Franse decryptieplicht wordt ook toegepast op smartphonelockscreens

8385 / Pixabay

Het Franse Hof van Cassatie heeft geoordeeld dat een verdachte in een criminele zaak verplicht kan worden om de lockscreencode van zijn of haar smartphone aan te leveren. Dat meldde Tweakers onlangs. In Frankrijk geldt een absolute decryptieplicht, dus ook voor verdachten. En omdat je lockscreencode ook geldt als decryptiesleutel van alle bestanden op het interne geheugen, valt de lockscreencode daar ook onder. Uiteraard geeft dat de nodige juridische heisa.

Ik zou een boek moeten schrijven over dit soort dingen – oh wacht. Het lijkt erop dat de discussies over encryptie uit de jaren negentig weer helemaal terug zijn, beginnend met het idee dat encryptie door de overheid te kraken zou moeten zijn. Omdat dat technisch niet te doen is, maar je mensen wel kunt dwingen wachtwoorden te vertellen (relevant xkcd) heeft men in Frankrijk gekozen voor een wet die kort gezegd iedereen dwingt op bevel alle data te ontsleutelen waar ze het wachtwoord van weten. Artikel 434-15-2 van de Code Pénal bepaalt (bron vertaling):

A penalty of three years’ imprisonment and a fine of €45,000 are incurred by anyone who, having the key to decipher an encrypted message which may have been used to prepare, facilitate or commit a felony or a misdemeanour, refuses to disclose that key to the judicial authorities or to operate it following instructions issued by the judicial authorities under of title II and III of Book I of the Code of Criminal Procedure.
De kern is dus de sleutel hebben en een redelijk vermoeden dat het bericht bewijs is bij een strafrechtelijke overtreding of misdrijf. De eerste vraag die dan bij iedereen opkomt is hoe de autoriteiten vaststellen dat iemand de sleutel wéét. Dat lijkt nog geen argument in Frankrijk te zijn geweest. Ik zou het ook niet sterk vinden, specifiek bij het lockscreen van je telefoon. Je mag aannemen dat je voorafgaand aan je arrestatie bent geobserveerd, en als een agent dan heeft gezien dat jij je telefoon bediende, en een uur later zeg je “eh sleutel geen idee” dan zou ik dat geheel niet geloven.

Het meer fundamentele argument is natuurlijk waarom je mee zou moeten werken. Je bent immers niet verplicht mee te werken aan je eigen veroordeling? Dat klopt, maar de Europese mensenrechtenjurisprudentie is zodanig dat dat alleen gaat om dingen die afhankelijk van jouw wil zijn. Een vingerafdruk bij iemand nemen is dus geen overtreding van dat verbod, want die vinger die is er los van de wil van de verdachte. Een wachtwoord moeten vertellen is iets dat je weet, dus dat valt dan wel onder die wil van de verdachte. Althans dat vinden we in Nederland, de Franse hoogste rechter dacht daar in 2019 anders over:

Since the right not to incriminate oneself does not extend to data which can be obtained from the data subject by resorting to coercive powers but which exist independently of the will of the person concerned, the Court of Appeal did not disregard any of the legal and conventional provisions referred to in the plea;
Het argument is dus dat de gezochte gegevens bestaan los van jouw wil, en dat die dus wezenlijk anders zijn dan een bekentenis over hoe je de bank beroofd hebt bijvoorbeeld. Het is dan meer een feitelijk complexer verhaal hoe we je dwingen. De sleutel van je fysieke kluis die pakken we van je sleutelbos of we wachten tot je naar de wc geweest bent, dat komt wel goed. Maar een digitale sleutel met fysieke dwang afpakken, dat gaat niet. Daarom juridische dwang. Uiteraard liggen er al vragen bij het EHRM hierover (zaak 23624/20 Minteh).

In deze zaak speelde vooral het argument nog of een lockscreencode van een telefoon wel een decryptie-sleutel is, aangezien hij toegang geeft tot het OS of gebruikersaccount en niet tot opgeslagen data. Maar dat laatste kan heel goed wél het geval zijn: moderne mobiele OS’en slaan data versleuteld op, en pas na ontgrendelen met je lockscreencode wordt de data beschikbaar. Daaarmee is die code dus wél een decryptiesleutel geworden.

Arnoud