Le Tribunal fédéral a récemment confirmé (1B_459/2019) que lorsqu’un support de données chiffré est saisi et qu’il contient des données protégées par le secret professionnel (321 CP), la protection du secret professionnel doit continuer à s’appliquer même si le prévenu ne fournit pas la clé de déchiffrement. Si l’autorité arrive à déchiffrer le support, c’est sous le contrôle du Tribunal des mesures de contrainte que cela doit être fait pour garantir la protection du secret professionnel.
Une obligation de collaborer
Le Ministère public du canton d’Argovie a saisi des supports informatiques dans le cadre d’une affaire de violation de la loi fédérale sur l’encouragement du sport, de la loi fédérale sur les produits thérapeutiques et de blanchiment d’argent. Le prévenu a demandé leur mise sous scellés, certains supports informatiques contenant de la correspondance avec ses avocats protégée par l’art. 264 al. 1 let. a CPP.
Étant le seul à connaître le contenu des documents scellés, le prévenu doit coopérer à la levée des scellés. Lors de la première audience de tri, le prévenu a indiqué, pour certains des supports de données, dans quels répertoires pouvait se trouver la correspondance échangée avec ses avocats. La plupart des supports de données sont néanmoins chiffrés, ce qui rend une vérification impossible.
Le prévenu a indiqué avoir noté à la main les mots de passe sur un papier qui ne lui a pas été restitué par les autorités de poursuite pénale et ne pas s’en souvenir. Le Tribunal des mesures de contrainte ne croit pas cette version et retient qu’en raison du manque de coopération du plaignant pour déchiffrer les supports de données scellés, il est de fait impossible de séparer la correspondance protégée par l’art. 264 al. 1 let. a CPP. Le Tribunal ordonne alors la levée des scellés sur tous les supports de données qui n’ont pas pu être déchiffrés.
Mais pas d’obligation de donner son mot de passe
Dans un arrêt 1B_376/2019 du 12 septembre 2019, le Tribunal fédéral a confirmé qu’en application du principe « nemo tenetur se ipsum accusare », personne n’est tenu de contribuer à sa propre accusation dans le cadre d’une procédure pénale et que le prévenu a le droit de garder le silence sans subir de désavantages en vertu de son droit de refuser de témoigner (art. 14 al. 3 let. g Pacte ONU II de l’ONU, art. 32 de la Cst. féd., art. 6 al. 1 CEDH, art. 113 al. 1 et art. 158 al. 1 lit. b CPP). En particulier, un prévenu ne peut pas être contraint de divulguer le code de verrouillage de l’appareil ou le code PIN ou PUK de la carte SIM.
Il en va de même dans le cadre de la présente affaire. L’obligation de collaboration n’implique pas celle de divulguer un mot de passe. Même si le Tribunal des mesures de contrainte considérait que l’obligation de coopérer incluait la divulgation des mots de passe, en sanctionnant le refus de coopérer par l’exploitation des documents protégés par le secret professionnel, le Tribunal des mesures de contrainte aurait exercé une pression indirecte excessive sur le plaignant, ce qui violerait le droit de ne pas s’auto-incriminer.
Forcer le mot de passe, en respectant le secret professionel
Dans la mesure où il est possible de déchiffrer les supports ou de les exploiter d’une autre manière ne requérant pas la coopération du prévenu, cela doit être fait dans le cadre de la procédure de levée des scellés et sous le contrôle du Tribunal des mesures de contrainte. À cet effet, il peut évidemment faire appel à des experts externes (par exemple des informaticiens) ou à des services de police spécialisés (art. 248 al. 4 CPP).
Cet arrêt confirme la jurisprudence qui reconnaît d’une part le droit du prévenu de ne pas s’auto-incriminer en donnant un code d’accès ou de déchiffrement et d’autre part le droit de l’autorité de poursuite de prendre des mesures pour déjouer les mesures techniques de protection mise en place par le prévenu pour protéger ses données.
Le respect du secret professionnel s’applique donc bien à des données chiffrées, ce qui implique que le processus de déchiffrement doit être mené sous le contrôle du Tribunal des mesures de contrainte et non pas du ministère public. Cela n’exclut pas de recourir à l’aide d’experts techniques, mais il faut alors s’assurer qu’ils agissent sous le contrôle du Tribunal des mesures de contrainte et que l’autorité de poursuite n’ait pas accès aux données.
Ce résumé est également paru sur le site LawInside sous le titre «Nemo tenetur, données chiffrées et mise sous scellés» à l’occasion du cinquième anniversaire de ce site.