Le Conseil constitutionnel a validé l'article du code pénal qui pénalise le refus de remettre à la justice la clé de déchiffrement dans le cadre d'une enquête sur un crime ou un délit. Mais la portée de cette obligation a été recadrée.

Le Conseil constitutionnel a donc tranché : le législateur a bien la possibilité de créer une sanction pénale pour punir une personne qui refuserait de remettre à la justice la clé de déverrouillage — appelée la convention secrète de déchiffrement — servant à lire en clair des communications protégées, s’il est établi que l’outil ayant permis de les chiffrer a pu servir dans un crime ou un délit.

L’autorité chargée de veiller au respect de la Constitution française a en effet déclaré ce vendredi 30 mars que la pénalisation du refus de remettre aux autorités judiciaires la convention secrète de déchiffrement d’un moyen de cryptologie est conforme avec la norme juridique suprême du pays. Toutefois, les Sages de la rue de Montpensier ont encadré la portée de cette pénalisation.

Concrètement, il faut qu’il soit établi que la personne suspectée d’avoir commis une infraction avait connaissance de la convention secrète de déchiffrement pour son moyen de cryptologie dans le cadre du forfait qui lui est reproché. S’il est prouvé qu’elle disposait de cette information au moment des faits pour lesquels elle est poursuivie, alors il est possible de la sanctionner si elle refuse de coopérer.

Le Conseil constitutionnel précise à toutes fins utiles que ces dispositions « n’ont pas pour objet d’obtenir des aveux » et « n’emportent ni reconnaissance ni présomption de culpabilité ». Elles « permettent seulement le déchiffrement des données ». Il faut en outre que l’enquête ait permis d’identifier l’existence de données chiffrées liées potentiellement à l’affaire et qui par conséquent intéresseraient l’instruction.

Ces dispositions n’ont pas pour objet d’obtenir des aveux

L’arrêt du Conseil constitutionnel rappelle que cette obligation ne doit pas viser tous les moyens de cryptologie utilisés par le prévenu mais seulement ceux « susceptibles d’avoir été utilisés pour préparer, faciliter ou commettre un crime ou un délit ». Pas question, donc, d’obliger le suspect à fournir indistinctement tous ses codes d’accès. Il faut que la demande soit ciblée et justifiée.

Par ailleurs, et c’est un autre recadrage notable du Conseil constitutionnel, la requête ne peut venir que d’une autorité judiciaire. Exit donc l’autorité administrative, qui bénéficie depuis des années de pouvoirs accrus dans la lutte antiterroriste, alors que l’ordre judiciaire, qui est pourtant un pilier majeur dans la séparation des pouvoirs, a la fâcheuse tendance à être délaissé.

Au-delà de ce recadrage, le Conseil constitutionnel considère que l’article du code pénal est conforme à la Constitution puisque « le législateur a poursuivi les objectifs de valeur constitutionnelle de prévention des infractions et de recherche des auteurs d’infractions, tous deux nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle ».

Dans ces circonstances, le Conseil constitutionnel observe que l’article qui était contesté « ne porte pas atteinte au droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances » et d’ajouter qu’il « ne méconnaît pas non plus les droits de la défense, le principe de proportionnalité des peines et la liberté d’expression, ni aucun autre droit ou liberté que la Constitution garantit ».

Contradiction apparente

Dans cette affaire, la problématique soumise au Conseil constitutionnel par la Cour de cassation dans le cadre d’une affaire judiciaire impliquait une apparente contradiction dans le droit. Le code pénal prévoit des dispositions qui obligent toute personne à remettre la clé de déchiffrement si la technique de cryptographie qui y est associée est d’une façon ou d’une autre concernée par un crime ou un délit

Ces dispositions figurent à l’article 434-15-2 : celui-ci prévoit une peine de prison maximale de 3 ans et une amende 45 000 euros pour toute personne refusant de remettre la clé de déverrouillage si le moyen de cryptologie qui y est associé est « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ».

Les sanctions passent à 5 ans de prison et 75 000 euros d’amende s’il est avéré que le refus de fournir cette information « aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets ». Le droit fait du chiffrement une circonstance aggravante si « un moyen de cryptologie […] a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission ».

À l’inverse, il existe des textes contenant des dispositions protectrices pour les prévenus.

La Commission nationale de l’informatique et des libertés déclarait que « ces dispositions ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête. En effet, le droit de ne pas s’auto-incriminer est un droit fondamental ». Pour le dire simplement, les prévenus ont le droit de garder le silence pour ne pas se mettre plus en difficulté.

Ce droit « trouve son origine dans la Convention européenne des droits de l’homme et dans la jurisprudence de la Cour européenne », ajoutait la Commission. « Il constitue un élément de la présomption d’innocence qui interdit à l’accusation de recourir à des éléments de preuve obtenus sous la contrainte ou par des pressions », précisait alors Roseline Letteron, professeure de droit public à l’université Paris-Sorbonne.