Code de déverrouillage d’un téléphone portable et cryptologie : la messe est dite !
Corinne Thiérache
Le refus de communiquer un code de déverrouillage peut constituer un délit au sens de l’article 434-15-2 du Code pénal.
Le 7 novembre 2022, l’Assemblée plénière de la Cour de cassation était amenée à répondre à la question suivante : le code permettant de déverrouiller l’écran d’accueil d’un téléphone est-il ou non une « convention secrète de déchiffrement d’un moyen de cryptologie », au sens de la loi pénale ?
Pour rappel, cette décision s’inscrit dans le cadre d’une enquête pour infraction à la législation sur les stupéfiants. Lors de cette enquête, la personne placée en garde à vue avait refusé de communiquer aux enquêteurs le mot de passe de deux téléphones portables Apple, découverts en sa possession lors de son interpellation.
À la suite de ce refus, plusieurs décisions contradictoires ont été rendues, amenant l’Assemblée plénière à devoir se prononcer.
Sur le fondement de l’article 434-15-2 du Code pénal et l’article 29 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, la Cour de cassation a considéré qu’une convention de déchiffrement est un moyen logiciel ou toute autre information qui permet la mise au clair d’une donnée transformée par un moyen de cryptologie. En ce sens, dès lors qu’un téléphone portable est équipé d’un moyen de cryptologie, le code de déverrouillage peut constituer une convention de déchiffrement.
A ce titre, le délit de l’article 434-15-2 du Code pénal nécessite la démonstration de deux conditions cumulatives :
- L’activation du code de déverrouillage doit avoir pour effet de mettre au clair les données cryptées que contient l’appareil auxquelles il donne accès ;
- Le téléphone portable doit être susceptible d’avoir été utilisé pour la préparation ou la commission d’un crime ou d’un délit.
Si ces deux conditions sont remplies et que le détenteur du téléphone refuse de donner son code, alors le délit est constitué.
Cette décision pose, en pratique, diverses questions au titre desquelles, notamment, celles du moyen de cryptologie et du chiffrement automatique, la notion de « code de déverrouillage » et les libertés fondamentales (droit au respect de la vie privée, droit de garder le silence et de ne pas contribuer à sa propre incrimination).
En tout état de cause, la solution de la Cour de cassation était attendue par les autorités judiciaires et les experts en cybercriminalité. Il appartiendra aux avocats et magistrats d’être vigilants sur l’application, en pratique, de cette jurisprudence.
Les avocats d’Alerion du Département IP/IT/Privacy peuvent assister leurs clients sur toutes les questions liées à la cybercriminalité, en particulier pour prendre les mesures adaptées avant, pendant et à la suite d’une cyberattaque.
Corinne Thiérache, Associée, et Océane Desplands, Elève-Avocat.