L’accès des autorités publiques aux données chiffrées

Des dispositions nombreuses

Les réquisitions, les perquisitions et les saisies de données

La question de l’articulation entre ces objectifs de protection de la vie privée et de sécurité du patrimoine informationnel, d’une part, et la nécessité pour les autorités publiques d’accéder aux informations qui leur sont nécessaires, d’autre part, s’est posée avec une acuité particulière ces dernières années.

Le principe de l’accès, par les autorités judiciaires, aux documents, informations et données « intéressant l’enquête », « utiles à la manifestation de la vérité » ou qui peuvent servir de preuve à l’élucidation d’une infraction, est en effet au cœur des dispositions du code de procédure pénale. L’accès à des données informatiques fait ainsi l’objet de nombreuses dispositions spécifiques.

Sont ainsi prévues les réquisitions de données, y compris celles issues d’un système informatique ou d’un traitement de données personnelles, qui permettent d’exiger de toute personne la communication de toute donnée informatique, quel que soit son support.

Les perquisitions et les saisies de données sont encadrées par des dispositions distinctes, qui permettent de prendre connaissance, au domicile des personnes concernées, des données informatiques nécessaires à la manifestation de la vérité et de saisir le support physique de ces données ou d’en faire copie. Les autorités judiciaires peuvent dans ce cadre accéder aux données stockées dans le système informatique implanté dans le lieu où se déroule la perquisition, ainsi que dans tout autre système accessible ou disponible par l’intermédiaire du système initial. Elles peuvent également, dans les conditions de la perquisition, accéder, par un système informatique implanté dans les locaux d’un service de police judiciaire, à des données intéressant l’enquête en cours et stockées dans un autre système informatique, si ces données sont accessibles à partir du système initial.

En pratique, ces dispositions permettent donc d’accéder, de copier ou de saisir des données informatiques, quel que soit leur support (logiciel, fichier, traitement, cloud, etc.), dans les conditions prévues par le code de procédure pénale. Dès lors que des données chiffrées ont été synchronisées de manière non chiffrée dans un autre espace de stockage, par exemple dans les serveurs d’une messagerie électronique ou dans le cloud, les autorités judiciaires peuvent ainsi accéder auxdites données.

L’accès aux données informatiques chiffrées

L’accès aux données informatiques chiffrées fait également l’objet de dispositions spécifiques. La fourniture des clés de déchiffrement ou des informations déchiffrées aux autorités judiciaires, par les personnes concernées ou par des tiers, est prévue dans l’ordre juridique national : le code pénal permet de punir la personne qui, ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre une infraction, refuse de la remettre ; des peines aggravées sont prévues lorsqu’un moyen de cryptologie a été utilisé pour préparer ou commettre un crime ou un délit, mais ne sont pas applicables aux personnes qui remettent aux autorités la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.

Dans le cas particulier des perquisitions, les autorités judiciaires peuvent requérir de toute personne susceptible d’avoir connaissance des mesures appliquées pour protéger les données auxquelles il est permis d’accéder dans le cadre de la perquisition ou de leur remettre les informations permettant d’accéder à ces données. Ces dispositions, introduites en 2014, permettent ainsi aux enquêteurs de demander à des tiers, détenteurs des codes d’accès verrouillant l’accès au contenu informatique, de les leur remettre, afin de parer à l’absence du détenteur d’un contenu informatique ou à son refus de fournir ces codes.

Le recours à des experts techniques est également prévu. Au-delà des dispositions générales en matière de recours à des personnes qualifiées, le code de procédure pénale permet aux autorités judiciaires, aux fins de « mettre au clair des données chiffrées », de recourir à une expertise « externe » pour effectuer les opérations techniques permettant l’accès à des données chiffrées, leur version en clair ou la convention secrète de dé- chiffrement. En pratique, il s’agit donc de faire appel à un « expert en chiffrement » afin de « déchiffrer » des informations en leur disposition.

Les autorités judiciaires peuvent également faire appel à une expertise «  interne » aux services de l’État : au-delà d’un certain seuil infractionnel, elles peuvent prescrire le recours aux moyens de l’État soumis au secret de la défense nationale, c’est-à-dire au centre technique d’assistance, rattaché au directeur général de la sécurité intérieure (DGSI) et qui dispose de puissants moyens informatiques de déchiffrement. Les organismes de police judiciaire disposent également de moyens techniques importants en matière de déchiffrement.

Enfin, au-delà des possibilités offertes aux autorités judiciaires s’agissant de l’accès aux données informatiques et en particulier aux données chiffrées, il existe également des moyens légaux de contourner les difficultés liées à l’utilisation de solutions de chiffrement. Si l’accès à des données chiffrées à la main de l’utilisateur peut se heurter à certaines difficultés, d’autres outils techniques permettent d’accéder aux données nécessaires à la prévention ou à la répression d’infractions graves, comme les actes de terrorisme en particulier. Des moyens spécifiques sont ainsi mis à la disposition des autorités judiciaires dans le cadre de la lutte contre la délinquance et la criminalité organisées, ainsi qu’aux services de renseignement dans le cadre de lutte anti-terroriste.

Ces autorités peuvent en effet mettre en œuvre, dans certaines conditions, de nombreuses techniques d’enquête leur permettant d’accéder aux données informatiques nécessaires à l’exercice de leurs missions de police judiciaire ou administrative. Sans être nécessairement exhaustif, on peut notamment rappeler qu’elles disposent des moyens suivants :

• Accès aux données de connexion des utilisateurs de services de communications électroniques, également appelées « métadonnées » et dont l’exploitation est susceptible de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci.
• Interceptions de correspondances émises par la voie des télécommunications (en matière de police judiciaire) ou interceptions de sécurité (en matière de renseignement) : initialement circonscrites aux écoutes téléphoniques, ces interceptions peuvent également concerner tout échange de correspondance par voie électronique (mail, messagerie instantanée, etc.). S’il s’agit principalement d’écoutes « en flux », c’est-à-dire d’interceptions directes de télécommunications, le code de procédure pénale permet également, en matière de criminalité organisée, l’accès aux correspondances stockées dans des messageries électroniques.
• Enregistrements audio-visuels : des dispositifs techniques peuvent être utilisés aux fins de capter, à l’insu des personnes concernées, des paroles ou des images dans des lieux privés.
• IMSI-catchers : les services de renseignement comme les autorités judiciaires peuvent utiliser des appareils permettant de capter à distance les données de connexion comme les correspondances échangées ; il s’agit en pratique de fausses antennes relais, installées à proximité (de l’ordre d’une centaine de mètres, dans l’état actuel des techniques) de la personne dont on souhaite intercepter les échanges électroniques, afin de capter l’ensemble des données transmises entre le périphérique électronique et la véritable antenne relais.
• Captation de données informatiques : les autorités peuvent mettre en œuvre des dispositifs techniques ayant pour objet, sans le consentement des intéressés, d’accéder et d’enregistrer des données informatiques « telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels ».

Ces derniers outils ont précisément pour objet de contourner certaines mesures de chiffrement, en « interceptant » les données informatiques produites ou reçues par une personne sur son terminal électronique avant ou après toute mesure de chiffrement, c’est-à-dire avant d’être adressées par Internet par le biais d’une communication chiffrée ou une fois déchiffrées sur l’écran de l’ordinateur du récepteur.

Ces outils, qui ne peuvent être mis en œuvre que dans certaines conditions précisément établies par le code de procédure pénale ou le code de la sécurité intérieure, forment un arsenal juridique solide et relativement complet. Le cadre juridique de ces différents outils est en outre régulièrement modifié afin de mieux les adapter à l’état des différentes technologies.

Malgré ce contexte, un débat s’est fait jour, dans le monde anglo-saxon en particulier, sur l’opportunité d’obliger les fournisseurs de services de communication et les fabricants de technologies à installer des « portes dérobées » dans les systèmes de chiffrement.

Les risques liés à la remise en cause du chiffrement

À la suite d’attentats intervenus en 2015 et 2016, plusieurs autorités publiques ont affiché des positions défavorables au chiffrement. Confrontées à des matériels chiffrés à la main de l’utilisateur, selon des technologies de pointe, des autorités judiciaires ont en effet eu des difficultés substantielles à accéder à des informations pourtant nécessaires à leurs enquêtes, portant sur des faits particulièrement graves.

Plusieurs acteurs ont ainsi demandé à ce que soient prévues des obligations juridiques de mise en place de « Backdoors» dans les systèmes de chiffrement ou de mise en œuvre de « clés maitres », qui soulèvent des questions similaires aux portes dérobées, ou encore de mettre fin à la possibilité pour le grand public d’utiliser des techniques de chiffrement des données à la main des utilisateurs. Ces options mettent néanmoins en péril le principe même de fonctionnement des technologies actuelles de chiffrement, qui reposent précisément sur l’interdiction d’accès, par des tiers, aux données ainsi protégées.

Or, un défaut de chiffrement fait peser plusieurs risques substantiels sur la cybersécurité, qui est vecteur de confiance pour les utilisateurs, particuliers ou professionnels, et d’innovation pour les industriels.

Un défaut de chiffrement peut en effet mettre en péril la sécurité des individus. On peut citer notamment l’expérience malheureuse d’une autorité publique américaine, l’OPM (Office of Personal Management), qui s’est vue dérober 22 millions de fiches concernant les employés fédéraux américains. Parmi ces fiches, les formulaires SF86 comportaient les données privées des personnes relevant de la sécurité nationale.

Il ne s’agit là que d’un exemple parmi d’autres. Dans un contexte de cybercriminalité grandissante, qui touche tous les secteurs d’activité, tous les publics (entreprises, autorités) et tous les domaines de la vie quotidienne des particuliers (données bancaires, données de santé, téléphonie, etc.), il ne peut être envisagé d’affaiblir la sécurité des solutions informatiques aujourd’hui déployées, sans que cela devienne préjudiciable au patrimoine informationnel des entreprises et à la protection de la vie privée des individus. Les « Backdoors » créeraient ainsi un risque collectif tendant à affaiblir le niveau de sécurité des personnes physiques comme morales face à l’ampleur du phénomène cybercriminel, alors même que la protection des systèmes d’information des entreprises et des États devient de plus en plus impérieuse, au vu des graves préjudices que peuvent causer les atteintes à ces systèmes, du point de vue économique, politique ou de la sécurité publique.

Face aux attaques des États ou du crime organisé, les « Backdoors » et « Master Keys » seraient en outre peu robustes dans le temps, d’autant plus qu’il serait nécessaire d’échanger au niveau international le secret ou les clés concernés, les autorités publiques étant en effet confrontées aux mêmes menaces, notamment terroristes. Ces solutions seraient également très complexes à mettre en œuvre de manière sûre : dans le cas où une clé maître serait corrompue (obtenue par un groupe ou un État non habilités), il serait en effet très difficile de la renouveler et d’assurer la confidentialité des données qu’elle protégeait. Enfin, même sur le court terme, leur efficacité pourrait s’avérer douteuse, dans la mesure où les applications en cause sont majoritairement d’origine étrangère et mondialisées et où les personnes visées par ces mesures pourront toujours continuer à utiliser des solutions échappant à ces obligations.

Pour toutes ces raisons, la CNIL comme la plupart des autorités nationales compétentes en matière de cybersécurité, à l’image de l’ANSSI par exemple, ne pense pas souhaitable une telle obligation.