ÉPISODE 1 : le smartphone
Le mouvement contre la réforme des retraites, qui n’en finit pas de ne pas finir, s’est heurté au maintien de l’ordre « à la française». Violences policières et placements massifs de personnes en garde à vue (GAV) ont suscité les inquiétudes du Conseil de l’ordre du barreau de Paris, de la Défenseure des Droits, et ont entrainé le dépôt d’une centaine de plaintes par un collectif d’avocat·es parisien·nes. Sans parler des inquiétudes internationales quant au respect du droit de manifester en France.
Un nombre croissant de personnes font l’expérience de la garde à vue et de son corollaire: la collecte massive d’un certain nombre de données personnelles. Code de téléphone, ADN, photographie et empreintes : un passage en GAV laisse des traces difficiles à effacer. Alors que le ministère de l’intérieur compte investir dans des capteurs nomades biométriques qui permettront, en vue des JO 2024, le relevé de photos et d’empreintes « en bord de route », nous revenons dans une série d’articles sur le fichage galopant en France, son cadre juridique et les pratiques policières en la matière, qui se développent parfois en toute illégalité.
Cet article, le premier de la série, revient sur les données collectées en GAV par la police sur nos téléphones portables.
Les témoignages de personnes placées en garde à vue relatent que, quasi systématiquement, la police exige la divulgation du code de déverrouillage de téléphone, sous peine d’être sanctionné·e ou de se voir confisquer son appareil. Pourtant, ce n’est pas ce que prévoit la loi, qui a connu plusieurs interprétations et est le plus souvent instrumentalisée pour faire pression sur les personnes arrêtées.
Que dit la loi ?
Les dispositions légales qui entourent la demande du code de déverrouillage d’un téléphone proviennent initialement de lois assez anciennes, adoptées dans la foulée du 11 septembre 20011loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne et prévues principalement dans le cadre de l’anti-terrorisme.
À l’origine, ce texte avait pour esprit de pénaliser le fait de ne pas remettre le mot de passe d’un appareil susceptible d’avoir facilité la commission d’un crime ou délit. On est alors dans les années 2000 et on parle de « convention secrète de déchiffrement » et de « moyen de cryptologie ». Le texte prévoit aussi une peine alourdie si la remise de cette clé aurait pu permettre d’éviter la commission dudit délit. Un petit air de Jack Bauer dans 24H Chrono : tous les moyens doivent être mis en œuvre pour récupérer des informations qui permettraient d’éviter un drame. La garde des Sceaux de l’époque précisait d’ailleurs que ce dispositif s’inscrivait dans la « lutte contre l’usage frauduleux de moyens de cryptologie qui interviennent dans la commission d’infractions particulièrement graves liées, on l’a vu, à des actes de terrorisme ou de grande criminalité ». 2Marylise Lebranchu, Sénat, séance du 17 octobre 2001, citée dans le commentaire autorisé de la décision du Conseil constitutionnel sur ces dispositions..
Alors que ces dispositions légales n’étaient quasiment pas mobilisées par les procureurs, elles sont remises au goût du jour en 2016 par la loi qui succède aux attentats de novembre 2015 en France et renforce la lutte contre la criminalité organisée et le terrorisme (loi n° 2016-731 du 3 juin 2016). C’est cette loi qui permet aujourd’hui à un officier de police judiciaire (OPJ) de solliciter le code de déverrouillage d’un téléphone lors d’une garde à vue. Elle pénalise donc le refus de remettre « la convention secrète de déchiffrement d’un moyen de cryptologie » lorsqu’un appareil est « susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit » (434-15-2 du code pénal).
La loi de 2016 ne fait en réalité qu’aggraver la peine pour non remise d’une convention de chiffrement, mais ne se prononce pas sur le périmètres des délits concernés. C’est d’ailleurs bien ce qui a permis aux parquets de détourner ce dispositif, présenté au départ pour la lutte contre le terrorisme, et de l’utiliser dans tout un tas de situations. En pratique, l’existence d’un simple « groupement en vue de la préparation » d’un délit, infraction introduite en 2010, punie d’un an de prison et très fréquemment utilisée pour justifier l’arrestation de manifestant·es, suffit désormais à ce que la police puisse demander à accéder au téléphone en GAV.
Ainsi, suivant un schéma désormais tristement connu, le champ des procédures d’exception justifiées par la lutte contre le terrorisme s’élargit et finit par concerner une grande partie de la population. On se souvient ainsi de la loi SILT de 2017 qui était venue intégrer certaines dispositions de l’état d’urgence dans le droit antiterroriste : perquisitions administratives, mesures individuelles de contrôle administratif et de surveillance (MICAS), fermeture de lieux de culte et instauration de périmètres de protection… Mais l’atteinte aux droits et libertés fondamentales inhérente à l’antiterrorisme a vite fait de s’étendre à d’autres situations: c’est sur cette notion de « périmètre de protection » que se basent actuellement de nombreux arrêtés préfectoraux pour interdire les manifestations à l’occasion de la visite d’un ministre ou du président.
L’état actuel de la loi aboutit donc à ce que presque n’importe qui, retenu en garde à vue, puisse se voir demander le code de son téléphone dès lors qu’existe le soupçon d’un lien potentiel entre cet appareil et une éventuelle commission d’infraction. Et si la personne refuse, elle commet une nouvelle infraction qui permet de la poursuivre indépendamment des premiers faits délictueux qui lui étaient reprochés.
Une jurisprudence défavorable
Ces différents textes ont donné lieu à plusieurs interprétations par les juges. Mais la jurisprudence n’a pas davantage protégé les droits des personnes et certaines décisions ont, au contraire, donné un nouveau tour de vis sécuritaire à la possibilité d’accéder au contenu des téléphones.
En 2018, le Conseil constitutionnel a été saisi d’une question prioritaire de constitutionnalité (QPC) et La Quadrature était intervenue au soutien dans cette affaire. Nous avions défendu la nécessaire censure de cette obligation de livrer ses clefs de chiffrement, au motif notamment que cette mesure est attentatoire au droit fondamental de chacun·e à ne pas s’auto-incriminer et au droit à la vie privée.
En vain, puisque le Conseil constitutionnel a considéré que le droit au silence et le droit ne pas s’auto-incriminer n’entraient pas en contradiction avec la pénalisation du refus de communiquer son code. Le tour de passe-passe du Conseil constitutionnel consistait à dire que le droit à ne pas s’auto-incriminer ne pouvait être atteint puisque les données étaient déjà entre les mains de la police au moment où la convention secrète de chiffrement est exigée, même si la police ne détenait qu’une forme illisible – car chiffrée – des données.
Quant à la définition de l’« autorité judiciaire » censée requérir la remise du code, la Cour de cassation a décidé en mars 2021 qu’un simple officier de police judiciaire était habilité, sous le contrôle du procureur, à le faire.3Pour mémoire, un OPJ est habilité à différents actes de procédure et d’enquête et décide notamment du placement en garde à vue : il se distingue en ce sens d’un agent de police judiciaire (APJ), qui lui n’a pas le droit de vous demander votre code de téléphone. Ce sont les OPJ qui mènent les gardes à vue, en relation avec le procureur et sous son autorité, leur qualité est notamment visible sur les procès verbaux des différents actes de la procédure. Concernant le code de téléphone, une simple réquisition de l’OPJ semble donc suffire d’après la Cour de cassation. Cette même Cour avait par contre estimé que le juge aurait dû vérifier que le téléphone du prévenu était bien équipé d’un moyen de cryptologie.
Un flou subsistait également quant à l’interprétation retenue par les tribunaux de ce qui constitue une « convention secrète de déchiffrement d’un moyen de cryptologie » : le code de déverrouillage d’un téléphone est-il réellement concerné par ces dispositions ? En effet, techniquement, le code de téléphone n’opère pas une mise en clair de données qui seraient chiffrées au préalable mais permet juste un accès au téléphone et à son contenu, qui peut n’avoir jamais été chiffré. Saisie de cette question, la Cour de cassation a rendu le 7 novembre 2022 une décision clairement défavorable en considérant qu’« une convention de déchiffrement s’entend de tout moyen logiciel ou de toute autre information permettant la mise au clair d’une donnée transformée par un moyen de cryptologie, que ce soit à l’occasion de son stockage ou de sa transmission ». Cette conception extensive empiète nécessairement sur le droit des personnes à la protection de leurs données personnelles.
Plusieurs cas de figure n’ont à notre connaissance pas encore été tranchés : qu’en est-il d’un oubli de code dans les conditions stressantes de la GAV ou d’une défaillance du système d’exploitation ?
Un espoir au niveau européen?
La Cour de justice de l’Union européenne (CJUE) est actuellement saisie d’une affaire concernant l’accès au téléphone d’une personne placée en garde à vue4Affaire C-548/21, Bezirkshauptmannschaft Landeck. Cette affaire concerne une tentative d’exploitation d’un téléphone sans l’accord de son détenteur. La CJUE doit donc dire si l’atteinte au droit à la vie privée et à la protection des données personnelles (droits fondamentaux respectivement protégés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne) est proportionnelle à l’objectif poursuivi.
Malheureusement, l’avocat général, magistrat chargé de proposer à la Cour une décision, a estimé qu’un tel accès au téléphone devrait être relativement large et ne devrait pas être restreint aux faits de criminalité grave. La CJUE n’est pas obligée de suivre les conclusions de son avocat général, mais si elle le faisait elle mettrait gravement à mal les droits fondamentaux, en autorisant l’exploitation des téléphones peu importe la gravité des faits reprochés . Pire, l’avocat général montre une certaine naïveté lorsqu’il se contente de renvoyer à un contrôle au cas par cas de la nécessité d’exploiter un téléphone : on sait très bien que ces mécanismes de contrôles ne fonctionnent pas, par exemple en matière de vidéosurveillance où les préfets sont censés en théorie contrôler les autorisations alors qu’en pratique leur déploiement est massif.
Cette affaire est pourtant l’occasion pour la CJUE, en s’inspirant de sa jurisprudence sur les données de connexion, de poser un cadre exigeant, en limitant au strict nécessaire l’accès à des données qui, étant donné le rôle d’un téléphone aujourd’hui qui devient presque un avatar numérique, révèlent nécessairement l’intimité des personnes. Gageons qu’elle ne suivra pas son avocat général et qu’elle ne cédera pas aux appels des États membres à donner plus de pouvoirs à la police.
En pratique, atteintes à la vie privée et « confiscations sanctions » à Paris
En attendant, côté manifestant·es, le code de déverrouillage du téléphone est quasi systématiquement demandé lors des GAV et il n’est pas rare que les OPJ brandissent la menace d’une mise sous scellé de l’appareil pour une tentative d’exploitation qui mettra des mois ou n’aboutira jamais.
En pratique, de nombreux commissariats se sont vus doter ces dernières années de dispositifs d’aspiration des données d’un téléphone : Cellebrite, société informatique israélienne, a ainsi commercialisé des UFED (pour Universal Forensics Extraction Device, ou « kiosk »), petits dispositifs qui se branchent par USB sur un téléphone pour en copier le contenu. Cellebrite annonce que leur technologie est capable de contourner le chiffrement d’un téléphone. En pratique, on est bien loin du compte et ces kiosks semblent surtout utiles pour copier les données auxquelles le ou la propriétaire du téléphone a donné accès.
Ainsi, lorsqu’une personne déverrouille son téléphone, seront utilisées pour la procédure toutes les informations que les policiers pourront trouver : messages dans des applications de messagerie (du type Signal, Telegram, WhatsApp, Messenger, etc.), photos, vidéos, identifiants et contenus de réseaux sociaux, messages SMS, etc. Et la liste n’est pas exhaustive. Des photos et des extraits de conversations pourront alimenter un profil à charge, motiver des peines d’interdiction de manifester ou ouvrir la voie à des poursuites pour d’autres faits. On est déjà bien loin de l’enquête sur des faits de préparation ou de facilitation d’un délit grâce à un téléphone, tel que le prévoit la loi.
En effet, alors que l’exploitation d’un téléphone n’est en théorie possible que lorsqu’un faisceau d’indices montre qu’il aurait servi à commettre une infraction, en pratique cette condition n’est pas réellement respectée dans les commissariats : la présomption est généralisée et toute personne en GAV verra sont téléphone exploité sans qu’aucun indice ne démontre qu’il aurait servi à préparer ou commettre un délit. Coline Bouillon, avocate au barreau de Créteil ayant participé au dépôt de plainte collectif pour gardes à vue arbitraires, nous a confirmé cette pratique : « Le recours à ce procédé hautement intrusif est devenu monnaie courante, et ce même dans les cas où l’infraction poursuivie ne peut être établie par le contenu d’un téléphone. Bien souvent, les services de police font face à des dossiers vides qu’ils essaient de nourrir par l’exploitation du téléphone de la personne gardée à vue. » Elle pointe aussi l’objectif de renseignement inhérent à la demande de consultation du téléphone : « Cette infraction sert autant à condamner des militants qu’à nourrir des fichiers de police ». Les contacts contenus dans les téléphones pourraient ainsi servir à tracer des arborescences d’un milieu militant (le graphe social), toujours intéressantes pour le renseignement.
Dans le paysage français, le parquet de Paris semble particulièrement zélé. Actuellement, en cas de refus de communiquer les codes, deux procédures sont utilisées aux fins de confiscation des appareils : le classement pénal sous conditions, et l’avertissement pénal probatoire (le cousin éloigné du défunt « rappel à la loi ») par lesquels il est demandé aux personnes de « se déssaisir de leur téléphone au profit de l’Etat». Jusqu’à l’absurde, puisqu’un manifestant a récemment reçu un avertissement pénal probatoire pour avoir refusé de donner le code d’un téléphone… qu’il ne possédait pas.
Le procureur peut également demander à l’audience la confiscation du téléphone en cas de refus de communication du code de déverrouillage (voir ce compte-rendu d’audience du procès de Camille, libraire). Autant de confiscations à la limite du droit : à Paris, plusieurs personnes se sont par exemple vues saisir leur téléphone professionnel dans le cadre d’arrestations arbitraires. Coline Bouillon alerte sur ces « “confiscations sanctions” quasi systématiques » et souligne le fait que la justice décide parfois de poursuivre des personnes uniquement pour le refus de donner son code de téléphone, alors même que l’infraction initiale qui a justifié le placement en garde à vue est tombée.
Nous avons également recueilli le témoignage d’un manifestant qui, à l’occasion d’un piquet de grève d’éboueurs à Aubervilliers, le 31 mars dernier, a été obligé, de même que toutes les personnes présentes, à donner aux policiers, non seulement son identité, mais également accès à son téléphone portable pour que les fonctionnaires récupèrent le numéro IMEI (l’identifiant physique du téléphone, consultable en tapant *#06#). Ces pratiques hors de tout cadre légal suscitent de nombreuses questions : les données prélevées sont-elles stockées quelque part? Quel(s) fichier(s) contribuent-elles à enrichir? Qui y a accès? En 2019, déjà, Le Monde avait documenté une pratique similaire à l’occasion des mouvements de Gilets Jaunes, cette fois-ci par la prise en photo des cartes d’identité des manifestant·es.
Ces pratiques sont le reflet d’une politique pénale du parquet pour le moins agressive à l’encontre des personnes gardées à vue : à la privation de liberté qui s’apparente déjà à une sanction s’ajoute la confiscation du téléphone. Il s’agit clairement d’un dévoiement des textes existants, qui s’inscrit dans une politique générale plus large, à la fois de collecte de renseignements mais aussi de dissuasion des manifestant·es.
Cet état des lieux des pratiques policières et de la protection peu cohérente qui a été accordée par la jurisprudence n’est guère réjouissant. Face à ces pratiques abusives, la meilleure protection des données à ce jour semble encore de ne pas emmener son téléphone en manifestation. Des brochures et guides fleurissent également pour protéger au mieux ses données et informations en contexte militant et la legal team de Paris avait par exemple, en mai 2021, publié un article conséquent à ce sujet et proposé des conseils toujours pertinents. Enfin, certaines applications, comme Wasted ou Duress, permettent de configurer son téléphone pour effectuer un effacement de données en urgence, en activant une appli factice, en tapant un code spécifique ou simplement en réaction à la connexion d’un cable USB au téléphone alors qu’il est verrouillé. Quoiqu’il en soit, la lutte pour la protection des données n’est pas terminée et le refus de dévoiler son code de téléphone est un choix qui se plaide dans les tribunaux.References
↑1 | loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne |
---|---|
↑2 | Marylise Lebranchu, Sénat, séance du 17 octobre 2001, citée dans le commentaire autorisé de la décision du Conseil constitutionnel sur ces dispositions.. |
↑3 | Pour mémoire, un OPJ est habilité à différents actes de procédure et d’enquête et décide notamment du placement en garde à vue : il se distingue en ce sens d’un agent de police judiciaire (APJ), qui lui n’a pas le droit de vous demander votre code de téléphone. |
↑4 | Affaire C-548/21, Bezirkshauptmannschaft Landeck |