Apple vs FBI : et si cela se passait en France...

L’affaire qui oppose actuellement le FBI et Apple, et derrière la marque à la pomme, les autres géants du Net, n’en finit pas de défrayer la chronique et s’étend désormais de notre côté de l’Atlantique, en France. Mais que se serait-il passé si l'affaire avait éclatée en dans l'Hexagone ? Nous en serions en fait à peu près au même point, car le chiffrement ou la cryptologie tient du Janus, ce dieu romain à double visage (ici sécurité vs liberté) et les moyens et les prestations cryptologiques sont des biens à double usage réglementés par l’Arrangement de Wassenaar (à l'échelle internationale) et le Règlement (CE) n°428/2009 (à l'échelle européenne) avec des visées à la fois militaires et civiles.

En France, jusqu’en 1990, les moyens de cryptologie étaient soumis à un régime restrictif. Celui-ci s’est progressivement libéralisé. Depuis l’adoption de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), où le principe de liberté d’utilisation des moyens de cryptologie a été consacré par son article 30, les règles pour la fourniture, le transfert, l’importation et l’exportation des moyens de cryptologie ont été assouplies.

Quelle répression pénale ?

Difficile équilibre

Légiférer sur la question du chiffrement revient à concilier deux positions par nature antinomiques. Si, dans cette période difficile et tendue, les pouvoirs régaliens entendent avant tout prévenir une atteinte par des criminels ou des terroristes à la sécurité d’un Etat en recourant à des messages chiffrés, la cryptologie est devenue un outil indispensable au service des entreprises et des particuliers, notamment au regard de la protection de la vie privée et du commerce électronique.

L’article 434-15-2 du code pénal s’applique à quiconque a connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. En effet, lorsqu’une convention secrète de déchiffrement d’un moyen de cryptologie dont cette personne a connaissance est susceptible d’avoir été utilisée à cette fin cette personne devra remettre la convention secrète de déchiffrement aux autorités judiciaires ou la mettre en œuvre, sur les réquisitions de ces autorités. A défaut de cette collaboration, elle sera punie de trois ans d’emprisonnement et de 45 000 euros d’amende. Cette peine est portée à cinq ans d’emprisonnement et 75 000 euros d’amende "si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’en limiter les effets."

Comment l’Etat peut-il mettre au clair des données ?

Les articles 230-1 et s du Code de procédure pénale fournissent un cadre concernant la saisie et le traitement des documents électroniques chiffrés. L’article 230-1 du code de procédure pénale permet à la juridiction compétente de désigner toute personne physique ou morale compétente en vue d'effectuer les opérations techniques permettant d'obtenir la version en clair de données saisies ou obtenues au cours de l'enquête ou de l'instruction. Lorsque la peine encourue est égale ou supérieure à deux ans d’emprisonnement et que les besoins de l’enquête l’exigent, l’article 230-2 du code de procédure pénale expose le dispositif mis en place pour le déchiffrement.

La réquisition écrite ayant pour but de déchiffrer une version chiffrée doit être adressée à un organisme technique soumis au secret de la défense nationale, et désigné par décret, avec le support physique contenant les données à mettre au clair ou une copie de celui-ci. Lorsque les opérations sont achevées, lorsque le délai prescrit est terminé, lorsque l’autorité judiciaire demande d’interrompre les opérations ou lorsque les opérations sont considérées comme impossibles techniquement, les résultats obtenus et les pièces reçues sont retournés par le responsable de l'organisme technique à l'autorité judiciaire. Les éléments ainsi obtenus font l'objet d'un procès-verbal de réception et sont versés au dossier de procédure. Les décisions judiciaires en découlant n'ont pas de caractère juridictionnel et ne sont susceptibles d'aucun recours.

On notera d’ailleurs que l’amendement 90 adopté du projet de loi relatif à la lutte contre le crime organisé, le terrorisme et leur financement vient prendre en compte la situation actuelle puisque l’article 230-1 du Code de procédure pénale pourrait se voir compléter d’un alinéa indiquant : "Le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes définis au chapitre 1er du titre II du livre IV du code pénal des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et 350 000 euros d’amende."

appeler à la rescousse les prestataires de services de cryptologie

En vertu de l’article L.244-1 du code de la sécurité intérieure, les personnes physiques ou morales qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité (comme c’est le cas pour Apple) sont soumis à une obligation de remettre aux agents autorisés par une décision du Premier ministre ou de l’un de ses délégués (l’article L.242-1 du même code) "les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'elles ont fournies", sauf si elles démontrent ne pas être en mesure de satisfaire à ces réquisitions (comme c’est le cas là aussi pour Apple qui dit ne pas la connaître ou pouvoir la connaître puisque le chiffrement est associé à une phrase de passe ou code que seul le possesseur de l’iPhone connaît).

Alors que faire ?

Dans le cadre des débats parlementaires entourant le projet de loi relatif à la lutte contre le crime organisé, le terrorisme et leur financement, les amendements 532 et 533 ont été déposés afin que l’autorité judiciaire puisse requérir de tout concepteur de matériel électronique d’accéder, par tous moyens, aux données susceptibles d’intéresser l’enquête en cours contenues sur des supports électroniques relevant de sa conception. En l’absence de collaboration, le montant des amendes se voulait dissuasif : un million d’euros. Ces deux amendements ont été retirés de manière consensuelle, dans l’attente de réunions à venir entre autorités européennes, GAFA et autres multinationales.

Quelques nouvelles d' Outre Atlantique

Il est à noter que dans une autre affaire que celle de San Bernardino dont on entend tant parler (une affaire portant sur l’iPhone d’un trafiquant de drogue), un juge New Yorkais a, le 29 février dernier, considéré que le FBI n’avait pas le pouvoir d’obliger Apple à contourner les mesures de sécurité sur son produit. Cette décision est frappée d’appel par le FBI.

Pour l’heure, à l’aune du contexte international, aucune conclusion – favorable ou défavorable – ne semble acceptable. Le chantier est considérable et il conviendra d’analyser comment le nœud gordien du chiffrement sera tranché...

Pascal Agosti, Avocat associé, Docteur en droit