‘EncroChat-hack was volgens Franse wetgeving illegaal’ (UPDATE)

‘EncroChat-hack was volgens Franse wetgeving illegaal’ (UPDATE)

In Frankrijk zijn in strafzaken in ieder geval twee procedures ingezet waarin de wettelijkheid van de hack door de Gendarmerie bij EncroChat in Roubaix wordt betwist. Volgens twee vooraanstaande Franse advocaten was die operatie om meerdere redenen in strijd met het Franse Wetboek van strafvordering en andere Franse wetgeving.

Door @Wim van de Pol

Twee Parijse strafadvocaten, Robin Binsard en Guillaume Martine, hebben een analyse over de zaak gemaakt die Crimesite heeft ingezien. Ze baseren zich daarbij op stukken en onderliggende beslissingen van twee Franse rechters in Lille die toestemming hebben gegeven voor de hack op het serverpark van provider OVH.

Daardoor werd het mogelijk om tussen 1 april en 14 juni vorig jaar live mee te kijken met berichten die EncroChat-gebruikers aan elkaar verstuurden. De methode zelf is een militair staatsgeheim. De autorisatie die de twee Franse rechters gaven ligt ook ten grondslag aan de legitimiteit die de Nederlandse rechter-commissaris erover uitsprak, op grond van het Europese vertrouwensbeginsel.

Volgens de twee strafadvocaten is de inzet van het ‘speciale onderzoeksmiddel’ in strijd met het Wetboek van strafvordering en met verschillende andere wetgeving.

Bij de operatie in het voorjaar van 2020 werden 32.477 EncroChat-telefoons getapt, die in 121 landen aangemeld waren bij een netwerk. Er zijn zeker 68.750.000 berichten vastgelegd door de Gendarmerie en Europol. Van die telefoons waren er 242 te linken aan Frans territorium.

De advocaten betwisten op de volgende punten de legaliteit (in Frankrijk) van de bij de hack ingezette methode.

Duur van de methode

De eerste machtiging van 31 maart 2020 bevat geen duur van de inzet van de methode en het middel. Dat moet volgens de Franse regels van strafvordering, gebeurt dat niet dan is de machtiging nietig en moet niet-ontvankelijkheid volgen. Met de ongeldigheid van die eerste machtiging zijn de machtigingen van latere datum dat eveneens.

Blokkeren van verkeer

Een juridisch probleem zal volgens de advocaten gaan worden dat het ingezette middel niet beantwoordt aan de grondslag op grond waarvan de machtigingen van de rechters zijn afgegeven. De rechters zeggen een machtiging te hebben gegeven voor het ‘blokkeren van operaties’ van OVH en voor het ‘modificeren van netwerk routing rules’. Maar het relevante wetsartikel voorziet enkel in het installeren van een middel in een netwerk met het oog op vastleggen en afluisteren (tappen), niet in blokkeren en modificeren van dataverkeer. Volgens de advocaten mag de politie dit in Frankrijk gewoon niet doen, volgens geen enkele wet. (tekst gaat verder onder reclame)

Frans territorium

Een ander probleem is dat de machtigingen zijn verkregen op basis van Franse verdenkingen tegen EncroChat en tegen een persoon in Canada die de server in Roubaix heeft geleasd. Uit vaste jurisprudentie blijkt dat op basis daarvan alleen telecommunicatie kan worden getapt die gelinkt is aan Frans territorium, en dat zou ook gelden voor data-interceptie. Dan hadden alleen de data van 342 telefoons mogen worden getapt, namelijk de apparaten die in de periode contact hadden met Frankrijk of in Frankrijk waren.

Verder is de verdenking gebruikt voor een ‘massaal dataverzamelen’. En dat ‘kan alleen maar ongerelateerd zijn aan de verdenkingen van misdrijven waaraan is gerefereerd in de besluiten van de rechter over de machtiging’, schrijven de advocaten. En zomaar massaal persoonsgegevens verzamelen is illegaal volgens de wet.

Technische informatie

Een volgend probleem heeft de maken met de inzet van een middel dat als staatsgeheim is geclassificeerd. Dat is mogelijk volgens het Franse systeem van strafvordering maar is wel aan voorwaarden gebonden:

Behoudens de verplichtingen die voortvloeien uit het nationale defensiegeheim, gaan de resultaten vergezeld van technische informatie die nuttig is om ze te begrijpen en te gebruiken, evenals een certificaat waarnaar wordt verwezen in de verantwoordelijk voor de technische instantie die de oprechtheid van de toegezonden resultaten certificeert.

Zo staat het in de Franse wet. De advocaten schrijven dat de Gendarmerie tenminste een toelichting op de gebruikte techniek en de procedure voor de operatie had moeten geven, en ook een certificering die de juistheid van de resultaten garandeert.

Dat is in het EncroChat-onderzoek niet gebeurd. Er is alleen vermeld dat het om een staatsgeheim middel gaat. Daarmee hebben noch de rechtbank noch de verdediging zicht op de juistheid van de methode waarop de data zijn verzameld, aldus de advocaten.

Grondwettelijk

Bovendien is aan een principiele waarborg voor de inzet van een staatsgeheim middel voorbijgegaan vinden de advocaten. Voor de inzet van het middel had volgens de advocaten een zogeheten question prioritaire de constitutionnalité (QPC) aan de Conseil Constitutionnel moeten worden voorgelegd. Die had kunnen bepalen of het ontnemen van het zicht van rechtbank en verdediging op inzet van het middel grondwettelijk zou zijn toegestaan.

Er lopen tot nu toe twee procedures tegen de inzet van het middel in Frankrijk, in juli wordt een eerste vonnis verwacht. De advocaten verwachten nog veel meer verzet tegen de inzet van het middel. Ook in de Franse krant Le Monde verscheen vorige maand een artikel waarin kritiek werd geuit.

De advocaten maken wel een kanttekening omdat ze niet bijzonder hoopvol zijn over de houding van de Franse rechtbanken:

Hoewel onze juridische argumenten ons bijzonder overtuigend lijken, vrezen we niettemin dat de rechtbanken, ondanks de flagrante onwettigheid van de “encrochat”-registratiemaatregel terughoudend zijn om de nietigheid ervan uit te spreken. Dit omdat het tot gevolg zou hebben dat honderden, zelfs duizenden procedures worden geannuleerd die uitsluitend op deze illegale inbeslagname zijn gebaseerd.

Overigens onderstreepte een recente uitspraak van het Europese Hof van Justitie dat het verzamelen van persoonsgegevens zoals dat bij EncroChat is gebeurd volgens Europees recht niet is toegestaan.

Zie eerdere berichten over de EncroChat-hack:

‘OM is boos op Britten over openheid over EncroChat’

Brits document laat zien hoe EncroChat werd gehackt

Sommige Encro-gebruikers verwijderden oude berichten niet

EncroChat: de reconstructie van de hack (UPDATE)