« Not your keys, not your coins » 

Afin de s’exonérer de toute intervention d’un organisme centralisé, de nombreux propriétaires d’actifs numériques ont recours à des portefeuilles auto hébergés (physique ou numérique) permettant de stocker leurs clés privées hors ligne et limiter les risques de piratage.

En matière d’actifs numériques, le nombre de saisies réalisées par l’Agence de gestion et de recouvrement des avoirs saisis et confisqués (Agrasc) croît chaque année avec 187 affaires enregistrées en 2023 contre 112 en 2022. Cet essor tend à obliger les autorités judiciaires à s’intéresser aux différents modes de conservation des clés privées des titulaires de comptes.

Dès lors, la question de l’accès aux portefeuilles physiques dans le cadre d’une enquête pénale se pose, notamment quant à l’obligation de communiquer les moyens d’en obtenir la lecture aux forces de l’ordre.

L’infraction de refus de transmission de la convention de déchiffrement d’un moyen de cryptologie

Dans le contexte des attentats du 11 septembre 2001, et après constat de l’utilisation de moyens de cryptologie utilisé dans l’organisation de cet évènement, le législateur a introduit au Code pénal l’article 434-15-2. Celui-ci prévoit que quiconque ayant connaissance de la clé cryptographique ou tout moyen matériel ou logiciel conçu ou modifié pour transformer des données à l’aide de convention secrètes ou information permettant la mise au clair de données (un « moyen de cryptologie » au sens de l’article 29 de la Loi n°2004-575 du 21 juin 2001 pour la confiance dans l’économie numérique – LCEN) susceptible d’avoir été utilisé dans le cadre d’un crime ou délit doit transmettre cette clé de déchiffrement. 

A défaut, le refus de communiquer cette « clé de déchiffrement », peut engager la responsabilité pénale de l’intéressé. L’infraction est subordonnée à trois conditions :

1. L’intéressé avait connaissance du code de déverrouillage ;
2. Le dispositif équipé de cryptologie était utilisé pour préparer, faciliter ou commettre un crime ou un délit ;
3. La demande des autorités judiciaires intervient après le contrôle par un juge.

Cet article ne s’intéressait pas, initialement, au déverrouillage des smartphones, mais plutôt, eu égard à la généralisation, au grand public, des outils de cryptographie, aux fichiers chiffrés sur des ordinateurs ou supports amovibles (Disque dur, CD-Rom, clés USB) et semblait même disproportionnée au regard du droit de ne pas s’incriminer soi-même. 

Le code de déverrouillage d’un téléphone portable constitue une convention de déchiffrement

Le débat sur le déverrouillage des smartphones a été tranché par la Cour de cassation le 7 novembre 2022. Celle-ci a jugé que « le code de déverrouillage d’un téléphone mobile peut constituer une clé de déchiffrement si ce téléphone est équipé d’un moyen de cryptologie ».

La Cour relève que lorsqu’un téléphone portable est équipé d’un moyen de cryptologie, qui permet de rendre les informations incompréhensibles afin de sécuriser leur stockage ou leur transmission, le code de déverrouillage de son écran d’accueil peut constituer une « clé de déchiffrement » si l’activation de ce code a pour effet de mettre au clair les données cryptées que l’appareil contient ou auxquelles il donne accès.

Le code de déverrouillage comme « clé de déchiffrement »

Bien que cet arrêt concerne spécifiquement les smartphones, il soulève des interrogations applicables aux portefeuilles auto hébergés : le PIN de déverrouillage d’un portefeuille physique, la phrase de récupération de celui-ci ou encore la clé privée d’accès à un portefeuille autohébergé, pourrait-il constituer une clé de déchiffrement d’un moyen de cryptologie au sens de l’article 434-15-2 du Code pénal ?

Il convient de se référer à l’analyse réalisée par la Cour de cassation pour l’appliquer au code de déverrouillage d’un portefeuille physique, qu’il s’agisse du PIN, de la phrase de récupération ou de la clé d’accès à un portefeuille.

Par transposition, le code PIN d’un portefeuille physique permet d’accéder en clair aux données qui y sont stockées et notamment les transactions réalisées à partir de ce portefeuille, tout comme la phrase de récupération, laquelle permet de récupérer les informations stockées sur un portefeuille, même sans disposer physiquement de celui-ci.

Ainsi, la nature décentralisée des portefeuilles physiques les distingue des autres dispositifs numériques de stockage par la détention de la clé de déchiffrement par le seul titulaire de ce compte.

Pour autant, dans le contexte d’une garde à vue, les informations de déverrouillage d’un portefeuille auto-hébergé peuvent être assimilées à un code de déverrouillage de téléphone, pour lequel l’autorité judiciaire peut solliciter de celui qui en détiendrait les informations, de les transmettre dans le cadre d’une enquête en cours.

La confiscation des wallets physiques : une mesure limitée

Contrairement à un compte bancaire, la confiscation d’un wallet physique, comme une clé Ledger, ne garantit pas le contrôle des actifs qu’il contient, même par la détention du code PIN. En effet, un utilisateur ayant accès à sa seed (phrase de récupération) peut recréer son wallet sur un nouveau dispositif.

Pour rendre une confiscation efficace, les fonds doivent être transférés vers un portefeuille contrôlé par les autorités, comme l’AGRASC (Agence de gestion et de recouvrement des avoirs saisis et confisqués). Faute de quoi, le détenteur peut contourner la mesure en reparamétrant un nouveau wallet.

Nos recommandations :

1. Documentez rigoureusement l’origine de vos cryptoactifs pour démontrer leur légalité si nécessaire
2. Conservez les preuves de vos transactions 
3. Consultez un avocat spécialisé en droit du numérique pour comprendre vos droits et obligations

Le cabinet ORWL Avocats se tient à votre disposition pour échanger à ce sujet et vous assister lors d’une convocation de la part des autorités judiciaires et l’élaboration de la stratégie adéquate.