Cybercrime : les magistrats peuvent-ils accéder aux preuves sur un téléphone portable?

Arnaques et escroqueries à Mon Compte Formation, cyberattaques d’hôpitaux, trafic de stupéfiants sur le dark web… Les vols de données de grande ampleur et la délinquance sur Internet se multiplient. La valeur de nos données à caractère personnel est devenue tellement faible (20 dollars pour 10 millions d’adresses e-mails américaines) que seule une collecte massive de celles-ci est financièrement intéressante pour les délinquants.

De l’autre côté du spectre, les pouvoirs publics chassent ces criminels mais dans le cyber-espace les preuves permettant d’identifier l’auteur et l’infraction sont par nature immatérielles, intangibles. Elles sont des traces informatiques (conversations sur les réseaux sociaux, applications, contacts, e-mails, etc.) souvent supprimées de son téléphone ou ordinateur par le délinquant. Comment alors identifier l’auteur de l’infraction et la matérialité des faits reprochés ? Refuser de déverrouiller son téléphone mobile est-il répréhensible ? Quel code appliquer en cas de cybercrime ?

Le cybercrime : une réalité protéiforme

Nombreuses sont les infractions commises par l’intermédiaire des systèmes d’information (ensemble des ressources permettant le stockage, le traitement et la diffusion d’informations sur nos téléphones, ordinateurs et tablettes) ou visant ces derniers telles que le rançongiciel. Les sanctions pénales ne dissuadent pas les cyber-délinquants.

C’est d’ailleurs ce constat qui ouvre le chapitre « Lutte contre la cybercriminalité » du nouveau code de la cybersécurité.

Cet ouvrage rassemble des éléments relatifs à la cybercriminalité jusqu’ici disparates parce qu’issus de plusieurs codes : code pénal, code de procédure pénale, code des douanes, code de commerce, code de la consommation, code des postes et des communications électroniques, code de la propriété intellectuelle, code de la défense, code monétaire et financier, code de la sécurité intérieure.

Le numérique pose de nombreuses difficultés aux juges puisque l’auteur est difficile à identifier et localiser mais aussi en raison de l’ipséité, ce qui est propre à l’identité de chacun, de la preuve numérique qui est volatile et multiplie les difficultés de recueil et de conservation de ces données.

Identifier l’auteur d’une infraction grâce aux données de connexion

Comment alors identifier l’auteur d’une infraction numérique ? Grâce aux données de connexion. Cela est rendu possible par l’obligation de conservation des données de connexion qui incombe aux fournisseurs d’accès à Internet, aux hébergeurs et aux opérateurs à des fins de lutte contre les infractions (loi pour la confiance dans l’économie numérique, art.6 ; code des postes et des communications électroniques, révisé en 2021, art.L34-1). Les données peuvent donc être requises par l’autorité judiciaire.

Ces solutions, issues de trois décrets pris en 2021, reflètent la recherche d’un équilibre visant à préserver la liberté des internautes suite à l’action coordonnée de plusieurs associations de défense des libertés individuelles (Conseil d’État, French Data Network et autres, 21 avril 2021).

Les données de trafic sont celles qui établissent les contacts qu’une personne a eus par téléphone ou SMS, la date et l’heure de ces contacts et la durée de l’échange. Les données de localisation permettent de connaître les zones d’émission et de réception d’une communication passée avec un téléphone mobile identifié et d’obtenir la liste des appels ayant borné à la même antenne relais. On parle de « fadettes » (pour factures détaillées) dans le jargon policier.

La magistrate Emmanuelle Legrand a déclaré lors d’une intervention à l’Institut des hautes études de défense nationale (IHEDN), le 16 novembre dernier que :

« l’accès à ces données est crucial : la preuve numérique est volatile, contrairement à une trace de sang qui peut « réapparaître » par une analyse biochimique, la donnée effacée est difficile à retrouver quand on ignore où elle était stockée par définition ».

Ajoutons que l’étape du déchiffrement des données peut ralentir l’enquête.

Le code pénal adapté en 2004 prévoit que le recours à un moyen de cryptologie pour préparer ou commettre un délit ou un crime (ou le faciliter) est un facteur aggravant de l’infraction principale (art.132-79). On entend par moyen de cryptologie :

« Tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. »

Ces peines ne sont pas applicables à l’auteur ou au complice de l’infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.

Refuser de communiquer ses codes d’accès peut-être un délit

Le chiffrement est une technique répandue. Mais le simple fait de verrouiller son téléphone portable, son ordinateur, est-il un moyen de cryptologie, une convention secrète ? Si tel est le cas, le refus par un suspect de fournir les codes de déverrouillage des appareils en sa possession est une infraction.

En effet, le refus de remettre cette convention aux autorités judiciaires ou de la mettre en œuvre sur réquisition de ces autorités est puni de trois ans d’emprisonnement et de 270 000 euros d’amende. Le code pénal ajoute que :

« Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 450 000 euros d’amende » (art.434-15-2).

Autrement dit, refuser de communiquer le code de déverrouillage d’un téléphone mobile en tant que convention secrète est pénalement répréhensible.

Or, ce déverrouillage permet ensuite l’accès aux données contenues par le téléphone, notamment les messageries. Une telle possibilité a donc été vivement critiquée au motif qu’elle porterait atteinte au droit au silence et au droit de ne pas contribuer à sa propre incrimination posé par le Pacte international relatif aux droits civils et politiques (Assemblée générale des Nations Unies et ratifiée par la France, art. 14).

En matière de preuve numérique, la frontière entre technique d’enquête et atteinte à la vie privée semble ténue. C’est cette apparente contradiction que la Cour de cassation a résolue en Assemblée plénière dans sa décision du 7 novembre 2022.

La Cour énonce clairement que le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit. Dans cette affaire, une personne arrêtée dans le cadre d’une enquête de flagrance pour possession de stupéfiants avait refusé, pendant sa garde à vue, de donner aux enquêteurs les codes permettant de déverrouiller deux téléphones susceptibles d’avoir été utilisés. Initialement relaxée en correctionnelle, la chambre criminelle de la Cour de cassation en avait décidé autrement en retenant la qualification délictuelle. Parce qu’elle ne fut pas suivie par la Cour d’appel de renvoi en 2021, l’affaire est revenue en Assemblée plénière. La clé de déverrouillage de l’écran d’accueil d’un smartphone est bien une convention secrète de déchiffrement.

Une évolution de la loi

En conclusion, si un téléphone portable est doté de moyens de chiffrement (c’est le cas aujourd’hui de la plupart des téléphones portables) et qu’il est susceptible d’avoir été utilisé pour la préparation ou la commission d’un crime ou d’un délit, son détenteur, qui aura été informé des conséquences pénales d’un refus, est tenu de donner aux enquêteurs le code de déverrouillage de l’écran d’accueil.

Néanmoins, le substitut du procureur général de la Cour d’appel de Caen, David Pamart alerte :

« On est encore loin de prononcer le maximum prévu en termes de sanctions : 4 à 5 mois d’emprisonnement avec sursis et 5 000 euros d’amende alors qu’aux États-Unis c’est la prison ferme pour deux ou trois ans ! »

Cette situation devrait évoluer avec l’adoption d’un amendement adopté lors des débats sur le projet de loi d’orientation et de programmation du Ministère de l’Intérieur et visant à aggraver les peines encourues en cas d’infraction commise à l’encontre d’un système de traitement automatisé de données. Jusqu’ici, les infractions d’accès et de maintien frauduleux dans un système de traitement automatisé de données sont punies que de deux ans d’emprisonnement et 60 000 euros d’amende.

Or, l’étendue des actes d’investigation réalisables en enquête préliminaire est régie par le code de procédure pénale et dépend de la qualification de l’infraction retenue (par exemple un crime ou un délit puni d’au moins trois ans d’emprisonnement). Ce nouvel amendement propose justement de porter la peine d’emprisonnement encourue à trois ans afin de pouvoir procéder à davantage d’actes d’enquête, comme des perquisitions ou une géolocalisation (art.76 al.4 du code de procédure pénale).

Nathalie Devillier, Professeur Associée, Kedge Business School

Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.