La police peut vous obliger à lui donner accès à votre smartphone
Cette news appelle un peu de contexte, alors qu'on parle beaucoup de chiffrement des données et de réquisition par les autorités de codes d'accès aux téléphones et de clés de chiffrement.
Il y a quelques mois, un homme est interpellé et placé en garde à vue dans une affaire de stupéfiants. Une fois en garde à vue, les policiers lui indiquent qu'il a le droit de garder le silence (ce n'est pas que dans les films). Les policiers lui demandent ensuite le code de son téléphone, code qu'il refuse de leur donner, puisqu'il a le droit de garder le silence.
A cause de ce refus de donner son code de téléphone, cet homme est alors poursuivi pour avoir refusé de remettre aux autorités judiciaires “la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”, une infraction punie de 3 ans de prison et 270 000 euros d'amende. Il invoque alors l'inconstitutionnalité de l'article prévoyant cette infraction, à l'origine prévue pour lutter contre le terrorisme.
La question est remontée jusqu'au Conseil constitutionnel car le droit de garder le silence recouvre en réalité une protection fondamentale bien plus large, celle contre l'auto-incrimination qui obligerait une personne à livrer contre elle-même des éléments à charge alors même qu'elle est présumée innocente.
Le Conseil constitutionnel a déclaré que l'article du Code pénal qui prévoit cette infraction, constituée par le refus — y compris par la personne mise en cause — de donner une clé de chiffrement, ou comme ici un simple code d'accès à un téléphone, est conforme à la Constitution.
On a donc le droit de garder le silence, mais notre téléphone pourra toujours parler à notre place (sauf si on demande à Siri, dans ce cas on est plutôt tranquille).
Deux toutes petites limites ont été admises:
- la première est que les autorités doivent établir que la personne connait la convention secrète de déchiffrement, Apple ne peut donc pas être forcé à donner une clé s'il est établi que seul l'utilisateur a cette clé en sa possession, par exemple dans une enclave de son iPhone
- la deuxième est que l'enquête ou l'instruction doivent avoir permis d'identifier l'existence des données protégées par la clé de chiffrement, il ne s'agit donc pas d'aller à la pêche aux infos sans aucun élément. Par contre, on peut penser qu'il suffit d'identifier l'existence d'une seule donnée pour débloquer tout le téléphone, ce qui rend cette deuxième limite particulièrement faible
Il va sans dire que nous regrettons cette décision du Conseil constitutionnel, qui va à l'encontre de la protection contre l'auto-incrimination et du droit à chiffrer et protéger ses données personnelles et privées.
La procédure n'est peut-être pas terminée car en matière de droit fondamentaux, une fois la procédure menée à son terme en France, le requérant pourra toujours former un recours devant la Cour européenne des droits de l'Homme, qui pourra éventuellement obliger la France à modifier sa législation.