Les mots de passe et le Conseil Constitutionnel.

Les mots de passe (convention de chiffrement) permettent la protection des données, et leur divulgation imposée par les autorités peut mettre en danger la liberté individuelle et la démocratie mais aussi permettre la répression du crime.

Le Conseil Constitutionnel, sur QPC où intervient la Quadrature du Net, juge que l'incrimination de refus de communication de mot de passe n'est pas contraire à la Constitution.

L'article 434-15-2 du code pénal, dans sa rédaction résultant de la loi du 3 juin 2016, prévoit :
« Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
« Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende ».

Le Conseil fait une lecture classique du texte, c'est-à-dire stricte, en application du principe selon lequel la loi pénale est d'interprétation stricte, et en déduit la constitutionnalité de la disposition (en l'occurrence l'alinéa 1 de l'article, seul visé).

L'accusation devra caractériser contre la personne suspectée :
- la connaissance du mot de passe (la personne qui est requise est bien celle qui a effectivement connaissance du mot de passe, et non pas seulement la personne qui est censée connaître, ou qui pourrait, ou devrait, connaître...les intermédiaires techniques en tant qu'entreprises s'en remettant à leurs machines pour gérer et accéder aux mots de passe pourraient justifier leur refus en opposant l'absence de tout organe personne physique (être humain) ayant accès à la convention secrète) ;
- la probabilité que le moyen de cryptologie a été utilisé à des fins criminelles ou délictueuses.

Les autorités judiciaires visées sont celles qui interviennent dans le cadre de l'enquête préliminaire ou de flagrance ou de l'instruction (titres II et III du livre I du code de procédure pénale).


#gdpr : emergency procedures against the controller under EU regulations and French law of procedure

French version below *** This article envisages the ways to engage emergency procedures in the case of an inappropriate use of personal...