LIBERTÉS PUBLIQUES – Police, justice : qui peut accéder aux messageries privées ?
Jérôme Hourdeaux – 2 septembre 2024 – Médiapart – article complet
Mediapart fait le point sur le droit applicable en matière d’accès judiciaire aux données de connexion ou aux communications échangées via des services tels que Telegram.
S i Pavel Durov, le patron de Telegram, est visé par une douzaine de charges, un élément semble avoir été déterminant dans la décision de la justice française de l’interpeller et de le mettre en examen : « La quasi
totale absence de réponse de Telegram aux réquisitions judiciaires », soulignée en gras dans le communiqué du parquet de Paris diffusé mercredi 28 août.
S i Pavel Durov, le patron de Telegram, est visé par une douzaine de charges, un élément semble avoir été déterminant dans la décision de la justice française de l’interpeller et de le mettre en examen : « La quasi
totale absence de réponse de Telegram aux réquisitions judiciaires », soulignée en gras dans le communiqué du parquet de Paris diffusé mercredi 28 août.
Comme l’a révélé le site Politico, le refus de la société d’identifier un pédocriminel ayant fait des aveux à des enquêteurs sous couverture semble avoir été déterminant. Mais le problème est plus global. Comme le
rapporte Libération, « la gendarmerie nationale a signalé à elle seule 2 460 procédures, entre 2013 et 2024, dans lesquelles des réquisitions envoyées à Telegram sont restées sans suite ».
Plusieurs voix, comme celle du lanceur d’alerte Edward Snowden, se sont élevées pour s’inquiéter de cette procédure inédite qui menacerait le droit à échanger de manière sécurisée. L’arrestation de Pavel Durov
intervient en effet dans le contexte d’une pression croissante exercée sur les opérateurs pour les contraindre à mieux contrôler les contenus de leurs utilisateurs, quitte à s’attaquer aux outils de chiffrement.
Les enquêteurs ne sont pourtant pas sans moyens. Plusieurs outils sont en effet à leur disposition en matière judiciaire, encadrés par des procédures visant à garantir la vie privée des citoyens. Mediapart a interrogé
deux juristes pour faire le point sur le cadre juridique en vigueur.
L’accès aux données de connexion
Le premier niveau d’intrusion est l’accès aux données de connexion. À l’instar des fameuses « fadettes » en matière téléphonique, elles sont constituées de l’ensemble des données techniques produites par un
échange de messages. Elles peuvent comprendre les adresses IP, permettant de localiser les lieux de connexion, éventuellement la géolocalisation, les numéros de téléphone, la durée des appels ou longueur des messages, éventuellement leur objet…
« Cela ne donne pas accès au contenu des messages, précise Jérôme Bossan, maître de conférences à l’université de Poitiers, spécialisé en cybercriminalité, mais le croisement de l’ensemble des données de connexion
peut entraîner une atteinte parfois très importante à la vie privée. »
La législation française impose à l’ensemble des opérateurs de services de conserver les données de connexion. « Il peut y avoir des réquisitions dès l’enquête et de manière assez simple, poursuit Jérôme Bossan. Elles
peuvent par exemple être demandées par un officier de police en cas de flagrance. Dans le cadre d’une enquête préliminaire, il faudra l’autorisation du procureur, et dans le cadre d’une instruction, celle du juge d’instruction. »
Comment la France contourne le droit européen
En rendant, le 8 avril 2014, son arrêt « Digital Rights », la Cour de justice de l’Union européenne (CJUE) a créé un séisme juridique qui, dix ans plus tard, secoue encore le droit français. Dans cette décision historique, la cour a en effet estimé que les obligations de conservation générale et indifférenciée de données de connexion constituent « une ingérence » dans les droits fondamentaux « d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union ».
L’arrêt « Digital Rights » a ouvert la voie à une série de décisions visant les législations nationales imposant aux opérateurs une conservation des données de connexion, dont la France, où un grand nombre d’enquêtes reposent sur l’accès aux données de connexion, notamment en matière de stupéfiants. Le Conseil d’État s’est prononcé sur l’application de la jurisprudence de la CJUE en droit français dans un arrêt rendu le 21 avril 2021, qui n’a fait que contourner le problème. En effet, le juge administratif suprême français y reconnaît bien la primauté du droit européen et a ordonné au gouvernement d’abroger l’obligation de conservation des
données de connexion.
Mais, dans le même temps, le Conseil d’État a estimé qu’il existe des circonstances exceptionnelles liées « à la sécurité nationale et à la lutte contre la criminalité » permettant d’écarter, temporairement, le droit européen. Depuis, il suffit au gouvernement de prendre, chaque année, un très bref décret « portant injonction au regard de la menace grave et actuelle contre la sécurité nationale de conservation pour une durée d’un an de certaines catégories de données de connexion », dont le dernier a été publié au Journal officiel le 10 octobre 2023.
Depuis 2021, et en réponse à un arrêt de la Cour de justice de l’Union européenne, plusieurs textes et décisions de justice ont précisé les conditions d’accès aux données de connexion, comme la loi sur la prévention du terrorisme et le renseignement du 30 juillet 2021, qui a fixé des durées de conservation différenciées pouvant aller de une à cinq années en fonction de la nature de la donnée et de la finalité
poursuivie. Une loi du 2 mars 2022 a également précisé la procédure de réquisition des données de connexion dans le cadre d’une enquête pénale.
poursuivie. Une loi du 2 mars 2022 a également précisé la procédure de réquisition des données de connexion dans le cadre d’une enquête pénale.
Du côté de la Cour de cassation, quatre décisions rendues le 12 juillet 2022 ont précisé les conditions dans lesquelles les procureurs pouvaient accéder aux données de connexion. Et au mois de février 2024, un nouvel arrêt a imposé l’intervention d’une autorité administrative indépendante, et non plus seulement du parquet, pour autoriser la localisation en temps réel des téléphones.
L’interception des communications
Les enquêteurs ont ensuite la possibilité de demander aux opérateurs l’accès aux contenus des messages. « Les interceptions de correspondances sont autorisées dans le cadre de l’instruction préparatoire ou durant l’enquête judiciaire mais uniquement pour la délinquance et la criminalité organisées, précise Jérôme Bossan. Et la jurisprudence reconnaît depuis 2015 que l’interception des correspondances peut viser les messageries instantanées. »
«Une deuxième technique se développe, ajoute le juriste, l’accès à distance aux données de correspondances stockées dans un appareil. Dans ce cas, on n’accède plus aux échanges à venir, mais également à ceux passés, stockés dans l’ordinateur ou le téléphone. L’atteinte à la vie privée est donc encore plus grande. C’est une technique qui est réservée aux crimes et elle doit être autorisée par le juge des libertés et de la détention.»
Le problème de la nationalité de l’opérateur
« L’État français n’a pas le pouvoir de contraindre un opérateur étranger à donner des informations, explique encore Jérôme Bossan. Dans ce cas, il faudra donc passer par des demandes de coopération internationale. »
Or cette coopération n’est pas toujours évidente. « Les enquêteurs se plaignent souvent car l’une des choses auxquelles les opérateurs tiennent, c’est aux intérêts de leurs usagers, poursuit-il. Je n’ai pas connaissance de chiffres exacts sur le sujet. Mais j’ai entendu que la coopération est difficile, principalement en matière de diffamation ou d’injure. Pour des infractions relevant du terrorisme ou de la pédocriminalité, ces sociétés se sont beaucoup fait taper sur les doigts au fil des années. Désormais, elles collaborent plus, même elles semblent investir plus dans la modération interne. »
Les enquêteurs face au chiffrement
Cela fait de nombreuses années que certains responsables politiques, policiers ou magistrats s’alarment du chiffrement croissant des appareils numériques et des communications. Dès 2015, trois magistrats (un Américain, un Espagnol et le Français François Molins, alors procureur de Paris) et le préfet de police de Londres (Royaume-Uni) avaient publié dans le New York Times une tribune au retentissement mondial
affirmant : « Au nom des victimes de crimes dans le monde entier, nous nous demandons si le chiffrement vaut vraiment ce coût. »
Dans le cas des messageries sécurisées, le chiffrement dit « de bout en bout » assure les utilisateurs qu’eux seuls pourront déchiffrer le message. « Or, le prestataire n’a que l’obligation de donner les informations en sa
possession. Il ne peut pas livrer celles qu’il n’a pas », souligne Estelle De Marco, juriste spécialisée en droit pénal et droit du numérique.
Régulièrement, des voix s’élèvent pour demander un affaiblissement des technologies de chiffrement à la disposition des utilisateurs et utilisatrices, par exemple en imposant aux fournisseurs d’installer des « back
doors », des « portes dérobées », dans leurs logiciels ou de fournir les clefs de chiffrement à la police. Des solutions qui auraient pour conséquence de fragiliser la sécurité de l’ensemble des utilisateurs.
« La Cour européenne des droits de l’homme a réaffirmé encore récemment qu’il ne fallait pas toucher au chiffrement, car il s’agirait d’une atteinte disproportionnée à la vie privée, rappelle Estelle De Marco. En France, l’Anssi[Agence nationale de la sécurité des systèmes d’information – ndlr]partage cet avis et estime qu’affaiblir le chiffrement impacterait l’ensemble des communications, celles des criminels comme celles des autres citoyens.»
« Il existe un projet de règlement européen appelé “Chat control” actuellement bloqué mais qui inquiète beaucoup, reprend Jérôme Bossan. Il vise en effet à imposer aux opérateurs d’analyser les messages automatiquement pour détecter les contenus pédophiles, ce qui impliquerait de casser le chiffrement. C’est une bonne illustration de la tension existant entre la nécessité de lutter contre certaines criminalités et celle de protéger la vie privée. »
L’obligation de donner ses clés de chiffrement et le code de son smartphone
Si les enquêteurs sont parvenus à mettre la main sur le propriétaire des données chiffrées, ils peuvent exiger de lui son code de déchiffrement. L’article 434-15-2 du Code pénal punit en effet de trois ans d’emprisonnement et de 270 000 euros d’amende le fait de refuser de donner la clé de déchiffrement d’un logiciel susceptible d’avoir été utilisé pour commettre une infraction.
Longtemps, la justice française a hésité sur le point de savoir si cette obligation incluait le code de déverrouillage de smartphones.
Dans un arrêt rendu le 7 novembre 2023, la Cour de cassation a finalement mis fin à plusieurs années de divergences entre juridictions en affirmant qu’une personne interpellée avait bien l’obligation de fournir aux policiers le code de son téléphone.
Pour Estelle De Marco, le débat juridique n’est cependant pas totalement clos. « Il ne faut pas s’arrêter à la loi française, rappelle-t-elle. Il reste encore les juridictions européennes et certains considèrent que cette mesure reste problématique. Tout d’abord, on accède à l’ensemble des données personnelles de l’appareil alors qu’une partie seulement intéresse les enquêteurs. Ensuite, le fait de permettre le déverrouillage de son propre téléphone peut relever d’une obligation d’auto-incrimination, ce qui est normalement interdit. »
Les enquêteurs ne sont pourtant pas totalement démunis face au chiffrement. Lorsqu’ils mettent la main sur un contenu chiffré, ils disposent d’experts qui pourront tenter de forcer l’accès à celui-ci, regroupés au sein de
l’Office anti-cybercriminalité (Ofac) pour les policiers et le Commandement de la gendarmerie dans le cyberespace (ComCyberGend) pour les gendarmes.
Les techniques spéciales d’enquête
Le terme « techniques spéciales d’enquête » a été introduit dans le Code pénal par la loi de programmation et de réforme pour la justice du 23 mars 2019, qui autorise les enquêteurs à y avoir recours en matière de délinquance et de criminalité organisées.
Il s’agit des techniques les plus intrusives, comparables à celles à la disposition des services de renseignement. « Il y a l’accès à distance aux données stockées, la sonorisation, la captation d’images, de données informatiques, l’installation de “keyloggers” qui permettent de voir tout ce que vous faites sur votre appareil… et d’une manière générale, n’importe quel programme, logiciel ou moyen protégé par la défense nationale, détaille Jérôme Bossan. Ce sont des techniques qui relèvent d’une certaine forme de piratage informatique, mais autorisé par la loi dans un contexte particulier et un régime particulier. »
Enfin, les services de renseignement disposent de pouvoirs encore plus larges. La loi sur le renseignement du 24 juillet 2015 a fixé sept finalités autorisant le recours aux outils les plus intrusifs. Celles-ci visent à
protéger « l’indépendance de la nation », « les intérêts économiques » de la France, à prévenir le terrorisme ou encore la criminalité organisée. « Ce sont des formules extrêmement larges qui peuvent être utilisées par exemple contre des militants écologistes, comme on a déjà pu le voir », souligne Estelle De Marco.
De plus, l’activité des services de renseignement est contrôlée non pas par un magistrat judiciaire, mais par une autorité administrative, la Commission nationale de contrôle des techniques de renseignement (CNTCR).
En plus des techniques spéciales d’enquête et des divers outils de piratage et d’intrusion, les services de renseignement peuvent demander un accès direct aux données de connexion détenues par les opérateurs. Cet
accès peut même se faire en temps réel dans le cadre de la prévention du terrorisme. Ils peuvent également analyser les données de connexion transitant sur Internet en y installant les fameuses « boîtes noires ».
