Le projet de loi sur la réforme pénale débutera son examen dans l’hémicycle aujourd’hui à 17h, jusqu’au 8 mars. À cette occasion, deux députés veulent s’attaquer au chiffrement. État des lieux de leur proposition et de la législation actuelle.

Le projet de loi sur le terrorisme, la criminalité organisée et la réforme pénale est la fenêtre de tir visiblement parfaite pour s’attaquer au chiffrement. C’est en tout cas ce qu’ont dû se dire deux députés, l’un du PS, l’autre des LR, qui veulent contraindre les géants de l’informatique à davantage collaborer avec la justice pour l’aider à révéler les clés de leurs utilisateurs.

Le code ou un million d'euros

« Nous sommes aujourd'hui confrontés à un vide juridique sur la question du chiffrement des données, qui bloque les enquêtes judiciaires. Il faut contraindre les constructeurs de smartphones et de tablettes, Apple et Google notamment, à fournir à la justice les codes pour l'exploitation du contenu de leurs appareils. C'est la raison de mon amendement » a soutenu hier le socialiste Yann Galut, dans les colonnes du Parisien.

Les réfractaires encourraient jusqu’à un million d’euros d’amende. En pratique, la demande émanerait du procureur ou du juge d’instruction, mais seulement « avec l'autorisation du juge des libertés et de la détention ». À ceux qui comme Apple et Google brandissent la protection de la vie privée, le député juge ces sociétés « d'une totale mauvaise foi ! Elles s'abritent derrière une soi-disant protection de la vie privée, alors qu'elles n'hésitent pas à faire une exploitation commerciale des données personnelles qu'elles recueillent. Sur ce thème-là, je trouve cela très paradoxal de les voir soudain s'ériger en modèles de vertu ». En clair, c’est parce que ces entreprises exploitent les données personnelles de leurs utilisateurs – idéalement avec leur consentement – qu’elles se doivent de fournir les « codes » des appareils à la justice.

Deux millions, voire une interdiction visant opérateurs et FAI

À droite, Éric Ciotti joue la surenchère : comme signalé par Le Figaro, il propose en matière de lutte contre le terrorisme une mesure similaire, cette fois sanctionnée de deux millions d’euros. Dans l'amendement que nous nous sommes procuré, on voit que son interdiction est très vaste : elle frapperait non seulement Apple, mais également tous « les fabricants d’outils de télécommunications, les opérateurs de télécommunications, les fournisseurs d’accès à Internet ou tout prestataire de services sur Internet », soit l'ensemble des acteurs des nouvelles technologies. Tout ce beau monde serait tenu de « communiquer l’ensemble des informations pertinentes pour la résolution » d'une enquête relative à des infractions terroristes. L’intermédiaire qui viendrait violer cette obligation pourrait se voir en outre interdire de commercialiser son produit ou sa prestation en France pour une durée d’un an.

Dans son exposé des motifs, le député LR soutient que « les téléphones mobiles et Internet sont devenus centraux tant pour le recrutement des terroristes que pour la préparation des actes de terrorisme. (...) les services peuvent se heurter aux dispositifs contenus dans certains téléphones, les données étant illisibles lorsque l’on ne dispose pas du code de déverrouillage. Il en est de même pour certains contenus sur Internet ». Et pour assurer le bienfondé de sa démarche, il pose un argument choc : « L’amiral Michael Rogers, à la tête de la NSA, affirme que sans le chiffrement, les attentats de Paris auraient pu être évités. »

Ces propositions guidées par les propos du procureur François Molins, ou le bras de fer entre Apple et le FBI aux États-Unis, sont typiquement des amendements d’appel. L’enjeu est avant tout de faire un maximum de bruit pour provoquer idéalement un débat dans les médias ou en hémicycle. Et peu importe que se croisent parfois des petites contradictions : lorsque d’une main Éric Ciotti accuse Apple « de complicité avec les entreprises terroristes », il tient dans l’autre, un iPhone pour mitrailler ses messages sur Twitter.

Quelle législation aujourd'hui ?

Différents textes ont accentué les moyens de la France face à la question du chiffrement. L’an passé, la loi sur le renseignement a augmenté les délais de conservation des données chiffrées pour faciliter leur traitement : ce délai est de 6 ans maximum après recueil, voire après déchiffrement dans la loi sur la surveillance des communications électroniques internationales.

Le Code de la sécurité intérieure oblige désormais les personnes physiques ou morales qui fournissent des prestations de cryptologie « visant à assurer une fonction de confidentialité » à remettre aux agents dans les 72 heures « les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'elles ont fournies ».

Cette obligation, dont les frais sont pris en charge par le budget de Matignon, vise les « clés cryptographiques ainsi que de tout moyen logiciel ou de toute autre information permettant la mise au clair de ces données » (article R.244.3 du Code de de la sécurité intérieure). Le fait de ne pas déférer est puni de 2 ans de prison et 30 000 euros d’amende, sauf si le fournisseur des prestations en cause démontre qu'il n’est pas en mesure de satisfaire aux réquisitions. Une prudence que ne suit pas l'amendement Ciotti par exemple.

Rappelons enfin que depuis la loi sur le terrorisme de 2014, les officiers de police judiciaire peuvent réclamer un coup de pouce du centre technique d’assistance (CTA), qui, au sein de la direction générale de la sécurité intérieure (ex DCRI) met à disposition ses capacités de décryptage de contenus chiffrés.