Dans un climat de défiance envers les moyens de cryptologie résultant du bras de fer auquel se livrent Apple et les autorités fédérales aux Etats-Unis, l’Assemblée Nationale vient de voter un amendement au projet de loi relative à la lutte contre le crime organisé, le terrorisme et leur financement destiné à sanctionner les entreprises refusant de coopérer avec les autorités judiciaires qui souhaitent accéder à des données chiffrées.
L’amendement 90 rectifié, qui fait suite à un amendement similaire rejeté lors de précédents débats sur le même projet de loi, prévoit de punir de 5 ans d’emprisonnement et 350.000€ le fait pour un « organisme de droit privé » de refuser de « communiquer (…) des données protégées par un moyen de cryptologie ». Cette disposition vient compléter le régime de sanction de l’absence de coopération avec les autorités judiciaires prévu à l’article 434-15-2 du Code pénal punissant le refus, par toute personne, de fournir aux enquêteurs une convention de chiffrement dont elle aurait connaissance. L’introduction, par l’amendement, d’une nouvelle infraction au sein du Code de procédure pénale vise expressément le cas inédit auquel les autorités fédérales américaines font face. En effet, si la situation se présentait en France sous l’empire du projet amendé, Apple ne pourrait plus arguer ne pas connaître la clé de chiffrement afin de faire échec aux demandes des autorités, l’amendement permettant à ces dernières d’exiger d’Apple de déchiffrer, par tous moyens, les données avant de les communiquer.
S’il permet d’éviter la communication des clés de chiffrement, fragilisant ainsi tout un écosystème de protection, cet ajout au projet ne met pas fin aux questionnements liés au chiffrement des données. Pratiquement, les entreprises en possession de données chiffrées devront, sur demande des autorités, les déchiffrer, ou les faire déchiffrer par leurs prestataires de moyens de cryptologie, avant de les transmettre aux enquêteurs. Au-delà de la question de la conservation desdites données sur les serveurs, parfois non sécurisés, des entreprises, la question du champ d’application de la disposition devra être adressée afin d’éviter que des données personnelles sans lien avec l’enquête ne soient exposées aux yeux de tous. Cette disposition tend également à conférer un rôle d’arbitre aux entreprises qui devront décider quels jeux de données déchiffrées transmettre aux enquêteurs. Cette responsabilisation n’est pas sans rappeler celle imposée aux moteurs de recherche qui doivent, dans le cadre de la mise en œuvre du droit au déréférencement, décider seuls si un résultat de recherche concernant une personne porte atteinte à ses droits. Enfin, le rôle que les prestataires de moyens de cryptologie devront jouer dans le cadre des demandes de communication des données déchiffrées reste également à déterminer.
Par Diane Mullenex, avocat associée Pinsent Masons