La récente arrestation de Pavel Durov, PDG et fondateur de Telegram, a eu des répercussions sur le secteur technologique et la société dans son ensemble. La détention de Pavel Durov en France, motivée par des accusations liées à l'utilisation abusive de sa plateforme, a suscité un débat mondial. Au cœur de la controverse se trouvent des préoccupations concernant les responsabilités des dirigeants du secteur technologique en matière de modération des contenus, ce qui a de vastes implications pour la vie privée et la responsabilité à l'ère numérique.

Les applications de messagerie étant devenues un élément essentiel des communications personnelles et professionnelles, la conservation et l'examen des messages sur ces plateformes sont devenus essentiels dans divers contextes juridiques. La détention de Durov a intensifié les discussions sur le fonctionnement des applications de messagerie mobile, notamment en ce qui concerne leur technologie dorsale, et sur les défis que posent la conservation et l'examen des messages au cours des enquêtes judiciaires. Il est donc essentiel
que les enquêteurs d'entreprise et les forces de l'ordre comprennent les technologies sous-jacentes des applications et les obstacles qu'elles présentent.

Le rôle croissant des applications de messagerie dans la communication moderne

Avant d'aborder les aspects techniques du chiffrement et du stockage des données, il est important de reconnaître l'omniprésence des applications de messagerie mobile dans le paysage de la communication d'aujourd'hui. Les applications telles que Telegram, WhatsApp et Signal ne sont pas seulement des outils d'interaction personnelle ; elles sont de plus en plus utilisées dans un cadre professionnel. Cette utilisation généralisée soulève des questions essentielles : Dans quelle mesure ces plateformes sont-elles sécurisées ? Comment protègent-elles (ou entravent-elles) l'accès à l'information ? Et quel est l'impact de leur utilisation sur les enquêtes judiciaires ?

Les réponses à ces questions se trouvent dans les fondements techniques de ces applications qui, bien que conçues pour protéger la vie privée des utilisateurs, peuvent également compliquer les efforts visant à découvrir des preuves cruciales dans les affaires judiciaires.

Chiffrement : Le paradoxe de la sécurité

Au cœur de la plupart des applications de messagerie se trouve le chiffrement, une technologie qui brouille les messages afin que seuls les destinataires prévus puissent les lire. Le chiffrement de bout en bout, utilisé par des applications comme WhatsApp et Signal, garantit que même les fournisseurs de la plateforme ne peuvent pas accéder au contenu des communications. Cette technologie est un outil puissant pour protéger la vie privée des utilisateurs contre les cybermenaces et les accès non autorisés. Toutefois, ce même chiffrement pose des problèmes importants pour
les enquêteurs judiciaires, qui peuvent se trouver dans l'incapacité d'accéder à des preuves vitales sans la coopération des utilisateurs ou des entreprises à l'origine des applications.

Cette question, où la technologie qui protège notre vie privée peut également entraver la justice, est devenue une préoccupation centrale dans les discussions sur les lois relatives à la protection de la vie privée et le rôle de la technologie dans la société. Les entreprises et les autorités de régulation ont débattu de l'opportunité de restreindre l'utilisation de ces applications dans certains contextes. Toutefois, les fonctions de confidentialité de ces applications qui facilitent les activités illicites favorisent également la protection de la vie privée des utilisateurs, un intérêt légitime dans les sociétés libres, ce qui complique tout effort de contrôle ou de réglementation de l'utilisation de ces applications.

Naviguer dans la complexité du stockage et de la sauvegarde des données

Au-delà du chiffrement, un autre aspect essentiel des applications de messagerie est la manière dont elles gèrent le stockage et la sauvegarde des données. La manière dont les données sont conservées varie considérablement d'une plateforme à l'autre. Par exemple, Telegram stocke les messages de chat ordinaires sur des serveurs cloud, ce qui permet aux utilisateurs d'accéder à leurs messages depuis n'importe quel appareil, tandis que les chats secrets sont stockés localement sur les appareils concernés. En revanche, d'autres applications comme Signal ne stockent pas du tout les messages sur leurs serveurs et s'appuient uniquement sur le stockage local de l'appareil.

En outre, certaines applications fragmentent les données, les répartissant sur plusieurs appareils et serveurs en nuage. Les enquêteurs peuvent alors être amenés à localiser et à reconstituer ces fragments avant même de pouvoir commencer à analyser le contenu. Les fragments manquants, dupliqués ou altérés peuvent rendre difficile l'établissement d'une chronologie claire et précise des événements - un peu comme si l'on essayait d'assembler un puzzle sans l'image figurant sur la boîte, où les pièces peuvent même être manquantes ou altérées.

Ces différences dans le stockage des données peuvent avoir des conséquences importantes pour les enquêtes judiciaires. La possibilité d'accéder aux messages, de les conserver et de les consulter dépend fortement de la manière dont l'application en question gère ses données. Les applications disposant d'options de stockage dans le nuage peuvent offrir des données plus accessibles en permettant de les consulter même lorsqu'elles ont été supprimées d'un appareil.

Toutefois, des obstacles juridictionnels et juridiques peuvent entraver cet accès. Les enquêteurs, même s'ils disposent de pouvoirs d'assignation à comparaître et/ou s'ils travaillent avec des entreprises coopératives, peuvent être amenés à s'interroger sur la manière dont les entreprises technologiques stockent les données dans différents pays, chacun d'entre eux ayant ses propres exigences et protections juridiques.

Pour les applications qui stockent les données localement, la collecte des données peut être relativement simple, avec des questions juridictionnelles plus simples et sans qu'il soit nécessaire de travailler avec les entreprises technologiques. Néanmoins, l'accès aux données stockées localement peut s'avérer difficile, voire impossible, si l'appareil a été effacé ou détruit. En outre, si l'accès aux données stockées sur les appareils fournis par l'entreprise peut être relativement simple dans certaines régions pour les enquêteurs de l'entreprise, il peut néanmoins s'avérer difficile ou impossible d'accéder aux données stockées sur l'appareil si celui-ci a été effacé ou détruit.
difficile dans les pays où la protection de la vie privée est forte. Et l'accès aux données, même lorsqu'elles concernent des affaires de l'entreprise, peut être tout simplement impossible pour les enquêteurs de l'entreprise lorsque ces données sont stockées sur l'appareil personnel d'un employé.

Le coût croissant de la non-conformité dans la messagerie éphémère

En décembre 2021, JPMorgan Chase a accepté un règlement combiné de $200 millions avec les régulateurs américains, y compris la SEC et la CFTC, pour avoir permis à des employés d'utiliser des plateformes de messagerie non autorisées comme WhatsApp pour des communications professionnelles 1. Cette amende s'inscrivait dans le cadre d'une répression plus large de l'utilisation de communications hors canal, où les employés discutaient de leurs problèmes de santé et de sécurité au travail.
des affaires sensibles sur des applications qui ne permettaient pas d'enregistrer correctement les données, ce qui rendait difficile le contrôle des transactions financières par les autorités de régulation et la vérification de la conformité. Ces lourdes amendes soulignent l'importance du respect des règles fédérales en matière d'archivage et l'intensification des efforts de mise en œuvre visant à garantir la transparence des communications.

Ce cas n'est pas un incident isolé : de nombreuses entreprises de différents secteurs, en particulier dans le domaine de la finance, ont fait l'objet de sanctions similaires. Début 2024, la SEC a infligé des amendes d'un montant de $81 millions d'euros à 16 sociétés de Wall Street pour des violations similaires, soulignant ainsi l'attention constante portée par les autorités réglementaires aux messages éphémères 2. Alors que les organismes de réglementation continuent d'imposer des pénalités importantes
pour les violations, nous pourrions voir ces mesures d'application s'étendre à d'autres régions, y compris le Moyen-Orient.

Les entreprises des Émirats arabes unis et du CCG adoptent de plus en plus les pratiques financières internationales. Elles pourraient donc faire l'objet d'un examen similaire si elles ne régissent pas correctement l'utilisation de plateformes de messagerie cryptées ou éphémères. Par exemple, l'Autorité des services financiers de Dubaï (DFSA) a publié des règles stipulant que les entreprises autorisées doivent conserver les "communications électroniques" relatives aux transactions. Les orientations relatives à cette règle indiquent même explicitement qu'elles doivent conserver les communications
par le biais des téléphones mobiles 3.

Verdict : Devriez-vous interdire les applications de messagerie privée dans votre entreprise ?

Dans les secteurs hautement réglementés où il existe des exigences en matière de conservation des données et de transparence, il peut être nécessaire d'interdire les applications de messagerie ou de limiter leur utilisation à des communications non sensibles afin de rester en conformité avec la réglementation. Cependant, l'interdiction pure et simple des applications de messagerie privée peut ne pas être nécessaire ou réalisable pour de nombreuses organisations. En effet, cela pourrait exacerber le problème en incitant les employés à utiliser les applications sur leurs téléphones portables personnels plutôt que sur les appareils de l'entreprise. Les employés utilisent ces applications de messagerie en raison des avantages qu'elles confèrent, notamment le fait qu'elles sont moins formelles que le courrier électronique et qu'elles permettent à l'expéditeur de savoir si un message a été consulté.

Face à cette réalité, les entreprises doivent prendre plusieurs mesures. Premièrement, elles doivent former leurs employés et s'assurer qu'ils sont conscients des risques réglementaires et pratiques liés à l'utilisation d'applications de messagerie dans le cadre des activités de l'entreprise. Ensuite, elles doivent proposer des plateformes de messagerie sécurisées et approuvées par l'entreprise, telles que Microsoft Teams, Slack ou Webex, qui permettent de trouver un équilibre entre commodité et sécurité. En outre, les organisations peuvent surveiller les activités de communication des employés et identifier les cas de non-conformité, ainsi qu'encourager les employés à enregistrer dans le dossier de l'entreprise les discussions liées au travail sur les applications de messagerie. En fin de compte, les décisions seront basées sur les profils de risque et les obligations réglementaires des entreprises, avec des mesures de protection appropriées en place pour atténuer les défis potentiels en matière de criminalistique.

Regarder vers l'avenir : L'avenir des enquêtes médico-légales

Les applications de messagerie mobile continuent d'évoluer, tout comme les défis et les opportunités qu'elles représentent pour les enquêtes médico-légales. La dépendance croissante à l'égard de ces plateformes signifie que leur rôle dans les affaires judiciaires augmentera probablement, mais l'efficacité de ces enquêtes dépendra de plusieurs facteurs. Le développement continu des lois sur la protection de la vie privée, l'adaptabilité des outils de criminalistique et les politiques et pratiques des entreprises technologiques joueront tous un rôle crucial dans l'évolution des enquêtes criminalistiques.
l'avenir de la criminalistique numérique.

L'équilibre entre la protection de la vie privée des utilisateurs et la garantie de la justice est délicat, et la manière dont il est géré aura des conséquences importantes pour les individus et la société dans son ensemble. Pour l'avenir, il est clair que l'intersection de la technologie et du droit continuera d'être un domaine critique pour les régulateurs et les enquêteurs.

Notes
[1] Source : https://www.sec.gov/newsroom/press-releases/2021-262 ; https://www.cftc.gov/PressRoom/PressReleases/8914-24
[2] Source : https://www.sec.gov/newsroom/press-releases/2024-18
[3] DFSA Rulebook, Conduct of Business Module (COB), Section 6.7.1, Record keeping - voice and electronic communications.
https://dfsaen.thomsonreuters.com/sites/default/files/net_file_store/DFSA1547_12383_VER460624.pdf

Morgan Heavener - Partenaire - Accuracy

Nader Kayali - Responsable - Précision