Le procès « Sky ECC » fragilisé par une question préjudicielle

Le procès « Sky ECC » fragilisé par une question préjudicielle

Le procès de l’affaire Sky ECC doit se tenir l’année prochaine, du 26 octobre au 18 décembre,  devant la Cour d’assises spécialement composée de Paris. Mais le renvoi préjudiciel en interprétation qui vient de saisir la Cour de justice de l’union européenne, le 16 septembre 2025, pourrait bouleverser le calendrier. Les explications de Me Jean-Charles Teissedre. 

Le 9 mars 2021, un raid judiciaire ordonné par la justice belge est mené conjointement par les forces de l’ordre belges, néerlandaises et françaises. Il va aboutir à ce qui est certainement à ce jour la plus tentaculaire affaire de l’histoire judiciaire à l’échelle européenne. Les chiffres auxquels renvoie cette affaire impressionnent. Ils sont même faits pour cela. On parle dans la presse de 10 000 personnes impliquées, 4168 condamnations, 259 millions d’euros et 381 tonnes de drogues saisis[1]. On peut aussi lire, dans certains arrêts de la Cour de cassation, que 117 000 personnes ont été écoutées dont 3000 en France, pour un total d’environ un milliard de messages interceptés[2]… De quoi dénoncer des mesures qui s’apparentent à une surveillance de masse d’une population. Quand bien même ces chiffres seraient exacts, le compte n’y est pas. L’argument, continuellement mis en avant par les autorités, est que la plateforme Sky ECC, ce service de messagerie crypté par chiffrement de bout en bout (end-to-end encryption ou E2EE), n’a finalement été utilisé que par et pour le crime organisé. La preuve, voyez les chiffres ! La réalisation de ce tour de force supposait de parvenir à ouvrir le coffre-fort SKY ECC tout en préservant d’autres applications de messagerie cryptée comme WhatsApp, Signal et même Telegram, plus fréquentables et plus fréquentées, en distinguant le bon grain de l’ivraie de la cryptographie. Et faire en sorte que le siphonnage des serveurs Sky ECC ne vienne pas menacer tout un écosystème.

Le paradoxe est qu’au-delà des couches de chiffrement, les messageries WhatsApp et Signal offrent un niveau de protection supérieur aux autres messageries du même type en raison de l’infrastructure mise en place pour permettre le chiffrement. WhatsApp en fait même un argument publicitaire auprès de ses utilisateurs. Vérifiez par vous-même. En cliquant sur le bouton « chiffrement » de l’application, on peut lire : « le chiffrement de bout en bout de WhatsApp est utilisé lorsque vous discutez avec une autre personne sur WhatsApp Messenger. Grâce au chiffrement de bout en bout, vos messages et appels personnels restent entre vous et la personne avec qui vous communiquez. Aucun tiers, pas même WhatsApp, ne peut les lire, les écouter ou les partager ». Inutile donc d’envoyer une réquisition judiciaire pour accéder au contenu des messages. Les communications électroniques (messages, appels vocaux et vidéos) sont en effet chiffrées sur l’appareil de l’expéditeur, transportées de façon sécurisée et déchiffrées uniquement sur l’appareil du destinataire au moyen de clés qui changent à chaque message ou à intervalles réguliers. Contrairement à l’infrastructure mise en place par Sky ECC, qui utilisait des serveurs centraux, hébergés en France par la société OVH, infiltrés puis siphonnés par la police.

En réalité, bien que le chiffrement de bout en bout soit dans le collimateur de l’agence de police criminelle Europol et plus largement de l’Union Européenne[3], l’utilisation des messageries cryptées génère des informations exploitables pour les services de police. Les métadonnées, c’est-à-dire les données de connexion générées lors de chaque communication électronique, demeurent en effet un élément clé de la surveillance et un point de vulnérabilité du point de vue de la confidentialité. Elles sont stockées donc accessibles auprès du fournisseur du service mais aussi du fournisseur d’accès à internet (c’est vrai pour WhatsApp et moins vrai pour Signal). Ainsi, l’origine d’une communication (qui), le moment de la communication (quand ?) et la manière dont elle a été émise (comment ?), peuvent, selon le cas, être retrouvés, notamment par l’utilisation des techniques spéciales d’enquête prévues par le code de procédure pénale sous le titre applicable à la criminalité organisée, pouvant ainsi mener les enquêteurs sur la piste des suspects ou des fugitifs en ciblant d’abord l’entourage de ces derniers.

Le procès Sky ECC et la procédure visant Telegram 

Du 26 octobre au 18 décembre 2026 doit se tenir le retentissant procès de l’affaire Sky ECC, devant la Cour d’assises – spécialement composée – de Paris. Vingt-huit prévenus – dirigeants, distributeurs et revendeurs de l’application et des téléphones associés – doivent comparaître, parmi lesquels le fondateur de la plateforme, le canadien Jean-François Eap[4]. Ce qui veut dire que des qualifications criminelles ont été retenues par le juge d’instruction dans l’ordonnance de mise en accusation et que les dirigeants de l’application ont été mis, au titre de la complicité, au même rang que les membres des réseaux criminels démantelés.

C’est également le cas de Pavel Durov, le fondateur de Telegram, arrêté à sa descente d’avion à l’aéroport du Bourget, le 24 août 2024, trois ans après le raid des polices européennes dans l’affaire Sky ECC. Les chefs des mises en examen ont fait l’objet d’un communiqué du parquet de Paris, publié le 28 août 2024[5]. Parmi elles, on relève la complicité de trafic de stupéfiants et d’escroquerie en bande organisée, l’association de malfaiteurs en vue de la commission de ces délits, mais aussi le blanchiment de crimes ou délits en bande organisée. Contrairement à Jean-François Eap, Pavel Durov est parvenu à préserver l’intégrité de son application, désormais valorisée, selon la presse spécialisée, à environ 30 milliards de dollars, un chiffre en constante progression malgré la situation judiciaire de son dirigeant. Il faut dire que les serveurs de Telegram sont plutôt à chercher du côté de la Russie ou de Dubai, lieu du siège social opérationnel de l’entreprise. Et que Pavel Durov a fait le choix de collaborer avec la police et la justice françaises, ce qui n’est pas le cas de Jean-François Eap. De nationalité canadienne, ce dernier est resté au Canada tout au long de l’instruction, à telle enseigne qu’en septembre 2022, un mandat d’arrêt a été émis à son encontre par le magistrat instructeur[6]. Manifestement, l’absence du principal accusé n’a pas empêché les autorités françaises d’audiencer l’affaire, en dépit du fait qu’il n’ait jamais été entendu et que ni ses bureaux ni son domicile n’aient, semble-t-il, été perquisitionnés[7]. La justice canadienne aurait refusé d’accéder aux demandes du juge d’instruction français (désormais en poste à Monaco), en lui reprochant des informations insuffisantes[8]. La procédure française serait-elle aux yeux des autorités canadiennes inéquitable ? On apprend également que le parquet de Paris aurait fait appel de l’ordonnance de mise en accusation renvoyant les accusés devant la Cour d’assises en réclamant la saisie d’un serveur basé en Suisse, ce qui tend à montrer que l’instruction n’était pas complète. Selon la procédure de défaut en matière criminelle, l’accusé absent a droit à une défense lors de son procès. En revanche, en cas de condamnation puis d’arrestation, en application de l’article 379-4 du Code de procédure pénale, un nouvel examen de l’affaire est automatiquement ordonné. Dans ces conditions, il est permis de s’interroger sur le caractère opportun du renvoi des accusés devant la Cour d’assises et sur l’audiencement d’un dossier manifestement incomplet, d’autant qu’une question préjudicielle, que la chambre criminelle de la Cour de cassation vient de poser à la Cour de Justice de l’Union Européenne (CJUE), pourrait changer la donne.

Le séisme et ses répliques 

Si l’absence de Jean-François Eap, et vraisemblablement, d’autres accusés, ne fera donc pas obstacle à la tenue du procès d’assises, il se pourrait que l’affaire soit renvoyée (à une autre date ou dans le cadre d’un supplément d’information), pour une autre raison : le renvoi préjudiciel en interprétation qui vient de saisir la CJUE. Dans un arrêt n°24-84.262 du 16 septembre 2025, la chambre criminelle de la Cour de cassation vient d’ouvrir une brèche dans laquelle pourrait s’engouffrer la défense de nombreux accusés. De quoi s’agit-il?  Un requérant poursuivi en Allemagne des chefs de trafic de produits stupéfiants et association de malfaiteurs a saisi la chambre de l’instruction d’une requête en annulation de pièces d’une information judiciaire exclusivement française qui ne le concernait pas. Or, la possibilité de déposer, dans ce cadre, une telle requête n’est prévue par aucun texte, en particulier l’article 694-41 du code de procédure pénale relatif à l’exécution des décisions d’enquête européenne. Ces éléments de preuve, recueillis par la police française dans un cadre exclusivement national, ont été transmis le 12 août 2022 aux autorités allemandes qui ont ensuite bâti les poursuites à partir de ces preuves. La question posée est la suivante : « L’article 14, § 1, de la directive 2014/41/UE du Parlement européen et du Conseil, du 3 avril 2014, concernant la décision d’enquête européenne en matière pénale, lu en combinaison avec l’article 47 de la Charte des droits fondamentaux de l’Union européenne, doit-il être interprété en ce sens qu’il s’oppose à la réglementation d’un Etat membre d’exécution qui ne prévoit pas que la personne à qui est opposée dans l’Etat d’émission les éléments de preuve obtenus par la demande d’enquête européenne dispose d’un recours dans l’Etat d’exécution lui permettant de contester leur régularité et leur nécessité ? ». Les juges du quai de l’Horloge sont bien conscients des enjeux puisqu’ils précisent : « L’interprétation demandée est susceptible d’avoir des conséquences importantes, au regard tant des autres recours en annulation formés devant les juridictions françaises sur le même fondement que des nombreuses poursuites en cours dans différents Etats membres de l’Union européenne, dans le cadre desquelles des personnes sont détenues, poursuites reposant notamment sur la transmission, par décision d’enquête européenne, d’éléments de preuve similaires à ceux contestés par le demandeur au présent pourvoi, tous issus de la même procédure dite «SkyEcc ». Toutes les procédures procèdent donc bien d’une même procédure, la fameuse procédure souche Sky ECC.

Tardive mais salutaire, la décision de la Cour de cassation pourrait fragiliser les poursuites et justifier le renvoi de l’affaire. Car il se pourrait que fin 2026, la CJUE n’ait pas encore rendu son arrêt d’interprétation, lequel pourrait par ailleurs entrer dans le cadre du régime dérogatoire désormais prévu par les articles 269-1 et 305-1 du code de procédure pénale relatifs au mécanisme de purge des nullités en matière criminelle post mise en accusation, articles dont le caractère particulièrement abscons laisse entrevoir d’âpres débats notamment sur la recevabilité de nouveaux moyens de nullité.

Le secret défense et les contradictions de la Cour de cassation

Dans un arrêt du 16 janvier 2024 (précité, note de bas de page n°2, pourvoi n°23-83.260), la Cour de cassation a rejeté un moyen tiré de l’absence de versement au dossier d’éléments issus de la procédure souche dite Sky ECC. Devant la chambre de l’instruction, un exposant se plaignait de l’absence de versement à la procédure d’un certain nombre d’éléments d’une procédure souche, notamment quant aux conditions de déroulement des mesures d’interception des serveurs Sky ECC, et ce en dépit des demandes d’actes déposées à cette fin. La défense s’est ainsi trouvée dans l’impossibilité de contrôler la régularité de ces opérations. On peut imaginer que cette absence problématique concerne aussi bien les utilisateurs de l’application que les responsables de celle-ci, bien que ces deux catégories d’accusés fassent l’objet de procédures distinctes. Dans les deux cas, l’absence de contrôle de la régularité des opérations policières est probablement la conséquence de l’intervention des services de renseignement et du classement de pièces secret défense, qu’il s’agisse de la procédure souche française ou des procédures souches belge ou néerlandaise. Dans l’arrêt de 2024, la Cour de cassation, peu regardante et soudainement soucieuse de la vie privée d’autrui, valide le raisonnement tenu par les juges de la chambre de l’instruction de Paris en ce qu’« ils en déduisent que l’absence de versement intégral de la procédure est sans effet sur la manifestation de la vérité, ne porte pas atteinte à l’exercice des droits de la défense ou au respect du principe de l’égalité des armes, étant en outre relevé que l’accès accordé à des tiers à l’intégralité de la procédure contreviendrait au droit au respect de la vie privée et au secret de l’instruction ». On se demande bien alors pourquoi un justiciable serait mieux loti selon qu’il comparaît devant la justice allemande ou devant la justice française ? En outre, en 2022, la juridiction suprême avait consciencieusement livré un long et exigeant vade-mecum, à l’occasion d’un examen portant sur la compatibilité de la règlementation française relative à la conservation et à l’accès aux données de connexion avec le droit de l’Union, en ce que ce dernier s’oppose à une conservation généralisée et indifférenciée des données de connexion (Cass. Crim. 12 juillet 2022, n°21-83.710). A l’évidence, face aux contradictions et désormais aux doutes de la Cour de cassation, des éclaircissements s’imposent.

[1] Enquête publiée le 22 octobre 2024 par Télérama, en partenariat avec plusieurs médias internationaux, sur la base de documents obtenus par StudioFract (France) et partagés puis enrichis avec Télérama, Paper trail media, ZDF (Allemagne), RTBF, Le Soir, De Standaard (Belgique), NRC (Pays-Bas), CBC/Radio-Canada (Canada), Krik (Serbie), Der Standard (Autriche), Investigate.cz (République Tchèque), Organized Crime and Corruption Reporting Project (OCCRP)

[2] Cass. Crim. 16 janvier 2024, n°23-83.260 et 7 janvier 2025, n°24-81.941

[3] La création d’une porte dérobée, ou backdoor, permettant aux autorités d’accéder au contenu des communications dès qu’il existe une suspicion d’infraction n’est pas la seule possibilité technique d’accéder aux messages. Un règlement Chat Control a été proposé par la Commission européenne visant à imposer la détection de contenus illicites, notamment les abus sexuels sur enfants, avec la mise en place d’un CSS (client-side scanning) consistant à analyser le contenu des messages sur l’appareil de l’utilisateur avant qu’il ne soit chiffré et envoyé. Le 14 octobre 2025, le vote de ce règlement européen a été reporté, à la demande, notamment, de l’Allemagne. En France, en 2025, une disposition du projet de loi « visant à sortir la France du piège du narcotrafic », prévoyait la possibilité pour la police et les services de renseignement d’accéder par une porte dérobée au contenu des communications électroniques, mais elle a finalement été rejetée.

[4] Voir le site de l’association de la presse judiciaire https://pressejudiciaire.fr

[5] Le communiqué du parquet de Paris du 26 août 2024 est accessible sur le site www.tribunal-de-paris.justice.fr

[6] Article du Monde du 13 août 2024 « Messagerie cryptée Sky ECC : la justice ordonne un procès contre trente personnes »

[7] Article publié dans Télérama le 22 octobre 2024, précité (note de bas de page n°1)

[8] Article publié dans Télérama le 22 octobre 2024, précité (note de bas de page n°1)

DROIT DES SOCIÉTÉS (Corporate)

Notre expertise couvre l’ensemble du cycle de vie de l’entreprise, de sa création à sa restructuration :

  • Constitution et immatriculation de sociétés
  • Rédaction de pactes d’associés ou d’actionnaires
  • Cession ou acquisition de parts sociales et d’actions
  • Démembrement de titres sociaux (usufruit / nue-propriété)
  • Rédaction de pactes d’affaires et protocoles d’accord
  • Organisation et tenue des assemblées générales ordinaires et extraordinaires
  • Rédaction des procès-verbaux des conseils d’administration ou de surveillance
  • Création et structuration de holdings

AUDIT JURIDIQUE

a) Selon la finalité

  • Audit de conformité
  • Audit préventif
  • Audit précontentieux
  • Audit contentieux

b) Selon le domaine juridique

  • Audit des sociétés → statuts, organes, gouvernance, pouvoirs, conventions réglementées.
  • Audit des contrats → clauses sensibles, durée, résiliation, responsabilité, propriété intellectuelle.
  • Audit social → conformité du droit du travail, contrats, paie, sécurité, représentation du personnel.
  • Audit fiscal et patrimonial → régime d’imposition, contrôles, risques de redressement.
  • Audit de propriété intellectuelle → marques, brevets, droits d’auteur, contrats de licence.
  • Audit de conformité réglementaire → protection des données (RGPD), concurrence, environnement, etc.