Facebook Messenger ou WhatsApp) intègrent du chiffrement de bout en bout (mais pas toujours par défaut), en théorie incassable par ces intermédiaires ; à moins de l’affaiblir volontairement et perdre la confiance des utilisateurs.
Concrètement, cela voudrait donc dire qu’une personne en garde à vue ne serait pas immédiatement tenue de déverrouiller son téléphone ou de fournir le mot de passe d’une application de messagerie. Les policiers devraient ainsi obtenir l’aval d’un juge et la certitude que la personne détient bien le moyen de déchiffrer le contenu recherché. Les intermédiaires techniques qui chiffrent de bout en bout les contenus sont, eux, hors de portée de telles demandes, du moins en principe.
Un barrage à de futures loisCette interprétation limite donc toute possibilité d’amende administrative. Les forces de l’ordre ne peuvent sévir à ce sujet qu’après un passage du dossier devant un juge, en prouvant le bien-fondé de leur demande. En principe, il empêche tout débordement sécuritaire futur.
Rappelons que le chiffrement est devenu l’un des principaux points d’achoppement entre les forces de l’ordre et les groupes technologiques. Selon la gendarmerie, dans un entretien fin novembre, il est désormais impliqué dans la plupart des enquêtes et en bloquerait certaines, même si l’institution refuse toujours de livrer la moindre statistique.
Les services de messagerie fournissent d’ailleurs, pour partie, les métadonnées (qui parle à qui, quand) mais sont bien plus chatouilleuses sur les contenus, en réclamant systématiquement une commission rogatoire internationale pour en livrer le moindre octet. Là-dessus, le chiffrement de bout en bout limite leur lecture.
En France, les autorités s’arrachent les cheveux pour trouver une solution ne compromettant pas le chiffrement, assure l’ANSSI… Cela alors que les autorités européennes réarment les forces de l’ordre contre cette technique. Celles de l’Hexagone espèrent beaucoup du futur Code des télécoms européen pour accéder aux données. Aux États-Unis, le FBI réclame aux messageries de conserver une copie en clair des communications, faisant fi de l’intérêt même de protéger ces contenus…