Telegram : L’imbroglio juridique
LA TRIBUNE – L’Europe a-t-elle un rôle à jouer dans cette affaire, notamment par le biais du Digital Services Act (DSA), qui contraint les entreprises à un certain niveau de modération des contenus qui circulent sur leur plateforme ?
ÉTIENNE DROUARD - Le DSA n’a absolument rien à voir avec ce qui est en train d’arriver à la plateforme Telegram. Les chefs d’accusation retenus contre M. Durov relèvent du code pénal. Un premier volet touche au manque de coopération avec les autorités judiciaires pour obtenir l’identification de criminels, et un second volet touche au régime français de la cryptographie, qui nécessite de déclarer en France les clés de déchiffrement.
Les chefs d’accusation ne portent pas sur le contenu des discussions qui circulent sur la plateforme. Or, c’est ce point qu’encadre le DSA : il permet par exemple aux particuliers et aux autorités judiciaires de demander la suppression d’un contenu illicite par la plateforme, qui doit faire preuve de diligence. Mais en aucun cas il serait possible de demander l’identité d’un criminel en application du DSA.
D’ailleurs, la Commission européenne, chargée d’appliquer le DSA, a bien pris la précaution de dire rapidement que cette affaire ne la concerne pas. Elle est entre les mains des autorités françaises.
Pourquoi Pavel Durov est-il mis en cause plutôt que son entreprise Telegram ?
Quand de tels faits sont reprochés, il peut y avoir une responsabilité pénale du dirigeant de l’entreprise, qui n’exclut pas pour autant une responsabilité pénale de l’entreprise. En revanche, attaquer le dirigeant offre un avantage : on ne peut pas mettre en garde à vue une entreprise, alors qu’on peut mettre en garde à vue son patron. La justice peut ainsi exercer son pouvoir de coercition physique, ce qu’elle a fait avec l’interdiction pour M. Durov de quitter le territoire français, et son obligation d’effectuer un contrôle judiciaire deux fois par semaine au commissariat.
Pour l’instant, on ne sait pas si les chefs d’accusation sont également dirigés contre l’entreprise. Néanmoins, les faits qui sont reprochés à M. Durov sont directement liés au service de Telegram, donc l’affaire comprendra forcément un volet sur le droit des sociétés. Quoiqu’il en soit, les responsabilités pénales de l’entreprise n’ont pas besoin d’être dévoilées ni même stabilisées par les juges à ce stade.
La phase d’instruction pénale peut durer entre huit mois et huit ans, une période pendant laquelle M. Durov aura plusieurs recours possibles. Et c’est à l’issue de cette instruction pénale le concernant que seront consolidés les aspects concernant l’entreprise Telegram.
Pendant cette durée d’instruction qui peut durer jusqu’à huit ans, Pavel Durov n’aura d’autre choix que de rester en France ?
Il va faire appel de la décision de rester sur le territoire français. On peut imaginer qu’il demande un nouvel accord avec une caution plus élevée en échange d’une liberté de sortie et d’entrée sur le territoire français. Il va quoiqu’il en soit y avoir plusieurs recours tout au long de l’affaire. Mais pour l’instant, nous sommes dans une première phase où il est coincé en France.
Le bon côté des choses, c’est que cette assignation a déjà des effets voulus par la justice, avant même qu’on ne connaisse la suite du dossier, car les criminels pourraient perdre confiance dans l’avenir de la confidentialité de leurs communications sur Telegram.
Imaginez, si vous êtes un criminel et que vous hébergez vos communications chiffrées de point à point sur Telegram, et que vous voyez que son dirigeant est sous la pression de la justice française pour coopérer davantage avec les autorités, la décision logique est d’emballer ses affaires et de partir vers un autre service.
Ce moment où les criminels partent de Telegram pour aller vers un autre service, potentiellement moins confidentiel, offre une opportunité aux autorités de découvrir qui ils sont et ce qu’ils font. C’est un véritable piège qui leur est tendu.
Pavel Durov a obtenu en août 2021 la citoyenneté française, en plus de son passeport émirati, grâce à une procédure secrète que refuse de commenter le gouvernement. Cette particularité entre-t-elle en compte dans l’affaire ?
Cette nationalité française facilite énormément la tâche aux autorités. La France n’extrade pas ses ressortissants, donc elle va pouvoir décider ce qu’elle fait de lui. Je suppose qu’il va y avoir des tractations pour savoir qui est le plus offrant, ou le plus menaçant, pour récupérer M. Durov, car c’est quelqu’un d’assez puissant.
En France, son arrestation s’inscrit dans le cadre de la lutte contre la pédopornographie et des enjeux autour du chiffrement. Mais d’autres régions du monde ont aussi intérêt à le récupérer, pour d’autres raisons, notamment liées à des enjeux géopolitiques.
L’arrestation de Pavel Durov inquiète une partie des spécialistes de la cryptographie et des libertés en ligne, qui y voient une attaque contre le chiffrement de bout en bout. Ce mécanisme, aussi utilisé par WhatsApp, Signal ou encore Messenger, garantit aux utilisateurs que leurs conversations ne pourront pas être lues si elles sont interceptées. Est-ce un moyen pour les autorités de mettre le pied dans la porte sur ce vaste sujet ?
Pour mettre le pied dans la porte, il faudrait qu’elle ne soit pas déjà ouverte. En 1996, la France a cessé d’exiger des autorisations préalables pour les solutions de cryptographie, mais en contrepartie, elle a mis en place un régime de déclaration. Quand vous utilisez des clés de chiffrement pour fournir des services qui touchent le territoire français, vous devez déposer vos clés à l’Agence nationale de la sécurité des systèmes d’information (Anssi).
Si vous ne vous pliez pas à cette exigence, qui permet à l’État français de déchiffrer les informations dans les cas prévus par la loi française, c’est une infraction. Avec cette affaire, on est en train de réveiller une législation qu’on a laissée dormir mais qui a toujours existé. Dans aucun pays du monde, qu’il soit autoritaire ou démocratique, un État ne peut se permettre d’être aveugle sur les activités chiffrées.
Dans le cas d’un chiffrement normal, l’entreprise détient l’accès aux clés, ce qui est par exemple le cas pour les discussions tenues sur les groupes Telegram. Mais dans le cas du chiffrement de bout en bout, l’entreprise n’a à aucun moment accès aux clés de chiffrement. Comment l’entreprise peut-elle se plier aux exigences légales dans ce cas ?
C’est vrai que Telegram n’a pas les capacités de lever le chiffrement sur les discussions chiffrées de bout en bout, même avec de la bonne foi. Mais ils ne peuvent pas s’en plaindre : c’est leur choix de ne pas avoir cette possibilité ! C’est même l’essence du service, sa promesse de confidentialité, et c’est de là que vient la confiance des utilisateurs. Pavel Durov et ses associés se sont mis eux-mêmes dans cette situation impossible : il faudrait reprogrammer le service pour qu’il devienne légal en France.
En quoi la situation de Telegram et M. Durov diffère-t-elle des autres messageries qui emploient le chiffrement de bout en bout, comme WhatsApp ou Signal ?
WhatsApp et Signal ont choisi leurs policiers. En se plaçant sous l’influence d’un État plutôt qu’un autre, une entreprise peut se permettre de mettre en place une capacité de coopération, et même d’être protégée par l’État avec lequel elle coopère.
C’est un vrai choix stratégique, qui alimente d’ailleurs les débats en Europe. Certains pays souhaitent forcer les messageries à mettre en place des portes dérobées [des accès détournés aux conversations, ndlr] pour que les autorités puissent accéder à toutes les conversations, même si elles sont protégées de bout en bout.
La France s’est jusqu’à présent opposée à cette idée, et préfère plutôt se reposer sur la volonté des prestataires de collaborer avec les autorités. L’idée est que les entreprises s’arrangent en interne pour pouvoir accéder aux informations, ou du moins à l’identité des personnes, sans pour autant donner cette possibilité aux États ou à quiconque d’autres. On laisse ainsi la responsabilité de la sécurité au prestataire, et on n’ouvre pas des portes dérobées dont n’importe qui pourrait potentiellement se servir.
Telegram, de son côté, a décidé de partir à Dubaï en se disant qu’il échappe aux Chinois, aux Américains et aux Européens. Il choisit d’être l’allié, le protégé ou le complice de personne. C’est aussi pour cette raison que les autorités françaises ont pu passer à l’action.