Chiffrer ses données est un droit pour tous les Français, sauf quand ils sont soupçonnés d’un crime ou d’un délit. Dans ce cas, ils peuvent être contraints par l’administration judiciaire de révéler leurs mots de passe de chiffrement selon les termes de l’article 434-15-2 du code pénal, même si cela revient à s’accuser soi-même. C’est en effet ce que vient de confirmer le Conseil constitutionnel dans sa décision du 30 mars 2018. Saisie par la Cour de cassation dans le cadre d’une affaire de trafic de drogue, l’institution a estimé que ce texte – qui punit le refus de divulgation par trois ans de prison et 270.000 euros d’amende – ne porte « pas atteinte au droit de ne pas s’accuser, ni au droit au respect de la vie privée et au secret des correspondances ».
Pourquoi ? Car les dispositions légales « n’ont pas pour objet d’obtenir des aveux » de la part de la personne soupçonnée, mais « permettent seulement le déchiffrement des données cryptées » qui, de toute façon, « existent indépendamment de la volonté de la personne suspectée ». Seule réserve : l’enquête ou l’instruction doivent avoir permis d’identifier l’existence de ces données et le fait qu’elles aient été chiffrées « pour préparer, faciliter ou commettre un crime ou un délit ». A partir de là, c’est open bar.
La CNIL n’était pas du même avis
Pour la Quadrature du net, qui est intervenue dans cette affaire, cette décision est « une véritable remise en cause du droit de ne pas s’auto-incriminer ». L’association rappelle que la CNIL avait estimé, en 2016, que la divulgation des clés de chiffrement ne pouvait pas conduire à « obliger les personnes mises en cause à fournir les informations utiles à l’enquête », dans la mesure où « le droit de ne pas s’auto-incriminer est un droit fondamental qui trouve son origine dans le Convention européenne des droits de l’homme et dans la jurisprudence de la Cour européenne ». Un avis donc diamétralement opposé à la décision du Conseil constitutionnel. Pour la Quadrature du net, celle-ci est donc « une erreur historique ».
En Europe, les interprétations en la matière sont assez différentes. Au Royaume-Uni, révéler un mot de passe ne relève clairement pas du droit de ne pas s’auto-incriminer. Sa non-divulgation est punie de cinq ans de prison, selon la loi Regulation of Investigatory Powers Act. Plusieurs personnes ont d’ailleurs déjà été condamnées. En Allemagne, en revanche, le droit de ne pas s’auto-incriminer est nettement plus protecteur : la divulgation d’un mot de passe est vue comme une participation active à l’enquête judiciaire, ce qu’un accusé peut donc logiquement refuser.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
