Autant le dire tout de suite, la réponse est non. Que ce soit pour un ordinateur, une tablette, un téléphone ou une boîte mail, personne n’est obligé de donner son mot de passe ou son code de déverrouillage à la police.

Mais il n’est pas forcément évident de comprendre pourquoi, ni de mesurer les conséquences d’un refus.

[Mode fiction on] Un matin, les policiers débarquent chez vous parce qu’ils vous soupçonnent d’un délit, que ce soit du trafic de stupéfiants ou de l’apologie du terrorisme. Ils viennent perquisitionner.

Pendant que vous assistez, un peu décontenancé, à la fouille de votre appartement mal rangé, un policier tombe sur votre ordinateur. Ils l’allument pour une première analyse rapide.

« Christophe, il faut un mot de passe », lance le policier à son chef. Lequel s’approche de vous, l’air sûr de lui et sans point d’interrogation : « Monsieur, pouvez-vous taper votre mot de passe, s’il vous plaît ».

Pause. Que faire ? Est-ce que je suis obligé ? Le jour où ça arrivera, vous serez bien content d’y avoir réfléchi. [Mode fiction off]

Le droit au silence

Les grands principes du droit interviennent jusque dans ces situations bêtement concrètes. La Cour européenne des droits de l’homme reconnaît à toute personne le droit de ne pas participer à sa propre incrimination. En français courant : le droit de ne pas se torpiller soi-même, en attendant que la police y arrive (ou pas).

Plusieurs droits en découlent, explique l’avocat Julien Pignon : ne pas apporter son concours à l’enquête lorsqu’on est mis en cause, garder le silence (qui est peut-être la meilleure défense) et refuser de fournir des documents, y compris ceux protégés par des codes PIN, mots de passe et autres clés de messagerie.

Aucune loi ne punit le fait de ne pas révéler le mot de passe permettant de déverrouiller son téléphone portable, son ordinateur, sa tablette ou tout autre support informatique sur lequel figurent des données en clair.

« C’est comme une personne qui refuse d’ouvrir sa porte », rappelle Pascal Steyer, major N-tech de la gendarmerie.

Faute de collaboration de votre part, les enquêteurs doivent simplement utiliser des moyens d’investigation un peu plus lourds pour passer cette première barrière et accéder quand même aux données.

« Le mot de passe peut être contourné (pour un système d’exploitation non chiffré par exemple), “cracké” s’il est simple, ou retrouvé (logique / chance). »

« Rentrer » dans l’appareil pour en exploiter le contenu est alors un peu plus long, mais habituel. Eric Freyssinet, qui dirige la division de lutte contre la cybercriminalité de la gendarmerie nationale, rappelle les limites de l’analyse :

« S’agissant des éléments relevant de la vie privée ou professionnelle sans rapport avec l’enquête judiciaire, ils ne seront pas retranscrits par les enquêteurs et sont protégés par le secret de l’enquête. »

Le chiffrement, beaucoup plus compliqué

L’affaire se corse si la personne mise en cause utilise des moyens de chiffrement sur son ordinateur ou son téléphone.

Parmi les plus courants (et les plus « solides ») on peut citer GnuPG pour les e-mails, OTR pour les tchats, le système d’exploitation Tails ou les conteneurs True Crypt. D’autres permettent de chiffrer un disque dur entier, rendant l’accès aux données qu’il contient beaucoup plus difficile, voire impossible, pour les enquêteurs.

Pascal Steyer explique que certains gendarmes et policiers « sont déjà formés à bon nombre de techniques en investigations et constatations numériques », mais si le défi place la barre trop haut, « ils peuvent se faire assister d’experts en informatique ».

« Il peut s’agir d’opérations longues nécessitant un matériel spécifique et coûteux. »

Trois ans de prison et 45 000 euros d’amende

Au besoin, la loi prévoit « le recours aux moyens de l’Etat soumis au secret de la défense nationale ». Décider de faire appel à ces intervenants et techniques perfectionnées « dépend de nombreux facteurs », poursuit Pascal Steyer : « sensibilité du dossier, nécessité de la preuve à révéler, portée médiatique, coûts d’analyses ou expertises et... force de persuasion de l’enquêteur ».

Celui-ci peut espérer obtenir la collaboration du suspect. Même si l’usage du chiffrement est libre en France depuis la loi sur la confiance dans l’économie numérique de 2004, refuser de divulguer la clé de chiffrement d’un outil « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit » est passible de trois ans d’emprisonnement et 45 000 euros d’amende.

Cette règle date de la « loi sur la sécurité quotidienne », votée en 2001 peu de temps après les attentats du 11 Septembre. Eric Freyssinet en nuance toutefois la portée :

« Le principe de la non-auto-incrimination fait qu’on ne peut contraindre une personne à donner son mot de passe ou sa clé. Cet article concerne donc en pratique les tiers. »

Par exemple les concepteurs d’une technologie de chiffrement, dont les enquêteurs requerraient la collaboration. Mais bien souvent, seul l’utilisateur final de cet outil dispose de la clé qui permet de tout décoder.

Circonstance aggravante

Pour un auteur d’infraction, l’utilisation d’un moyen de chiffrement constitue tout de même une circonstance aggravante.

Avoir chiffré ses messages et refusé de les déchiffrer lors de l’enquête augmente la peine encourue, pour n’importe quel délit ou crime : le coupable risque trente ans de prison au lieu de vingt, vingt ans au lieu de quinze, dix ans au lieu de sept, et ainsi de suite. La police a eu le plus grand mal à accéder aux informations utiles à l’enquête, et quelque part le coupable paie ces efforts.

L’avocat Emmanuel Daoud résume :

« Il faut d’abord établir le crime ou le délit principal pour condamner cette personne. La personne peut donc parfaitement refuser de donner sa clé, mais il faut en assumer les risques. Le chiffrement est pénalisé a posteriori, si on s’aperçoit qu’il a facilité l’infraction. Pour les enquêteurs, cela représente un outil juridique supplémentaire pour garantir l’efficacité des recherches. S’ils arrivent à casser rapidement un chiffrement très basique, le parquet ne va pas forcément perdre de temps à poursuivre. »

Aucune jurisprudence ne semble d’ailleurs exister sur cet article, précise son confrère Julien Pignon. On peut imaginer que ça change dans les années à venir, au fur et à mesure que les moyens de chiffrement se diffusent et deviennent de plus en plus déterminants dans les enquêtes pénales.