Refus de communiquer le code du téléphone : quels risques pour l’entreprise, les données et le patrimoine numérique ?

Quand la police ou la gendarmerie demande le code d’un téléphone, la plupart des personnes visées pensent d’abord au risque pénal immédiat. C’est logique. Mais, dans de nombreux dossiers, le premier choc concret est ailleurs : boîte mail professionnelle accessible depuis l’appareil, banque en ligne, application d’authentification, coffre-fort de mots de passe, messageries chiffrées avec des clients, documents de gouvernance, calendrier d’opérations, photos de pièces contractuelles ou échanges avec l’expert-comptable.

Le téléphone n’est plus un simple objet personnel. C’est souvent une clé d’accès à l’entreprise, aux actifs numériques et à une partie de la vie patrimoniale. C’est pour cela qu’une demande de code ne doit jamais être traitée comme une formalité.

1. Le risque ne porte pas seulement sur le contenu du téléphone, mais sur tout ce à quoi il ouvre accès

L’article 230-1 du code de procédure pénale vise précisément l’hypothèse où des données protégées par un mécanisme d’authentification ou par des opérations de transformation doivent être exploitées afin d’accéder aux informations en clair.

En pratique, cela signifie qu’un téléphone peut ouvrir sur bien plus que ses seuls SMS. Il peut contenir ou permettre d’atteindre :

1. des messageries professionnelles ;
2. des applications bancaires ;
3. des espaces cloud contenant des contrats, tableaux, devis ou due diligences ;
4. des applications de signature électronique ;
5. des historiques de déplacement, de rendez-vous et de contacts ;
6. des gestionnaires de mots de passe donnant accès à d’autres services.

Le risque est donc circulaire. Une demande de code vise l’appareil. Mais les conséquences peuvent toucher les flux de l’entreprise, la confidentialité d’une négociation, la gouvernance interne, la relation avec la banque ou l’organisation d’une succession et d’une SCI lorsque le téléphone sert aussi de support patrimonial.

2. Le débat juridique sur le code du téléphone doit être lu avec le risque économique en tête

L’article 434-15-2 du code pénal peut transformer un refus de communiquer le code en infraction autonome. L’assemblée plénière a admis, le 7 novembre 2022, que le code de déverrouillage d’un téléphone mobile peut constituer une convention secrète de déchiffrement, à condition que le téléphone soit équipé d’un moyen de cryptologie et que le code permette de mettre au clair des données cryptées (Ass. plén., 7 novembre 2022, n° 21-83.146).

Mais ce débat ne doit pas masquer l’autre sujet. Même lorsque la personne refuse le code, les enquêteurs peuvent, dans certaines hypothèses, chercher un accès technique aux données sur le fondement des articles 230-1 à 230-3 du code de procédure pénale. La chambre criminelle l’a encore illustré le 18 mars 2026 à propos de réquisitions techniques adressées au centre compétent (Crim., 18 mars 2026, n° 25-86.407).

Il faut donc raisonner avec deux colonnes en tête.

Dans la première colonne, la personne cherche à éviter de donner sans réflexion une clé d’accès qui peut ouvrir de nombreux pans de sa vie privée et professionnelle.

Dans la seconde, elle doit admettre que le refus pur et simple ne règle pas la question de la continuité opérationnelle, ni celle de l’exposition potentielle de données stratégiques.

3. En enquête préliminaire, l’extraction des données reste encadrée

L’article 76 du code de procédure pénale impose, en enquête préliminaire, l’assentiment exprès pour la perquisition, sauf autorisation du juge des libertés et de la détention. La chambre criminelle a jugé, le 27 janvier 2026, que l’exploitation d’un téléphone portable est assimilée à une perquisition (Crim., 27 janvier 2026, n° 25-83.425).

Cette jurisprudence compte beaucoup pour l’entreprise. Elle rappelle que l’accès aux données ne relève pas d’une pure commodité technique. Il obéit à un cadre procédural. Et ce cadre peut devenir un terrain de contestation utile lorsque l’appareil sert aussi de support à des informations économiques sensibles.

Pour autant, il ne faut pas raconter une histoire trop simple. Une irrégularité procédurale n’anéantit pas mécaniquement tous les effets périphériques déjà produits par la saisie. Une négociation peut se figer, un associé peut s’inquiéter, une banque peut demander des explications, un client peut percevoir une désorganisation. C’est pour cela que la réponse doit être à la fois pénale et opérationnelle.

4. Ce qu’il faut faire tout de suite pour protéger l’entreprise et le patrimoine numérique

Le premier travail est documentaire. Il faut identifier ce que le téléphone contient ou permet d’ouvrir. Pas de manière abstraite. Il faut dresser une cartographie précise :

1. comptes bancaires et outils de validation ;
2. messageries et applications critiques ;
3. espaces cloud et coffres numériques ;
4. documents de gouvernance ou d’opération en cours ;
5. échanges couverts par le secret professionnel ou par des obligations de confidentialité.

Le deuxième travail est organisationnel. Il faut assurer la continuité sans créer une apparence d’altération de preuve. Cela suppose en général :

1. de prévoir des signataires ou validateurs de relais ;
2. de figer les documents utiles hors du téléphone lorsque cela est encore possible et régulier ;
3. de centraliser la communication interne sur un cercle restreint ;
4. d’éviter toute suppression, modification ou réécriture précipitée des données.

Le troisième travail est juridique. Il faut faire qualifier rapidement :

1. le cadre procédural exact de la demande ;
2. la nature de la réquisition, si elle existe ;
3. les conditions de la saisie et de l’extraction ;
4. la présence éventuelle de données stratégiques, confidentielles ou couvertes par un secret.

Ce travail doit être conduit tôt. Une fois l’appareil exploité, la discussion change d’objet. Elle ne porte plus seulement sur l’opportunité de communiquer le code, mais sur la régularité des actes, sur la portée des données extraites et sur les conséquences qu’elles peuvent avoir dans d’autres contentieux.

5. Le risque de contamination des autres dossiers est souvent sous-estimé

Le téléphone saisi dans un dossier pénal déborde souvent sur d’autres fronts.

Une explication donnée trop vite sur un virement peut fragiliser une défense dans un conflit entre associés. Un message retrouvé dans une messagerie professionnelle peut être invoqué dans une discussion bancaire ou assurantielle. Un document patrimonial photographié peut révéler l’existence d’une opération familiale, d’une convention de prêt ou d’un mouvement de titres qui n’avait pas encore vocation à être exposé.

Le danger n’est donc pas seulement de « perdre le pénal ». Le danger est de laisser un incident procédural contaminer plusieurs dossiers à la fois.

Pour les structures exposées à ce type de tensions, il faut raisonner aussi en gouvernance et en contentieux d’affaires. Notre page sur le contentieux commercial offre un premier prolongement utile.

6. Ce qu’il faut retenir

La demande de code du téléphone ne soulève pas seulement une question de procédure pénale. Elle soulève une question de maîtrise des accès.

Le téléphone concentre aujourd’hui des informations personnelles, économiques et patrimoniales qui se répondent. C’est ce qui rend la décision de communiquer ou non le code si sensible. Le bon raisonnement n’est donc pas émotionnel. Il faut examiner le fondement juridique de la demande, le risque d’infraction autonome, les possibilités d’accès technique par les autorités, et les effets concrets pour l’entreprise, les données et le patrimoine numérique.

La règle pratique tient en une ligne : ne pas improviser la réponse pénale, et ne pas oublier d’organiser en parallèle la continuité économique et la protection documentaire.