Les véritables limites des règles de mot de passe pour les appareils à Hong Kong : une alerte du consulat américain à Hong Kong déclenche-t-elle une « panique des portefeuilles matériels » ?

Rédaction : Shao Jiadian

（Les captures d’écran ci-dessus proviennent du site web du Consulat général des États-Unis à Hong Kong et Macao）

Récemment, une information circule largement dans le monde des cryptomonnaies : en gros, Hong Kong peut désormais exiger qu’on remette les mots de passe des appareils électroniques ; en cas de refus, cela constituerait une infraction pénale ; et même un portefeuille matériel pourrait être “mis sous contrôle” ou neutralisé. La source directe de ce type de propos est une alerte de sécurité publiée par le Consulat général des États-Unis à Hong Kong et Macao en mars 2026. Le texte original est, en réalité, assez direct :

« Le 23 mars 2026, le gouvernement de Hong Kong a modifié les règles d’application liées à la Loi sur la sécurité nationale. Il est désormais une infraction pénale de refuser de donner à la police de Hong Kong les mots de passe ou une aide en matière de déchiffrement afin d’accéder à tous les appareils électroniques personnels, y compris les téléphones portables et les ordinateurs portables. Ce changement légal s’applique à tout le monde, y compris les citoyens américains, à Hong Kong, arrivant ou transitant simplement par l’aéroport international de Hong Kong. En outre, le gouvernement de Hong Kong dispose également de davantage de pouvoir pour saisir et conserver tout appareil personnel, en tant que preuve, que l’on affirme être lié à des infractions en matière de sécurité nationale. »

Si l’on ne regarde que ce passage, on peut facilement se faire une impression intuitive : en entrant à Hong Kong, on pourrait être amené à fournir le mot de passe de son appareil. Une fois que l’information s’est enflammée sur les réseaux sociaux, elle s’est transformée en une version encore plus chargée émotionnellement — « ne pas apporter de portefeuille matériel à Hong Kong ». Mais si l’on suit cette information jusqu’au bout, on peut vite se rendre compte que le risque est peut-être surestimé, voire compris comme une règle générale applicable à tout le monde. Le problème, c’est que ce type d’avertissement met souvent l’accent sur les résultats, sans préciser clairement les conditions d’application et les scénarios concernés. Pour bien comprendre cette affaire, il faut donc revenir aux règles juridiques qui se trouvent derrière.

Hong Kong : qu’est-ce qui a exactement été modifié cette fois

Ce qui a déclenché la discussion n’est pas une nouvelle loi à proprement parler, mais un renforcement, dans le cadre de la « Loi sur la sécurité nationale de Hong Kong », d’une partie des règles d’application (Implementation Rules) intitulée « accès aux preuves électroniques » (« electronic evidence acquisition »). Le changement central se concentre en fait sur une seule chose : les autorités chargées de l’application de la loi peuvent non seulement accéder à votre appareil, mais aussi vous demander de « coopérer pour ouvrir les données ». Dans les dispositions concernées, il y a une formulation clé :

« A person must comply with the requirement to provide such assistance as is reasonably necessary to enable an officer to access the information. »

Pris isolément, cette phrase peut sembler un peu abstraite ; en réalité, ce qu’elle veut exprimer, c’est que les autorités peuvent exiger que vous les aidiez à « comprendre le contenu de l’appareil ». Cette « assistance » n’est pas une notion vague : la portée est écrite de manière très précise dans les dispositions suivantes :

« The assistance may include providing access to an electronic device, providing any password, decryption key or other information necessary for gaining access to the information. »

En réunissant ces deux phrases, on obtient un scénario très concret : non seulement les autorités peuvent emporter votre appareil, mais elles peuvent aussi vous demander de fournir, en plus, les mots de passe, les méthodes de déverrouillage, voire les phrases de récupération (mots de passe/seed phrase) — toutes ces « voies d’accès ».

Le point encore plus crucial est que cette « assistance » n’est plus une question de savoir si vous y consentez ou non : c’est une obligation légale à caractère contraignant. La disposition suivante le précise juste après :

« A person who fails to comply with the requirement without reasonable excuse commits an offence. »

Autrement dit, dans les conditions d’application, refuser de fournir un mot de passe ou refuser de coopérer au déverrouillage peut, en soi, constituer une infraction ; et si les informations fournies sont erronées ou trompeuses, vous vous exposez à des responsabilités encore plus lourdes.

Si l’on regarde la logique d’application de la loi, ce changement est en fait assez direct :

À l’époque, même si les autorités obtenaient l’appareil, elles n’obtenaient pas forcément les données ; désormais, la loi leur permet de vous demander directement de remettre « l’entrée des données ».

Beaucoup de gens ressentent ici une gêne intuitive. La raison est très simple : ce n’est pas l’appareil qui est visé par la règle, mais le contrôle lui-même. Pour les actifs chiffrés, c’est particulièrement sensible : l’appareil n’est qu’une enveloppe ; ce qui détermine réellement à qui appartiennent les actifs, c’est cette suite d’informations que vous acceptez (ou non) de révéler.

L’appareil peut être fouillé, et peut aussi être saisi et retenu

Dans l’avertissement du Consulat général des États-Unis à Hong Kong, il y a aussi cette phrase :

« the Hong Kong government also has more authority to take and keep any personal devices, as evidence, that they claim are linked to national security offenses. »

Si on la traduit en termes plus directs, cela revient à dire : non seulement on peut fouiller vos appareils, mais on peut aussi les emporter et les conserver pendant un certain temps comme preuves. Derrière cette idée se trouve l’extension des pouvoirs prévue, dans les règles d’application, concernant « seizure and detention » (saisie et détention/privation). Les règles concernées permettent aux autorités d’appliquer une mesure de saisie à un appareil, lorsqu’elles estiment qu’il est lié à une affaire de sécurité nationale, et de le conserver en tant que preuve.

Pris isolément, le fait de « saisir l’appareil » n’a rien d’exceptionnel dans les affaires pénales : dans chaque juridiction, on trouve des dispositions similaires. Mais si l’on met ensemble cette mesure et l’« obligation d’assistance au déchiffrement » évoquée dans la section précédente, on constate que le cœur du changement ne se situe pas dans une seule règle, mais dans la combinaison entre elles.

Dans la pratique, le cheminement pourrait, en gros, ressembler à ceci : l’appareil peut être emporté directement ; les données peuvent être exigées afin d’être déverrouillées ; et le fait de ne pas coopérer au déverrouillage entraîne alors un risque juridique supplémentaire. Ces trois étapes, une fois combinées, couvrent essentiellement plusieurs des éléments les plus clés dans la collecte et l’analyse de la preuve numérique. Le cas où « l’appareil se trouve entre les mains des autorités, mais où les données restent inaccessibles » a été fortement réduit au niveau du système.

Du point de vue opérationnel, l’impact de ce changement ne concerne pas les simples contrôles ordinaires, mais plutôt le fait qu’une fois l’appareil intégré à une affaire précise, il ne s’agit plus seulement d’un objet consulté brièvement : il pourrait passer dans un état où il est contrôlé et analysé de manière continue. C’est aussi pour cela que beaucoup de gens sont intuitivement mal à l’aise devant ce type de règles : elles ne touchent pas l’appareil lui-même, mais votre pouvoir de contrôle continu sur l’appareil.

Dans quels cas ces pouvoirs sont-ils utilisés

Les règles mentionnées plus tôt, prises séparément, peuvent facilement créer une confusion : est-ce que, dès lors qu’on entre à Hong Kong, les autorités peuvent exiger à tout moment que vous déverrouilliez vos appareils ? Mais si on remet les dispositions dans la structure juridique originale, cette conclusion ne tient pas.

Ces mesures, dans les règles d’application, ne sont pas des éléments autonomes ; elles reposent toutes sur une prémisse ——

« for the purpose of the investigation of an offence endangering national security »

Autrement dit, tout ce dispositif de pouvoir « exiger une assistance au déchiffrement » est au service de l’enquête sur des affaires de sécurité nationale, et non un outil d’application de la loi universel.

Ici, il faut particulièrement faire attention à deux niveaux de limites.

Premièrement, le type d’affaire lui-même. La « Loi sur la sécurité nationale de Hong Kong » ne couvre que des catégories spécifiques de conduite, par exemple la sécession du pays, la subversion du régime du pays, les activités terroristes et la collusion avec des forces étrangères, etc. Tout cela relève de la sphère des infractions pénales, et non de simples manquements administratifs au sens général.

Deuxièmement, le seuil de déclenchement. Dans la mise en œuvre concrète, on a généralement besoin d’atteindre « reasonable grounds to suspect », c’est-à-dire l’existence de soupçons raisonnables capables de soutenir l’enquête, avant d’entrer dans cette phase.

En regardant ces deux conditions ensemble, on obtient un jugement plus proche de la réalité : ces règles ne sont pas un mécanisme de contrôle courant destiné à tout le monde, mais une mesure visant les personnes déjà intégrées dans un cadre d’enquête. C’est aussi pour cela que la phrase « applies to everyone » dans l’avertissement du consulat américain est facile à mal interpréter. Elle met l’accent sur le champ d’application de la loi, et non sur la probabilité que l’application de la loi se produise.

Pourquoi les portefeuilles matériels sont mentionnés, mais que ce n’est pas le cœur des règles

Beaucoup de discussions se focalisent sur « le portefeuille matériel ». C’est, dans le processus de diffusion, un point d’amplification très typique. D’après le texte juridique, aucune règle ne cible spécifiquement les portefeuilles de cryptomonnaies. Les dispositions concernées utilisent plutôt des formulations plus abstraites, comme : « electronic device », « information », « information system ». Ce type de formulation montre en soi que, lors de la rédaction, l’attention n’était pas portée sur un outil précis, mais sur tous les supports possibles pouvant contenir des données ou des droits de contrôle.

D’un point de vue interprétatif, un portefeuille matériel peut bien sûr être inclus dans le champ de « electronic device » : cela ne fait pas débat. Mais si l’on regarde encore une couche plus en profondeur, on découvre que la logique d’application de la loi n’est pas construite autour du « type d’appareil », mais autour de la question de savoir s’il est lié à l’affaire.

Voici une façon de le comprendre plus proche de la pratique : les autorités chargées de l’application de la loi ne vont pas s’intéresser à votre portefeuille matériel parce que vous en tenez un. Ce qui déclenche vraiment l’attention, c’est de savoir si ce portefeuille est lié à un certain compte, à une certaine somme, ou à un certain objet d’enquête. S’il existe un lien, alors cet appareil n’a pas de différence essentielle avec un téléphone ou un ordinateur : il peut aussi être exigé qu’il soit déverrouillé ; s’il n’existe aucun lien, alors ce n’est qu’un appareil électronique ordinaire. Beaucoup de personnes comprennent le problème comme « Hong Kong commence à cibler les portefeuilles froids », mais cela détourne l’essentiel. La règle touche ce qui est « sous le contrôle » des données, et non « où se trouvent » les données.

En comparaison avec les États-Unis : la logique de fond du problème des mots de passe est totalement différente

En posant la même question dans le contexte des États-Unis, on obtient une réponse beaucoup plus différente. Les États-Unis peuvent, eux aussi, fouiller des appareils, saisir des appareils, voire obtenir des données par des moyens techniques. Mais dès qu’il s’agit de « te forcer à dire le mot de passe », le droit devient immédiatement prudent. Le cœur de cette approche vient d’une phrase du Cinquième Amendement de la Constitution américaine :

« No person… shall be compelled in any criminal case to be a witness against himself. »

Autour de ce principe, les tribunaux américains traitent depuis longtemps une question : entrer un mot de passe, est-ce considéré comme « témoigner » ?

À l’heure actuelle, la principale orientation judiciaire a globalement établi une frontière assez claire :

Les informations « de mémoire » comme les mots de passe et les phrases de récupération (seed phrases) sont plus facilement considérées comme ayant une propriété « testimonial » ; en principe, elles ne peuvent pas être divulguées de force

Les caractéristiques « physiques » comme les empreintes digitales et la reconnaissance faciale se rapprochent davantage de la fourniture d’une « clé » ; dans certaines conditions, elles peuvent être utilisées de force

Sur cette base, les États-Unis ont également développé la « foregone conclusion doctrine » (exception du fait déjà établi). Si les autorités peuvent déjà prouver l’existence de certaines données et leur relation d’appartenance, elles peuvent exiger que la personne concernée coopère pour y accéder, mais le standard lui-même a un seuil assez élevé, un champ d’application limité, et il devient souvent un point de controverse.

En réunissant ces règles, on voit qu’aux États-Unis, les autorités peuvent chercher à obtenir votre appareil, et peuvent aussi s’approcher de vos données par divers moyens. Mais vous faire remettre vous-même le mot de passe, c’est une démarche soumise aux contraintes constitutionnelles, qui ne peut pas être réalisée facilement.

Pour ce qui est du cheminement de la réforme à Hong Kong, il n’introduit pas une logique de restriction liée à la « self-incrimination ». Il intègre « l’assistance au déchiffrement » dans un système d’obligations légales. Une fois dans le cadre d’une enquête de sécurité nationale, refuser de coopérer entraîne un risque juridique.

Mises côte à côte, les deux institutions donnent une comparaison très évidente : aux États-Unis, le mot de passe ressemble davantage à une « information protégée » ; à Hong Kong, dans certains dossiers précis, il est considéré comme une « assistance qui doit être fournie ». C’est aussi pour cela que, sur des dispositifs chiffrés similaires, l’évaluation du risque dans ces deux juridictions peut présenter des différences nettes.

Pour un détenteur d’actifs chiffrés ordinaires, que signifie tout cela

Une fois les règles expliquées clairement, on peut en fait réduire la question à quelque chose de plus simple : dans quelle mesure ce changement affecte-t-il quelqu’un qui détient et utilise normalement des actifs chiffrés ?

Si votre conduite est, en soi, « propre » — simplement détenir des tokens, effectuer des transactions, faire des investissements, ou participer à certaines activités on-chain ordinaires — alors le changement de Hong Kong ne modifie fondamentalement pas votre risque quotidien. Ce n’est pas un mécanisme de contrôle universel destiné au grand public, et le fait d’avoir apporté un portefeuille matériel ne déclenche pas, à lui seul, un intérêt particulier de la part des autorités.

En revanche, si l’on remonte d’un cran dans le raisonnement, cette réforme libère un signal plus clair : dans des affaires spécifiques, la capacité des autorités de Hong Kong à obtenir le contrôle on-chain se renforce, et elle ne dépend plus entièrement des moyens techniques ; elle peut aussi être réalisée directement grâce à des obligations juridiques. Pour les personnes dont les actes impliquent des structures de fonds complexes, des transferts transfrontaliers ou des zones grises, cela peut avoir un impact concret.

D’un point de vue opérationnel, ce qui mérite davantage d’attention n’est pas la « sécurité de l’appareil », mais la « sécurité de la structure ». Vos actifs sont-ils concentrés sous une seule clé privée ? Vos adresses pourraient-elles être associées à des étiquettes à haut risque ? Le chemin de vos fonds peut-il résister à une explication ? Ces questions sont bien plus proches du risque réel que « faut-il ou non apporter un portefeuille à l’entrée du territoire ».

Si cette actualité doit absolument laisser une signification pratique, elle ne réside probablement pas dans les habitudes de déplacement, mais dans un changement plus réaliste : dans certains scénarios déjà entrés dans le champ de vision de l’application de la loi, le contrôle des actifs on-chain n’est plus déterminé uniquement, et entièrement, par la technique.