Le Conseil constitutionnel restreint le droit au chiffrement

4 avril 2018 - Dans sa décision du 30 mars 2018 relative à l'article 434-15-2 du code pénal, le Conseil constitutionnel a refusé de protéger le droit pour une personne suspectée (en l'espèce un soupçonné revendeur de drogues) de ne pas révéler ses clefs de déchiffrement. Alors que de nombreux acteurs du droit et le gouvernement lui-même s'attendaient à une décision ménageant le droit à ne pas s'auto-incriminer – c'est-à-dire le fait de ne pas être contraint de s'accuser soi-même en livrant son mot de passe –, le Conseil rend une décision très décevante. La Quadrature du Net, qui est intervenue dans cette affaire, s'inquiète de cette décision qui risque d'affaiblir durablement le droit au chiffrement.

La disposition attaquée, l'article 434-15-2 du code pénal, punit d'importantes peines d'amendes et de prison le refus de livrer aux autorités judiciaires une convention de déchiffrement (par exemple, le mot de passe permettant de déchiffrer le contenu d'un disque dur).

Des réserves a minima

Les seules réserves apportées par le Conseil consistent à confirmer qu'il est nécessaire pour l'autorité judiciaire « d'établir » que la personne concernée a effectivement connaissance de la clef de déchiffrement. Cette précision confirme que l'incrimination pénale ne peut être retenue contre des prestataires de solution de chiffrement « bout-en-bout » des communications qui, par définition, n'ont pas connaissance de la clef.

Le Conseil impose également que « l'enquête ou l'instruction doivent avoir permis d'identifier l'existence des données traitées par le moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit ». Une précision qui invite à penser qu'il sera donc nécessaire pour les autorités de prouver que des données spécifiques intéressant l'enquête existent bien sur le périphérique concerné.

Malheureusement, le Conseil constitutionnel a refusé de reconnaître les atteintes de ce texte au droit de ne pas s'accuser, au droit au respect de la vie privée, au secret des correspondances, ou encore à la liberté d'expression et de communication.

Le droit de ne pas s'auto-incriminer bafoué

Cette décision constitue d'abord une véritable remise en cause du droit de ne pas s'auto-incriminer – un principe fondamental du droit pénal – qui déséquilibre fortement l'équilibre précaire entre l'instruction et la poursuite légitime des infractions d'un côté, les droits de la défense et le respect de la présomption d'innocence de l'autre. Elle est d'autant plus choquante que la limitation de l'application de ce texte aux seules personnes tierces à l'infraction (n'étant donc pas menacées par l'enquête) était déjà acceptée par une large majorité des acteurs du droit qui doivent faire application de cette incrimination (juridictions, forces de l'ordre, avocats…).

C'est ce qu'illustre par exemple un rapport de la CNIL de 2016, qui affirmait que les obligations de révéler des clefs de déchiffrement « ne peuvent pas conduire à obliger les personnes mises en cause à fournir les informations utiles à l’enquête ». La CNIL poursuivait en rappelant que « le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans la Convention européenne des droits de l'Homme et dans la jurisprudence de la Cour européenne ».

Même Philippe Blanc, représentant le Premier ministre dans cette affaire, le reconnaissait plusieurs fois lors de à l'audience du 6 mars 2018 :

La seule interprétation qui soit de nature à rendre l'article 434-15-2 du Code pénal conforme à la Constitution est, en effet, celle qui exclue l'application de cette loi aux personnes suspectées d'avoir commis elles-mêmes une infraction. Cette interprétation est nécessaire […] pour préserver le droit de la personne suspectée à ne pas s'auto-incriminer.

En ce même sens, dès février, le Centre de recherche de l'école des officiers de la gendarmerie nationale (CREOGN) anticipait la décision en ces termes : « Cette décision va sans doute consister en une déclaration de constitutionnalité sous réserve : le texte ne s'appliquerait pas aux auteurs, co-auteurs ou complices en vertu du droit de se taire et de ne pas s'auto-incriminer ».

Et pourtant, le Conseil constitutionnel en a décidé autrement.

Le droit à la vie privée et la liberté de communication menacées

Le CREOGN rappelait par ailleurs le contexte de la création de cette infraction : un simple amendement non véritablement débattu dans la loi relative à la sécurité quotidienne du 15 novembre 2001, adoptée dans le contexte et l'émotion des attaques du 11 septembre. Passible d'une sanction particulièrement importante (3 ans de prison et 270 000 € d'amende), cette disposition risque d'être désormais utilisée aussi bien par les juges d'instruction que par les procureurs pour contraindre des suspects de leur donner accès à tout périphérique chiffré (smartphone, ordinateur, périphériques de mémoire…).

Cette décision remet en cause le droit au chiffrement et l'intérêt de son usage, mais aussi, incidemment, la vie privée, la confidentialité des communications, le secret des sources journalistiques et la liberté de communication. Alors que l'ère numérique banalise la société de surveillance, ce droit est pourtant devenu une nécessité pour garantir les libertés fondamentales face aux possibilités d'arbitraire de l'État. En 2015, l'Assemblée parlementaire du Conseil de l'Europe rappelait ainsi que, « jusqu’à ce que les États acceptent de fixer des limites aux programmes de surveillance massive menés par leurs agences de renseignement, le chiffrement généralisé visant à renforcer la vie privée constitue la solution de repli la plus efficace pour permettre aux gens de protéger leurs données »1.

La décision du Conseil fait d'ailleurs fi des recommandations formulées en 2015 par David Kaye, rapporteur spécial du Conseil des droits de l'Homme de l'ONU pour la liberté d'expression, dans son rapport sur le droit au chiffrement, où il abordait la question des obligations de livrer les clefs de déchiffrement2. Plus largement, elle s'inscrit dans une tradition juridique française particulièrement hostile au chiffrement, qu'illustre par exemple l'article 132-79 du code pénal, qui fait de l'usage du chiffrement une circonstance aggravante lorsqu'il est utilisé pour préparer ou commettre un délit.

L'accès aux données stockées sur nos ordinateurs, nos téléphones ou, sur nos serveurs s'avère formidablement intrusif, révélant des pans entiers de notre intimité, de notre histoire personnelle, de notre mémoire. Dans ce contexte, le chiffrement des données permet de rétablir un peu de l'équilibre perdu entre les capacités de surveillance des États et le droit à la vie privée. Or, par cette décision, le Conseil constitutionnel admet que le simple fait d'être suspect justifie que l'État puisse nous forcer à révéler cette intimité, à nous faire transparents à ses yeux, alors même que les services enquêteurs peuvent disposer d'autres moyens pour élucider une affaire. C'est une erreur historique qui, dans son principe, pourrait s'avérer lourde de conséquences.

Si cette jurisprudence est décevante, elle marque toutefois l'émergence d'un véritable débat sur le droit au chiffrement au niveau des cours constitutionnelles européennes. Elle rappelle aussi, en creux, la nécessité de se mobiliser au niveau européen, par exemple autour de la directive sur l'accès transfrontière aux données qui sera présenté le 17 avril prochain, afin de garantir la protection d'un droit au chiffrement désormais consubstantiel de la protection de la vie privée et de la liberté de communication.

  • 1. Pieter Omtzigt. Les opérations de surveillance massive. Strasbourg : Assemblée parlementaire du Conseil de l’Europe, mar. 2015. Disponible à l’adresse : http://assembly.coe.int/nw/xml/XRef/Xref-XML2HTML-fr.asp?fileid=21583&la...
    Dans le même sens, voir aussi les propos de Giovanni Buttarelli, contrôleur européen de la protection des données, lors d'un colloque organisé à l'Assemblée nationale par l'Observatoire des libertés et du numérique : « le chiffrement est devenu un outil essentiel pour protéger la confidentialité des communications. Son utilisation a augmenté après les révélations sur les efforts des organisations publiques et privées ainsi que des gouvernements pour obtenir l’accès à nos communications » (vidéo YouTube).
  • 2. Il écrivait à ce propos : « Key disclosure, by contrast, could expose private data well beyond what is required by the exigencies of a situation. (…) Such orders should be based on publicly accessible law, clearly limited in scope focused on a specific target, implemented under independent and impartial judicial authority, in particular to preserve the due process rights of targets, and only adopted when necessary and when less intrusive means of investigation are not available. Such measures may only be justified if used in targeting a specific user or users, subject to judicial oversight ». Autant de conditions qui ne sont pas remplies s'agissant de la loi française telle qu'interprétée par le Conseil constitutionnel. Voir : David Kaye. Rapport du Rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression sur le chiffrement et l’anonymat. Genève : Conseil des droits de l’Homme des Nations Unies, mai 2015. Disponible à l'adresse : http://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session29/Documents/A.HRC.29.32_AEV.doc